Los artículos anteriores de esta serie ofrecieron orientación sobre cómo crear planes de recuperación ante desastres (DR) de TI para entornos de nube e implementarlos.
En el primero, examinamos la evaluación del riesgo y el impacto comercial como el componente inicial. Analizamos el desarrollo del plan DR en detalle en la segunda parte. El tercero analizó la concienciación del personal sobre DR, la formación y cómo gestionar un incidente.
En este artículo final, analizamos cómo mantener el plan de recuperación ante desastres y cómo revisarlo y auditarlo en un proceso de mejora continua.
Pasos finales en la planificación de DR
Los pasos finales en el proceso de planificación de recuperación ante desastres de TI son:
- Establezca un proceso para mantener actualizados los planes de TI y todas las actividades de TI asociadas.
- Auditar y revisar los planes para asegurarse de que siguen siendo adecuados para su propósito y consistentes con los estándares y controles de gestión aplicables.
- Establecer un proceso para la mejora continua del programa general de DR de TI.
El uso de tecnologías en la nube hace que estos pasos finales sean tan importantes como los indicados en artículos anteriores porque los servicios en la nube se usan ampliamente para los sistemas de TI de producción, así como para las estrategias y la planificación de DR de TI.
Estándares referenciados en la planificación DR
Cada artículo de la serie hace referencia a un estándar internacional importante: el ISO/IEC 27031:2011, Tecnología de la información – Técnicas de seguridad – Directrices para la preparación de la tecnología de la información y la comunicación para la continuidad del negocio. Esto se considera el estándar global para la recuperación ante desastres de TI aplicable a los usuarios.
Otro estándar ISO, ISO/IEC 24762:2008, aborda la recuperación ante desastres de TI desde la perspectiva del proveedor de servicios y debe revisarse detenidamente cuando se consideren los servicios en la nube. Ambos estándares pueden ayudar a desarrollar e implementar programas DR.
Secciones 8 (Supervisar y revisar) y 9 (Mejora del IRBC) en ISO 27031 abordan los problemas descritos en este artículo. Entre los puntos clave se encuentran los siguientes:
- La alta dirección debe participar activamente en el proceso de TI/RD.
- Se deben realizar pruebas y ejercicios para garantizar que los planes estén actualizados y se ajusten a su propósito.
- Los planes y programas deben revisarse y actualizarse periódicamente, especialmente al finalizar un ejercicio.
- Las infraestructuras operativas de TI deben monitorearse para detectar posibles amenazas.
- Los planes y programas deben ser examinados por auditores internos (o auditores externos si es necesario) para garantizar el cumplimiento de las normas y reglamentos apropiados.
- La preparación de la organización para posibles interrupciones de TI debe monitorearse y evaluarse periódicamente.
- Como parte del proceso de revisión, las actividades de mejora continua garantizan que las iniciativas de DR de TI se desempeñen según lo requerido.
Mantenimiento, auditoría y mejora continua en el proceso de planificación de DR
Los artículos anteriores de esta serie describieron cómo las estrategias y los procedimientos de recuperación ante desastres ayudan a las organizaciones a proteger sus inversiones en sistemas de TI e infraestructuras operativas. La misión principal de la recuperación ante desastres es devolver las operaciones de TI a un nivel aceptable de rendimiento lo más rápido posible después de un evento disruptivo.
El uso de servicios en la nube puede mejorar en gran medida la capacidad de una organización para sobrevivir a una interrupción de las operaciones de TI mediante la copia de seguridad de aplicaciones y datos críticos, la protección de la conectividad de red esencial mediante recursos de seguridad mejorados y la participación activa en pruebas y ejercicios de recuperación ante desastres.
Sin embargo, antes de invertir en soluciones en la nube, es esencial realizar una debida diligencia exhaustiva, no solo con los posibles proveedores de la nube, sino también con los servicios que ofrecen y sus políticas con respecto a las actividades de atención al cliente de DR, como la participación en las pruebas de DR.
La Figura 1 representa el ciclo de vida de recuperación ante desastres de TI y está adaptada de la norma ISO 27031. Muestra dónde encajan el mantenimiento y la auditoría en el ciclo de vida general de DR de TI. Idealmente, la mejora continua ocurre en todos los puntos del ciclo de vida de planificación de DR y se puede implementar a través de una gestión eficaz del programa y revisiones y evaluaciones periódicas del programa.
Las actividades que se muestran en la Figura 1 deben adaptarse a las tecnologías y servicios en la nube cuando se implementan en una organización. La diferencia clave es que los servicios en la nube están ubicados en otro lugar y los usuarios no pueden administrarlos activamente. El uso exitoso de las tecnologías en la nube depende de los proveedores y de qué tan bien trabajen los usuarios con ellos.
Creación de un plan de mantenimiento de DR de TI
Al crear un plan de mantenimiento de DR de tecnología, asegúrese de obtener la revisión y aprobación de la alta gerencia. También puede ser apropiado invitar a los proveedores de servicios en la nube a participar en las actividades de mantenimiento, si brindan ese nivel de soporte.
