Gestión de la Continuidad del Servicio
Proceso Las principales actividades de la Gestión de la Continuidad Continuidad del Servicio se resumen en: •
Establecer las políticas y alcance de la ITSCM (IT Service Continuity Management .)
•
Evaluar el impacto en el negocio de una interrupción de los servicios TI.
•
Analizar y prever los riesgos a los que esta epuesto la in!raestructura TI.
•
Establecer las estrategias de continuidad del servicio TI.
•
Adoptar medidas proactivas de prevención del riesgo.
•
"esarrollar los planes de contingencia.
•
#oner a prueba dic$os planes.
•
•
%ormar al personal sobre los procedimientos necesarios para la pronta recuperación del servicio. &evisar periódicamente los planes para adaptarlos a las necesidades reales del negocio.
Nota: los botones del gr'!ico permiten acceder a in!ormación mas detallada sobre la interrelación
con otros procesos TI.
Política y Alcance El primer paso necesario para desarrollar una Gestión de la Continuidad del Servicio co$erente es establecer claramente sus ob(etivos generales su alcance y el compromiso de la organización TI: su política. La gestión de la empresa debe demostrar su implicación con el proceso desde un primer momento pues la implantación de la ITSCM puede resultar comple(a y costosa sin la contrapartida de un retorno obvio a la inversión. Es imprescindible establecer el alcance de la ITSCM en !unción de: •
Los planes generales de *ontinuidad del +egocio.
•
Los servicios TI estrat,gicos.
•
Los est'ndares de calidad adoptados.
•
El $istórico de interrupciones graves de los servicios TI.
•
Las epectativas de negocio.
•
La disponibilidad de recursos.
La Gestión de la Continuidad del Servicio est' abocada al !racaso sino se destina una cantidad de recursos su!icientes tanto en el plano $umano como de equipamiento -so!tare y $ardare). /u dimensión depende de su alcance y sería absurdo y contraproducente instaurar una política demasiado ambiciosa que no dispusiera de los recursos re cursos correspondientes. 0na importa importante nte parte parte del es!uer es!uerzo zo debe destinars destinarsee a la !ormac !ormación ión del persona personal. l. 1ste 1ste debe debe interiorizar su papel en momentos de crisis y conocer per!ectamente las tareas que se espera desempe2e: una emergencia no es el me(or momento para estudiar documentación y manuales.
Análisis de Impacto 0na correcta Gestión de la Continuidad del Servicio requiere en primer lugar determinar el impacto que una interrupción de los servicios TI pueden tener en el negocio. En la actualidad casi todas las empresas grandes y peque2as dependen en mayor o menor medida de los servicios in!orm'ticos por lo que cabe esperar que un 3apagón3 de los servicios TI a!ecte a pr'cticamente todos los aspectos del negocio. /in embargo es evidente que $ay servicios TI estrat,gicos de cuya continuidad puede depender la supervivencia del negocio y otros que 3simplemente3 aumentan la productividad de la !uerza comercial y de traba(o.
*uanto mayor sea el impacto asociado a la interrupción de un determinado servicio mayor $abr' de ser el es!uerzo realizado en actividades de prevención. En aquellos casos en que la 3solución puede esperar3 se puede optar eclusivamente por planes de recuperación. Los servicios TI $an de ser analizados por la ITSCM en !unción de diversos par'metros: •
•
•
*onsecuencias de la interrupción del servicio en el negocio: #,rdida de rentabilidad. #,rdida de cuota de mercado. 4ala imagen de marca. 5tros e!ectos secundarios. *u'nto se puede esperar a restaurar el servicio sin que tenga un alto impacto en los procesos de negocio. *ompromisos adquiridos a trav,s de los SAs.
"ependiendo de estos !actores se buscar' un balance entre las actividades de prevención y recuperación teniendo en cuenta sus respectivos costes !inancieros.
!valuación de "iesgos /in conocer cuales son los riesgos reales a los que se en!renta la in!raestructura TI es imposible realizar una política de prevención y recuperación ante desastre mínimamente e!icaz. La Gestión de la Continuidad del Servicio debe enumerar y evaluar dependiendo de su probabilidad e impacto los di!erentes riesgos !actores de riesgo. #ara ello la ITSCM debe:
•
*onocer en pro!undidad la in!raestructura TI y cuales son los elementos de con!iguración -CIs) involucrados en la prestación de cada servicio especialmente los servicios TI críticos y estrat,gicos. Analizar las posibles amenazas y estimar su probabilidad.
