Servidor caído: riesgos, efectos y pre­ve­n­ción

Cuando se piensa en la cri­mi­na­li­dad en Internet, las empresas suelen preo­cu­par­se en primera instancia por el espionaje em­pre­sa­rial, por el robo de datos sensibles y por la co­n­si­guie­n­te vu­l­ne­ra­ción de la pri­va­ci­dad y, sin embargo, son los ataques desde la red, que han alcanzado una nueva dimensión debido a la creciente di­gi­ta­li­za­ción, la mayor amenaza. Cada vez más sectores co­me­r­cia­les se ven su­s­te­n­ta­dos por sistemas in­fo­r­má­ti­cos que conectan a las empresas a las redes públicas, ha­cié­n­do­las al mismo tiempo más vu­l­ne­ra­bles a los ataques de hackers. Si el ci­ber­ata­que tiene como resultado la caída del servidor de una compañía, esto puede conllevar una in­te­rru­p­ción muy cara de su servicio, pudiendo ascender fá­ci­l­me­n­te, en el plazo de unos pocos minutos, a las cuatro cifras. Estas graves pérdidas suponen una amenaza en pa­r­ti­cu­lar para aquellas empresas cuyo servidor aloja un software de eCommerce o bases de datos ce­n­tra­li­za­das. No obstante, conviene saber que las caídas del servidor no vienen oca­sio­na­das ex­clu­si­va­me­n­te por factores externos, sino que también existen riesgos internos que amenazan el buen fu­n­cio­na­mie­n­to del servidor.

Además de la pro­te­c­ción frente amenazas externas y de los es­tá­n­da­res de actuación propios de una es­tra­te­gia de re­cu­pe­ra­ción de desastres, un plan sólido de seguridad también contiene medidas de acción en cuanto a or­ga­ni­za­ción y personal. La pre­ve­n­ción suele basarse en la co­m­pe­n­sa­ción, que consiste té­c­ni­ca­me­n­te en poner a di­s­po­si­ción hardware re­du­n­da­n­te para ga­ra­n­ti­zar su alta di­s­po­ni­bi­li­dad, o en franquear períodos de caída mediante sistemas de espera o stand by. En lo que respecta a la pro­te­c­ción de la in­fo­r­ma­ción, los ad­mi­ni­s­tra­do­res aseguran los datos por medio de diversos softwares para realizar copias de seguridad y recuperar la in­fo­r­ma­ción, así como con una ar­qui­te­c­tu­ra re­du­n­da­n­te de al­ma­ce­na­mie­n­to. Las co­n­se­cue­n­cias eco­nó­mi­cas oca­sio­na­das por un servidor caído solo se pueden salvar con un seguro.

Entre las causas de caída de un servidor, los expertos di­fe­re­n­cian entre amenazas internas y externas. Entre las primeras se en­cue­n­tran todos aquellos es­ce­na­rios en los que la propia in­frae­s­tru­c­tu­ra in­fo­r­má­ti­ca, la ali­me­n­ta­ción eléctrica o un error humano son los des­en­ca­de­na­n­tes, mientras que entre las segundas se incluyen los ataques pla­ni­fi­ca­dos desde el exterior y aco­n­te­ci­mie­n­tos im­pre­vi­si­bles, tales como ac­ci­de­n­tes o ca­tá­s­tro­fes naturales.

Riesgos internos:

• Incendio en el centro de datos

• Fallo del su­mi­ni­s­tro eléctrico en el centro de datos

• Avería de hardware: caída del disco duro, so­bre­ca­r­ga, re­ca­le­n­ta­mie­n­to

• Fallo en el software: caída de la base de datos

• Problemas de red

• Error humano

Riesgos externos:

• In­fi­l­tra­ción: ataque man in the middle, phishing, in­ge­nie­ría social

• Sabotaje: ataques en sistemas SCADA

• Virus, troyanos, gusanos

• Ataque di­s­tri­bui­do de de­ne­ga­ción del servicio (DDoS)

• Robo de hardware

• Causa de fuerza mayor: terremoto, rayo, inu­n­da­ción

• Ac­ci­de­n­tes (accidente de aviación)

