martes, 22 de marzo de 2011

Plan de Contingencia. ¿Cómo?. ¿Cuándo?

Algunos de vosotros nos habéis preguntado respecto de los criterios de activación del Plan de Contingencia. Para ello recurriremos a la guía 800-34 del NIST: Contingency Planning Guide for Information Technology Systems.

Para fijar conceptos, empecemos estableciendo en qué consiste realmente el plan. Estamos hablando, básicamente, de restaurar la interrupción de los servicios de TI:

  1. Recuperando las operaciones de TI en una ubicación alternativa.
  2. Recuperando las operaciones de TI con equipamiento alternativo.
  3. Realizando alguno de los procesos de negocio soportados por dichos servicios mediante medios manuales.

Una vez tenemos el plan montado y probado, éste debe ser activado sólo cuando la evaluación de daños indica que uno o más de los criterios de activación se cumplen. Estos criterios son únicos para cada organización, deben ser claros y pueden basarse en:

  1. La seguridad del personal y/o la magnitud de los daños sobre las instalaciones.
  2. La extensión de la avería según criterios físicos, operacionales o financieros.
  3. La criticidad del sistema afectado.
  4. La previsión de la duración de la interrupción en base a los RTOs establecidos en el BIA. Este punto está relacionado con el anterior.

Por ejemplo, podemos establecer que nuestro plan se activará:

  1. Cuando el tiempo de recuperación previsto de cualquiera de los servicios excede el tiempo máximo establecido.
  2. Cuando transcurrido el 50% del tiempo máximo para la recuperación de un servicio, no haya sido posible identificar su causa.

No hay comentarios: