Muchas organizaciones luchan por definir el mejor método para satisfacer las expectativas empresariales en relación con la recuperación de la tecnología de la información (TI). La norma ISO 27031 ofrece orientación a los profesionales de la continuidad del negocio y la recuperación de desastres informáticos sobre cómo planificar la continuidad y la recuperación de las TI como parte de un sistema de gestión de la continuidad del negocio (SGCN) más completo. La norma ayuda al personal informático a identificar los requisitos de las Tecnologías de la Información y la Comunicación (TIC) y a aplicar estrategias para reducir el riesgo de interrupción, así como a reconocer, responder y recuperarse de una interrupción de las TIC.

 

 

La norma ISO 27031 introduce un enfoque de sistemas de gestión para abordar las TIC en apoyo de un sistema de gestión de la continuidad empresarial más amplio, como se describe en la norma ISO 22301. La ISO 27031 describe un sistema de gestión de la preparación de las TIC para la continuidad de las actividades (IRBC). Un IRBC es un sistema de gestión centrado en la recuperación de desastres informáticos. El IRBC utiliza el mismo modelo Planificar-Hacer-Verificar-Actuar (PDCA) que el sistema de gestión de la continuidad del negocio descrito en la norma ISO 22301. El objetivo del IRBC es aplicar estrategias que reduzcan el riesgo de interrupción de los servicios de TIC, así como responder a una interrupción y recuperarse de ella. Los profesionales de la continuidad del negocio y de TI encontrarán muy familiar el uso del modelo PDCA, pero con los cambios necesarios para apoyar la recuperabilidad de las TIC en función de los requisitos y expectativas del negocio.

 

Como norma orientativa, las organizaciones no pueden certificarse en ISO 27031 como en ISO 22301, pero el sistema de gestión sigue muchos de los mismos pasos que los profesionales experimentados en preparación están acostumbrados a aplicar con la planificación de la continuidad de la actividad empresarial. El siguiente diagrama muestra el sistema de gestión IRBC detallado en la ISO 27031.

 

 

Sistemas de gestión del IRBC La ISO 27031 utiliza el mismo sistema de gestión básico PDCA que la ISO 22301, pero lo adapta para ajustarlo a la naturaleza técnica del IRBC. Además de los cambios técnicos en el PDCA, la ISO 27031 también se basa en las conclusiones del Análisis de Impacto Empresarial (BIA) desarrolladas y aprobadas como parte del BCMS más amplio de una organización. Para el IRBC, el sistema de gestión PDCA se desglosa de la siguiente manera:

 

  • Planificar: la fase de Planificación crea y actualiza la estructura de gobierno del sistema general de gestión IRBC. Los resultados clave de la fase de Plan son una política IRBC que aborde adecuadamente la continuidad de la tecnología de la información y la comunicación y las opciones estratégicas que la organización puede desplegar para satisfacer los requisitos empresariales.

  • Hacer: la fase Hacer se centra en realizar actividades e implantar soluciones que permitan a la organización vigilar, responder y recuperarse de una interrupción de los servicios de TIC. Los resultados clave de la fase Hacer son la aplicación de estrategias, la generación de planes y la ejecución de actividades de formación y sensibilización para promover la continuidad de los servicios de TIC.

  • Comprobación: la fase de Comprobación incluye la revisión y evaluación del rendimiento del sistema de gestión IRBC. Los resultados clave de la fase de Comprobación incluyen la supervisión continua de las tecnologías de la información y la comunicación para detectar interrupciones y niveles de rendimiento, así como revisiones periódicas de la capacidad de respuesta y recuperación de las TIC.

  • Actuar: la fase de Actuar proporciona a la dirección la oportunidad de revisar el rendimiento del esfuerzo IRBC, así como de dirigir la aplicación de acciones correctivas que mejoren el rendimiento del sistema de gestión y/o reduzcan el riesgo de futuras interrupciones de los servicios TIC.

 

Profundicemos en cada fase.

 

PLAN Es posible que muchas organizaciones ya lleven a cabo algunos de los componentes del «Plan» de la norma ISO 27031 como parte de sus programas de Recuperación de Desastres de Tecnologías de la Información (ITDR). La ISO 27031 considera la ITDR como un componente de la IRBC, pero en realidad existen muy pocas diferencias. En la fase del Plan, la organización implanta una política para regir los procesos y requisitos del IRBC. La política establece la estructura de gobierno del sistema de gestión del IRBC. El IRBC utiliza las aportaciones del BIA de la organización para traducir los requisitos empresariales en requisitos de rendimiento de los servicios TIC. La fase Plan concluye con la generación de opciones estratégicas para el IRBC, que se aplicarán en la fase Hacer.

