La Gestión de la Continuidad del Servicio se preocupa de impedir que una imprevista y grave interrupción de los servicios TI, debido a desastres naturales u otras fuerzas de causa mayor, tenga consecuencias catastróficas para el negocio.
La estrategia de la Gestión de la Continuidad del Servicio (IT Service Continuity Management, ITSCM) debe combinar equilibradamente procedimientos:
- Proactivos: que buscan impedir o minimizar las consecuencias de una grave interrupción del servicio.
- Reactivos: cuyo propósito es reanudar el servicio tan pronto como sea posible, tras el desastre.
La ITSCM requiere una implicación especial de los agentes involucrados pues sus beneficios sólo se perciben a largo plazo, es costosa y carece de rentabilidad directa. Implementar la ITSCM es como contratar un seguro médico: cuesta dinero, parece inútil mientras uno está sano y desearíamos nunca tener que utilizarlo, pero tarde o temprano nos alegramos de haber sido previsores.
Interrelaciones del proceso: Debe existir una estrecha relación entre la Gestión de la Continuidad y otros procesos TI con el objetivo de que: Los planes de prevención y recuperación sean conocidos por el resto de la organización.
En la Gestión de la Continuidad de los Servicios TI, todo el proceso debe ser monitorizado para asegurar que: Los planes de prevención y recuperación están actualizados. La organización TI está capacitada para su implementación y los procedimientos son los adecuados a las necesidades del negocio.
Es fundamental establecer una política coherente sobre la continuidad de los servicios TI: En la que se establezca el alcance de la misma. Se asignen los recursos necesarios y se establezcan las bases para la organización del proceso.
Planificación: La Gestión de la Continuidad del Servicio debe: Estudiar el impacto en el negocio de una supuesta interrupción de los diferentes servicios TI, analizar los riesgos y vulnerabilidades a los que está expuesta la infraestructura TI, y establecer una clara estrategia para la continuidad del servicio.
Implementación: La Gestión de la continuidad del Servicio es la responsable de: Organizar la implantación del proceso, elaborar los planes de prevención y recuperación del servicio y establecer los protocolos de actuación en situación de crisis.
La Gestión de la Continuidad del Servicio debe supervisar todo el proceso: Evaluando regularmente los planes de prevención y recuperación, asegurando el conocimiento y formación del personal respecto a los procedimientos asociados y garantizando que los planes se hallen convenientemente actualizados.
Recuperación: Cuando la prevención ha sido insuficiente o el desastre ha resultado inevitable la Gestión de la Continuidad del Servicio es la responsable de: Evaluar el impacto de la interrupción del servicio, poner en marcha los planes de recuperación y supervisar todo el proceso.
Los objetivos principales de la Gestión de la Continuidad de los Servicios TI (ITSCM) se resumen en:
- Garantizar la pronta recuperación de los servicios (críticos) TI tras un desastre.
- Establecer políticas y procedimientos que eviten, en la medida de lo posible, las difíciles consecuencias de un desastre o causa de fuerza mayor.
Las políticas proactivas que prevean y limiten los efectos de un desastre sobre los servicios TI son preferibles a las acciones reactivas.
Una correcta ITSCM debe formar parte integrante de la Gestión de Continuidad del Negocio (Business Continuity Management BCM) y debe estar a su servicio. Los servicios TI no son sino una parte, aunque muy importante, del negocio en su conjunto.
Es importante diferenciar entre desastres “de toda la vida”, tales como incendios, inundaciones, etc…, y desastres “puramente informáticos”, tales como los producidos por ataques distribuidos de denegación de servicio y virus informáticos, etc… Aunque es responsabilidad de la Gestión de la Continuidad del Servicio (ITSCM) prever los riesgos asociados en ambos casos y restaurar el servicio TI con prontitud, es evidente que recae sobre la ITSCM una responsabilidad especial sobre los desastres “puramente informáticos”. Pues…
- Sólo afectan directamente a los servicios TI pero paralizan a toda la organización.
- Son más previsibles y más habituales.
- La percepción del cliente es diferente: los desastres naturales son más asumibles y no siempre se asocian a actitudes negligentes.
Los principales beneficios de una correcta Gestión de la Continuidad del Servicio se resumen en:
- Se gestionan adecuadamente los riesgos.
- Se reduce el periodo de interrupción del servicio por causas de fuerza mayor.
- Se mejora la confianza en la calidad del servicio entre clientes y usuarios.
- Sirve de apoyo al proceso de Gestión de la Continuidad del Negocio (BCM).
¿Qué dificultades se pueden presentar a la hora de implementar la Gestión de la Continuidad del Servicio? Las principales dificultades a la hora de implementar la Gestión de la Continuidad del Servicio se resumen en:
- Puede haber resistencia a realizar inversiones cuya rentabilidad no es inmediata.
- No se presupuestan correctamente los costes asociados.
- No se asignan los recursos suficientes.
- El personal no está familiarizado con las acciones y procedimientos a tomar en caso de interrupción grave de los servicios.
- Falta de coordinación con la Gestión de Continuidad del Negocio BCM.
