Algunos de vosotros nos habéis preguntado respecto de los criterios de activación del Plan de Contingencia. Para ello recurriremos a la guía 800-34 del NIST: Contingency Planning Guide for Information Technology Systems.Para fijar conceptos, empecemos estableciendo en qué consiste realmente el plan. Estamos hablando, básicamente, de restaurar la interrupción de los servicios de TI:
- Recuperando las operaciones de TI en una ubicación alternativa.
- Recuperando las operaciones de TI con equipamiento alternativo.
- Realizando alguno de los procesos de negocio soportados por dichos servicios mediante medios manuales.
Una vez tenemos el plan montado y probado, éste debe ser activado sólo cuando la evaluación de daños indica que uno o más de los criterios de activación se cumplen. Estos criterios son únicos para cada organización, deben ser claros y pueden basarse en:
- La seguridad del personal y/o la magnitud de los daños sobre las instalaciones.
- La extensión de la avería según criterios físicos, operacionales o financieros.
- La criticidad del sistema afectado.
- La previsión de la duración de la interrupción en base a los RTOs establecidos en el BIA. Este punto está relacionado con el anterior.
Por ejemplo, podemos establecer que nuestro plan se activará:
- Cuando el tiempo de recuperación previsto de cualquiera de los servicios excede el tiempo máximo establecido.
- Cuando transcurrido el 50% del tiempo máximo para la recuperación de un servicio, no haya sido posible identificar su causa.
No hay comentarios:
Publicar un comentario