Comunicaciones y Sistemas, Soluciones y consultoría, Tecnología

Cómo elaborar el Plan de Continuidad TIC: la metodología circular

El mercado globalizado y tecnológico ha traído un aumento del número de incidentes capaces de provocar la interrupción de la actividad de las organizaciones, pero también ha ampliado las formas de establecer una estrategia de continuidad de negocio eficaz.
Índice del contenido

Establecer un plan de continuidad TIC es ya una necesidad. La tecnología ya es parte integrante del negocio en cualquier organización, independientemente de su tamaño o sector. Su función es mejorar la eficacia de los procesos, pero la dependencia del correcto funcionamiento de una organización a la tecnología, la convierten en un punto vulnerable de la misma.

Paradójicamente, es en la propia tecnología donde encontramos soluciones para controlar esa vulnerabilidad y cualquier otra que pueda afectar a la continuidad de negocio, siendo, por ello, imprescindible establecer una estrategia de continuidad de las soluciones de tecnología como parte del Plan de Continuidad de Negocio.

Conceptos de análisis para implementar la estrategia en un plan de continuidad TIC

Para comenzar a elaborar la estrategia de continuidad TIC, es necesario conocer la diferencia entre estos conceptos de análisis, fundamentales en el planteamiento de la estrategia y que son transversales a las mismas soluciones:

RTO

El tiempo máximo de indisponibilidad de los activos, y el grado de impacto que ocasionaría la indisponibilidad de los mismos, de forma concreta en el trascurso del tiempo.

RPO

El tiempo máximo de recuperación de la información, analizando el impacto que ocasionaría la pérdida de los datos mientras el servicio está parado. Es decir, la cantidad de datos en tiempo que la organización se puede permitir perder y recuperar una copia de seguridad de ese momento: un día atrás, una semana atrás, un mes…

MTD

El tiempo máximo tolerable de caída antes de que se produzcan consecuencias desastrosas para la organización, como pérdidas irrecuperables, daño en la imagen… Este concepto está siempre por encima del RTO.

ROL

El umbral mínimo de recuperación que debe tener una actividad o servicio para que se consideren operativos.

Situar los conceptos de análisis

Los conceptos RTO y RPO se pueden representar en una línea temporal construida a partir del momento en el que ocurre el desastre que condiciona la continuidad de negocio. El RTO se situaría hacia delante: cuánto tiempo necesita el Responsable del Servicio en volver a tener operativo el servicio. El RPO se situaría hacia atrás: en caso de pérdida de un activo de información, cuantos datos en medida temporal puede permitirse la entidad perder. Los costes asociados a las soluciones de continuidad de negocio siempre son más altos cuanto más cerca del desastre se encuentren el RTO y el RPO en esa línea temporal. Es decir, con un RTO y un RPO muy bajos: volver a poner la producción en un tiempo mínimo tras el desastre con una pérdida mínima de datos.

La estrategia de continuidad de negocio de una organización se plasma en el Plan de Continuidad de Negocio. El plan de continuidad de negocio es la base teórica global de planificación que influye sobre el Plan de Continuidad de las Soluciones Tecnológicas (PCTIC) y los Disaster Recovery Plan (DRP). Estos son las instrucciones o procedimientos que indican paso a paso cómo poner en marcha las soluciones tecnológicas tras un desastre concreto. El PCN contiene al PCTIC que, a su vez, contiene al DRP.

La metodología circular: actualizar es garantizar

Una buena estrategia de continuidad de negocio se basa en una planificación que permita implementar las medidas que eviten, en la mayor medida posible, la improvisación ante cualquier contingencia. Esta planificación se debe tener en cuenta las soluciones tecnológicas pero también en los proveedores, sistemas de información, personal, instalaciones y todos los elementos de la organización que sean claves a la hora de garantizar la continuidad de negocio.

En Sothis creemos que el proceso para la creación de esa estrategia debe empezar por una consultoría. Esta consultoría debe estar apoyada en profesionales especializados en Gobierno, Riesgo y Cumplimiento (GRC) y profesionales de Sistemas y Cloud, a través de la cual se hace el análisis de impacto de negocio y el análisis de riesgos. En estos análisis se detectan aquellas amenazas de alto impacto y baja probabilidad que pueden afectar a la disponibilidad de los servicios críticos que sirvan de base al estudio de las medidas de continuidad específicas para cada organización.

Estudio de consultoría

El objetivo de este estudio de consultoría es que la solución tecnológica final se adapte a las necesidades del negocio y de cada una de sus diferentes áreas. Es importante que ocurra al revés: que sea el negocio y sus diferentes áreas los que tengan que adaptarse a la solución tecnológica. Esto es lo que pasa cuando la metodología de creación de una estrategia de continuidad de negocio prescinde de ese paso.

La metodología de elaboración del Plan de Continuidad TIC no está representada por una línea recta de pasos que se dejan atrás una vez ejecutados. Está representada por un círculo de revisión y actualización permanentes.

Las etapas del círculo de elaboración de un Plan de Continuidad TIC

  • Planificación: la etapa del estudio y la elaboración
    • Definición del alcance del Plan de Continuidad TIC
    • Análisis de impacto de negocio
    • Análisis de riesgos
    • Elaboración de una estrategia de continuidad TIC
  • Ejecución: la etapa de despliegue del plan
    • Implementación de iniciativas
    • Elaboración de Planes de Actuación ante Incidencias
    • Formación del personal
  • Prueba: la etapa en donde el plan se pone a prueba y revisa
    • Plan de pruebas
    • Revisión del PCTIC según los resultados de las pruebas
    • Revisión del registro de incidentes
  • Actualización: la etapa en donde el plan se reajusta y amplía o corrige para adecuarlo a cada nueva circunstancia
    • Acciones correctivas
    • Mejoras del PCTIC
    • Actualización del PCTIC

Cada una de estas etapas conduce a la siguiente. Es un proceso circular que permite que el Plan de Continuidad TIC de la organización esté siempre actualizado y responda a las necesidades específicas de cada momento. De esta forma, en caso de que ocurra cualquier incidente, nunca hay que recurrir a un plan obsoleto.

¿Por qué Sothis?

En Sothis nos basamos en esta metodología circular propia para elaborar estrategias de continuidad de soluciones de tecnología que se sitúa en la estrategia global de continuidad de negocio. Estas se adaptan a las necesidades y particularidades de cada cliente, asegurando la continua revisión y actualización de los mismos para garantizar su eficacia. Contáctanos para más información.

Comparte

No es sólo un blog

Noticias y avances sobre
tecnología

“Transformando la Gestión de Datos de Mercado hacia...
SAP ofrece diversos beneficios y soluciones personalizadas para...
En industrias farmacéuticas la gestión de lotes es...
En septiembre de 2022 el Congreso aprobó la...
La ciberseguridad en la industria 4.0 es vital...

¡Gracias!

Tu formulario se ha enviado correctamente-

Consigue el eBook

De conformidad con lo establecido en la normativa vigente en materia de protección de datos, le informamos que sus datos serán tratados por Sothis Enterprise Resource Planning, S.L.U. con el fin de atender las solicitudes que nos formule en base a la ejecución de un acuerdo. Puede ejercer sus derechos de acceso, rectificación, supresión, oposición, así como los demás que la normativa reconoce al interesado, mediante solicitud dirigida a c/ Charles Robert Darwin, 13 – Parque Tecnológico cp. 46980 Paterna (Valencia), o por correo electrónico a rgpd@sothis.tech adjuntando copia de su DNI o documentación que le identifique. Puede consultar información adicional sobre el tratamiento de datos en SOTHIS en nuestra Política de Privacidad.