Las iniciativas de tecnología de recuperación ante desastres (DR) brindan estrategias y procedimientos que pueden ayudar a las organizaciones a proteger las inversiones en sistemas e infraestructura de TI. La misión esencial de la recuperación ante desastres es devolver las operaciones de TI a un nivel aceptable de rendimiento lo más rápido posible después de un evento disruptivo. El desarrollo y la rápida aceptación de las tecnologías basadas en la nube han mejorado enormemente el proceso de DR de TI.
Un plan de recuperación ante desastres tiene una estructura coherente que facilita la organización y la realización de actividades de desarrollo. Examinemos el flujo de un programa.
La Figura 1 está adaptada de la Norma Internacional ISO 27031:2011, desarrollada por la Organización Internacional de Normalización (ISO), Tecnología de la información – técnicas de seguridad – lineamientos para la preparación de la tecnología de la información y las comunicaciones para la continuidad del negocio. Utiliza el modelo planificar-hacer-verificar-actuar presente en las normas ISO actuales.
Como se puede ver en la Figura 1 a continuación, el proceso de recuperación de desastres de TI (también llamado tecnología de la información y las comunicaciones/continuidad de las TIC) tiene un flujo de proceso estándar, basado en el modelo ISO planificar-hacer-verificar-actuar.
Los análisis de impacto comercial (BIA) generalmente se realizan antes de una evaluación de riesgos para identificar las funciones comerciales más importantes y los sistemas y activos de TI que las respaldan.
A continuación, la evaluación de riesgos (RA) examina las amenazas y vulnerabilidades internas y externas que podrían tener un impacto negativo en los activos de TI. La disponibilidad de servicios basados en la nube, que normalmente se encuentran en algún otro lugar fuera del control del departamento de TI, subraya la importancia de realizar estas dos actividades analíticas.
Una vez que se han definido los sistemas críticos, las funciones comerciales críticas y los riesgos asociados con cada uno, el siguiente paso es definir estrategias para mitigar los riesgos y amenazas a esos activos críticos.
Dos ejemplos de tales estrategias podrían ser contratar el almacenamiento externo de datos y sistemas críticos utilizando una empresa de servicios en la nube de terceros, como Amazon Web Services (AWS) o Microsoft Azure, y obtener activos de TI críticos, como servidores y enrutadores. de múltiples proveedores.
Los planes de DR proporcionan un proceso paso a paso para responder a un evento disruptivo, según lo identificado en la evaluación de riesgos. Los pasos de respuesta están diseñados para proporcionar un proceso repetible y fácil de usar para recuperar los activos de TI dañados y devolverlos a su funcionamiento normal lo más rápido posible. Esto presenta un desafío interesante con los servicios basados en la nube, ya que el departamento de TI prácticamente no tiene un control práctico de los servicios prestados y debe ser especialmente proactivo al evaluar, y posteriormente administrar, un proveedor de servicios en la nube.
Los ejercicios ayudan a determinar si los procedimientos de recuperación ante desastres funcionan según lo previsto. Se pueden realizar una variedad de ejercicios, que van desde una revisión de escritorio (generalmente en una sala de conferencias) de los planes y sus procedimientos de recuperación asociados, hasta un ejercicio de “desconectar” a gran escala que examina lo que sucede cuando falla el sistema real. .
En un entorno de nube, el proveedor de servicios de DR puede ofrecer su propia versión del ejercicio de DR, y es importante examinar qué se puede hacer antes de contratar un servicio de nube. Es especialmente importante averiguar qué recursos utilizará el proveedor, cuántos datos de rendimiento del ejercicio se pueden proporcionar y qué tan activamente pueden participar los usuarios durante un ejercicio.
El mantenimiento del plan garantiza que se establezca un proceso que se adapte a la gestión de cambios, cambios en el personal y otras situaciones que pueden afectar el contenido y la eficacia del plan. El mantenimiento garantiza que los planes se ajusten a su propósito y estén alineados con la dotación de personal y las operaciones comerciales actuales.
Los proveedores de servicios de DR basados en la nube pueden ofrecer tipos de servicios similares a los clientes y pueden ofrecer flexibilidad durante el desarrollo del plan y las actividades de mantenimiento. Es muy importante investigar detenidamente todos los servicios disponibles de un proveedor de la nube y comparar los costes de gestión de terceros frente a la gestión de usuarios.
Estándares para BIA y RA
La ISO tiene un estándar para realizar un análisis de impacto comercial que brinda pautas útiles para planificar y ejecutar un BIA. Se llama ISO 22317:2015, Seguridad social – sistemas de gestión de la continuidad del negocio – análisis de impacto en el negocio. Al realizar una evaluación de riesgos, hay disponible un estándar útil en el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. El estándar es NIST SP 800-30 (2012), Guía para realizar evaluaciones de riesgos.
Análisis de impacto empresarial (BIA)
El paso analítico inicial es el análisis de impacto comercial, que identifica los procesos comerciales más importantes (de misión crítica) y los activos de TI de apoyo.
El BIA ayuda a identificar consecuencias adicionales para una organización si se interrumpen las funciones comerciales clave, incluida la pérdida de clientes, un desempeño financiero deficiente, daños a la reputación e impactos en los empleados y las cadenas de suministro. Una vez que se identifican las actividades comerciales más importantes y los sistemas y datos que las respaldan, el siguiente paso es el análisis de riesgos.