•
"etectar los puntos m's vulnerables de la in!raestructura TI.
•
6racias a los resultados de este detallado an'lisis se dispondr' de in!ormación su!iciente para proponer di!erentes medidas de prevención y recuperación que se adapten a las necesidades reales del negocio. La prevención !rente a riesgos gen,ricos y poco probables puede ser muy cara y no estar siempre (usti!icada sin embargo las medidas preventivas o de recuperación !rente a riesgos especí!icos pueden resultar sencillas de r'pida implementación y relativamente baratas. #or e(emplo si el riesgo de perdida de alimentación el,ctrica es elevado debido por e(emplo a la localización geogr'!ica se puede optar por deslocalizar ciertos servicios TI a trav,s de ISPs que dispongan de sistemas de generadores redundantes o adquirir generadores que proporcionen la
energía mínima necesaria para alimentar los CIs de los que dependen los servicios m's críticos etc,tera.
!strategias La continuidad de los servicios TI puede conseguirse bien mediante medidas preventivas que eviten la interrupción de los servicios o medidas reactivas que recuperen unos niveles aceptables de servicio en el menor tiempo posible. Es responsabilidad de la Gestión de la Continuidad del Servicio dise2ar actividades de prevención y recuperación que o!rezcan las garantías necesarias a unos costes razonables.
Actividades preventivas Las medidas preventivas requieren un detallado an'lisis previo de riesgos y vulnerabilidades. Algunos de ellos ser'n de car'cter general: incendios desastres naturales etc,tera mientras que otros tendr'n un car'cter estrictamente in!orm'tico: !allo de sistemas de almacenamiento ataques de $ac7ers virus in!orm'ticos etc,tera. La adecuada prevención de los riesgos de car'cter general dependen de una estrec$a colaboración con la Gestión de la Continuidad del Negocio -#CM) y requieren medidas que implican a la in!raestructura 3!ísica3 de la organización. La prevención de riesgos y vulnerabilidades 3lógicas3 o de $ardare requieren especial atención de la ITSCM. En este aspecto es esencial la estrec$a colaboración con la Gestión de la Seguridad. Los sistemas de protección $abituales son los de 3%ortaleza3 que o!recen protección perimetral a la in!raestructura TI. Aunque imprescindibles no se $allan eentos de sus propias di!icultades pues aumentan la comple(idad de la in!raestructura TI y pueden ser a su vez !uente de nuevas vulnerabilidades.
Actividades de recuperación Tarde o temprano por muy e!icientes que seamos en nuestras actividades de prevención ser' necesario poner en marc$a procedimientos de recuperación. En líneas generales eisten tres opciones de recuperación del servicio: •
•
•
$Cold stand%y$: que requiere un emplazamiento alternativo en el que podamos
reproducir en pocos días nuestro entorno de producción y servicio. Esta opción es la adecuada si los planes de recuperación estiman que la organización puede mantener sus niveles de servicio durante este periodo sin el apoyo de la in!raestructura TI. $&arm stand%y$: que requiere un emplazamiento alternativo con sistemas activos dise2ados para recuperar los servicios críticos en un plazo de entre 89 y 8 $oras. $'ot stand%y$ : que requiere un emplazamiento alternativo con una replicación continua de datos y con todos los sistemas activos preparados para la inmediata sustitución de la estructura de producción. 1sta es evidentemente la opción mas costosa y debe emplearse sólo en el caso de que la interrupción del servicio TI tuviera inmediatas repercusiones comerciales.
#or supuesto eiste otra alternativa que consiste en $acer 3poco o nada3 y esperar que las aguas vuelvan naturalmente a su cauce: una alternativa poco recomendable para alguien que est, $o(eando este curso sobre ITIL y del que suponemos que los servicios TI (ugar'n un papel importante en su organización :;)
(rgani)ación y Plani*icación 0na vez determinado el alcance de la ITSCM analizados los riesgos y vulnerabilidades y de!inidas unas estrategias de prevención y recuperación es necesario asignar y organizar los recursos necesarios. *on ese ob(etivo la Gestión de la Continuidad del Servicio debe elaborar una serie de documentos entre los que se incluyen: •
#lan de prevención de riesgos.
