Análisis de impacto (BIA) (Ir a parte I)
El proceso de preparar a la organización ante un desastre requiere el apoyo decidido de la alta dirección de la organización, ya que se va a requerir tiempo, esfuerzo y dinero.
Lo primero que se va a preguntar la alta dirección es por qué realizar todo este esfuerzo o, si por el contrario, puede evitarlo.
Afortunadamente, la regulación que afecta a la mayor parte de los sectores, particularmente al financiero, ha sensibilizado a los consejos de administración de estas empresas sobre la necesidad de disponer de un plan de respuesta a incidentes, aunque sea por necesidad de cumplir con el marco normativo.
La alta dirección suele tambien estar acostumbrada a utilizar el análisis de riesgos como herramienta de gestión, por ejemplo para cuantificar las consecuencias económicas derivadas de no estar preparado ante un eventual desatre.
Es por esto por que el primer paso debe ser el realizar un Análisis de Impacto (BIA, por sus siglas en Inglés) que permita estimar el impacto operacional y económico del desastre, determinar los tiempos de recuperación permitidos para no afectar al negocio, identificar las estrategias más apropiadas para el plan de recuperación e incluir el BCP como una práctica común en los procesos de decisión del negocio.
El BIA espor lo tanto, una herramienta de concienciación del riesgo y justificación de las actuaciones. Asimismo, sirve para determinar el alcance de las medidas de protección en relación a los riesgos a los que estemos sometidos.
¿Cuáles son los pasos para desarrollar y mantener el BCP de manera integrada con el BIA?.
Recuperación ante desastres (DRP)
Como hemos visto, el DRP o Plan de recuperación ante desastres es uno de los planes de acción que una organización debe tener preparados para responder adecuadamente ante incidentes mayores o desastres.
Es el punto donde normalmente nos vemos involucrados los profesionales de las TIC. Sin embargo, las acciones para establecer un Plan de recuperación ante desastres no deben separarse del resto de iniciativas de la organización para afrontar un desastre.
En numerosas ocasiones, hemos visto que las unidades TIC desarrollan proyectos de respaldo de su infraestructura TIC de manera independiente a las unidades de negocio a las que dan soporte.
Esto se debe normalmente a varios factores:
Sea cual fuese la motivación, es conveniente que todas nuestras acciones respondan a una estrategia de recuperación.
Una estrategia de recuperación identifica la mejor forma de recuperar un sistema en caso de desastre y proporciona una orientación basada en los procedimientos de recuperación detallados. La estrategia apropiada es aquella que tiene un costo por un tiempo aceptable de recuperación que también es razonable comparado con el impacto y la probabilidad de ocurrencia según se haya determinado en el análisis de impacto al negocio (BIA).
La elección de la estrategia de recuperación debe hacerse por los tanto en base a la Criticidad de procesos, costo, seguridad, fiabilidad, etc.
RTO y RPO
La estrategia definida también depende de dos conceptos relacionados, a saber el RTO o tiempo objetivo de recuperación y el RPO o Punto objetivo de recuperación.
Para entendernos, el RTO es el tiempo máximo que puede permanecer la organización antes de regresar completamente a las operaciones normales sin que eso suponga un daño definitivo para las actividades del negocio. Esto viene a darnos un límite temporal en el que tenemos que recuperar nuestros sistemas TIC. Cuanto menor sea este tiempo, más efectivas y costosas han de ser las medidas de respuesta al desastre.
RPO tiene que ver con el momento en el que se produce el desastre y la antigüedad de los datos que necesita poder restablecer en caso de un desastre. De alguna manera, el RPO viene a definir la pérdida aceptable de datos de una organización ante un desatre. Cuanto más pequeño sea el RPO más sólido debe ser el menanismo de protección de datos (backup, rteplicación online, etc).
El RPO y el RPO determinan la estrategia de respaldo que se deberá seguir.
Normalmente, para infraestructuras TIC críticas para el negocio, del análisis realizado se desprenderá la necesidad de establecer un sitio alternativo que actúe como centro de respaldo de nuestra infraestructura TIC
Sitios alternativos
¿Cuáles son las alternativas más comunes para sitios de respaldo? Por resumir mucho
lunes, 4 de abril de 2011
Aprendiendo del desastre de Japón: ¿Cómo actuar? (II)
Etiquetas:
BCP,
ciberamenaza,
cobit,
comunicación,
continuidad,
controles,
desastre,
disaster recovery,
DR,
DRP,
inoperativo,
negocio,
plan de emergencia,
recuperación,
RPO,
RTO,
seguridad,
tecnologia,
TIC
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario
Agradecemos tu comentario