Patrice HERRADA
Conferencia plenaria “Conducción de cambios”.
ALTA DISPONIBILIDAD y SEGURIDAD DE LOS SI
Fijar el cuadro de disponibilidad: las convenciones de servicio SLA
La disponibilidad de la herramienta informática es el acuerdo entre los usuarios representados par el CISO de la organización y los responsables de las infraestructuras informáticas CIO et CTO, que van a poner a disposición del “Sistema de Información”[1] los recursos necesarios para responder a los acuerdos establecidos.
Los dispositivos “hardware” que permiten el tratamiento de la información juegan un rol primordial en la disponibilidad de la herramienta informática. Estos deben estar en adecuación a los compromisos contraídos con los usuarios, las convenciones de servicio conocidas como SLA (Service Level Agreement) van a definir las exigencias de disponibilidad del sistema. Ahora bien, ¿cuáles son las ventanas de disponibilidad de la herramienta informática? Un estudio detallado, de los procesos de tratamiento de la información de la organización es necesario, con el objeto, de realizar una segmentación de estos procesos y así determinar la disponibilidad de cada segmento en función de las necesidades de la organización.
Las causas que pueden perturbar la disponibilidad de la herramienta informática pueden ser del orden lógico (software): procesos de tratamiento de la información obsoletos, necesidad de”upgrader” los procesos, necesidad de adaptar los procesos a los objetivos de la organización, indisponibilidad de la información. Estas perturbaciones pueden proceder des problemas físicos (hardware): servidores de tratamiento, de almacenamiento o de comunicación inadaptados, en pana, obsoletos, problemas de alimentación eléctrica, siniestros en las salas, en el datacenter, o bien conflictos sociales que impiden la disponibilidad de la herramienta informática.
Los datos: una información imprescindible.
La velocidad de los negocios exige hoy en día una gestión informatizada de los datos de la organización, solo camino para asegurar una reactividad en la toma de decisión y en el tratamiento de la información necesaria a satisfacer un público cada vez más cultivado, consiente de aquello que puede exigir de las técnicas de la información y de la comunicación.
Todos los actores de la economía están involucrados en este movimiento tecnológico, sociedades comerciales, bancos, compañías de seguro, colectividades públicas y privadas, hospitales o clínicas privadas. Todos disponen de un capital esencial para su funcionamiento y por ende su existencia: “la información”.
Los esfuerzos de la organización son importantes para asegurar que su capital información es disponible y accesible para ser consultada en todo momento. Esta debe ser fiable, bien representar aquello por lo cual ella ha sido cumulada y almacenada. La información debe sobre todo ser protegida de los agentes externos a la organización que pueden venir a extraerla, modificarla o suprimirla.
Los datos de la empresa o de la colectividad corren dos tipos de peligros, el primero que puede venir del interior de la organización a través de una acción intencional y malévola realizada por un colaborador autorizado a manipular los datos, o bien, sin intención, por una acción técnica debida a una mala interpretación de las instrucciones de administración. El segundo peligro, viene par la permeabilidad de los sistemas a los accesos que llegan a través las redes de comunicación o simplemente por los diferentes accesos permitidos por las páginas web o por internet, estos medios, son la puerta abierta para los “Cibercriminales” que van aprovechar todas las brechas que para introducirse al interior del sistema con el objeto de tomar el control de él y sobre todo de los datos.
Una respuesta técnica y colégiale
Estos fenómenos que se atacan a los datos de la organización, son comunes en todas partes del mundo y los ejemplos se multiplican por miles. Las organizaciones han debido adaptarse y crear nuevos perfiles de profesionales especializados: profesionales de la seguridad de la información (CISSP), arquitectos de la seguridad de la información (ISSAP), auditores de los sistemas de información (CISA), management de la seguridad de la información (CISM), management de los riesgos operacionales (CRISC), son algunas de estas nuevas profesiones que trabajan bajo las órdenes del CISO (máximo responsable de la seguridad operacional en la organización).
Las empresas francesas y europeas han comprendido que la “Ciberseguridad” no es una práctica que puede llevarse a cavo sola en la organización, para luchar eficazmente contra la “Cibercriminalidad” es necesario compartir las experiencias, hacer los balances de aquello que se ha realizado, sean estas experiencias exitosas o fracasadas. Hacer participar los expertos en estos dominios es indispensable para desarrollar los conocimientos y aumentar las competencias técnicas frente a los ataques que pueden presentarse.
Las organizaciones europeas son el objeto constante de “Ciberataques”, los CISO se reúnen frecuentemente en diferentes instancias; congresos, foros, conferencias para intercambiar sobre las experiencias vividas, para estar al corriente de aquello que se hace para protegerse, para responder al ataque sufrido. Las compañías especializadas en la lucha contra la “Cibercriminalidad” ponen a disposición de estos profesionales soluciones “clé en main” para protegerse de ataques. El objetivo de estos encuentros entre profesionales de la seguridad es determinar: ¿cuál es la solución de seguridad la mejor adaptada para mi organización?