•
#lan de gestión de emergencias.
•
#lan de recuperación.
Plan de prevención de riesgos *uyo ob(etivo principal es el de evitar o minimizar el impacto de un desastre en la in!raestructura TI. Entre las medidas $abituales se encuentran: •
Almacenamiento de datos distribuidos.
•
/istemas de alimentación el,ctrica de soporte.
•
#olíticas de bac7;ups.
•
"uplicación de sistemas críticos.
•
/istemas de seguridad pasivos.
Plan de gestión de emergencias Las crisis suelen provocar 3reacciones de p'nico3 que pueden ser contraproducentes y a veces incluso m's da2inas que las provocadas por el incidente que las causo. #or ello es imprescindible que en caso de situación de emergencia est,n claramente determinadas las responsabilidades y !unciones del personal así como los protocolos de acción correspondientes. En principio los planes de gestión de emergencias deben tomar en cuenta aspectos tales como: •
Evaluación del impacto de la contingencia en la in!raestructura TI.
•
Asignación de !unciones de emergencia al personal de servicio TI.
•
*omunicación a los usuarios y clientes de una grave interrupción o degradación del servicio. #rocedimientos de contacto y colaboración con los proveedores involucrados.
•
#rotocolos para la puesta en marc$a del plan de recuperación correspondiente.
•
Plan de recuperación *uando la interrupción del servicio es inevitable llego el momento de poner en marc$a los procedimientos de recuperación. El plan de recuperación debe incluir todo lo necesario para: •
&eorganizar al personal involucrado.
•
&eestablecer los sistemas de $ardare y so!tare necesarios.
•
&ecuperar los datos y reiniciar el servicio TI.
Los procedimientos de recuperación pueden depender de la importancia de la contingencia y de la opción de recuperación asociada -3cold o $ot stand;by3) pero en general involucran: •
Asignación de personal y recursos.
•
Instalaciones y $ardare alternativos.
•
#lanes de seguridad que garanticen la integridad de los datos.
•
#rocedimientos de recuperación de datos.
•
*ontratos de colaboración con otras organizaciones.
•
#rotocolos de comunicación con los clientes.
*uando se pone en marc$a un plan de recuperación no $ay espacio para la improvisación cualquier decisión puede tener graves consecuencias tanto en la percepción que de nosotros tengan nuestros clientes como en los costes asociados al proceso. Aunque pueda resultar paradó(ico un 3desastre3 puede ser una buena oportunidad para demostrar a nuestros clientes la solidez de nuestra organización TI y por tanto incrementar la con!ianza que tiene depositada en nosotros.
Supervisión
0na vez establecidas las políticas estrategias y planes de prevención y recuperación es indispensable que estos no queden en papel mo(ado y que la organización TI est, preparada para su correcta implementación. Ello depende de dos !actores clave: la correcta !ormación del personal involucrado y la continua monitorización y evaluación de los planes para su adecuación a las necesidades reales del negocio.
-ormación Es in=til disponer de unos completos planes de prevención y recuperación si las personas que eventualmente deben llevarlos a cabo no est'n !amiliarizados con los mismos. Es indispensable que la ITSCM: •
•
•
•
"e a conocer al con(unto de la organización TI los planes de prevención y recuperación. 5!rezca !ormación especí!ica sobre los di!erentes procedimientos de prevención y recuperación. &ealice periódicamente simulacros para di!erentes tipos de desastres con el !in de asegurar la capacitación del personal involucrado. %acilite el acceso permanente a toda la in!ormación necesaria por e(emplo a trav,s de la Intranet o portal >8E de la empresa.
Actuali)ación y auditorías Tanto las políticas estrategias y planes $an de ser actualizados periódicamente para asegurar que responden a los requisitos de la organización en su con(unto. *ualquier cambio en la in!raestructura TI o en los planes de negocio puede requerir de una pro!unda revisión de los planes en vigor y una consecuente auditoría que eval=e su adecuación a la nueva situación. En ocasiones en que el dinamismo del negocio y los servicios TI lo $aga recomendable estos procesos de actualización y auditoria pueden establecerse de !orma periódica. La Gestión de Cam%ios (uega un papel esencial en asegurar que los planes de recuperación y prevención est,n actualizados manteniendo in!ormada a la ITSCM de los cambios realizados o previstos.
