martes, 22 de marzo de 2011

Plan de Contingencia. ¿Cómo?. ¿Cuándo?

Algunos de vosotros nos habéis preguntado respecto de los criterios de activación del Plan de Contingencia. Para ello recurriremos a la guía 800-34 del NIST: Contingency Planning Guide for Information Technology Systems.

Para fijar conceptos, empecemos estableciendo en qué consiste realmente el plan. Estamos hablando, básicamente, de restaurar la interrupción de los servicios de TI:

  1. Recuperando las operaciones de TI en una ubicación alternativa.
  2. Recuperando las operaciones de TI con equipamiento alternativo.
  3. Realizando alguno de los procesos de negocio soportados por dichos servicios mediante medios manuales.

Una vez tenemos el plan montado y probado, éste debe ser activado sólo cuando la evaluación de daños indica que uno o más de los criterios de activación se cumplen. Estos criterios son únicos para cada organización, deben ser claros y pueden basarse en:

  1. La seguridad del personal y/o la magnitud de los daños sobre las instalaciones.
  2. La extensión de la avería según criterios físicos, operacionales o financieros.
  3. La criticidad del sistema afectado.
  4. La previsión de la duración de la interrupción en base a los RTOs establecidos en el BIA. Este punto está relacionado con el anterior.

Por ejemplo, podemos establecer que nuestro plan se activará:

  1. Cuando el tiempo de recuperación previsto de cualquiera de los servicios excede el tiempo máximo establecido.
  2. Cuando transcurrido el 50% del tiempo máximo para la recuperación de un servicio, no haya sido posible identificar su causa.

miércoles, 9 de marzo de 2011

Plan de Contingencia y catálogo de servicios de TI


Últimamente se han escrito en este blog diferentes puntos clave a tener en cuenta durante la realización de un Plan de Contingencia. El Plan de Contingencia tal como sabemos, trata de planificar la restauración de los servicios de TI ante una situación de desastre.

Como explicamos en su día, la primera fase del plan, el Análisis de Impacto (BIA), consiste en:

  1. Identificar los procesos más críticos del negocio y los servicios de TI que los soportan.

  2. Determinar el impacto si uno o varios de estos servicios de TI se ven afectados total o parcialmente.

  3. Definir los requerimientos de recuperación establecidos por el negocio - tiempo máximo de interrupción o RTO y máxima pérdida de datos permitida o RPO.
En el momento de realizar el BIA, los requerimientos de recuperación del negocio se recogen a través de entrevistas con los responsables de las diferentes áreas o departamentos de la organización: RR.HH, compras, marketing, logística, producción, etc. El objetivo de dichas entrevistas es averiguar qué servicios de TI usa cada área o departamento.

Sin embargo, en este punto debemos preguntarnos si sabemos cuáles son los servicios de TI que ofrecemos. No se puede empezar la casa por el tejado, por lo que tanto el negocio como el Departamento de TI deben conocer cuáles son los servicios de TI que se ofrecen y soportan desde TI y en qué consisten.

El problema radica en que si no tenemos esta información:

  1. Es complejo traducir lo que percibe el negocio con respecto a lo que ofrece TI.

  2. Es fácil que el entrevistado no hable de todos los servicios de TI que utiliza. Disponer de un listado de servicios de TI ayuda a no dejarse nada en el tintero durante la realización de las entrevistas.

Por tanto, se hace necesario disponer de este catálogo de servicios de TI lo más fiel a la realidad posible.

Nuestra recomendación es incluir dentro del proyecto de Plan de Contingencia una revisión de los servicios de TI para poder conocer qué elementos los soportan (infraestructura, aplicaciones, etc.) y tener la habilidad de identificarlos durante las entrevistas. El uso de este catálogo reducirá el riesgo de repetir entrevistas y agilizará el proyecto con la seguridad de ser exhaustivos durante el proceso.

Como ya sabréis o habréis podido deducir de lo explicado hasta ahora, el catálogo de servicios es la herramienta que permite a los departamentos de TI categorizar de una manera ordenada cuales son los servicios de TI que se están provisionando y soportando. El catálogo de servicios de TI permite al departamento de TI describir:

  1. Qué está proporcionando TI al negocio: cómo está ayudando a soportar los procesos de negocio de la organización.

  2. Cómo lo está proporcionando: infraestructura, aplicaciones, personas, procesos de TI, niveles de disponibilidad y seguridad, garantías de continuidad, costes, etc.
Con esta entrada completamos el trimestre dedicado a los Planes de Contingencia. Si alguno de vosotros tiene alguna pregunta, necesita más información del tema o quiere aclarar algún concepto, por favor no dudéis en escribir vuestros comentarios o poneros en contacto con nosotros.

El próximo trimestre, hablaremos de las auditorías técnicas de seguridad o hacking éticos.