Los expertos franceses que participan a la conferencia CRiDO, vienen a compartir con los profesionales chilenos del rubro, las experiencias vividas en las organizaciones europeas, las soluciones aplicadas, las tendencias de las nuevas tendencias de la Cibercriminalidad, las nuevas brechas que nuestros sistemas tecnológicos abren a los hackers.
Todo funciona muy bien, existen factores que van a perturbar el buen funcionamiento de la herramienta informática como son los “cambios a realizar” y otros más críticos y que son ajenos a la organización como las panas o siniestros que afectan una gran parte de las infraestructuras informáticas.
La Gestión de Cambios
Los cambios en las infraestructuras, son necesarios, pero estos son a la vez fuente de perturbaciones, incidentes y en algunos casos, la causa de una indisponibilidad. ¿Cuál debe ser nuestro comportamiento frente a este dilema?
Uno de los procesos que causa mayor desasosiego a los ejecutivos responsables del funcionamiento del SI, son los cambios. Durante largo tiempo se ha trabajado para mantener y estabilizar un sistema, al que luego hay que aplicar, correcciones, nuevas funcionalidades, upgrade de los sistemas operativos, instalación de un nuevo servidor, regular la carga, agregar espacios de almacenamientos. La lista de los elementos que pueden ser origen de un cambio son múltiples y los departamentos impactados por estos cambios lo son igualmente. Desde ese punto de vista nace la necesidad de modelizar la gestión de cambios y hacer adherir a este modelo, a todos los actores que intervienen en la administración y mantención de las infraestructuras informática y de comunicación.
Respetar cada etapa del proceso de aplicación de los cambios permitirá disminuir los riesgos de indisponibilidad del sistema, minimizar y controlar los incidentes y estar preparados para afrontarlos si estos ocurren. El resultado del respeto de estos procesos será bien un motivo de satisfacción para todos los actores de los cambios.
Los Planes de Continuidad de Servicio
No solamente los cambios pueden ser el origen de una perturbación de la disponibilidad de la herramienta informática y de comunicación; un servidor que dejó de funcionar, una base de datos corrompida, una sala informática fuera de servicio por problemas climáticos, de incendio u otro siniestro, un datacenter fuera de servicio, manifestaciones sociales que impiden el acceso a las infraestructuras, etc. Podemos imaginar los factores de indisponibilidad del más pequeño hacia aquel más grave. El responsable de la Seguridad de los SI debe presentar una respuesta, a cada uno de estos factores de perturbación del funcionamiento de las infraestructuras. Los departamentos técnicos de asegurar la aplicación de tales recomendaciones, validarlas periódicamente para asegurarse que ellas responden a las exigencias de seguridad después de los cambios regulares que se realizan en el sistema.
Cuando la empresa decide poner en práctica un Plan de Continuidad de Servicios, ella debe implicar en este proceso a todos los ejecutivos de la empresa, para determinar la importancia de cada función y las necesidades de reactivación del sistema, si este necesita operaciones manuales para reactivarlo. Debemos considerar que un Plan de Continuidad representa un presupuesto importante para la empresa. El estudio detallado de cada componente, debe permitir reducir considerablemente estos costos.
Nuestros conferencistas de CRiDO han participado en la elaboración, desarrollo y ejercicios de test y validación de los Planes de Continuidad de Servicio, por cuenta de grandes empresas bancarias francesas y desean compartir estas experiencias con los asistentes a la conferencia donde se tratarán estos temas y todo aquello que está relacionado con la Alta Disponibilidad. La discusión sobre la elaboración de convenciones de servicio tipo SLA estará en el flujo de discusiones.
Los temas que se trataran alrededor de la alta Disponibilidad son:
- Gestión del Riesgo en Informática,
- Gestión de Cambios en las Infraestructuras Informáticas,
- Planes de Continuidad de la Actividad Informática y de Comunicación,
- Seguridad de Datacenters y exigencias de seguridad de las ofertas de servicio
Documento preparado por
- Patrice HERRADA, Presidente de la 1era Conferencia CRiDO
Experto y Asesor en la conducción de proyectos de las Infraestructuras Informáticas.
Especialista en la conducción de cambios y Planes de Continuidad de Actividad,
Los conferencistas franceses participan regularmente a manifestaciones en France como es el caso de “Les Assises de la Sécurité et des Systèmes d’Information” la 16eme edición se realizó a Mónaco entre el 10 y 14 octubre. La FIC de Lille (Francia) “Fórum International de la Cybersécurité” que se lleva a efecto la última semana de enero.
[1] El Sistema de Información SI informatizado, representa el dispositivo automático del tratamiento de los datos puesto en práctica en la organización: captar, analizar, transportar, almacenar, restituir son las funciones principales del SI.