Un BIA utiliza una serie de preguntas presentadas a los líderes y expertos en la materia en cada unidad operativa de la empresa, incluida la TI. Las preguntas deben abordar los siguientes temas, como mínimo:
- Entender cómo opera cada unidad de negocio.
- Identificación de procesos críticos de la unidad de negocio que dependen de TI (en sitio).
- Identificación de procesos críticos de unidades de negocio que dependen de TI (basado en la nube).
- Valor financiero de los procesos comerciales críticos (por ejemplo, ingresos generados por hora).
- Dependencias de organizaciones internas.
- Dependencias de organizaciones externas, especialmente servicios en la nube.
- Requerimientos de datos.
- Requisitos del sistema.
- Tiempo mínimo necesario para recuperar los datos al estado de uso anterior.
- Tiempo mínimo necesario para que las operaciones de TI vuelvan a la normalidad o casi a la normalidad después de un incidente.
- Número mínimo de personal necesario para realizar negocios.
- Tecnología mínima necesaria para realizar negocios.
- Cantidad máxima de tiempo para que la tecnología no esté disponible antes de que la organización ya no pueda ofrecer sus productos y servicios.
Los resultados de BIA presentan una imagen clara de los impactos reales en el negocio, en términos de problemas potenciales y costos probables. Los resultados del BIA ayudan a determinar qué áreas requieren protección, la cantidad de tolerancia comercial a las interrupciones, los niveles mínimos de servicio de TI que necesita la empresa y la cantidad máxima tolerable de tiempo de inactividad de TI antes de que la empresa comience a fallar.
Evaluación de riesgos (RA)
El mundo de TI generalmente se enfoca en uno o más de los siguientes escenarios de riesgo, cuya pérdida seguramente tendría un impacto negativo en la capacidad de la organización para realizar negocios:
- Pérdida de acceso.
- Pérdida de datos.
- Pérdida de función.
- Pérdida de habilidades.
- Pérdida de control.
La disponibilidad de servicios basados en la nube significa que la pérdida de control es un riesgo definitivo para los departamentos de TI. La planificación y gestión de recuperación ante desastres en el sitio se puede administrar de principio a fin. Pero con la nube, el control de muchas funciones se transfiere a terceros. El liderazgo de TI debe decidir si vale la pena correr el riesgo inherente al uso de la nube.
Las evaluaciones de riesgos identifican y analizan los riesgos, las amenazas y las vulnerabilidades que pueden conducir a los resultados anteriores. Si bien hay muchas formas de realizar un análisis de riesgos, la Tabla 1 proporciona un enfoque simple que se puede implementar fácilmente. El desafío es validar los supuestos de los factores de riesgo con la alta dirección.
La Tabla 1 proporciona ejemplos realistas de eventos de riesgo en el sitio y basados en la nube. Con base en la experiencia y las estadísticas disponibles, como las de las compañías de seguros o los datos actuariales, es posible estimar la probabilidad de que ocurran eventos específicos en una escala de 0 a 1 (0,0 = nunca ocurrirá y 1,0 = siempre ocurrirá). Luego haga lo mismo con el impacto del evento, usando un rango de 0 a 1 (0.0 = ningún impacto y 1.0 = pérdida total de operaciones). La última columna enumera el producto de la probabilidad multiplicado por el impacto. Esto se convierte en un “factor de peso de riesgo”. Las situaciones con los factores de ponderación de riesgo más altos se convierten en los eventos que deben abordar los planes de DR.
Los tratamientos de riesgo incluyen lo siguiente:
- Prevenir – Eventos de alta probabilidad/alto impacto (trabaje activamente para mitigarlos).
- Aceptar – Eventos de baja probabilidad/bajo impacto (mantener vigilancia).
- Contiene – Eventos de alta probabilidad/bajo impacto (minimizar la probabilidad de ocurrencia).
- Transferencia – Eventos de probabilidad media/impacto medio-alto (transferencia del riesgo a un tercero, como una compañía de seguros).
- Plan – Eventos de baja probabilidad/alto impacto (planear los pasos a seguir si esto ocurre).
La relación entre BIA y RA
Cuando se hayan completado el análisis de impacto comercial y la evaluación de riesgos, el siguiente paso es correlacionar los datos de cada actividad en una tabla (u otro formato) que presente los riesgos críticos y los impactos comerciales causados por los riesgos que ocurren.
La siguiente tabla también incluye el objetivo de tiempo de recuperación (RTO), una métrica desarrollada a partir del BIA que indica cuánto tiempo puede no estar disponible un sistema/proceso antes de que la organización no pueda funcionar normalmente. La Tabla 2 muestra una forma de mapear los hallazgos de BIA y RA en un informe para la alta dirección.
Resumen
Los análisis de impacto comercial y las evaluaciones de riesgos son actividades clave asociadas con la creación y gestión de programas de recuperación de desastres tecnológicos. La disponibilidad de servicios basados en la nube introduce nuevas variaciones a los análisis tradicionales basados en centros de datos. Una comprensión clara de los riesgos de TI, especialmente en lo que respecta a los servicios en la nube, y su relación con las operaciones comerciales es esencial al desarrollar un plan de recuperación ante desastres.