Defensa de tesis de grado Maestría en Gerencia de Sistemas
Diseño de una guía para la implementación del uso de computación en la nube como mecanismo de recuperación ante desastres tecnológicos en Pymes en el DMQ.
Autor: Ing. Danilo Mannella L.
Director: Ing. Francis Salazar, MBA
Contenido de la tesis Capítulo I: Antecedentes Capítulo II: Fundamentación teórica Capítulo III: Diagnóstico Capítulo IV: Elaboración de la guía de implementación Capítulo V: Conclusiones y Recomendaciones
Elaborado por: Ing. Danilo Mannella
2
Capítulo IV Elaboración de la guía de implementación
Guía para Pymes
Introducción Importancia para Pymes que desean incorporar un DRP en la nube Descripción general de la guía Enfocada a CEOs y/o Gerentes de TI de Pymes Características Fácil de uso, interpretación de términos, comprensión de procedimientos, flexible y escalable Secuencia de pasos La guía se compone de 6 pasos Validación de la guía Elaborado por: Ing. Danilo Mannella
4
Secuencia de pasos (Pymes)
Paso • Análisis de riesgos y BIA – qué se debe proteger 1 Paso • Determinación de RPO y RTO – inactividad y disponibilidad 2 Paso • Virtualizar las aplicaciones claves – migrar de lo físico a lo virtual 3
• Evaluación de los servicios y modelos en la nube – hacia un nuevo modelo Paso de recuperación ante desastres 4 Paso • Puesta en marcha del DRP en la nube – consideraciones prácticas del DRP 5
• Seleccionar el proveedor de soluciones – implementación de la solución Paso con proveedores reales 6 Elaborado por: Ing. Danilo Mannella
5
Paso 1: Análisis de riesgos y BIA – qué se debe proteger
Toda Pyme debe conocer su ámbito de negocio y sus procesos, para ello debe considerar: 1. 2. 3. 4.
Procesos críticos del negocio Apoyo de los mismos en TI Conocimiento de personas claves, productos y servicios Estrategia o metas del negocio, procesos internos.
BIA (Business Impact Analysis) ¿Qué aplicaciones generan beneficios, generan seguridad o son fundamentales para la BC? ¿Qué datos son críticos para los clientes, finanzas o de cumplimiento? Elaborado por: Ing. Danilo Mannella
6
Paso 2: Determinación de RPO y RTO – inactividad y disponibilidad
RPO (Objetivo de Punto de recuperación) RTO (Objetivo de Tiempo de recuperación) Tanto el RTO y RPO están asociados a la “disponibilidad” e “inactividad” Solución Uso de cintas
RPO 24h+
RTO Días
Costo $
Captura de imágenes 24h
Horas
$$$
Replicación
Min.
Min.
$$$$$
Agrupamiento de servidores
0
0
$$$$$$
Elaborado por: Ing. Danilo Mannella
Debilidades Difícil de administrar Lento, propenso a errores Restauración limitada y flexible Configuración complicada HW duplicado HW duplicado Configuración complicada 7
Paso 3: Virtualizar las aplicaciones claves – migrar de lo físico a lo virtual
Pensar en “interrupciones ” en lugar de “desastres” Virtualización, una máquina física hospeda a una (varias) máquinas virtuales Elaborado por: Ing. Danilo Mannella
8
Paso 4: Evaluación de los servicios y modelos en la nube – hacia un nuevo modelo de recuperación ante desastres
Características de la nube, para Pymes
Autoservicio por demanda Acceso de red ubicuo Fuente común de recursos Rápida elasticidad Servicio medido
Modelos: SaaS, PaaS e IaaS / RaaS Tipos de nubes: Públicas, privadas, híbridas Elaborado por: Ing. Danilo Mannella
9
Paso 5: Puesta en marcha del DRP en la nube – consideraciones prácticas del DRP
1. Análisis del entorno 2. Tipos de operación ante un desastre 3. Valoración de criticidades 4. Determinación de prestaciones mínimas 5. Análisis de riesgos 6. Determinación de nivel de desastre 7. Estrategias de recuperación 8. Requerimientos para el DRP 9. Pruebas y revisión del DRP Elaborado por: Ing. Danilo Mannella
10
Paso 6: Seleccionar el proveedor de soluciones – implementación de la solución con proveedores reales
Parámetros a tomar en cuenta: 1. Experiencia técnica 2. Confianza 3. Garantía de tiempo de actividad 4. Herramientas disponibles 5. Facilidad de migración 6. Garantía de rendimiento 7. Soporte al cliente 8. Seguridad 9. Cumplimiento con auditorías externas 10. Costo Elaborado por: Ing. Danilo Mannella
11
Guía para microempresas