• Atentado

Ge­ne­ra­l­me­n­te, a las empresas les resulta mucho más sencillo pre­pa­rar­se ante los riesgos internos para la seguridad que ante los externos, pri­n­ci­pa­l­me­n­te porque los ci­be­r­cri­mi­na­les adaptan co­n­ti­nua­me­n­te sus patrones de ataque a los es­tá­n­da­res de seguridad más actuales, ha­cié­n­do­les la vida muy difícil con nuevos programas in­fe­c­cio­sos o es­tra­te­gias de in­fi­l­tra­ción. Por el contrario, equiparse para hacer frente a las amenazas internas para la seguridad de los se­r­vi­do­res consiste en tomar medidas factibles como un sistema de ali­me­n­ta­ción sin in­te­rru­p­cio­nes, medios an­tii­n­ce­n­dios, un servidor de alta di­s­po­ni­bi­li­dad y cursos de formación para los empleados.

La caída de un servidor ocasiona, en primer lugar, pérdidas eco­nó­mi­cas, algo de lo que es cla­ra­me­n­te co­n­s­cie­n­te la mayor parte de las empresas. Ahora bien, ¿se sabe cuánto cuesta exac­ta­me­n­te una hora sin servidor? Un estudio de la co­n­su­l­to­ra Te­ch­co­n­su­lt de 2013 impulsado por HP Alemania examinó a 300 empresas medianas del país teutón (de 200 a 4.999 empleados) y, de estas, un 77 % confesó haber sufrido fallos críticos en sus sistemas in­fo­r­má­ti­cos en el año previo al estudio. Las empresas más afectadas fueron las de los sectores del comercio, la fa­bri­ca­ción y la di­s­tri­bu­ción. La media de caídas del servidor en el período objeto del estudio fue de cuatro apagones por empresa con una duración media de 3,8 horas, en las cuales se incluyen la re­pa­ra­ción técnica y la re­cu­pe­ra­ción de los datos.

Los costes que se generan por cada hora de no fu­n­cio­na­mie­n­to varían en función del tamaño de la empresa, teniendo en cuenta, además, que en ellos confluyen tanto los gastos de pro­du­c­ción (cuánto tiempo se ve privado un empleado de realizar su tarea) como los gastos llamados de opo­r­tu­ni­dad (ventas y tomas de contacto en la página web, quizá irre­cu­pe­ra­bles). Mientras que aquellas empresas con menos de 500 empleados co­n­fi­r­ma­ron haber sufrido daños de alrededor de 20.000 euros por hora, los costes para las empresas con más de mil tra­ba­ja­do­res as­ce­n­die­ron a cerca de 40.000. Así, una caída del sistema puede si­g­ni­fi­car para una empresa de tamaño medio un coste de 25.000 euros por hora sin servicio. Si se añaden los costes de la re­pa­ra­ción de la avería y de la re­s­tau­ra­ción de los datos, los efectos de un servidor caído resultan en una pérdida anual de 380.000 euros para la mediana empresa alemana. Es razonable ex­tra­po­lar estas co­n­clu­sio­nes al ámbito global de forma que las cifras tendrían un aspecto similar en otros países con una actividad em­pre­sa­rial equi­pa­ra­ble.

La forma en que la caída de un servidor entorpece el fu­n­cio­na­mie­n­to de una empresa y si lo hace depende en gran medida de su sector y de su modelo comercial. En principio, los empleados deberían poder cambiar de tarea y, por ejemplo, convocar meetings, realizar llamadas te­le­fó­ni­cas o pla­ni­fi­car citas con clientes. Sin embargo, cuando los procesos centrales no solo se apoyan en sistemas in­fo­r­má­ti­cos, sino que dependen co­m­ple­ta­me­n­te de ellos, un apagón de este tipo es es­pe­cia­l­me­n­te grave. Cuando una tienda online, por poner un solo ejemplo, permanece offline durante un período in­de­fi­ni­do de tiempo, tendrá que en­fre­n­tar­se a im­po­r­ta­n­tes pérdidas al no poder rea­li­zar­se pedidos en su página, así como una caída del sistema SCADA podría ocasionar una in­te­rru­p­ción de la pro­du­c­ción.