En esta sección vamos hablar de las principales actividades de la Gestión de la Continuidad de los Servicios TI. En esta primera parte explicaremos las políticas y alcance del proceso ITSCM, el impacto de las interrupciones del servicio, los riesgos de la infraestructura y las estrategias de continuidad de los servicios.
A continuación se listan las principales actividades de la Gestión de la Continuidad de los Servicios TI. En su orden estan:
- Establecer las políticas y alcance de la ITSCM.
- Evaluar el impacto en el negocio de una interrupción de los servicios TI.
- Analizar y prever los riesgos a los que está expuesto la infraestructura TI.
- Establecer las estrategias de continuidad del servicio TI.
- Adoptar medidas proactivas de prevención del riesgo.
- Desarrollar los planes de contingencia.
- Poner a prueba dichos planes.
- Formar al personal sobre los procedimientos necesarios para la pronta recuperación del servicio.
- Revisar periódicamente los planes para adaptarlos a las necesidades reales del negocio.
El primer paso necesario para desarrollar una Gestión de la Continuidad del Servicio coherente es establecer claramente sus objetivos generales, su alcance y el compromiso de la organización TI: su política.
Es imprescindible establecer el alcance de la ITSCM en función de:
- Los planes generales de Continuidad del Negocio.
- Los servicios TI estratégicos.
- Los estándares de calidad adoptados.
- El histórico de interrupciones graves de los servicios TI.
- Las expectativas de negocio.
- La disponibilidad de recursos.
Cuanto mayor sea el impacto asociado a la interrupción de un determinado servicio mayor habrá de ser el esfuerzo realizado en actividades de prevención.
Los servicios TI han de ser analizados por la ITSCM en función de diversos parámetros:
- Consecuencias de la interrupción del servicio en el negocio:
- Pérdida de rentabilidad.
- Pérdida de cuota de mercado.
- Mala imagen de marca.
- Otros efectos secundarios.
- Cuánto se puede esperar a restaurar el servicio sin que tenga un alto impacto en los procesos de negocio.
- Compromisos adquiridos a través de los Acuerdos de Nivel de Servicios SLAs.
Dependiendo de estos factores se buscará un balance entre las actividades de prevención y recuperación teniendo en cuenta sus respectivos costes financieros.
Sin conocer cuáles son los riesgos reales a los que se enfrenta la infraestructura TI es imposible realizar una política de prevención y recuperación ante desastre mínimamente eficaz.
La Gestión de la Continuidad del Servicio debe enumerar y evaluar, dependiendo de su probabilidad e impacto, los diferentes riesgos y factores de riesgo. Para ello la ITSCM debe:
- Conocer en profundidad la infraestructura TI y cuales son los elementos de configuración (CIs) involucrados en la prestación de cada servicio, especialmente los servicios TI críticos y estratégicos.
- Analizar las posibles amenazas y estimar su probabilidad.
- Detectar los puntos más vulnerables de la infraestructura TI.
Dependiendo de estos factores se buscará un balance entre las actividades de prevención y recuperación teniendo en cuenta sus respectivos costes financieros.
La continuidad de los servicios TI puede conseguirse bien mediante medidas preventivas, que eviten la interrupción de los servicios, o medidas reactivas, que recuperen unos niveles aceptables de servicio en el menor tiempo posible.
Las medidas preventivas requieren un detallado análisis previo de riesgos y vulnerabilidades. Algunos de ellos serán de carácter general (incendios, desastres naturales, etc) mientras que otros tendrán un carácter estrictamente informático (fallo de sistemas de almacenamiento, ataques de hackers, virus informáticos, etc…).
Tarde o temprano, por muy eficientes que seamos en nuestras actividades de prevención, será necesario poner en marcha procedimientos de recuperación, ya sea por motivos de eventualidades de carácter general o informático.
Ahora bien… Continuando con las principales actividades de la Gestión de la Continuidad de los Servicios TI, en esta sección vamos hablar de las medidas proactivas de prevención del riesgo, de los planes de contingencia, de las pruebas a dichos planes y de la capacitación o socialización del proceso de Gestión de Continuidad al personal de TI.
La Gestión de la Continuidad de los Servicios TI debe adoptar medidas proactivas de prevención del riesgo, cuyo objetivo principal es el de evitar o minimizar el impacto de un desastre en la infraestructura TI. Para ello, la identificación de los activos de infraestructura TI y su nivel de vulnerabilidad en cuanto a mantener el servicio disponible. Llevar a cabo el análisis de impacto de un posible desastre y su afectación en los procesos de negocio, nos permitirá seleccionar e implementar los controles más adecuados.
Una vez determinado el alcance de la Gestión de Continuidad de los Servicios TI (ITSCM), analizados los riesgos y vulnerabilidades y definidas unas estrategias de prevención y recuperación, es necesario asignar y organizar los recursos. Con ese objetivo la Gestión de la Continuidad del Servicio debe elaborar una serie de documentos entre los que se incluyen:
- Plan de prevención de riesgos.
- Plan de gestión de emergencias.
