Para la empresa de energía francesa EDF, la eficiencia y la confiabilidad de sus planes de continuidad comercial (BC) y recuperación ante desastres (DR), y la tecnología en la que se basan, van mucho más allá de la organización: se extienden al funcionamiento del propio país.
En este artículo, analizamos cómo EDF está construyendo su implementación de BC/DR en toda la organización para cubrir posibles interrupciones en sus centros de datos, ataques cibernéticos e incluso la probabilidad de grandes inundaciones alrededor de París que ocurren una vez por siglo. Es decir, todos los riesgos identificados por su departamento de TI.
Para implementar sus planes DR, EDF desarrolló una aplicación específica para la tarea, a la que llama Phenix-IT. «Necesitábamos una herramienta para administrar el plan de recuperación en caso de un desastre en el centro de datos», dijo Bruno Leyris, director de TI BC/DR y gestión de crisis en EDF.
Pero el objetivo de Phenix-IT es doble. Primero, es una herramienta operativa que funciona en tiempo real cuando se activa un plan DR del centro de datos. En segundo lugar, también se utiliza a diario para gestionar y generar informes para la dirección de EDF y sus unidades de negocio.
Leyris destaca el papel de Phenix-IT en la prueba y mejora de la implementación de BC/DR. «Usamos Phenix-IT regularmente durante nuestros simulacros anuales», dice. “Cada año, simulamos la destrucción del centro de datos y rastreamos la recuperación de la actividad de Phenix-IT.
«Como parte de estos ejercicios, producimos informes y gráficos y comunicamos los resultados utilizando herramientas seguras en toda la organización de gestión de crisis del grupo».
Más allá de esta función operativa durante la gestión de crisis, Phenix-IT recopila datos relevantes para estos ejercicios. El análisis de estos datos ayuda a mejorar la gestión de crisis y el plan de recuperación.
Phenix-IT: Una aplicación cada vez más rica y sofisticada
Desde su inicio hace 12 años, Phenix-IT ha evolucionado enormemente, agregando muchas áreas funcionales a la aplicación original en asociación con el proveedor de software Mega. Las adiciones clave durante la vida de Phenix-IT han incluido la introducción de flujos de trabajo entre los actores clave en la gestión de crisis y comunicaciones seguras que alertan a los miembros de los equipos de crisis.
Estas herramientas permiten una toma de decisiones eficiente mediante el intercambio de información las 24 horas del día, los 7 días de la semana. Su protección es fundamental, porque si la crisis se desencadena por un ciberataque, es importante que los atacantes no puedan escuchar.
Los informes sobre Phenix-IT han sido un foco particular de desarrollo en los últimos años. El software proporciona gráficos de pronóstico para cada catástrofe. También está integrado con la función de simulación de impacto, que permite a los equipos de TI probar la resistencia del sistema a través de Phenix-IT.
Aparte del papel clave que desempeña Phenix-IT en las simulaciones de crisis, TI también lo utiliza a diario y se ha convertido en un estándar para el Grupo EDF.
«Más allá de la funcionalidad de recuperación ante desastres, la simulación de impactos y la comunicación segura, Phenix-IT se ha convertido en un estándar importante en TI», dice Leyris. «Es accesible para el personal de seguridad para recopilar inteligencia y probar la resistencia de los sistemas de TI durante los momentos de tranquilidad».
Actualizar a Mega Hopex
Phenix-IT se desarrolló en una versión ahora obsoleta de la plataforma Mega cuyo mantenimiento se estaba volviendo cada vez más costoso. Por lo tanto, recientemente se inició un proyecto de actualización. Luego del análisis, se decidió continuar con Mega pero migrar a la plataforma Hopex de la empresa, dedicada a la gestión de gobierno, riesgo y cumplimiento.
«Esta solución nos abrió nuevas posibilidades al tiempo que garantizaba la continuidad de nuestro enfoque», dice Leyris. «Y también hemos vuelto a los estándares de los que nos habíamos desviado».
El CIO de EDF había introducido gradualmente una forma ágil de trabajar con Mega. Los líderes de proyecto de EDF, los desarrolladores y el equipo de ventas de Mega estuvieron involucrados. «Phenix-IT se encuentra ahora en su noveno año de evolución», dice Leyris. «Muchas personas participaron en el proyecto, pero siempre se aseguraron de comprender los objetivos y el valor agregado que EDF espera del software en tiempos de desastres, así como en condiciones normales de trabajo».
El equipo del proyecto produce dos lanzamientos principales por año, que están muy limitados en el tiempo. Cada versión principal debe completarse antes de cada ejercicio.
«Cada seis meses tenemos un lanzamiento importante de Phenix-IT para nuestros ejercicios de recuperación ante desastres», dice Leyris. «Es una limitación de tiempo y calidad porque Phenix-IT no puede colapsar durante el ejercicio».
Una organización ágil permite mejoras continuas en Phenix-IT. Fuera de los tiempos de simulacro de DR, los responsables de la gestión de crisis en EDF se conectan a través de la herramienta para proporcionar análisis, incluso entre TI y el negocio.
El número de objetos crece anualmente en un 10%
Un desafío clave para Phenix IT y el plan DR es el crecimiento, a un 10 % anual, de elementos que necesita rastrear en los sistemas de TI de EDF. El software debe integrar continuamente datos de nuevas fuentes, y esto implica un trabajo adicional sobre la calidad de los datos ingeridos por Hopex. El aumento de datos sin procesar y las nuevas funciones que vienen con el crecimiento están afectando el rendimiento y la disponibilidad de la plataforma.
EDF tiene la intención de desarrollar continuamente la plataforma, con la idea principal de integrar cada vez más Phenix-IT en los procesos de gestión de crisis.
“Queremos trabajar en la ergonomía para que el software sea más intuitivo”, dice Leyris. «Alguien que se ha despertado en medio de la noche durante un desastre necesita una herramienta intuitiva».
Además, Phenix-IT debe mejorarse para facilitar el trabajo del equipo de continuidad comercial en caso de un ataque de ransomware.
Phenix-IT actualmente se ejecuta en Hopex v3, pero el equipo del proyecto está investigando la posible migración a v5 y está obteniendo nuevas funciones para trabajar en esta versión.