Para la empresa de generación de energía francesa EDF, la eficiencia y la confiabilidad de sus planes de continuidad comercial (BC) y recuperación ante desastres (DR), y la tecnología en la que se basan, van más allá de la organización: se extienden al funcionamiento del propio país.
En este artículo, analizamos cómo EDF construye su provisión de BC/DR en toda la organización, para cubrir posibles interrupciones en sus centros de datos, ataques cibernéticos e incluso la probabilidad de una vez por siglo de grandes inundaciones alrededor de París. Es decir, todos los riesgos identificados por su departamento de TI.
Para entregar sus planes DR, EDF desarrolló una aplicación dedicada al trabajo que llama Phenix-IT. “Necesitábamos una herramienta para administrar el plan de recuperación en caso de un desastre en el centro de datos”, dice Bruno Leyris, jefe de TI BC/DR y gestión de crisis en EDF.
Pero el objetivo de Phenix-IT es doble. En primer lugar, es una herramienta operativa que funciona en tiempo real cuando se activa un plan DR del centro de datos. En segundo lugar, también se utiliza a diario para gestionar y generar informes para la dirección de EDF y sus líneas de negocio.
Leyris destaca el papel de Phenix-IT en probar y mejorar la provisión de BC/DR. “Usamos Phenix-IT regularmente durante nuestros ejercicios anuales”, dice. “Cada año simulamos la destrucción de los centros de datos y seguimos la recuperación de la actividad a través de Phenix-IT.
“Dentro del marco proporcionado por estos ejercicios, generamos informes y gráficos, y comunicamos los hallazgos utilizando herramientas seguras en toda la organización de gestión de crisis del grupo”.
Más allá de esta función operativa durante la gestión de crisis, Phenix-IT recopila datos relevantes para estos ejercicios. El análisis de esos datos contribuye a mejorar la gestión de crisis y el plan de recuperación.
Phenix-IT: Una aplicación cada vez más rica y sofisticada
Desde su lanzamiento hace 12 años, Phenix-IT ha evolucionado enormemente, con numerosas áreas de funcionalidad añadidas a la aplicación original junto con el proveedor de software Mega. Entre las adiciones más significativas durante la vida de Phenix-IT se encuentra la implementación de flujos de trabajo entre actores clave en la gestión de crisis y comunicaciones seguras que alertan a los miembros de los equipos de crisis.
Estas herramientas permiten una toma de decisiones eficiente mediante el intercambio de información las 24 horas del día, los 7 días de la semana. Asegurarlos es esencial porque si la crisis se desencadena por un ataque cibernético, es importante que los atacantes no puedan escuchar.
Los informes sobre Phenix-IT han sido un foco particular de desarrollo en los últimos años. Durante cualquier desastre, el software ofrece gráficos de pronóstico. También está integrado con la funcionalidad de simulación de impacto que permite a los equipos de TI probar la resiliencia del sistema a través de Phenix-IT.
Además del papel clave que desempeña Phenix-IT durante las simulaciones de crisis, TI también lo utiliza a diario y se ha convertido en un estándar para el grupo EDF.
“Más allá de su funcionalidad de recuperación ante desastres, simulación de impactos y comunicaciones seguras, Phenix-IT se ha convertido en un estándar vital en TI”, dice Leyris. “El personal de seguridad puede acceder a él para recopilar información y probar la resiliencia de los sistemas de TI en momentos de tranquilidad”.
Modernización en Mega Hopex
Phenix-IT se desarrolló en una versión ahora obsoleta de la plataforma Mega que se había vuelto cada vez más costosa de mantener. Entonces, recientemente se lanzó un proyecto para actualizarlo. Luego del análisis, se decidió continuar con Mega, pero migrar a la plataforma Hopex de la empresa, que se dedica a la gestión de gobierno, riesgo y cumplimiento.
“Esta solución nos abrió nuevas posibilidades al tiempo que garantizaba la continuidad de nuestro enfoque”, dice Leyris. “Y también volvimos a los estándares de los que nos habíamos desviado”.
El CIO de EDF había implementado progresivamente un modo ágil de operación con Mega. Los jefes de proyecto de EDF, los desarrolladores y la fuerza de ventas de Mega estuvieron todos involucrados. “Phenix-IT se encuentra ahora en su noveno año de evolución”, dice Leyris. “Muchas personas han participado en el proyecto, pero siempre se han preocupado por comprender los objetivos y el valor agregado que EDF espera del software en tiempos de desastre, así como en condiciones normales de trabajo”.
El equipo del proyecto produce dos versiones principales al año, y estas están muy limitadas en cuanto a los plazos que deben cumplir. Cada versión principal debe completarse antes de cada ejercicio.
“Cada seis meses, tenemos una versión principal de Phenix-IT para nuestros ejercicios de recuperación ante desastres”, dice Leyris. “Es una limitación de tiempo y calidad porque no podemos permitir que Phenix-IT falle durante el ejercicio”.
La organización ágil permite mejoras continuas en Phenix-IT. Fuera de los momentos en que se ejecutan los ejercicios de DR, los responsables de la gestión de crisis en EDF se conectan a través de la herramienta para entregar análisis, incluso entre TI y el negocio.
Número de objetos que crecen un 10% al año
Un desafío clave que enfrenta Phenix-IT y el plan DR es el crecimiento (del 10 % cada año) de los elementos que debe rastrear en los sistemas de TI de EDF. El software tiene que integrar continuamente datos de nuevas fuentes, y eso trae más trabajo sobre la calidad de los datos ingeridos por Hopex. Los aumentos en los datos sin procesar y la nueva funcionalidad que acompaña al crecimiento afectan el plan en términos de potencia y disponibilidad de la plataforma.
EDF quiere seguir desarrollando la plataforma, con la idea principal de integrar cada vez más Phenix-IT con los procesos de gestión de crisis.
“Queremos trabajar en la ergonomía para que el software sea más intuitivo”, dice Leyris. “Alguien que se despierta en medio de la noche durante un desastre necesita una herramienta intuitiva”.
Además, Phenix-IT debe mejorarse para facilitar el trabajo del equipo de continuidad comercial en caso de un ataque de ransomware.
Actualmente, Phenix-IT se ejecuta en Hopex v3, pero el equipo del proyecto está estudiando su posible migración a v5 y poniendo a trabajar la nueva funcionalidad en esa versión.