Boletín de Consultoría Gerencial Centros Alternos de Procesamiento de Datos

Transcripción

1 Inicio Boletín Digital No Espiñeira, Sheldon y Asociados

2 Boletín Consultoría Gerencial - No Haga click en los enlaces para navegar a través del documento 4Introducción 4 Centro Alterno de Procesamiento de Datos 4 Implantación de un Centro Alterno de Procesamiento de Datos 4 Riesgos presentes en Venezuela 4 Mejores prácticas y regulaciones locales 4 Conclusiones 4 Créditos / Suscribirse

3 Introducción La mayoría de las organizaciones se apoyan en un sistema de información para la realización de las operaciones de su negocio, y dependiendo del tipo de negocio, las operaciones que se apoyan en tecnología de información son altamente críticas. Tal es el caso de sectores como el financiero, telecomunicaciones y retail, en donde la falta de disponibilidad del centro de procesamiento de datos para, puede interrumpir o deteriorar sensiblemente la prestación de servicios. Ante la necesidad de minimizar la probabilidad de interrumpir operaciones o servicios del negocio, como consecuencia de la falta de disponibilidad de la plataforma tecnológica, nacen los centros alternos de procesamiento de datos. Un centro de procesamiento de datos alterno tiene como objetivo prestar aquellos servicios de tecnología de información que sean críticos para las operaciones del negocio, ante eventos que afecten la disponibilidad del centro de procesamiento de datos principal. Un centro de procesamiento de datos alterno no necesariamente debe abarcar todos los servicios que presta el centro de procesamiento de datos principal, ni es requerido que cuente con las mismas características del principal, sin embargo, existen unas consideraciones mínimas que deben ser tomadas en cuenta. En el boletín informativo que presentamos a continuación, hemos resumido cuáles son los aspectos fundamentales a tomar en cuenta al momento de decidir implantar un centro de procesamiento de datos alterno, considerando tanto mejores prácticas internacionales reconocidas, como las regulaciones y normativas locales. Centro Alterno de Procesamiento de Datos Un centro de procesamiento de datos alterno es un ambiente fuera de la localidad donde se ubica el centro de procesamiento de datos principal, el cual tiene como objetivo sustentar los servicios de tecnología de información que apoyan los procesos que el negocio ha definido como críticos, ante la indisponibilidad del centro de procesamiento de datos principal. Dependiendo del nivel de preparación del nivel de acondicionamiento y preparación con que cuente el centro de procesamiento de datos alterno, se puede clasificar en: Cold Site: este tipo de centro de procesamiento de datos alterno, corresponde al nivel de inversión más baja que puede realizar una compañía que implemente un centro alterno, sin embargo, también los tiempos de recuperación son mucho más lentos, debido a que no se encuentra con la preparación necesaria para dar continuidad inmediata a los servicios.

4 Centro Alterno de Procesamiento de Datos (cont.) Básicamente, en este tipo de centro se cuenta con la infraestructura física acondicionada para instalar el hardware en caso de que llegue a ser requerido. Hot Site: este tipo de centro de procesamiento de datos alterno, corresponde al nivel de inversión más alto, debido a que se cuenta con la plataforma duplicada y con la información casi en tiempo real, de tal manera que ante la pérdida del centro principal, inmediatamente este pueda entrar en funcionamiento. Warm Site: este centro de procesamiento alterno de datos es un intermedio entre el Cold Site y el Warm Site, contempla los equipos y los medios de respaldo con la información a ser recuperada, sin embargo, de llegar a ocurrir un evento que ocasione la pérdida del centro principal, es altamente probable que se pierda al menos un día de información. La decisión de qué tipo de centro de procesamiento alterno de datos se debe implantar es una decisión de negocios, que debe tomarse con base en un análisis de impacto (BIA por sus siglas en inglés), donde deberán considerarse riesgos tales como pérdidas financieras, afectación de imagen, incumplimiento de regulaciones, entre otros, que podrían materializarse ante la falta de disponibilidad de su centro de procesamiento de datos. Implantación de un Centro Alterno de Procesamiento de Datos La implantación de un centro de procesamiento de datos alterno comienza por la elección de su ubicación geográfica, basado en un análisis de riesgo tomando en cuenta la probabilidad de ocurrencia e impacto asociado a las vulnerabilidades de las localidades seleccionadas según las s consideraciones: Costo económico: costo del terreno, impuestos municipales, seguros. Infraestructuras disponibles en las cercanías: energía eléctrica, vialidad, acometidas de electricidad, centrales de telecomunicaciones, estación de bomberos y policía. Zona sísmicas identificadas por las autoridades competentes. Actividad industrial en las cercanías que puedan ocasionar accidentes o incidentes que afecten la operatividad del centro. Presencia de ríos o quebradas en la cercanía de la localidad seleccionada.