 

La formulación de la estrategia IRBC significa esencialmente la creación de ofertas de servicios de TI que el personal de TIC incluirá en el catálogo de servicios o, más genéricamente, como opciones para su consideración y selección por parte de la empresa. Por ejemplo, una organización con una entrada en el catálogo de servicios para un servidor virtual añadiría entradas para abordar la recuperabilidad de un servidor virtual a través de una variedad de medios para abordar una serie de objetivos de recuperación. La organización puede optar por proporcionar dos estrategias de recuperación para la recuperación de una máquina virtual con diferentes tiempos de recuperación para satisfacer los requisitos empresariales identificados a través del BIA. Esas dos estrategias de recuperación se incorporan entonces al catálogo de servicios de la organización, ya sea como entradas independientes o incorporadas a las entradas existentes del catálogo de servicios.

 

Para ser eficaces, la norma ISO 27031 establece que las estrategias IRBC descritas anteriormente deben incorporar seis componentes en la vigilancia, respuesta y recuperación ante interrupciones de las tecnologías de la información y la comunicación. Los seis componentes son

 

  1. Habilidades y conocimientos: Las estrategias de recuperación incluyen consideraciones sobre las habilidades y conocimientos técnicos especializados necesarios para operar los servicios TIC antes, durante y después de una interrupción. Las estrategias que incluyen consideraciones sobre habilidades y conocimientos se centran en garantizar que ningún individuo posea habilidades o conocimientos especializados que serían necesarios para operar los sistemas TIC de la organización.

  2. Instalaciones: Las estrategias de recuperación incluyen la mitigación del riesgo asociado al funcionamiento de los sistemas TIC basados en una única instalación. Las estrategias que incluyen consideraciones sobre las instalaciones garantizan que los sistemas TIC puedan funcionar incluso si una instalación principal queda inutilizada.

  3. Tecnológicas: Las estrategias de recuperación incluyen la consideración de los requisitos técnicos necesarios para cumplir los requisitos de recuperación de la organización, concretamente el Objetivo de Tiempo de Recuperación (RTO) y el Objetivo de Punto de Recuperación (RPO). Las estrategias que incluyen consideraciones tecnológicas implican garantizar que el hardware y las aplicaciones puedan recuperarse dentro del tiempo y la recuperación de datos requeridos por la organización. Estas consideraciones deben incluir sistemas de apoyo como alimentación, refrigeración, personal, apoyo de proveedores y conectividad WAN.

  4. Los datos: Las estrategias de recuperación incluyen la consideración de cómo proteger los datos que necesita la organización. Las estrategias que incluyen consideraciones sobre los datos incluyen la seguridad, validez y disponibilidad de los datos requeridos por los usuarios finales.

  5. Procesos: Las estrategias de recuperación incluyen la consideración de cómo mantener los procesos necesarios para supervisar, operar y recuperar los sistemas de TIC con el fin de cumplir los requisitos empresariales. Las estrategias que tienen en cuenta los procesos identifican los procesos de TIC necesarios antes, durante y después de una interrupción de los sistemas de TIC.

  6. Proveedores: Las estrategias de recuperación incluyen la consideración de cómo informar e implicar a los proveedores necesarios para recuperar y hacer funcionar los sistemas de TIC. Las estrategias que incluyen consideraciones sobre los proveedores identifican qué proveedores participan en el funcionamiento y la recuperación de los sistemas de TIC antes, durante y después de que se haya producido una interrupción.

 

Cada opción de estrategia IRBC tendrá en cuenta los seis componentes y a menudo dará lugar a la creación de niveles para clasificar la tecnología de la información y la comunicación que satisfaga las necesidades de la organización. Durante la fase Do, los servicios de TIC se asignarán a un nivel, lo que permitirá seleccionar la estrategia. Una vez que TI identifique las opciones de estrategia, la dirección de la organización debe considerar la cantidad de riesgo que reduce la estrategia frente al coste de aplicarla. En conjunto, el resultado de la fase Planificar es una lista de estrategias a añadir o actualizar en el catálogo de servicios, que permite a la organización seleccionar el nivel adecuado de recuperabilidad.

