Gestión de la Continuidad del Servicio
Organización y Planificación
Una vez determinado el alcance de la ITSCM, analizados los riesgos y vulnerabilidades y definidas unas estrategias de prevención y recuperación es necesario asignar y organizar los recursos necesarios. Con ese objetivo la Gestión de la Continuidad del Servicio debe elaborar una serie de documentos entre los que se incluyen:
- Plan de prevención de riesgos.
- Plan de gestión de emergencias.
- Plan de recuperación.
Plan de prevención de riesgos
Cuyo objetivo principal es el de evitar o minimizar el impacto de un desastre en la infraestructura TI.
Entre las medidas habituales se encuentran:
- Almacenamiento de datos distribuidos.
- Sistemas de alimentación eléctrica de soporte.
- Políticas de back-ups.
- Duplicación de sistemas críticos.
- Sistemas de seguridad pasivos.
Plan de gestión de emergencias
Las crisis suelen provocar "reacciones de pánico" que pueden ser contraproducentes y a veces incluso más dañinas que las provocadas por el incidente que las causo. Por ello es imprescindible que en caso de situación de emergencia estén claramente determinadas las responsabilidades y funciones del personal así como los protocolos de acción correspondientes.
En principio los planes de gestión de emergencias deben tomar en cuenta aspectos tales como:
- Evaluación del impacto de la contingencia en la infraestructura TI.
- Asignación de funciones de emergencia al personal de servicio TI.
- Comunicación a los usuarios y clientes de una grave interrupción o degradación del servicio.
- Procedimientos de contacto y colaboración con los proveedores involucrados.
- Protocolos para la puesta en marcha del plan de recuperación correspondiente.
Plan de recuperación
Cuando la interrupción del servicio es inevitable llego el momento de poner en marcha los procedimientos de recuperación.
El plan de recuperación debe incluir todo lo necesario para:
- Reorganizar al personal involucrado.
- Reestablecer los sistemas de hardware y software necesarios.
- Recuperar los datos y reiniciar el servicio TI.
Los procedimientos de recuperación pueden depender de la importancia de la contingencia y de la opción de recuperación asociada ("cold o hot stand-by"), pero en general involucran:
- Asignación de personal y recursos.
- Instalaciones y hardware alternativos.
- Planes de seguridad que garanticen la integridad de los datos.
- Procedimientos de recuperación de datos.
- Contratos de colaboración con otras organizaciones.
- Protocolos de comunicación con los clientes.
Cuando se pone en marcha un plan de recuperación no hay espacio para la improvisación, cualquier decisión puede tener graves consecuencias tanto en la percepción que de nosotros tengan nuestros clientes como en los costes asociados al proceso.
Aunque pueda resultar paradójico, un "desastre" puede ser una buena oportunidad para demostrar a nuestros clientes la solidez de nuestra organización TI y por tanto incrementar la confianza que tiene depositada en nosotros. Ya conocen el dicho: "No hay mal que por bien no venga".
