El paso a paso para desarrollar un Plan de Recuperación de TI (o IT #DisasterRecovery Plan) #BusinessContinuity
A partir de la publicación SP 800-34:2010 del Instituto Nacional de Estándares y Tecnología (NIST), a continuación se resumen las actividades requeridas para el desarrollo del Plan de Recuperación de TI (o IT Disaster Recovery Plan):
- El equipo de desarrollo del plan se debe reunir con el equipo interno a cargo de la infraestructura de TI, el equipo de aplicaciones (servidores y bases de datos), y los administradores de redes, y establecer el alcance de la contingencia tecnológica —por ejemplo, los componentes y recursos internos a considerar, así como los activos externos, los recursos de terceros, los enlaces a oficinas/clientes/proveedores, etc.—. Es importante mantener informada a la dirección del departamento de TI sobre los acuerdos y avances de estas reuniones.
- Recopilar todos los documentos relevantes de la infraestructura de TI, como los diagramas de las redes, la configuración de los servidores, equipos de comunicaciones y bases de datos.
- Obtener copias de los planes existentes de recuperación de TI y redes; si no los hay, proceder con los siguientes pasos.
- Identificar las amenazas a la disponibilidad de la infraestructura de TI que la dirección considere más críticas: por ejemplo, incendios, errores humanos, apagones de energía, falla de los sistemas, etc.
- Identificar aquello que la dirección considera que son las principales vulnerabilidades de la infraestructura: por ejemplo, inexistencia de sistemas de respaldo en caso de apagón eléctrico, copias de bases de datos obsoletas, etc.
- Examinar el historial previo de apagones y disrupciones, y cómo fueron gestionados por la empresa.
- Identificar los activos de TI que la dirección considera más críticos: por ejemplo, la central telefónica, las granjas de servidores, el acceso a Internet, etc.
- Determinar el tiempo máximo de interrupción que la dirección está dispuesta a tolerar en caso de indisponibilidad de los servicios de TI. Contrastarlo con los objetivos de tiempo de recuperación (RTO) y de punto de recuperación (RPO), determinados durante el análisis de impacto al negocio (BIA) realizado con las áreas de negocio de la compañía.
- Identificar los procedimientos técnicos operativos que se utilizan actualmente para responder a las interrupciones de la infraestructura. Determinar cuándo se probaron, para validar si siguen siendo adecuados o no.
- Identificar los equipos (personas) de respuesta de emergencia para todas las disrupciones de la infraestructura crítica de TI; determinar su nivel de conocimientos y preparación para manejar los sistemas críticos, especialmente en casos de emergencia.
- Identificar las capacidades de respuesta de los proveedores en casos de emergencia; si se han utilizado alguna vez; si funcionaron correctamente; cuánto paga la compañía por estos servicios; el estado del contrato de servicio; la existencia de acuerdos de nivel de servicio (SLA) y si se monitorean periódicamente.
- Recopilar y consolidar los resultados de todas las revisiones y evaluaciones realizadas en los pasos anteriores en un reporte de análisis de carencias (gap analysis) que identifique lo que se está haciendo frente a lo que debería hacerse, con recomendaciones sobre cómo lograr el nivel requerido de preparación, a partir del análisis de impacto al negocio (BIA), y las inversiones necesarias para ello. Esto incluye evaluar la necesidad del sitio alterno de contingencia de TI (data center alterno) y el tipo de estrategia de recuperación apropiado.
- Lograr que la dirección lea el reporte y que acuerde tomar las acciones recomendadas.
- Implementar las estrategias y mecanismos de recuperación aprobados por la dirección.
- Documentar el Plan de Recuperación de TI cubriendo las estrategias y procedimientos técnicos para recuperar las aplicaciones y sistemas informáticos, y la infraestructura de red identificadas como esenciales.
- Realizar pruebas de los planes y activos de recuperación de sistemas para validar su operatividad.
- Periódicamente y ante cambios significativos, actualizar la documentación del plan.
- Programar la próxima revisión/auditoría de capacidades de recuperación ante desastres de TI.
Fuente:
Kirvan, P. (2009, octubre). De la A a la Z: plan para la recuperación de desastres (RD) TI. SearchDataCenter. Recuperado de http://searchdatacenter.techtarget.com/es/cronica/De-la-A-a-la-Z-plan-para-la-recuperacion-de-desastres-RD-TI
Comentarios
Publicar un comentario