5 Implantación de un Centro Alterno de Procesamiento de Datos (cont.) Estudio geológico del suelo que permita conocer el tipo de suelo del terreno, así como conocer si existen ríos subterráneos que atraviesen el perímetro. Encontrarse en un área que permita el acceso a las instalaciones por diversas rutas, garantizando el acceso en caso de una contingencia. Criminalidad y cercanías a áreas de interés político o militar. Una vez seleccionada la ubicación geográfica es necesario definir una infraestructura adecuadas para su finalidad, ya se trate de una construcción nueva o una ya existente, en compra o alquiler. Algunos de los parámetros a considerar son: Doble acometida eléctrica. Disponibilidad de al menos dos proveedores de telecomunicaciones Muelle de carga y descarga. Montacargas y puertas anchas. Altura suficiente de las plantas. Medidas de seguridad en caso de incendio o inundación: drenajes, extintores, vías de evacuación, puertas ignífugas. Aire acondicionado redundante. Almacenes. De igual forma un aspecto importante a considerar en los centros de procesamiento de datos alternos, son aquellas destinadas a la seguridad física de la instalación, por ejemplo: Cerraduras electromagnéticas. Circuito cerrado de televisión. Detectores de movimiento. Tarjetas de identificación. Personal de seguridad 24x7x365. Diseño de la distribución del centro en la procura de una separación física de las áreas para: - Componentes de Telecomunicaciones. - Servidores. - Almacenamientos temporales de respaldos. - Almacenamiento de componentes. - Monitoreo.

6 Implantación de un Centro Alterno de Procesamiento de Datos (cont.) Una vez acondicionado el espacio físico, se procede a la implementación de los equipos de hardware y software necesarios para las operaciones de la empresa, tomando las s consideraciones: Creación de zonas desmilitarizadas (DMZ). Segmentación de redes locales y creación de redes virtuales (VLAN). Despliegue y configuración de la electrónica de red. Conexiones de datos principales y redundantes. Creación de los entornos de explotación, pre-explotación, desarrollo de aplicaciones y gestión en red. Creación de la red de almacenamiento. Instalación y configuración de los servidores y periféricos. Riesgos presentes en Venezuela Además de las consideraciones mínimas que se deben tomar en cuenta para la implantación de un centro de procesamiento de datos alterno, particularmente en Venezuela, existen riesgos importantes que deben evaluarse. A continuación los describimos brevemente. Terremoto De acuerdo con el mapa de Zonificación Sísmica de FUNVISIS, las áreas con mayor probabilidad de ocurrencia de terremotos a nivel nacional, se qretorno encuentran clasificadas en siete (7) zonas del territorio nacional, como se muestran en la imagen. Como puede observarse en el mapa, algunas de las principales zonas urbanas están ubicadas en zonas de alto riesgo sísmico. Estas ubicaciones coinciden también con mejor calidad y diversidad de servicios utilities, vialidad, disponibilidad de capital humano y otros recursos, por lo cual las organizaciones tienden a concentrar sus operaciones y centros de datos en esta región. En contraposición, zonas de baja probabilidad de eventos sísmicos presentan dificultades a la hora de considerarse para la ubicación de centros de datos, por la carencia de diversidad o calidad de servicios e infraestructura. Para ampliar: haga click sobre la imagen 4

