21.10.11

Actividad volcánica en Barcelona… 1 de 3


Nuevo Plan de Recuperación de Desastres de Firmaprofesional

Primero de todo, pedir disculpas por trivializar temas de tan hondo calado humano como una erupción volcánica en una zona habitada, pero el titular ilustra el fin último de la existencia de un Plan de Recuperación de Desastres. 
Firmaprofesional, como Prestador de Servicios de Certificación que emite certificados reconocidos según la Ley 59/2003 de Firma Electrónica, debe cumplir con las máximas medidas de seguridad. Entre estas medidas de seguridad está la necesidad de garantizar la continuidad de las operaciones incluso frente a desastres naturales o provocados, como por ejemplo un tsunami, un incendio, un terremoto, una erupción volcánica o un atentado terrorista.
Las incidencias habituales que afectan a los sistemas de producción se solucionan mediante los Planes de Contingencia y los procedimientos de gestión de incidencias. Estos procedimientos incluirán por ejemplo: procedimientos de recuperación de datos, uso de sistemas redundantes, configuraciones de alta disponibilidad, sistemas balanceo de carga, etc... Por el contrario, el Plan de Recuperación de Desastres (DRP - Disaster Recovery Plan) va más allá del Plan de Contingencias, y presupone que ha ocurrido un desastre que ha destruido completamente el Centro de Proceso de Datos (CPD) principal y todos sus componentes. Por ello, la respuesta ante un desastre de estas características se basa en recuperar los sistemas en un centro alternativo utilizando los datos de backup que estén disponibles fuera del CPD previamente al desastre.

Para la elaboración e implementación del DRP, en Firmaprofesional hemos seguido las directrices y recomendaciones recogidas en normas como la ISO/IEC 27001 (Especificaciones para los Sistemas de Gestión de la Seguridad de la Información) y la norma británica BS-25999 (Disaster Recovery Plan and Business Continuity Management), que son los estándares de referencia internacionalmente aceptados en este campo.
Actualmente, la solución más sencilla para mantener un DRP es la utilización de servicios de hosting en diversos ISP formando un CPD Virtual. De esta manera, al no existir un único CPD real que pueda ser destruido, se evita este tipo de riesgos. Sin embargo, un Prestador de Servicios de Certificación como Firmaprofesional tiene importantes limitaciones para utilizar esta estrategia, ya que las claves criptográficas y los dispositivos que las utilizan deben estar protegidos con unas medidas de seguridad excepcionales, tanto físicas como lógicas. Esto implica que debe existir un CPD securizado tipo "bunker" que albergue los sistemas. En el caso de Firmaprofesional se dispone de un CPD principal con las máximas medidas de seguridad hospedado en las instalaciones de la empresa "Orange Business Services" en Barcelona.

Como información, para los servicios que no hacen uso de claves criptográficas (como la web, el correo electrónico, el dns o la publicación de lista de certificados revocados), Firmaprofesional utiliza servicios en Cloud Computing o dispone de servidores de respaldo alojados en la red. Sin embargo, para los servicios principales que requieren del uso de claves criptográficas, será necesario disponer de un CPD alternativo.

No hay comentarios:

Publicar un comentario