 

DO La fase Hacer del sistema de gestión IRBC incluye la aplicación de las estrategias identificadas en la fase Plan, la redacción de planes de recuperación para los servicios TIC y la ejecución de actividades de formación y concienciación para garantizar que el personal implicado en el programa IRBC está cualificado e informado. El programa IRBC aplica las estrategias adecuadas identificadas en la fase Plan para mejorar la preparación de las TIC para los servicios de tecnologías de la información y la comunicación incluidos en el ámbito de aplicación.

 

Las estrategias que reducen el riesgo de una interrupción no eliminan totalmente la posibilidad de una interrupción de la tecnología de la información y la comunicación. El personal informático aplica estrategias y elabora planes para superar el riesgo residual cuando los incidentes perturbadores se hacen realidad. La documentación del plan de respuesta y recuperación es necesaria para garantizar que el personal comprende las actividades necesarias para cumplir las expectativas empresariales. La norma ISO 27031 incluye muchas de las mismas consideraciones que se utilizan en la norma ISO 22301, como el propósito y el alcance del plan, las funciones y responsabilidades definidas, el personal alternativo, los criterios de invocación del plan y la información de contacto.

 

La parte final de la fase Do consiste en llevar a cabo actividades de formación y concienciación para garantizar que el personal implicado en el sistema de gestión IRBC (incluidos los que desempeñan funciones en los planes de respuesta y recuperación) es consciente de sus responsabilidades antes, durante y después de una interrupción.

 

COMPROBACIÓN La fase de Comprobación del sistema de gestión IRBC incluye las actividades típicas asociadas a la fase de Comprobación del sistema BCM, incluida la revisión de la gestión y las pruebas y ejercicios. La fase de Comprobación también añade actividades continuas que vigilan que no se interrumpan los servicios de TIC y miden el rendimiento relacionado con la disponibilidad de las TIC.

 

ACT La fase Act incorpora la revisión por la dirección del programa IRBC, incluyendo el rendimiento del programa, el rendimiento de la preparación para las TIC y la asignación de recursos. Además de la revisión por la dirección, el programa IRBC pone en práctica las acciones correctivas que se identificaron durante otras fases del sistema de gestión. El objetivo de las acciones correctivas es arraigar una cultura de mejora continua en la organización y comprometer a la dirección con la priorización de la mejora continua.

 

¿Y qué pasa si la organización no tiene ya implantado un programa de BCM? A menudo se pide a los profesionales de TI que apliquen medidas de mitigación, respuesta y recuperación antes de un programa de BCM más amplio. En estos casos, la organización no ha realizado un análisis holístico del impacto empresarial para identificar los requisitos empresariales de las aplicaciones y el hardware. Algunas organizaciones de TI recurrirán a la intuición y a experiencias pasadas para establecer los requisitos de respuesta y recuperación de las TIC, como RTO y RPO. Sin embargo, el uso de la intuición y las experiencias pasadas a menudo conducirá a lagunas entre las expectativas empresariales de recuperación de la tecnología de la información y la comunicación y la recuperabilidad real. Una forma fácil de desarrollar requisitos de recuperación para los servicios de TIC es considerar la posibilidad de realizar un análisis de impacto de la aplicación (AIA) más centrado en los usos de los servicios de TIC y medir el impacto para la organización de una interrupción basada en uno o un grupo de servicios relacionados.

 

Un AIA eficaz identificará:

 

  • Las partes interesadas (incluidos los usuarios) de las tecnologías de la información y la comunicación;

  • El impacto (cuantitativo y cualitativo) de una perturbación de las TIC a lo largo del tiempo; y

  • Soluciones manuales que los usuarios pueden aplicar durante una interrupción.

 

El programa IRBC detallado en la norma ISO 27031 ayuda a los profesionales de TI y de continuidad del negocio, junto con sus patrocinadores del programa, a mantener una capacidad de recuperación de las TIC eficaz. Al implantar un sistema de gestión IRBC, los profesionales de TI y continuidad del negocio ayudan a su organización a vigilar, responder y recuperarse de una interrupción de las TIC. La ISO 27031 aplica y adapta los conceptos de BCM descritos en la ISO 22301 para ayudar a reducir el riesgo de interrupciones en las tecnologías de la información y la comunicación, así como en la empresa en su conjunto.