En de­fi­ni­ti­va, el cálculo de las pérdidas eco­nó­mi­cas vi­n­cu­la­das a un apagón del servidor no se hace solo co­n­si­de­ra­n­do el coste por hora en relación con aquellos empleados que se vieron impedidos en su actividad laboral, sino también aquellas de­te­r­mi­na­das por la im­po­si­bi­li­dad de realizar pedidos y compras, así como los gastos oca­sio­na­dos por posibles sanciones me­r­ca­n­ti­les. A ello habría que añadir aquellos daños in­cua­n­ti­fi­ca­bles que afectan a la imagen de la empresa.

La mejor manera de evitar un fallo en el servidor es ade­la­n­tar­se a riesgos es­pe­cí­fi­cos mediante medidas de seguridad in­fo­r­má­ti­ca enfocadas a la pro­te­c­ción de la in­frae­s­tru­c­tu­ra co­mpu­tacio­nal y que tienen relación, por regla general, con una serie de acciones in­frae­s­tru­c­tu­ra­les y or­ga­ni­za­ti­vas que afectan a la elección y al diseño del lugar donde se instalan los se­r­vi­do­res.

En España, el Instituto Nacional de Ci­be­r­se­gu­ri­dad o INCIBE, de­pe­n­die­n­te de Red.es y del Mi­ni­s­te­rio de Industria, es el organismo de control encargado de proveer las re­co­me­n­da­cio­nes de seguridad in­fo­r­má­ti­ca. En su página web el usuario dispone de una exhau­s­ti­va re­co­pi­la­ción de in­fo­r­ma­ción ac­tua­li­za­da y puede acceder a una gran variedad de guías y recursos tanto para empresas, como para los propios in­te­r­nau­tas. En México, el Equipo de Respuesta a In­ci­de­n­tes de Seguridad en Cómputo de la Uni­ve­r­si­dad Autónoma de México, la UNAM CERT, se encarga de examinar las vu­l­ne­ra­bi­li­da­des de los sistemas in­fo­r­má­ti­cos en el país, de proveer in­fo­r­ma­ción sobre riesgos de seguridad in­fo­r­má­ti­ca y de pro­po­r­cio­nar respuesta a entidades que han sufrido algún ataque.

Para evitar apagones del servidor por causas físicas tales como incendios, inu­n­da­cio­nes, flu­c­tua­cio­nes en la ali­me­n­ta­ción o sabotajes del hardware, las salas de los se­r­vi­do­res y los centros de datos han de observar ciertas medidas de seguridad. Todo comienza ya con la elección de su lo­ca­li­za­ción, para lo cual, por ejemplo, se deben des­es­ti­mar los sótanos, ya que implican el riesgo de inu­n­da­ción por tormentas o ca­tá­s­tro­fes naturales. El acceso debería limitarse al personal au­to­ri­za­do y, si fuera necesario, pro­te­ge­r­se con controles de seguridad. No olvidemos que la ha­bi­ta­ción donde se guardan los se­r­vi­do­res no es un lugar de trabajo pe­r­ma­ne­n­te.

Ante el riesgo de incendio, los sistemas de pre­ve­n­ción y extinción compensan los posibles daños oca­sio­na­dos por un accidente de este tipo. Aquí se incluye la in­s­ta­la­ción de puertas co­r­ta­fue­gos, sistemas de alarma, ex­ti­n­to­res de mano y sistemas de extinción au­to­má­ti­ca. Otras medidas adi­cio­na­les de seguridad incluyen el al­ma­ce­na­mie­n­to seguro de ma­te­ria­les in­fla­ma­bles, el ai­s­la­mie­n­to del cableado y la uti­li­za­ción de los ma­te­ria­les de ai­s­la­mie­n­to térmico y de in­so­no­ri­za­ción adecuados.

