El paso a paso para desarrollar un Plan de Recuperación de TI (o IT #DisasterRecovery Plan) #BusinessContinuity

-
A partir de la publicación SP 800-34:2010 del Instituto Nacional de Estándares y Tecnología (NIST), a continuación se resumen las actividades requeridas para el desarrollo del Plan de Recuperación de TI (o IT Disaster Recovery Plan):
  1. El equipo de desarrollo del plan se debe reunir con el equipo interno a cargo de la infraestructura de TI, el equipo de aplicaciones (servidores y bases de datos), y los administradores de redes, y establecer el alcance de la contingencia tecnológica —por ejemplo, los componentes y recursos internos a considerar, así como los activos externos, los recursos de terceros, los enlaces a oficinas/clientes/proveedores, etc.—. Es importante mantener informada a la dirección del departamento de TI sobre los acuerdos y avances de estas reuniones.
  2. Recopilar todos los documentos relevantes de la infraestructura de TI, como los diagramas de las redes, la configuración de los servidores, equipos de comunicaciones y bases de datos.
  3. Obtener copias de los planes existentes de recuperación de TI y redes; si no los hay, proceder con los siguientes pasos.
  4. Identificar las amenazas a la disponibilidad de la infraestructura de TI que la dirección considere más críticas: por ejemplo, incendios, errores humanos, apagones de energía, falla de los sistemas, etc.
  5. Identificar aquello que la dirección considera que son las principales vulnerabilidades de la infraestructura: por ejemplo, inexistencia de sistemas de respaldo en caso de apagón eléctrico, copias de bases de datos obsoletas, etc.
  6. Examinar el historial previo de apagones y disrupciones, y cómo fueron gestionados por la empresa.
  7. Identificar los activos de TI que la dirección considera más críticos: por ejemplo, la central telefónica, las granjas de servidores, el acceso a Internet, etc.
  8. Determinar el tiempo máximo de interrupción que la dirección está dispuesta a tolerar en caso de indisponibilidad de los servicios de TI. Contrastarlo con los objetivos de tiempo de recuperación (RTO) y de punto de recuperación (RPO), determinados durante el análisis de impacto al negocio (BIA) realizado con las áreas de negocio de la compañía.
  9. Identificar los procedimientos técnicos operativos que se utilizan actualmente para responder a las interrupciones de la infraestructura. Determinar cuándo se probaron, para validar si siguen siendo adecuados o no.
  10. Identificar los equipos (personas) de respuesta de emergencia para todas las disrupciones de la infraestructura crítica de TI; determinar su nivel de conocimientos y preparación para manejar los sistemas críticos, especialmente en casos de emergencia.
  11. Identificar las capacidades de respuesta de los proveedores en casos de emergencia; si se han utilizado alguna vez; si funcionaron correctamente; cuánto paga la compañía por estos servicios; el estado del contrato de servicio; la existencia de acuerdos de nivel de servicio (SLA) y si se monitorean periódicamente.
  12. Recopilar y consolidar los resultados de todas las revisiones y evaluaciones realizadas en los pasos anteriores en un reporte de análisis de carencias (gap analysis) que identifique lo que se está haciendo frente a lo que debería hacerse, con recomendaciones sobre cómo lograr el nivel requerido de preparación, a partir del análisis de impacto al negocio (BIA), y las inversiones necesarias para ello. Esto incluye evaluar la necesidad del sitio alterno de contingencia de TI (data center alterno) y el tipo de estrategia de recuperación apropiado.
  13. Lograr que la dirección lea el reporte y que acuerde tomar las acciones recomendadas.
  14. Implementar las estrategias y mecanismos de recuperación aprobados por la dirección.
  15. Documentar el Plan de Recuperación de TI cubriendo las estrategias y procedimientos técnicos para recuperar las aplicaciones y sistemas informáticos, y la infraestructura de red identificadas como esenciales.
  16. Realizar pruebas de los planes y activos de recuperación de sistemas para validar su operatividad.
  17. Periódicamente y ante cambios significativos, actualizar la documentación del plan.
  18. Programar la próxima revisión/auditoría de capacidades de recuperación ante desastres de TI.

