Planes de contingencia ejercicio SIG
0
Situación:
11 de septiembre de 2001. Un avión se estrella contra las oficinas de Merrill
Lynch en NY.
¿Cómo
conseguir que en 2 días los trabajadores de la compañía se encuentren de nuevo
trabajando con total normalidad?
Los planes de
contingencia para desastres o emergencias en las empresas, son llamados BCP
Business Continuity Plans.
En el caso de Merrill
Lynch, fue Paul Honey, director de contingencias globales de Merrill Lynch el
encargado de buscar una solución factible y rápida. El equipo de Paul Honey
había llevado a cabo previamente, durante dos días, (en mayo de 2001) un
simulacro de desastre, en el que el evento sucedido era un huracán arrasando
Nueva York.
Esto, aunque no causó las
mismas consecuencias en términos de pérdida de vidas humanas, sí les ayudó a
estar preparados frente al incidente.
Al conocerse el incidente
deben ponerse en marcha todos los planes ya preparados de escenarios similares,
reunir a un grupo de expertos en catástrofes o contingencias y activar los
protocolos indicados. Comenzando por hacer una valoración exhaustiva de todos
los sistemas y subsistemas de la empresa, su estado, su nivel de riesgo y poner
en marcha el plan designado para cada uno, nombrando a un encargado
especializado para cada subsistema. Estableciendo un centro de mando
alternativo en un área colindante a la zona de la catástrofe.
Es decir: se debe tener
preparado de antemano un análisis
exhaustivo del flujo de información y procesos que se llevan a cabo en la
empresa para ser capaces de identificar los subsistemas que la componen y así
dividir el conglomerado en grupos identificables de procesos.
Hay que hacer un informe valorativo del riesgo que puede
sufrir cada parte esencial de Merrill Lynch e intentar conseguir una solución
para cada acontecimiento, con la mayor brevedad posible. Estos riesgos se deben
clasificar por nivel de urgencia, teniendo en mente el objetivo final que es:
tener Merrill Lynch en marcha antes de dos días.
Primero se establecen cadenas de llamada de emergencia (call
trees) en los que se sabe la jerarquía en la que unos empleados llaman a otros.
Se suele decir que no existen más de seis grados de separación entre los
habitantes del mundo y menos de dos entre los de Nueva York. Entonces se crean
listas de llamadas para asegurarse del paradero y estado de cada uno de los
empleados.
Se consiguen las bases de datos de los empleados que
ficharon en las torres esa mañana y se intenta localizarlos, llevando a cabo un
registro de las bajas y localización de cada factor humano.
Se instalan dos puntos de trabajo temporales en dos
campus universitarios colindantes, desde ahí, se lleva a cabo un inventario de todas las propiedades
inmobiliarias de Merrill Lynch con sus características y recursos (tener todo
lo necesario para desempeñar su trabajo y si no proporcionárselo) , para así ir
instalando a cada grupo de empleados en un puesto de trabajo temporal. Al mismo
tiempo se instalan líneas especiales de teléfono
y se hacen públicas en los medios de comunicación para aquellos empleados
rezagados que no saben cómo proceder y necesiten recibir instrucciones de
dónde, cómo y cuándo van a seguir desempeñando su trabajo.
Se comprueba que las copias de seguridad y los servidores redundantes de la empresa
están funcionando. Asumo que Merrill Lynch, al haberse preparado para el Y2K en
el 2000 tendría servidores redundantes, y sobretodo que habrían revisado que
sus líneas fueran de VoiP además de ser líneas con diversidad en su routing,
así si cae una no nos quedamos sin todo el equipo y pueden ser reconducidas
para desde un mismo número poder ser captadas en cualquier punto.
Tener un protocolo
asignado a cada empleado o grupo de ellos sobre cómo trabajar desde casa o en
situación de deslocalización es una buena idea, con el fin de no depender tanto
de los headquarters.
Una vez se han
establecido todos los protocolos, hay que tener en cuenta las divergencias y
problemáticas particulares que pueden ir surgiendo y preocuparse de resolverlas
por orden de urgencia. Si por ejemplo, los nuevos puntos temporales de trabajo
carecen de ordenadores, debemos establecer conexiones con los servidores
redundantes y ver cuál es el sistema para transmitir esta información y poner
en funcionamiento los 2000 ordenadores necesarios para cubrir estos dos nuevos
centros temporales de trabajo.
Para esto se utiliza un
software que automáticamente va sincronizando y poniendo a punto cada
ordenador. En este caso se utilizaron portátiles, simplemente por ser más
sencilla su instalación física al ser una sola pieza y no varias.
Hoy en día con los
sistemas “en la nube” es posible tener el equipo procesador de información, los
centros de datos y otros componentes de hardware esenciales para la empresa,
deslocalizados con respecto a los headquarters.
Bibliografía
NIST National Institute of Standards and Technology
- Disaster Recovery Plan http://www.au.af.mil/au/awc/awcgate/nist/sp800-34.pdf
Derek Slater - Business Continuity and
Disaster Recovery Planning: The Basics http://www.csoonline.com/article/204450/business-continuity-and-disaster-recovery-planning-the-basics
Impact of 9/11 on Lehman Brothers, Merrill
Lynch and American Express http://www.cio.com/article/31296/Impact_of_9_11_on_Lehman_Brothers_Merrill_Lynch_and_American_Express
Harold F. Tipton, Micki Krause -
Information Security Management Handbook, Sixth Edition
0 comentarios:
Publicar un comentario