Introducción Importancia para microempresas que desean incorporar un DRP en la nube Descripción general de la guía Enfocada a dueños de pequeños negocios Características Fácil de uso, interpretación de términos, comprensión de procedimientos, flexible y escalable Secuencia de pasos La guía se compone de 5 pasos Validación de la guía Elaborado por: Ing. Danilo Mannella
12
Secuencia de pasos Paso 1: Valoración de aplicaciones críticas Paso 2: Conocer a la computación en la nube Paso 3: Reconocimiento de las fases de una recuperación ante desastres Paso 4: Respaldos y recuperación en la nube Paso 5: Evaluación y mantenimiento Elaborado por: Ing. Danilo Mannella
13
Paso 1: Valoración de aplicaciones críticas
Reconocer procesos, aplicaciones y servicios críticos BIA (Business Impact Analysis) No todos los sistemas requieren el mismo nivel de protección Análisis costo/beneficio Elaborado por: Ing. Danilo Mannella
14
Paso 2: Conocer a la computación en la nube
Recuperación de datos mantener datos fuera de la empresa Métodos tradicionales vs. Computación en la nube Beneficios: 1. Libertad en adquisición de HW 2. Adquisición de un buen equipo de TI 3. Reducción de costos de TI 4. Incremento en eficiencia de la microempresa 5. Se paga lo que se consume 6. Mejor preparación ante desastres tecnológicos
Tipos de nubes Elaborado por: Ing. Danilo Mannella
15
Paso 2: Conocer a la computación en la nube
Usos de computación en la nube 1. Correo electrónico 2. Almacenamiento de datos 3. Herramientas de colaboración 4. Comunicaciones
Preguntas antes de lanzarse a la nube 1. Precio 2. Disponibilidad 3. Almacenamiento de datos 4. Rendimiento y escalabilidad 5. Cláusulas de terminación 6. Soporte
Elaborado por: Ing. Danilo Mannella
16
Paso 3: Reconocimiento de las fases de una recuperación ante desastres
Elaborado por: Ing. Danilo Mannella
17
Paso 4: Respaldos y recuperación en la nube
Recuperación ante desastres en la nube 1. ¿De qué manera funciona la recuperación en la nube? 2. ¿Qué sucede si ocurre un desastre? 3. ¿Cómo lograr un menor tiempo de recuperación?
Los PSN también… 1. Aseguran respaldos regulares y consistentes 2. Ayudan a manejar costos 3. Proveen protección asequible, confiable y fuera de la organización 4. Ofrecen protección a sucursales igual que la matriz Elaborado por: Ing. Danilo Mannella
18
Paso 5: Evaluación y mantenimiento
El plan debe ser probado Totalmente una vez al año Parcialmente de forma continua, con mejoras y revisión
Coordinar con PSN recuperación en máquinas virtuales Elaborado por: Ing. Danilo Mannella
19
Validación de las guías Metodología Técnicas e instrumentos Criterio de expertos
Experto en Pymes Experto en soluciones en la nube Gerentes técnicos de Pymes
Cuestionario
Conclusiones
Elaborado por: Ing. Danilo Mannella
20
Conclusiones de la validación
Valoración de aplicaciones críticas 4
Correo electrónico corporativo CRM (Gestión de relación con clientes) ERP (Planeación de recursos empresariales) Aplicaciones de relación con proveedores Portal interno (intranet) Active Directory Sistema contable Gestión de Proyectos
3
2
1
0
1
2
3
4
5
Elaborado por: Ing. Danilo Mannella
21
Conclusiones de la validación
Aplicaciones a ser migradas en la nube 4
Correo electrónico Aplicaciones desarrolladas internamente Portal interno Almacenamiento de datos
3
2
1
0
Total
Elaborado por: Ing. Danilo Mannella
22
Conclusiones de la validación
Valoración de medios de respaldos 2
Respaldos en cinta Redundancia de información (duplicación de información en otros servidores) Uso de imágenes de servidores
1
Servicios de Respaldo y Recuperación como servicio en la nube
0
1
2
3
4
5
Elaborado por: Ing. Danilo Mannella
23
Conclusiones de la validación
Valoración de ventajas de computación en la nube 4
Acceso ubicuo Disposición de un equipo de TI experto en la nube Reducción de costos de infraestructura de TI Usar un servicio medido Rápida elasticidad Mejor preparación ante desastres tecnológicos
3
2
1
0
1
2
3
4
5
Elaborado por: Ing. Danilo Mannella
24
Conclusiones de la validación
Valoración de acciones a tomar respecto del DRP 3
