Últimamente se han escrito en este blog diferentes puntos clave a tener en cuenta durante la realización de un Plan de Contingencia. El Plan de Contingencia tal como sabemos, trata de planificar la restauración de los servicios de TI ante una situación de desastre.
Como explicamos en su día, la primera fase del plan, el Análisis de Impacto (BIA), consiste en:
Identificar los procesos más críticos del negocio y los servicios de TI que los soportan.
Determinar el impacto si uno o varios de estos servicios de TI se ven afectados total o parcialmente.
Definir los requerimientos de recuperación establecidos por el negocio - tiempo máximo de interrupción o RTO y máxima pérdida de datos permitida o RPO.
En el momento de realizar el BIA, los requerimientos de recuperación del negocio se recogen a través de entrevistas con los responsables de las diferentes áreas o departamentos de la organización: RR.HH, compras, marketing, logística, producción, etc. El objetivo de dichas entrevistas es averiguar qué servicios de TI usa cada área o departamento.
Sin embargo, en este punto debemos preguntarnos si sabemos cuáles son los servicios de TI que ofrecemos. No se puede empezar la casa por el tejado, por lo que tanto el negocio como el Departamento de TI deben conocer cuáles son los servicios de TI que se ofrecen y soportan desde TI y en qué consisten.
El problema radica en que si no tenemos esta información:
Es complejo traducir lo que percibe el negocio con respecto a lo que ofrece TI.
Es fácil que el entrevistado no hable de todos los servicios de TI que utiliza. Disponer de un listado de servicios de TI ayuda a no dejarse nada en el tintero durante la realización de las entrevistas.
Por tanto, se hace necesario disponer de este catálogo de servicios de TI lo más fiel a la realidad posible.
Nuestra recomendación es incluir dentro del proyecto de Plan de Contingencia una revisión de los servicios de TI para poder conocer qué elementos los soportan (infraestructura, aplicaciones, etc.) y tener la habilidad de identificarlos durante las entrevistas. El uso de este catálogo reducirá el riesgo de repetir entrevistas y agilizará el proyecto con la seguridad de ser exhaustivos durante el proceso.
Como ya sabréis o habréis podido deducir de lo explicado hasta ahora, el catálogo de servicios es la herramienta que permite a los departamentos de TI categorizar de una manera ordenada cuales son los servicios de TI que se están provisionando y soportando. El catálogo de servicios de TI permite al departamento de TI describir:
Qué está proporcionando TI al negocio: cómo está ayudando a soportar los procesos de negocio de la organización.
Cómo lo está proporcionando: infraestructura, aplicaciones, personas, procesos de TI, niveles de disponibilidad y seguridad, garantías de continuidad, costes, etc.
Con esta entrada completamos el trimestre dedicado a los Planes de Contingencia. Si alguno de vosotros tiene alguna pregunta, necesita más información del tema o quiere aclarar algún concepto, por favor no dudéis en escribir vuestros comentarios o poneros en contacto con nosotros.
El próximo trimestre, hablaremos de las auditorías técnicas de seguridad o hacking éticos.