7 Implantación de un Centro Alterno de Procesamiento de Datos (cont.) Inundaciones En Venezuela hemos confrontado varias catástrofes como consecuencias de las lluvias, de acuerdo cifras manejadas por el Sistema de Indicadores y Estadísticas Nacionales para la Gestión del Ambiente (SIENAGA) del Ministerio del Poder Popular para el Ambiente, de los nueve (9) desastres naturales que más han impactado al país entre 1900 y 2011, ocho (8) han sido inundaciones, resultando afectados principalmente los estados Vargas, Miranda, Distrito Capital, Trujillo y Mérida. A continuación se muestra un registro de las inundaciones y tormentas registradas en Venezuela entre 1900 y 2011, con los daños ocasionados (ver Figura 1) Sabotaje Corresponde a acciones realizadas con el fin de ocasionar daños físicos a instalaciones, obstrucción de acceso a las mismas o inhabilitación de servicios, particularmente, este riesgo tiene mayor probabilidad de ocurrencia si la localidad del centro de procesamiento de datos está ubicada en las adyacencias de oficinas gubernamentales, áreas comerciales o declaradas como zonas de seguridad nacional. Sin embargo, no se cuenta con estadísticas de organismos oficiales, respecto a clasificación de las zonas con base a estos riesgos. Mejores prácticas y regulaciones locales No son muchos los estándares relacionados con centros de procesamiento de datos. Los existentes sin embargo cuentan con información bastante completa respecto a los requerimientos mínimos que deben tener los mismos, para cumplir con sus funciones de manera efectiva. Dentro de estos tenemos: Estándar TIA-942: Este estándar fue publicado en abril de 2005, por la Asociación de la Industria de Telecomunicaciones, con la intención de unificar criterios en el diseño de áreas de tecnología y comunicaciones. Para visualizar la figura No. 1 haga click en el icono. Figura No. 1. Registro de las inundaciones y tormentas registradas en Venezuela entre 1900 y 2011

8 Mejores prácticas y regulaciones locales (cont.) Este estándar, que en sus orígenes se basa en una serie de especificaciones para comunicaciones y cableado estructurado, avanza sobre los subsistemas de infraestructura generando los lineamientos que se deben seguir para clasificar estos subsistemas en función de los distintos grados de disponibilidad que se pretende alcanzar y basado en recomendaciones del Uptime Institute, establece cuatro niveles (tiers) en función de la redundancia necesaria para alcanzar niveles de disponibilidad de hasta el %. La clasificación de los centros de procesamiento de datos de acuerdo a este estándar lo describimos a continuación: Tier I: Centro de Datos básico Puede ser susceptible a interrupciones tanto planeadas como no planeadas. Cuenta con sistemas de aire acondicionado y distribución de energía; pero puede o no tener, UPS o generador eléctrico; si los posee pueden no tener redundancia y existir varios puntos únicos de falla. La carga máxima de los sistemas en situaciones críticas es del 100%. Para poder clasificar un centro de datos como Tier I, la tasa de disponibilidad máxima del centro de datos debe ser de % del tiempo. Tier II: Componentes redundantes Los centros de datos con componentes redundantes son ligeramente menos susceptibles a interrupciones, tanto planeadas como las no planeadas. Estos centros de datos cuentan con piso falso, UPS y generadores eléctricos, pero están conectados a una sola línea de distribución eléctrica. Su diseño es lo necesario más uno (N+1), lo que significa que existe al menos un duplicado de cada componente de la infraestructura. La carga máxima de los sistemas en situaciones críticas es del 100%. El mantenimiento en la línea de distribución eléctrica o en otros componentes de la infraestructura puede causar una interrupción del procesamiento. Para poder clasificar un centro de datos como Tier II, la tasa de disponibilidad máxima del centro de datos debe ser de % del tiempo. Tier III: Mantenimiento concurrente Las capacidades de un centro de datos de este tipo le permiten realizar cualquier actividad planeada sobre cualquier componente de la infraestructura sin interrupciones en la operación. Actividades planeadas incluyen mantenimiento preventivo y programado, reparaciones o reemplazo de componentes, agregar o eliminar elementos y realizar pruebas de componentes o sistemas, entre otros. Para infraestructuras que utilizan sistemas de enfriamiento por agua significa doble conjunto de tuberías.

