Francia no escapará a una crisis energética en los próximos meses, con cortes de energía para los grandes consumidores y cortes de carga, advirtieron las autoridades públicas y los operadores eléctricos. Una crisis que no perdonará a las empresas. Para medir los riesgos que corren los sistemas de información, anticiparse e intentar contrarrestarlos, la firma Maitrisedesrisks.com y la asociación Informative, que reúne a los CIO en transición, han publicado una lista de 20 recomendaciones Dirigido a equipos de TI.

Después del cierre de varias centrales nucleares durante el invierno de 2022, por un lado, y del reciente paso de las tormentas Ciaran y Domingos, por otro, el director general de EDF, Luc Rémont, entrevistado en el Senado el 8 de noviembre, quiso tranquilizadores sobre la capacidad de producción francesa este invierno. Anuncia 40 Gigavatios-hora de producción para noviembre, luego 45 en diciembre y 50 en enero. Con un llenado de los embalses hidráulicos, superior a la media histórica, que “ofrece una capacidad de turbina mucho más cómoda que la del año pasado”, según informa el sitio Senado público.

Índice
  1. Un plan de acción de sobriedad y protección
  2. Formalizar procedimientos de reinicio

Un plan de acción de sobriedad y protección

Sin embargo, como recuerda el documento de Matirisedesrisks.com e Informative, “los operadores eléctricos han puesto en marcha un sistema para gestionar la caída de la demanda en el caso de que la producción sea insuficiente”. Esto prevé un deslastre de cargas basado en la solidaridad entre regiones con un clima templado y regiones más frías, pero también recortes. Estas operaciones estarán asociadas a alertas Ecowatt y la mayoría resultarán en información previa, pero “también hay que esperar maniobras de emergencia”, especifica el documento. Las empresas deben prepararse, en particular protegiendo su TI.

Como ocurre con cualquier riesgo, el enfoque a adoptar se basa en mapear y evaluar el impacto, luego en un plan de acción con PCA y PRA. Los CIO y CISO ya han lidiado con el problema, particularmente en asuntos cibernéticos. El plan de acción, primera recomendación de la lista, muestra un doble objetivo de sobriedad y protección contra los cortes y deslastre de carga. Para poder “desconectar” parte del SI sin poner en peligro a la empresa, es necesario aislar los sistemas y aplicaciones críticos (producción, finanzas, flujo de caja, nómina, etc.) de los no críticos. Cada una de las dos categorías se agrupará en equipos físicos homogéneos, con el fin de desconectar rápidamente la parte de menor riesgo, si es necesario, sin poner en peligro a la otra.

Como anticipo, una de las soluciones pasa también por la reducción del consumo general del IS. El departamento de TI puede aconsejar a los empleados que limiten el número de pantallas, desenchufen los dispositivos no utilizados, pero, por otro lado, carguen sus portátiles constantemente en caso de un corte de energía. También puede trabajar con los distintos departamentos para planificar operaciones o establecer procedimientos en caso de un corte de energía.

Formalizar procedimientos de reinicio

Los procedimientos de reinicio deben formalizarse para las actividades críticas, en un orden definido, con instrucciones específicas para cada “administrador de máquinas complejas (sistema de información, máquinas industriales, equipos de seguridad y gestión de edificios, etc.)”. Las actividades no críticas también deben estar sujetas a procedimientos de reinicio formalizados en un orden específico.

También es necesaria una auditoría de inversores y generadores para controlar la autonomía de los SI, centros de datos, servidores, etc., ante cortes decididos por los operadores de energía que podrían durar hasta 2 horas. Una vez conocidos estos elementos, debemos intentar “dominar el funcionamiento de un apagado limpio de los sistemas de información críticos dentro de una envolvente de suministro de energía que incluye la red, los inversores y los generadores”, explica el documento. [...] Un apagado seguro depende del estado oportuno de las configuraciones del sistema, la carga en las máquinas físicas impuesta por los servidores virtuales agrupados por segmento de criticidad, los volúmenes de datos en tránsito en los procesos, posibles cuellos de botella en las configuraciones, etc.

Entre otras recomendaciones, finalmente encontraremos elementos sobre la protección de las infraestructuras de telecomunicaciones y de las VPN, sobre los puestos de trabajo de los teletrabajadores, sobre el sistema de ciberprotección o incluso sobre la atención prestada a las medidas adoptadas entre los subcontratistas. -Información de contratistas y proveedores. Sin olvidar los aspectos legales o de seguros, y los procedimientos de comunicación con los empleados.