martes, 8 de febrero de 2011

Plan de Contingencia. Aspectos a tener en cuenta

Informe de situación del CPD

Dentro del análisis de riesgos es imprescindible evaluar el conjunto de sistemas que forman parte del CPD y conocer exactamente las condiciones en que se encuentran. Para ello es conveniente realizar un estudio detallado de las condiciones que cumplen, con el objetivo de definir un conjunto de medidas correctoras, dirigidas a mejorar la seguridad física de la sala y optimizar la disponibilidad de los servicios de TI.

Como valor añadido, este análisis nos permitirá establecer recomendaciones con el objetivo de perseguir la máxima eficiencia energética de cada uno de los sistemas y así reducir el consumo energético del conjunto del CPD y, en consecuencia, los costes asociados.

De esta forma y una vez implementadas las recomendaciones resultantes, la organización habrá minimizado los riesgos que pueden afectar al CPD, aportando estabilidad y seguridad a todos los procesos de negocio.

El análisis ha de contemplar los siguientes aspectos:

  • Sistema de cerramiento de la sala.
  • Sistema eléctrico.
  • Sistema de alimentación interrumpida.
  • Sistema de climatización.
  • Sistema de protección contra incendios.
  • Sistema de monitorización de alarmas.
  • El estado general de la sala, en cuanto a distribución, orden, limpieza, y nivel de respeto intrínseco de las condiciones de seguridad, control de accesos así como otros criterios técnicos específicos vitales en este tipo de entornos.

Manuales técnicos y “checklists funcionales”

Para que la recuperación de los servicios en el entorno de contingencia y su posterior restitución a la situación original sea un éxito, es imprescindible:

Definir cómo “levantaremos” la infraestructura que soporta los servicios de TI – equipos, bases de datos, comunicaciones, etc.- en los diferentes entornos.

Definir cómo comprobaremos que los procesos de negocio asociados a dichos servicios funcionan correctamente. Hemos de comprobar si podemos seguir haciendo pedidos, facturando, vendiendo, etc…

Para realizar el primer punto debemos definir todos aquellos manuales técnicos asociados. Manuales cuya ejecución se comprobará durante las pruebas y cuya responsabilidad de realización recae sobre el personal de TI.

Para realizar el segundo punto debemos definir todos aquellos “checklists funcionales” asociados a los procesos de negocio soportados por los servicios de TI. La responsabilidad de su realización recae sobre las diferentes unidades de negocio.

Proceso de gestión de la continuidad y disponibilidad de los servicios de TI

Una vez realizado el plan de contingencia, si queremos que sea algo vivo y útil, es fundamental establecer las bases para una gestión eficaz y eficiente, que proporcione continuidad en el tiempo al resto de trabajos realizados durante la creación del plan. Para ello, será necesario definir el proceso de gestión de la continuidad y disponibilidad de los servicios de TI.

La definición de este proceso implica, a su vez, la definición de los siguientes elementos:

  • Objetivos de cada proceso.
  • Actividades de cada proceso y roles y responsabilidades asociados a cada una de ellas de manera que quede claro quién hace qué dentro del proceso.
  • Relaciones con el resto de procesos, principalmente gestión de incidencias, problemas, configuración y cambios.
  • Las entradas del proceso definirán qué es lo que este proceso requiere de los demás.
  • Las salidas del proceso definirán qué información se debe entregar al resto de procesos.
  • Métricas e indicadores que describan cómo se debe medir el proceso.

Este proceso nos permitirá:

  • Determinar claramente las responsabilidades dentro del ciclo de diseño, transición y operación de los servicios de TI.
  • Que los servicios de TI se diseñen para alcanzar los requerimientos de disponibilidad y continuidad del negocio.
  • Que se establezcan las bases para la mejora continua de los servicios de TI.
  • Que se facilite la justificación del coste de las inversiones asociado a la disponibilidad y continuidad de los servicios.
  • Adoptar una mentalidad proactiva.

Retos de la gestión de la LOPD en grandes organizaciones

Las grandes organizaciones, con grandes grupos de empleados, un número importante de departamentos o varias delegaciones y/o sucursales, necesitan poder gestionar y mantener toda la información y documentación asociada al cumplimiento de la LOPD de forma centralizada y actualizada.

Además, este tipo de organizaciones tiene la necesidad de enmarcar las medidas exigidas por la LOPD y su Real Decreto dentro del cumplimiento general de las obligaciones legales, reglamentarias o contractuales y de los requisitos de seguridad de la organización que pueden venir determinados por estándares internacionales como ISO27000 o SOX.

Abast Grup y ECIJA le invitan a un seminario en el que examinaremos la forma de abordar el cumplimiento de lo exigido por la LOPD y le mostraremos herramientas que le permitirán gestionar y cumplir con lo establecido por la ley y su Real Decreto de una manera eficaz.

El evento se realizará el día 1 de marzo en las oficinas de Abast en Barcelona (C/Equador, 39-45). El evento se iniciará a las 9:30 y finalizará, como muy tarde, a las 12:30. A continuación os detallamos la agenda del mismo:

  • Café de bienvenida y entrega de la documentación
  • Retos de gestión de la LOPD en grandes organizaciones.
    • David Ortega - Director de Consultoría y Auditoría de TI de Abast
  • Demostración práctica de la herramienta Ecija DPServer.
    • Álvaro Écija Bernal - Socio Director de ECIJA
  • Caso de éxito. Pendiente de confirmar
  • Ruegos y preguntas
  • Aperitivo

Si estáis interesados podéis inscribiros en www.abast.es/seminarios o llamando al 902 486 901.