9 Mejores prácticas y regulaciones locales (cont.) Debe existir suficiente capacidad y doble línea de distribución de los componentes, de forma tal que sea posible realizar mantenimiento o pruebas en una línea, mientras que la otra atiende la totalidad de la carga. En este tier, actividades no planeadas como errores de operación o fallas espontáneas en la infraestructura pueden todavía causar una interrupción del centro de datos. La carga máxima en los sistemas en situaciones críticas es de 90%. Para poder clasificar un centro de datos como Tier III, la tasa de disponibilidad máxima del centro de datos debe ser de % del tiempo. Tier IV: Tolerante a fallas Este centro de datos provee capacidad para realizar cualquier actividad planeada sin interrupciones en las cargas críticas, pero además la funcionalidad tolerante a fallas le permite a la infraestructura continuar operando aun ante un evento crítico no planeado. Esto requiere dos líneas de distribución eléctrica simultáneamente activas; esto significa dos sistemas de UPS independientes y cada sistema con un nivel de redundancia N+1. La carga máxima de los sistemas en situaciones críticas es de 90% y persiste un nivel de exposición a fallas, por el inicio una alarma de incendio o porque una persona inicie un procedimiento de apagado de emergencia. Para poder clasificar un centro de datos como Tier IV, la tasa de disponibilidad máxima del centro de datos debe ser de % del tiempo. Norma ICREA STD La Asociación Internacional de Expertos en Salas de Computo ICREA por sus siglas en ingles, formada por ingenieros especializados en el diseño, construcción, operación, mantenimiento, adquisición, instalación y auditoría de centros de cómputo, cuenta también con una norma STD , que describe una serie de características con las cuales deben contar los centros de procesamiento de datos para garantizar la disponibilidad del mismo. ICREA se enfoca en cinco especialidades con respecto a Data Centers: Comunicaciones, Sistema Eléctrico, Aire acondicionado, Seguridad y Entorno, al igual que TIA, esta norma también cuenta con niveles de certificaciones de Centro de Datos.

10 Mejores prácticas y regulaciones locales (cont.) Regulaciones Locales En la actualidad en Venezuela, no existe ningún ente estadal que exija la certificación de los centros de procesamiento de datos a las organizaciones, sin embargo, en el sector financiero la Superintendencia de Bancos por medio de sus comunicaciones oficiales ha establecido normativas en cuanto a: El procesamiento, traslado o migración de datos o cualquier otra información, fuera del territorio nacional, el cual queda prohibido según comunicación SBIF-GGCJ-GGTI del 26 de enero de 2005, dando por entendido que los centros de procesamiento de datos no pueden estar ubicados fuera de la República Bolivariana de Venezuela. Las instituciones deben dar continuidad operativa de los sistemas de información, estructura de datos y plataforma tecnológica alojada en su centro de datos principal, y extiende este requerimiento a aquellas empresas relacionadas con las instituciones financieras que formen parte de las operaciones de procesamiento, almacenamiento y enrutamiento de transacciones electrónicas de pagos o retiros por tarjetas de crédito o debito. Según comunicado SIB-II-GGIR-GRT del 20 de julio 2011, deberán implementar en un lapso no mayor a 16 meses un centro de datos alterno. Respecto a esta normativa, se ha publicado recientemente una nota de prensa emitida por este mismo ente, informando que el plazo máximo el 30 de Junio de 2013 para que las instituciones financieras cuenten con su centro de procesamiento de datos alterno.