Control del Proceso La Gestión de la Continuidad del Servicio debe elaborar periódicamente in!ormes sobre su gestión que incluyan in!ormación relevante para el resto de la organización TI. Estos in!ormes deben incluir: •
An'lisis sobre nuevos riesgos y evaluación de su impacto.
•
Evaluación de los simulacros de desastre realizados.
•
Actividades de prevención y recuperación realizadas.
•
*ostes asociados a los planes de prevención y recuperación.
•
#reparación y capacitación del personal TI respecto a los planes y procedimientos de prevención y recuperación.
0no de los !actores clave para el ,ito de la Gestión de la Continuidad del Servicio es mantener la 3concentración3. Tras largos periodos en los que la prevención o simple y llanamente la suerte $an impedido la eistencia de graves interrupciones del servicio se puede caer en un rela(amiento que puede acarrear graves consecuencias. #or esto es imprescindible llevar controles rigurosos que impidan que la inversión y compromiso inicial se diluyan y la ITSCM no est, a la altura de la situación cuando sus servicios sean vitales para evitar que 3un desastre se convierta en una cat'stro!e3. #ero si el control del proceso es importante en condiciones normales ,ste se vuelve crítico durante las situaciones de crisis. La ITSCM debe garantizar: •
La puesta en marc$a de los planes preestablecidos.
•
La supervisión de los mismos.
•
La coordinación con la Gestión de Continuidad del Negocio.
•
La asignación de recursos necesarios.
Caso Práctico La organización TI de 3*ater 4atters3 carece de una Gestión de la Continuidad del Servicio que merezca ese nombre. La gestión de 3*ater 4atters3 es consciente de la importancia que tienen en la actualidad los servicios TI en toda su cadena de producción y distribución y pretende corregir esa situación. "e entre todos los servicios TI los asociados a la gestión de eistencias por estar compuestas de productos perecederos y los servicios online de pedidos son considerados de importancia estrat,gica por la dirección de la empresa. #or ello se decide que en primera instancia la ITSCM debe garantizar la continuidad de dic$os servicios en un plazo nunca superior a las ? $oras mientras que se establecen ob(etivos menos ambiciosos para otros servicios. /e asigna a un e(ecutivo senior del departamento TI el papel de gestor del proceso y se le encarga coordinar todas las actividades con la Gestión de la Continuidad del Negocio . La Gestión de la Continuidad del Negocio $a !irmado acuerdos de colaboración con otras empresas de catering para suministros de emergencia que cubran los clientes m's importantes: •
/ervicios de catering de colegios y $ospitales.
•
*ongresos y eventos multitudinarios de todo tipo.
La coordinación en estos casos requiere el desarrollo de módulos especiales que permitan eportar las bases de datos de pedidos a !ormatos est'ndar de intercambio de datos para que estos puedan ser procesados por las otras organizaciones. #or otro lado se desarrolla una aplicación de gestión de emergencia de las eistencias que permite administrar los pedidos a los proveedores y preservar la integridad de las eistencias dependiendo de su in!ormación de caducidad y del impacto de la interrupción del negocio en las mismas. /e establece asimismo: •
•
0n calendario periódico de pruebas de los planes de recuperación. 0n calendario de cursos de !ormación sobre los protocolos de actuación en situación de emergencia.
#ero la Gestión de la Continuidad del Servicio no sólo debe aplicar medidas reactivas que mitiguen el impacto de una eventual interrupción del servicio entre sus obligaciones se encuentran la elaboración de unos planes de prevención que eviten dic$as situaciones. #ara evitar interrupciones de sus servicios online la ITSCM:
•
*ontrata servicios de 3$ousing3 con un proveedor que dispone de coneiones con varios operadores al 3bac7bone de Internet3 y asegura alimentación el,ctrica interrumpida. &eplica los sistemas críticos en di!erentes localizaciones geogr'!icas.
•
/upervisa la política de bac7;ups de los servidores de datos.
•
Instala sistemas de protección perimetral.
•