Establecer un plan de continuidad TIC es ya una necesidad. La tecnología ya es parte integrante del negocio en cualquier organización, independientemente de su tamaño o sector. Su función es mejorar la eficacia de los procesos, pero la dependencia del correcto funcionamiento de una organización a la tecnología, la convierten en un punto vulnerable de la misma.
Paradójicamente, es en la propia tecnología donde encontramos soluciones para controlar esa vulnerabilidad y cualquier otra que pueda afectar a la continuidad de negocio, siendo, por ello, imprescindible establecer una estrategia de continuidad de las soluciones de tecnología como parte del Plan de Continuidad de Negocio.
Conceptos de análisis para implementar la estrategia en un plan de continuidad TIC
Para comenzar a elaborar la estrategia de continuidad TIC, es necesario conocer la diferencia entre estos conceptos de análisis, fundamentales en el planteamiento de la estrategia y que son transversales a las mismas soluciones:
RTO
El tiempo máximo de indisponibilidad de los activos, y el grado de impacto que ocasionaría la indisponibilidad de los mismos, de forma concreta en el trascurso del tiempo.
RPO
El tiempo máximo de recuperación de la información, analizando el impacto que ocasionaría la pérdida de los datos mientras el servicio está parado. Es decir, la cantidad de datos en tiempo que la organización se puede permitir perder y recuperar una copia de seguridad de ese momento: un día atrás, una semana atrás, un mes…
MTD
El tiempo máximo tolerable de caída antes de que se produzcan consecuencias desastrosas para la organización, como pérdidas irrecuperables, daño en la imagen… Este concepto está siempre por encima del RTO.
ROL
El umbral mínimo de recuperación que debe tener una actividad o servicio para que se consideren operativos.
Situar los conceptos de análisis
Los conceptos RTO y RPO se pueden representar en una línea temporal construida a partir del momento en el que ocurre el desastre que condiciona la continuidad de negocio. El RTO se situaría hacia delante: cuánto tiempo necesita el Responsable del Servicio en volver a tener operativo el servicio. El RPO se situaría hacia atrás: en caso de pérdida de un activo de información, cuantos datos en medida temporal puede permitirse la entidad perder. Los costes asociados a las soluciones de continuidad de negocio siempre son más altos cuanto más cerca del desastre se encuentren el RTO y el RPO en esa línea temporal. Es decir, con un RTO y un RPO muy bajos: volver a poner la producción en un tiempo mínimo tras el desastre con una pérdida mínima de datos.
La estrategia de continuidad de negocio de una organización se plasma en el Plan de Continuidad de Negocio. El plan de continuidad de negocio es la base teórica global de planificación que influye sobre el Plan de Continuidad de las Soluciones Tecnológicas (PCTIC) y los Disaster Recovery Plan (DRP). Estos son las instrucciones o procedimientos que indican paso a paso cómo poner en marcha las soluciones tecnológicas tras un desastre concreto. El PCN contiene al PCTIC que, a su vez, contiene al DRP.
La metodología circular: actualizar es garantizar
Una buena estrategia de continuidad de negocio se basa en una planificación que permita implementar las medidas que eviten, en la mayor medida posible, la improvisación ante cualquier contingencia. Esta planificación se debe tener en cuenta las soluciones tecnológicas pero también en los proveedores, sistemas de información, personal, instalaciones y todos los elementos de la organización que sean claves a la hora de garantizar la continuidad de negocio.
En Sothis creemos que el proceso para la creación de esa estrategia debe empezar por una consultoría. Esta consultoría debe estar apoyada en profesionales especializados en Gobierno, Riesgo y Cumplimiento (GRC) y profesionales de Sistemas y Cloud, a través de la cual se hace el análisis de impacto de negocio y el análisis de riesgos. En estos análisis se detectan aquellas amenazas de alto impacto y baja probabilidad que pueden afectar a la disponibilidad de los servicios críticos que sirvan de base al estudio de las medidas de continuidad específicas para cada organización.
Estudio de consultoría
El objetivo de este estudio de consultoría es que la solución tecnológica final se adapte a las necesidades del negocio y de cada una de sus diferentes áreas. Es importante que ocurra al revés: que sea el negocio y sus diferentes áreas los que tengan que adaptarse a la solución tecnológica. Esto es lo que pasa cuando la metodología de creación de una estrategia de continuidad de negocio prescinde de ese paso.
La metodología de elaboración del Plan de Continuidad TIC no está representada por una línea recta de pasos que se dejan atrás una vez ejecutados. Está representada por un círculo de revisión y actualización permanentes.
Las etapas del círculo de elaboración de un Plan de Continuidad TIC
- Planificación: la etapa del estudio y la elaboración
- Definición del alcance del Plan de Continuidad TIC
- Análisis de impacto de negocio
- Análisis de riesgos
- Elaboración de una estrategia de continuidad TIC
- Ejecución: la etapa de despliegue del plan
- Implementación de iniciativas
- Elaboración de Planes de Actuación ante Incidencias
- Formación del personal
- Prueba: la etapa en donde el plan se pone a prueba y revisa
- Plan de pruebas
- Revisión del PCTIC según los resultados de las pruebas
- Revisión del registro de incidentes
- Actualización: la etapa en donde el plan se reajusta y amplía o corrige para adecuarlo a cada nueva circunstancia
- Acciones correctivas
- Mejoras del PCTIC
- Actualización del PCTIC
Cada una de estas etapas conduce a la siguiente. Es un proceso circular que permite que el Plan de Continuidad TIC de la organización esté siempre actualizado y responda a las necesidades específicas de cada momento. De esta forma, en caso de que ocurra cualquier incidente, nunca hay que recurrir a un plan obsoleto.
¿Por qué Sothis?
En Sothis nos basamos en esta metodología circular propia para elaborar estrategias de continuidad de soluciones de tecnología que se sitúa en la estrategia global de continuidad de negocio. Estas se adaptan a las necesidades y particularidades de cada cliente, asegurando la continua revisión y actualización de los mismos para garantizar su eficacia. Contáctanos para más información.