Las actividades clave para el mantenimiento exitoso del plan DR incluyen las siguientes listas de verificación.
Establecer un plan continuo de mantenimiento del cronograma de actividades. Incluir actualizaciones de:
- Evaluaciones de riesgos existentes (RA).
- Análisis de impacto empresarial (BIA) y actualizaciones de los BIA existentes.
- Revisiones de planos.
- Planificar ejercicios.
- Listas de contactos.
- Planificar actividades de formación y sensibilización.
Los programas de mantenimiento se pueden iniciar utilizando una hoja de cálculo con los encabezados que se muestran en la Figura 2.
Las tareas de mantenimiento de DR deben incluir la necesidad de:
- Coordine las actividades de mantenimiento de DR con las actividades de TI existentes, como la gestión de cambios, el mantenimiento de hardware y software y las operaciones de la mesa de ayuda. Coordinar con los proveedores de la nube si es posible.
- Documente todas las acciones de mantenimiento, incluida la fecha y la hora en que se realizó el mantenimiento, el resumen de las actividades de mantenimiento, las actividades del servicio en la nube y las aprobaciones, según sea necesario.
- Aproveche los recursos internos existentes, como una intranet de la empresa, para proporcionar un repositorio seguro para las actividades de mantenimiento. Coordine estas actividades con los proveedores de la nube.
- Genere informes de mantenimiento periódicos, trimestrales, por ejemplo, para la gerencia, destacando el estado de las actividades de mantenimiento y los problemas que deben abordarse.
Creación de un plan de auditoría de TI/RD
Las auditorías periódicas de los planes de recuperación ante desastres de TI, ya sea por parte de un departamento de auditoría interna o de una firma de auditoría externa, ayudan a garantizar que sigan siendo aptos para su propósito y cumplan con los estándares de la industria y las políticas de TI de la empresa. Considere los siguientes consejos para este proceso:
- Prepare un plan de auditoría para la recuperación ante desastres de TI definiendo y documentando los criterios, el alcance, el método y la frecuencia de la auditoría (una auditoría anual, por ejemplo).
- Asegúrese de que solo se designen auditores calificados para la auditoría. Verifique para asegurarse de que las firmas de auditoría tengan experiencia en continuidad comercial, recuperación ante desastres y servicios en la nube.
- Seleccionar y contratar auditores y realizar la auditoría para garantizar la objetividad y la parcialidad durante el proceso de auditoría.
- Establezca un proceso para garantizar que las deficiencias identificadas en una auditoría se corrijan dentro de un plazo acordado.
- Asegúrese de que las auditorías se dirijan a organizaciones internas y externas (por ejemplo, audite a los proveedores de servicios en la nube para asegurarse de que sus capacidades respalden las estrategias y los planes de recuperación ante desastres de TI de la organización). Consulte con anticipación a los proveedores de la nube sobre su política con respecto a la participación en auditorías de usuarios.
- Realice una auditoría cuando haya cambios significativos en los servicios críticos de DR de TI, los servicios basados en la nube, la continuidad del negocio y/o los requisitos de recuperación ante desastres.
- Documente los resultados de la auditoría e infórmelos a la alta dirección, que debe revisar los resultados y respaldar las acciones correctivas de seguimiento.
- ISO 27031 puede ayudar a prepararse para una auditoría, ya que identifica problemas de auditoría relevantes.
Construyendo una capacidad de mejora continua
Una vez que se completa el programa de DR de TI, puede iniciar un proceso continuo de mejora continua. Asegúrese de que las actividades en esta parte del proceso se coordinen con los proveedores de la nube y sus ofertas de servicios.
Esta etapa se vincula con las actividades de mantenimiento y auditoría discutidas anteriormente, y aprovecha los resultados de ambas.
Asegúrese de obtener la autorización de la alta dirección cuando organice un programa de mejora continua.
Mejorar continuamente las actividades de continuidad del negocio y desastres de DR al monitorear el programa general y aplicar acciones preventivas y correctivas, como revisiones periódicas del desempeño del programa.
Manténgase al tanto de cualquier cambio en el negocio, como una fusión o adquisición o cambios en las ofertas de servicios de los proveedores de la nube, y asegúrese de que estos cambios se incorporen en los planes DR y los programas de soporte. Es esencial que el programa DR refleje con precisión el estado actual de la organización y sus operaciones.
Resumen
Este artículo ha explicado cómo establecer actividades de mantenimiento, auditoría y mejora continua para garantizar que los programas de DR de TI y los planes asociados se mantengan actualizados, que sus actividades sean coherentes con las buenas prácticas de DR y los estándares aplicables, que el plan esté correctamente alineado con los objetivos de la organización y estrategias, y que el programa es continuamente monitoreado y evaluado para mejorar.