Fuente:
Kirvan, P. (2009, octubre). De la A a la Z: plan para la recuperación de desastres (RD) TI. SearchDataCenter. Recuperado de http://searchdatacenter.techtarget.com/es/cronica/De-la-A-a-la-Z-plan-para-la-recuperacion-de-desastres-RD-TI

Comentarios

Publicar un comentario

Entradas populares de este blog

Mapa de suelos de Lima y Callao #BusinessContinuity #DisasterRecovery

-
Imagen
Extraído del Atlas de Peligros del Perú articulado por el Instituto Nacional de Defensa Civil (Indeci), en el mapa se muestran los resultados del estudio de microzonificación sísmica y tsunami realizado en 2010. Cada color indica una zona la cual corresponde un tipo de calidad de suelo: Peligro bajo (verde) : Está conformada por los afloramientos rocosos, los estratos de grava-aluvial de los pies de las laderas. Este suelo tiene un comportamiento rígido, con periodos de vibración natural. Peligro bajo Peligro relativamente bajo (amarillo) : Se incluyen las áreas de terreno conformado por un estrato superficial de suelo granulado fino y suelos arcillosos. Peligro relativamente bajo. Peligro alto (anaranjado) : Conformada en su mayor parte por los depósitos de suelos finos y arenas de gran espesor que se encuentran en estado suelto. Peligro alto. Peligro muy alto (rojo) : Conformada por los depósitos de arena eólicas de gran espesor y sueltas, depósitos fluviales, depósitos marin
Leer más

¿Qué dice la Ley 29783 (SST) sobre gestión de emergencias? #EmergencyPlanning #BusinessContinuity

-
Imagen
Mediante la ley de Seguridad y Salud en el Trabajo ( Ley N° 29783: 2011 ) y su reglamento respectivo  (D.S. 005.2012-TR), se estableció la obligación para las empresas de contar con un sistema de gestión en seguridad y salud en el trabajo ; el que especifica disposiciones legales específicas con respecto a la respuesta a situaciones de emergencia. En la Ley 29783 de Seguridad y Salud en el Trabajo (SST): Art. 39.- Objetivos de la Planificación del Sistema de Gestión de la Seguridad y Salud en el Trabajo . Con respecto al logro de resultados específicos, realistas y posibles de aplicar por la empresa; comprende (a) la mejora continua de los procesos, la gestión del cambio, la preparación y respuesta a situaciones de emergencia; y (b) la mejora del nivel de participación de los trabajadores y su capacitación.   En el Reglamento de la ley de SST: Art. 33.- Registros obligatorios del Sistema de Gestión de SST : g) […] registro de entrenamiento y simulacros de emergencia (
Leer más

Repasando el MTPD (o período máximo tolerable de interrupción)

-
Imagen
Acorde con la práctica estándar, las organizaciones determinan sus prioridades y requerimientos para el programa de continuidad del negocio, como parte del proceso de análisis de impacto o business impact analysis (BIA). Desde 2006 se introdujo un concepto para ayudar a determinar cómo debían priorizarse las actividades de las empresas ante un evento de interrupción y bajo qué condiciones estas debían ser recuperadas: el período máximo tolerable de interrupción o maximum tolerable period of disruption (MTPD). Image:  https://www.nbcnews.com/news/us-news/ditch-switch-call-go-permanent-daylight-saving-time-grows-n1043051 Según la norma internacional ISO 22301:2019, el MTPD es el período de tiempo dentro del cual, si no se pudieran reanudar las actividades, los impactos llegarían a ser inaceptables para la organización ; amenazando su supervivencia o haciendo que sus objetivos ya no sean alcanzables. Para poder identificar el MTPD para cada actividad, la organización debe decidir primer
Leer más