Los aparatos técnicos tra­n­s­fo­r­man la energía eléctrica en calor, de tal forma que la luz directa en la ha­bi­ta­ción podría ocasionar un aumento pe­r­ju­di­cial de la te­m­pe­ra­tu­ra. Para evitar caídas del servidor y errores en los datos debido al so­bre­ca­le­n­ta­mie­n­to y a una humedad demasiado alta deberían in­s­ta­lar­se sistemas de ve­n­ti­la­ción y en­fria­mie­n­to de gran potencia. Las co­n­di­cio­nes am­bie­n­ta­les óptimas para sistemas de al­ma­ce­na­mie­n­to a largo plazo se alcanzan entre los 20 y los 22°C y una humedad del aire del 40 por ciento.

Por último, hay que tener en cuenta que la condición fu­n­da­me­n­tal para el buen fu­n­cio­na­mie­n­to de un sistema in­fo­r­má­ti­co es la es­ta­bi­li­dad del flujo eléctrico. Según los expertos, una in­te­rru­p­ción de más de 10 ms podría ser re­s­po­n­sa­ble de fallos en el servidor. Los ge­ne­ra­do­res de eme­r­ge­n­cia pueden ayudar a solventar estos apagones, ya que, al no depender de la red eléctrica pública, permiten el fu­n­cio­na­mie­n­to temporal autónomo de la in­s­ta­la­ción in­fo­r­má­ti­ca, evitando una in­te­rru­p­ción del servicio.

Las empresas de tamaño medio son las que más su­b­e­s­ti­man los efectos de las averías in­fo­r­má­ti­cas en su fu­n­cio­na­mie­n­to global. Uno de los motivos radica en la alta fia­bi­li­dad de los co­m­po­ne­n­tes estándar uti­li­za­dos hoy día en la in­frae­s­tru­c­tu­ra in­fo­r­má­ti­ca co­r­po­ra­ti­va, cuya di­s­po­ni­bi­li­dad se estima por regla general en un 99,9 %. Este valor, aunque apa­re­n­te­me­n­te alto, implica, sin embargo, una caída de una duración de casi 9 horas en un año en un sistema que funciona sin pausa. Si esta caída tiene lugar en horas de máxima actividad comercial, aun siendo mínima, puede conllevar im­po­r­ta­n­tes pérdidas para la compañía. Esto ha originado la co­n­so­li­da­ción de sistemas in­fo­r­má­ti­cos de alta di­s­po­ni­bi­li­dad (99,99 %) como estándar para ga­ra­n­ti­zar la co­n­se­r­va­ción de datos y apli­ca­cio­nes es­pe­cia­l­me­n­te re­le­va­n­tes, unos sistemas que prometen un downtime máximo de 52 minutos al año. Yendo más allá, hoy los expertos hablan de alta di­s­po­ni­bi­li­dad a partir de un 99,999 por ciento de di­s­po­ni­bi­li­dad, con un margen de caída de 5 minutos como máximo al año. El único problema a la hora de valorar estos datos sobre di­s­po­ni­bi­li­dad, es que se limitan a la seguridad del hardware de los se­r­vi­do­res. Según la de­fi­ni­ción del IEEE (Institute of Ele­c­tri­cal and Ele­c­tro­ni­cs Engineers), un sistema puede co­n­si­de­rar­se altamente di­s­po­ni­ble cuando, a pesar del fallo de algunos co­m­po­ne­n­tes, puede ga­ra­n­ti­zar la di­s­po­ni­bi­li­dad de sus recursos in­fo­r­má­ti­cos: “High Avai­la­bi­li­ty (HA for short) refers to the avai­la­bi­li­ty of resources in a computer system, in the wake of component failures in the system.” Esto se logra, por ejemplo, mediante se­r­vi­do­res co­m­ple­ta­me­n­te re­du­n­da­n­tes, en los cuales los co­m­po­ne­n­tes cruciales para su fu­n­cio­na­mie­n­to, como pro­ce­sa­do­res, chips de al­ma­ce­na­mie­n­to y unidades I/O están repetidos, de tal forma que, por un lado, se impide que un co­m­po­ne­n­te de­fe­c­tuo­so ocasione un fallo en el servidor, pero que, por el contrario, no ofrece pro­te­c­ción ante un incendio en el centro de datos, ataques pla­ni­fi­ca­dos con software dañino y ataques DDoS, sabotaje o el secuestro del servidor por parte de un hacker. Para las empresas esto implica, por co­n­si­guie­n­te, padecer apagones más largos y co­n­si­de­rar la necesidad de tomar las medidas de co­n­ti­n­ge­n­cia co­rre­s­po­n­die­n­tes. Otras es­tra­te­gias recurren a sistemas stand by y a clústers de alta di­s­po­ni­bi­li­dad, ambos basados en un conjunto de dos o más se­r­vi­do­res que glo­ba­l­me­n­te disponen de más recursos de hardware de los que se necesitan para su fu­n­cio­na­mie­n­to normal. Los sistemas de espera están basados en un servidor al­te­r­na­ti­vo que, a modo de servidor de seguridad del sistema primario, se hace cargo de las tareas del primero tan pronto como este falla debido a una avería de software o de hardware, lo que se denomina failover y tiene lugar au­to­má­ti­ca­me­n­te, sin in­te­r­ve­n­ción del ad­mi­ni­s­tra­dor, mediante un software de gestión de clústeres. Una es­tru­c­tu­ra de este tipo, compuesta por un nodo activo y otro pasivo, puede ser co­n­si­de­ra­da un clúster asi­mé­tri­co altamente di­s­po­ni­ble, opuesto a uno simétrico, que sería aquel en el que todos los nodos del clúster están di­s­po­ni­bles al mismo tiempo en fu­n­cio­na­mie­n­to normal. Sin embargo y con motivo del retraso que origina la migración de un servicio de un sistema a otro, en los sistemas stand by y en los clústeres altamente di­s­po­ni­bles no es posible evitar por completo una in­te­rru­p­ción del servicio, aunque sea muy breve.

