Por Patrice Herrada. Presidente CRIDO
Las tecnologías de la información (TI) con sus múltiples capas aplicativas se trasforman en organizaciones tan complejas que su gestión requiere métodos, procesos y herramientas que le permitan administrarla convenientemente con el fin de evitar toda indisponibilidad, por muy pequeña que esta sea, el usuario final sostendrá siempre que es la informática que no funciona. El prestigio de la empresa se cuestiona, la credibilidad en la herramienta informática se deteriora y con ella el de las personas encargadas de la administración y mantenimiento de estos sistemas.
El departamento de Gestión de Riesgos” y el Responsable de la Seguridad de las TI que dependen directamente de la Gerencia General de la empresa, tienen la obligación de fijar a los departamentos técnicos, las reglas a respetar para evitar o minimizar las indisponibilidades de las infraestructuras informáticas y de comunicación. Una vez que los técnicos han adherido a estas reglas la aplicación de los sistemas de control será más fácil de ponerla en práctica.
La Gestión de Cambios
Los cambios en las infraestructuras, son necesarios pero estos son a la vez fuente de perturbaciones, incidentes y en algunos casos, la causa de una indisponibilidad. ¿Cuál debe ser nuestro comportamiento frente a este dilema?
Uno de los procesos que causa mayor desosiego a los ejecutivos responsables del funcionamiento de las TI, son los cambios. Durante largo tiempo se ha trabajado para mantener y estabilizar un sistema, al que luego hay que aplicar, correcciones, nuevas funcionalidades, upgrade de los sistemas operativos, instalación de un nuevo servidor, regular la carga, agregar espacios de almacenamientos. La lista de los elementos que pueden ser al origen de un cambio son múltiples y los departamentos impactados por estos cambios lo son igualmente. Desde ese punto de vista nace la necesidad de modelizar la gestión de cambios y hacer adherir a este modelo, todos los actores que intervienen en la administración y mantención de las infraestructuras informática y de comunicación.
Respetar cada etapa del proceso de aplicación de los cambios permitirá de disminuir los riegos de indisponibilidad del sistema, minimizar y controlar los incidentes y estar preparados a afrontarlos si estos ocurren. El resultado del respeto de estos procesos será bien un motivo de satisfacción para todos los actores de los cambios.
Los Planes de Continuidad de Servicio
No solamente los cambios pueden ser el origen de una perturbación de la disponibilidad de la herramienta informática y de comunicación; un servidor en pana, una base de datos corrompida, una sala informática fuera de servicio por problemas climáticos, de incendio u otro siniestro, un datacenter fuera de servicio, manifestaciones sociales que impiden el acceso a las infraestructuras, etc. Podemos imaginar los factores de indisponibilidad del más pequeño hacia aquel más grave. El responsable de la Seguridad de las TI debe presentar una respuesta, a cada uno de estos factores de perturbación del funcionamiento de las infraestructuras. Los departamentos técnicos de asegurar la aplicación de tales recomendaciones, validarlas periódicamente para asegurarse que ellas responden a las exigencias de seguridad después de los cambios regulares que se realizan en el sistema.
Cuando la empresa decide de poner en práctica un Plan de Continuidad de Servicios, ella debe implicar en este proceso todos los ejecutivos de la empresa, para determinar la importancia de cada función y las necesidades de reactivación del sistema, si este necesita operaciones manuales para reactivarlo. Debemos considerar que un Plan de Continuidad representa un presupuesto importante para la empresa. El estudio detallado de cada componente, debe permitir de reducir considerablemente estos costos.