- Plan de recuperación.
El plan de prevención de riesgos tiene como objetivo principal el de evitar o minimizar el impacto de un desastre en la infraestructura TI.
Entre las medidas habituales se encuentran:
- Almacenamiento de datos distribuidos.
- Sistemas de alimentación eléctrica de soporte.
- Políticas de back-ups.
- Duplicación de sistemas críticos.
- Sistemas de seguridad pasivos.
Plan de gestión de emergencias: Las crisis suelen provocar “reacciones de pánico” que pueden ser contraproducentes y a veces incluso más dañinas que las provocadas por el incidente que las causó. Por ello es imprescindible que en caso de situación de emergencia estén claramente determinadas las responsabilidades y funciones del personal así como los protocolos de acción correspondientes.
En principio los planes de gestión de emergencias deben tomar en cuenta aspectos tales como:
- Evaluación del impacto de la contingencia en la infraestructura TI.
- Asignación de funciones de emergencia al personal del servicio TI.
- Comunicación a los usuarios y clientes de una grave interrupción o degradación del servicio.
- Procedimientos de contacto y colaboración con los proveedores involucrados.
- Protocolos para la puesta en marcha del plan de recuperación correspondiente.
Plan de recuperación: Cuando la interrupción del servicio es inevitable, llega el momento de poner en marcha los procedimientos de recuperación.
El plan de recuperación debe incluir todo lo necesario para:
- Reorganizar el personal involucrado.Protocolos de comunicación con los clientes.
- Restablecer los sistemas de hardware y software necesarios.
- Recuperar los datos y reiniciar el servicio TI.
Los procedimientos de recuperación pueden depender de la importancia de la contingencia, pero en general involucran:
- Asignación de personal y recursos.
- Instalaciones y hardware alternativos.
- Planes de seguridad que garanticen la integridad de los datos.
- Procedimientos de recuperación de datos.
- Contratos de colaboración con otras organizaciones.
Una vez desarrollados los planes de prevención de riesgos, gestión de emergencias y de recuperación, lo que sigue es, poner a prueba dichos planes y conocer la solidez con la que estos planes pueden responder a las necesidades de contingencia.
Los planes de, prevención de riesgos, gestión de emergencias y de recuperación deben ser socializados con el personal de TI para que conozcan los procedimientos necesarios en caso de llevar a cabo la puesta en marcha de una salida a contingencia. En esta parte del proceso, también se busca definir los roles del personal de TI, capacitar y brindar toda la información y recursos necesarios para el flujo de una posible implementación del plan de recuperación.
Una vez establecidas las políticas, estrategias y planes de prevención y recuperación, es indispensable que éstos no queden en papel mojado y que la organización TI esté preparada para su correcta implementación. Ello depende de dos factores clave: la correcta formación del personal involucrado y la continua monitorización y evaluación de los planes para su adecuación a las necesidades reales del negocio.
Es inútil disponer de unos completos planes de prevención y recuperación si las personas que eventualmente deben llevarlos a cabo no están familiarizadas con los mismos. Es indispensable que la Gestión de la Continuidad de los Servicios de a conocer a la organización TI los planes de prevención y recuperación, formación específica y realice periódicamente simulacros para diferentes tipos de desastres.
Tanto las políticas, estrategias y planes han de ser actualizados periódicamente para asegurar que responden a los requisitos de la organización en su conjunto.
Una vez establecidas las políticas, estrategias y planes de prevención y recuperación, es indispensable que éstos no queden en papel mojado y que la organización TI esté preparada para su correcta implementación. Ello depende de dos factores clave: la correcta formación del personal involucrado y la continua monitorización y evaluación de los planes para su adecuación a las necesidades reales del negocio.
Es inútil disponer de unos completos planes de prevención y recuperación si las personas que eventualmente deben llevarlos a cabo no están familiarizadas con los mismos. Es indispensable que la Gestión de la Continuidad de los Servicios de a conocer a la organización TI los planes de prevención y recuperación, formación específica y realice periódicamente simulacros para diferentes tipos de desastres.
Tanto las políticas, estrategias y planes han de ser actualizados periódicamente para asegurar que responden a los requisitos de la organización en su conjunto.
La Gestión de la Continuidad del Servicio debe elaborar periódicamente informes sobre su gestión que incluyan información relevante para el resto de la organización TI.
Estos informes deben incluir:
- Análisis sobre nuevos riesgos y evaluación de su impacto.
- Evaluación de los simulacros de desastre realizados.
- Actividades de prevención y recuperación realizadas.
- Costes asociados a los planes de prevención y recuperación.
- Preparación y capacitación del personal TI respecto a los planes y procedimientos de prevención y recuperación.
Si, el control del proceso es importante en condiciones normales, éste se vuelve crítico durante las situaciones de crisis. La Gestión de Continuidad de los Servicios (ITSCM) debe garantizar:
- La puesta en marcha de los planes preestablecidos.
- La supervisión de los mismos.
- La coordinación con la Gestión de Continuidad del Negocio.
- La asignación de recursos necesarios.