Ante los dañinos efectos de las acciones de los hackers, los ad­mi­ni­s­tra­do­res recurren a diversas so­lu­cio­nes de software y hardware cuya función es la de detectar, rechazar, señalar y desviar sus ataques. Para proteger a un servidor de accesos no au­to­ri­za­dos, los sistemas más críticos se aíslan de la red pública mediante co­r­ta­fue­gos o firewalls y zonas de­s­mi­li­ta­ri­za­das (DMZ).

Los llamados Intrusion Detection Systems (IDS) consisten en sistemas de detección de ataques que, mediante el re­co­no­ci­mie­n­to de patrones y el análisis es­ta­dí­s­ti­co, permiten la su­pe­r­vi­sión au­to­má­ti­ca de los se­r­vi­do­res y las redes y disparan la alarma tan pronto como se registran intentos de irrupción manuales o ataques au­to­ma­ti­za­dos mediante malware. Si se utilizan Intrusion Pre­ve­n­tion Systems (IPS), tras la alarma se llevan a cabo medidas de pro­te­c­ción au­to­má­ti­cas. Es frecuente co­ne­c­tar­lo al firewall, de tal forma que este pueda rechazar paquetes de datos o in­te­rru­m­pir co­ne­xio­nes dudosas.

Otra forma de mantener a los ci­be­r­cri­mi­na­les alejados de la in­frae­s­tru­c­tu­ra in­fo­r­má­ti­ca más im­po­r­ta­n­te para la empresa son los honeypots, programas que, simulando objetivos atra­c­ti­vos para los atacantes, hacen las veces de anzuelo y que, al funcionar in­de­pe­n­die­n­te­me­n­te del sistema pro­du­c­ti­vo, no tienen ningún impacto en su actividad normal. Los honeypots son mo­ni­to­ri­za­dos co­n­s­ta­n­te­me­n­te por los ad­mi­ni­s­tra­do­res, de tal forma que permiten reac­cio­nar con prontitud a posibles in­tru­sio­nes y analizar tanto el patrón de ataque como la es­tra­te­gia que se ha utilizado.