Buscar compromiso de los ejecutivos de la empresa Análisis de riesgos y vulnerabilidades del negocio
2
Elaboración del DRP Conformación de un equipo a cargo del DRP Revisión anual del DRP
1
0
1
2
3
4
5
Elaborado por: Ing. Danilo Mannella
25
Conclusiones de la validación
Valoración de criterios para selección del PSN 4
Experiencia técnica Confiabilidad del PSN Garantía de tiempo de actividad Facilidad de migración Soporte técnico Seguridad en la nube Costo de la solución
3
2
1
0
1
2
3
4
Elaborado por: Ing. Danilo Mannella
5 26
Conclusiones de la validación
Valoración de utilidad de la guía 4
Explicación de términos técnicos Especificidad del contenido Profundización de la computación en la nube Profundización del DRP Profundización del DRP en la nube
3
2
1
0
1
2
3
4
5
Elaborado por: Ing. Danilo Mannella
27
Capítulo V Conclusiones y Recomendaciones
Conclusiones Ho: Ha: Validación de la hipótesis
Elaborado por: Ing. Danilo Mannella
29
Conclusiones Las Pymes, así como las microempresas, de acuerdo a los resultados arrojados en la fase de diagnóstico, están poco preparadas ante eventos producidos debido a desastres tecnológicos, y al momento se usan mayoritariamente medios tradicionales de respaldos, lo cual resulta ineficiente y/o costoso. Existe poco conocimiento sobre los beneficios que puede proveer la computación en la nube para las Pymes, y en cuanto a los mecanismos que se pueden usar para beneficio de éstas en cuanto a servicios como los de recuperación ante desastres tecnológicos. En la fase de diagnóstico se vio la necesidad de elaborar una guía de implementación no solamente para las Pymes, sino también para las microempresas, en un formato más simple, pero con la profundidad suficiente para llevarlo a cabo. Elaborado por: Ing. Danilo Mannella
30
Conclusiones Las guías de implementación ante desastres tecnológicos son propuestas que irán madurando en las Pymes conforme se difunda al interior de estos negocios que la inversión en seguridad no es un gasto. Las Pymes y microempresas que implementen la guía de DRP propuesta tendrán un menor impacto en la recuperación de información ante desastres que aquellas que no tengan contemplado ningún DRP, o que sigan un modelo tradicional que puede resultar costoso y/o ineficiente. La valoración usada por expertos en la validación de las guías de implementación claramente indican que las guías son de fácil comprensión de términos, y la especificidad del contenido contribuirá a una mejor implementación de las mismas. Elaborado por: Ing. Danilo Mannella
31
Recomendaciones Las empresas que proveen servicios en la nube a nivel local deberán considerar a las Pymes como un potencial mercado a atender, analizando costos personalizados diseñados para este segmento que este mercado este momento no está siendo atendido. El presupuesto para seguridad de la información se sugiere incrementar en algo más del 10% de su presupuesto global, lo que les permitirá estar mejor preparados ante varios de los desastres tecnológicos citados en este estudio. Hoy en día existen varias empresas locales proveedoras de servicios en la nube que están incursionando en la entrega de soluciones SaaS, y se recomienda que también provean de soluciones IaaS a las Pymes ya sea directamente o tercerizando servicios de proveedores más grandes como Amazon, Google, Microsoft, E-Vault, Rackspace, etc. Elaborado por: Ing. Danilo Mannella
32
Recomendaciones Uno de los principales factores a tomar en cuenta por parte de las Pymes para la contratación de un PSN es la confiabilidad y esquemas de seguridad de la empresa, por tanto se recomienda que se revise detalladamente el SLA que se firmará entre las partes. Finalmente, se recomienda que se haga un seguimiento continuo a la evolución de la adopción de la computación en la nube como mecanismo de recuperación ante desastres tecnológicos, y cuyos resultados beneficiarán a las Pymes que constantemente no están preparadas para una eventualidad en la pérdida de su información. Elaborado por: Ing. Danilo Mannella
33
¡Muchas gracias! Cualquier inquietud será resuelta en este momento Ing. Danilo Mannella E-mail:
[email protected]