11 Conclusiones La decisión de implantar o no un centro de procesamiento de datos alterno debe venir acompañada de un análisis de riesgos, impacto al negocio y costos versus beneficios de la implantación del mismo. Existen organizaciones cuyo grado de impacto a los clientes ante la falta de disponibilidad de los sistemas de información, es muy alta, dentro de esta categoría tenemos: Bancos, Telecomunicaciones y Cadenas de distribución al detal. En consecuencia, el aspecto monetario es solo uno de los factores que deben ser considerados al momento de decidir implantar o no un centro de procesamiento de datos alterno, y su decisión debe ser de carácter estratégico y gerencial más que técnico. Por otro lado, existen otras ventajas si pensamos que un centro alterno puede ser útil en otros escenarios tales como: Recuperación rápida de servicios de tecnología de información ante fallas puntuales en los equipos Mitigación de riesgos de interrupción de servicios al momento de realizar migraciones de equipos o actualizaciones de software Mitigación de interrupción de servicios al momento de realizar mantenimiento a la infraestructura (cableado, UPS, aireas acondicionados, acometidas eléctricas) Adopción de modelos de balance de carga, donde la organización establece un modelo compartido de procesamiento. Si consideramos escenarios como los arriba descritos, la inversión realizada en el centro alterno se puede ver recuperada a largo plazo, aún cuando no ocurran eventos de alto impacto, debido a que estarían siendo mitigadas pérdidas ocasionadas por interrupciones de la plataforma tecnológica que si bien pueden ser de corta duración, tienen mayor frecuencia que sumadas pueden llegar a ser cifras importantes.

12 Créditos Para suscribirse al Boletín Consultoría Gerencial Síganos en El presente Boletín es publicado por la Línea de Servicios de Consultoría Gerencial (Advisory) de Espiñeira, Sheldon y Asociados, Firma miembro de PwC. El presente boletín es de carácter informativo y no expresa opinión de la Firma. Si bien se han tomado todas las precauciones del caso en la preparación de este material, Espiñeira, Sheldon y Asociados no asume ninguna responsabilidad por errores u omisiones; tampoco asume ninguna responsabilidad por daños y perjuicios resultantes del uso de la información contenida en el presente documento. Las marcas mencionadas son propiedad de sus respectivos dueños. PwC niega cualquier derecho sobre estas marcas Editado por Espiñeira, Sheldon y Asociados Depósito Legal pp CS141 Teléfono master: (58-212) Espiñeira, Sheldon y Asociados. Todos los derechos reservados. PricewaterhouseCoopers se refiere a Espiñeira, Sheldon y Asociados. A medida que el contexto lo exija PricewaterhouseCoopers puede referirse a la red de firmas miembro de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad legal separada e independiente. Cada firma miembro es una entidad separada e independiente y Espiñeira, Sheldon y Asociados no será responsable por los actos u omisiones de cualquiera de sus firmas miembro ni podrá ejercer control sobre su juicio profesional ni tampoco podrá comprometerlas de manera alguna. Ninguna firma miembro será responsable por los actos u omisiones de cualquier otra firma miembro ni podrá ejercer control sobre el juicio profesional de otra firma miembro ni tampoco podrá comprometer de manera alguna a otra firma miembro o a PwCIL. R.I.F.: J

13 Figura No. 1. Registro de las inundaciones y tormentas registradas en Venezuela entre 1990 y 2011 Regresar Aumentar Nro. de personas Daños estimados Inicio Finalización Localidad Tipo Nro. de Muertos afectadas (Millones de US$) 25/11/ /12/2010 Falcón, Vargas, Miranda Inundación /11/ /11/2008 Caracas, Trujillo Inundación /10/ /10/2006 Táchira Inundación /06/ /06/2005 Cojedes, Petare Inundación /02/ /02/2005 Vargas, Carabobo Inundación /11/ /11/2004 Carabobo, Miranda, Falcón Inundación /08/ /08/2003 Zulia Inundación /06/ /06/2003 Mérida, Barinas Inundación /07/ /07/2002 Amazonas, Apure, Barinas Inundación /11/ /11/2000 Vargas, Mérida, Trujillo Inundación /10/ /10/2000 Caracas y región Centro Norte Inundación /12/ /12/1999 Caracas Inundación /08/ /08/1999 Anzoátegui, Delta Amacuro Inundación /04/ /04/1999 Lara Inundación /07/ /07/1997 Miranda Inundación /12/ /12/1996 Zonas Costeras Inundación /06/ /06/1996 San Carlos de Rio Negro Inundación /10/ /10/1994 Caracas Inundación 26-25/07/ /07/1988 Falcón, Miranda Inundación /10/ /10/1987 Mérida Inundación /12/ /12/1985 Caracas, Vargas Inundación /08/ /08/1967 Región de los Llanos Inundación /09/ /09/2004 Sucre Tormenta Iván /08/ /08/1993 Caracas, Miranda, Aragua Tormenta Bret