Por ley, las empresas están obligadas a contar con una política de seguridad que proteja la in­fo­r­ma­ción sensible de la que son re­s­po­n­sa­bles y garantice la co­n­ti­nui­dad de su servicio. En concreto, la Ley Orgánica de Pro­te­c­ción de Datos de carácter personal española (LOPD) determina las medidas básicas de pro­te­c­ción y al­ma­ce­na­mie­n­to de la in­fo­r­ma­ción personal, mientras que el Esquema Nacional de Seguridad (ENS), regulado por Real Decreto 3/2010, de 8 de enero y es­ta­ble­ci­do en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso ele­c­tró­ni­co de los ciu­da­da­nos a los Servicios Públicos, regula la política de seguridad en los medios ele­c­tró­ni­cos. Por su parte, el estándar in­du­s­trial para la seguridad de la in­fo­r­ma­ción ISO/IEC 27001 fijado por la In­te­r­na­tio­nal Or­ga­ni­za­tion for Sta­n­da­r­di­za­tion y por la comisión In­te­r­na­tio­nal Ele­c­tro­te­ch­ni­cal Co­m­mi­s­sion certifica a las empresas que disponen de un sistema de gestión de la seguridad de la in­fo­r­ma­ción según sus re­qui­si­tos, situados muy cerca de las es­pe­ci­fi­ca­cio­nes legales españolas.

La norma ISO/IEC 27001 no solo determina a los re­s­po­n­sa­bles de la seguridad de los datos y quién puede llevar a cabo una re­s­tau­ra­ción de la in­fo­r­ma­ción en caso necesario, sino que establece cuándo han de ser rea­li­za­das las copias de seguridad, cuántas ge­ne­ra­cio­nes se almacenan, qué medio de al­ma­ce­na­mie­n­to se utiliza, si se requieren co­n­di­cio­nes es­pe­cia­les en la tra­n­s­fe­re­n­cia como el cifrado y los tipos de copias de seguridad, que se resumen en:

• Copia completa: de fácil su­po­si­ción, esta consiste en el depósito de todos los datos en un disco en un momento es­pe­cí­fi­co. En este tipo de back up no se revisa si los datos han cambiado desde la última copia, por lo que necesita mucho tiempo y espacio de al­ma­ce­na­mie­n­to, que se pone de ma­ni­fie­s­to sobre todo cuando se guardan pa­ra­le­la­me­n­te varias ge­ne­ra­cio­nes. Por otro lado, este tipo de copia tiene la ventaja de que los datos se recuperan fácil y rá­pi­da­me­n­te al tener que re­co­n­s­truir solo el último estado de la copia, una ventaja que, sin embargo, no apro­ve­chan aquellas empresas que solo realizan back ups de forma es­po­rá­di­ca. En este caso el trabajo posterior es mayor, ya que hay que adaptar los archivos mo­di­fi­ca­dos con po­s­te­rio­ri­dad al estado actual.

• Copia in­cre­me­n­tal: este pro­ce­di­mie­n­to solo tiene en cuenta los archivos que han sufrido cambios desde la última copia, su­po­nie­n­do un ahorro, no solo de tiempo a la hora de realizar la copia, sino también de espacio necesario para almacenar di­fe­re­n­tes ge­ne­ra­cio­nes, mucho menor que en el caso anterior. Eso sí, la copia in­cre­me­n­tal presupone la exi­s­te­n­cia de al menos una copia completa, lo que hace que en la práctica suelan co­m­bi­nar­se ambos métodos, generando, por ejemplo, varios back ups in­cre­me­n­ta­les entre dos copias completas. A la hora de re­s­ta­ble­cer los datos se toma como re­fe­re­n­cia la última copia completa, que se co­m­ple­me­n­ta con los datos de los ciclos de al­ma­ce­na­mie­n­to in­cre­me­n­tal. Ge­ne­ra­l­me­n­te requiere comparar varias copias co­n­se­cu­ti­vas.

• Copia di­fe­re­n­cial: este tipo de copia de seguridad también necesita una copia completa anterior y también registra solo la in­fo­r­ma­ción nueva desde la última copia, pero, a di­fe­re­n­cia de la in­cre­me­n­tal, los back ups no se encadenan. Para recuperar los datos solo es necesario pa­ra­n­go­nar la última copia completa con la copia di­fe­re­n­cial más actual.

A la hora de de­ca­n­tar­se por una u otra es­tra­te­gia de seguridad, los re­qui­si­tos de di­s­po­ni­bi­li­dad y el pla­n­tea­mie­n­to comercial de las empresas son los que inclinan la balanza. Entre los factores más in­flu­ye­n­tes se en­cue­n­tran unos tiempos de re­s­tau­ra­ción to­le­ra­bles, la fre­cue­n­cia y el momento de la copia de seguridad, así como la relación entre el volumen de los cambios y el volumen global de la in­fo­r­ma­ción. Si estos dos últimos son casi idénticos, el ahorro de espacio re­su­l­ta­n­te de los pro­ce­di­mie­n­tos in­cre­me­n­ta­les o di­fe­re­n­cia­les es mínimo.

A nivel co­r­po­ra­ti­vo, la única forma de co­n­so­li­dar las medidas de seguridad de la in­fo­r­ma­ción es hacer que todos los empleados las re­co­no­z­can y acepten como una parte esencial del éxito comercial de la empresa. Esta co­n­cie­n­cia solo se construye y cuida mediante cursos regulares en los que los empleados se se­n­si­bi­li­zan ante los riesgos internos y externos, se recrean es­ce­na­rios es­pe­cí­fi­cos y se muestran las posibles co­n­se­cue­n­cias.

Estas fo­r­ma­cio­nes si­s­te­má­ti­cas se co­n­s­tru­yen sobre la base de una normativa y unas es­pe­ci­fi­ca­cio­nes re­fe­re­n­tes al manejo de di­s­po­si­ti­vos e in­s­ta­la­cio­nes críticos en cuanto a seguridad, así como de un plan de eme­r­ge­n­cia que ofrece a los empleados in­s­tru­c­cio­nes concretas de actuación para saber cuáles son los pasos a iniciar para re­s­ta­ble­cer el fu­n­cio­na­mie­n­to normal lo antes posible. Con la de­no­mi­na­da gestión de la co­n­ti­nui­dad del negocio se cuenta con un enfoque es­tru­c­tu­ra­do para la ela­bo­ra­ción del concepto co­rre­s­po­n­die­n­te.

Para minimizar los daños oca­sio­na­dos por un servidor caído, las empresas invierten de forma creciente en medidas de pre­ve­n­ción, de entre las cuales destaca la di­s­ci­pli­na de gestión de co­n­ti­nui­dad del negocio o BCM (Business Co­n­ti­nui­ty Ma­na­ge­me­nt), que, en el sector in­fo­r­má­ti­co, sitúa el foco de atención en responder ante una avería en el servidor de sectores cruciales para la empresa y, en el caso de una in­te­rru­p­ción, ga­ra­n­ti­zar una inmediata puesta en marcha. La rea­li­za­ción de un análisis del impacto en el negocio o BIA (Business Impact Analyse), una he­rra­mie­n­ta mediante la cual las empresas pueden ide­n­ti­fi­car procesos de negocio críticos, es una condición fu­n­da­me­n­tal en este concepto de gestión de eme­r­ge­n­cias y es entendido por críticos como aquellos procesos cuya baja tendría efectos si­g­ni­fi­ca­ti­vos en el fu­n­cio­na­mie­n­to de la empresa. Para ello, este análisis se concentra, en primer lugar, en las co­n­se­cue­n­cias de es­ce­na­rios concretos. Las causas de una caída del servidor, la pro­ba­bi­li­dad de que ciertos riesgos se puedan producir y las medidas de reacción a adoptar son recogidas en el análisis de riesgos, del que se hablará más adelante. Las empresas cuentan hoy con diversos es­tá­n­da­res y guías que se ocupan de la rea­li­za­ción metódica del análisis del impacto en el negocio y del análisis de riesgos en el marco de la gestión de co­n­ti­nui­dad del negocio. De nuevo te re­co­me­n­da­mos una visita a la página del INCIBE si necesitas más in­fo­r­ma­ción al respecto.

El primer paso a tomar en el marco de la gestión de la co­n­ti­nui­dad del proyecto es el análisis de impacto en el negocio, en el que se evalúan cuáles son los sistemas centrales que ga­ra­n­ti­zan el fu­n­cio­na­mie­n­to de la empresa y las co­n­se­cue­n­cias de un fallo. Para ello, un buen comienzo es ide­n­ti­fi­car los productos y servicios más re­le­va­n­tes de una empresa, así como su in­frae­s­tru­c­tu­ra in­fo­r­má­ti­ca de base. Si la actividad de una empresa se centra, por ejemplo, en la venta por Internet, los se­r­vi­do­res en­ca­r­ga­dos de alojar la tienda online y todas sus bases de datos son los sistemas más críticos y, por tanto, de pro­te­c­ción prio­ri­ta­ria. Una central te­le­fó­ni­ca de atención al cliente, por el contrario, cla­si­fi­ca­ría como crítico para el negocio el fu­n­da­me­n­to técnico de la in­s­ta­la­ción te­le­fó­ni­ca. En de­fi­ni­ti­va, el análisis de impacto en el negocio debe contener una ca­te­go­ri­za­ción de los sistemas a proteger en función de su prioridad para el negocio, un cálculo de daños y una eva­lua­ción de los recursos ne­ce­sa­rios para una reanu­da­ción de los sistemas. En la página web oficial del INCIBE cuentas, entre otros recursos, con esta plantilla básica para realizar un BIA.

Una vez ide­n­ti­fi­ca­dos en el BIA y en el análisis de riesgos tanto los peligros como el posible perjuicio de es­ce­na­rios concretos, en un tercer paso se trata de registrar la situación actual, prestando atención, para ello, a las medidas de pre­ve­n­ción de eme­r­ge­n­cias ya exi­s­te­n­tes y a los tiempos de reanu­da­ción actuales. La ide­n­ti­fi­ca­ción del punto de partida permite a las empresas estimar la necesidad de realizar una acción en casos concretos de riesgos para la seguridad y también la inversión necesaria ligada a ella.

Existen para las diversas co­n­ti­n­ge­n­cias internas o externas di­fe­re­n­tes es­tra­te­gias que prometen la co­n­ti­nui­dad del fu­n­cio­na­mie­n­to a pesar del fallo técnico o el rápido re­s­ta­ble­ci­mie­n­to de la actividad. Para poder co­n­si­de­rar qué es­tra­te­gia es la más adecuada a sus servicios, los re­s­po­n­sa­bles de la gestión de la co­n­ti­nui­dad se basan en un análisis de costes y be­ne­fi­cios, que abarca factores cruciales como los medios eco­nó­mi­cos ne­ce­sa­rios, la fia­bi­li­dad de la solución o el tiempo de reanu­da­ción estimado.

Si se trata de de­sa­rro­llar un plan de co­n­ti­nui­dad para impedir un incendio en un centro de datos se puede recurrir a diversas so­lu­cio­nes, yendo desde la más modesta, co­n­si­s­te­n­te en una co­m­pe­n­sa­ción de daños y pe­r­jui­cios mediante un seguro de ac­ci­de­n­tes para empresas y un centro de datos de su­s­ti­tu­ción en el caso de un proveedor de alo­ja­mie­n­to web, a una más exhau­s­ti­va (y cara) que incluiría la ada­p­ta­ción de las de­pe­n­de­n­cias donde están in­s­ta­la­dos los se­r­vi­do­res según es­tá­n­da­res modernos de pro­te­c­ción contra incendios. Si el aumento de la inversión es una opción, se logran reducir los costes que supondría construir o adaptar una segunda ha­bi­ta­ción para los se­r­vi­do­res.

El siguiente paso es la ela­bo­ra­ción de un plan de co­n­ti­n­ge­n­cia, que contiene las es­tra­te­gias pre­via­me­n­te ela­bo­ra­das y provee de in­s­tru­c­cio­nes concretas de acción para todos los es­ce­na­rios de riesgo re­le­va­n­tes.