Las iniciativas de recuperación de desastres de tecnología (DR) proporcionan estrategias y procedimientos que pueden ayudar a las organizaciones a proteger las inversiones en sistemas e infraestructura de TI.La misión esencial para la recuperación de desastres es devolver las operaciones de TI a un nivel aceptable de rendimiento lo más rápido posible después de un evento disruptivo.El desarrollo y la rápida aceptación de las tecnologías basadas en la nube han mejorado en gran medida el proceso de TI DR.
Un plan de recuperación de desastres tiene una estructura consistente que facilita la organización y realización de la actividad de desarrollo.Examinemos el flujo de un programa.
Figure 1 is adapted from International Standard ISO 27031:2011, developed by the International Organisation for Standardisation (ISO), Information technology – security techniques – guidelines for information and communications technology readiness for business continuity.Utiliza el modelo Plan-Do-Check-Act presente en los estándares ISO actuales.
Como se puede ver en la Figura 1 a continuación, el proceso de recuperación de desastres de TI (también llamado Tecnología de Información y Comunicaciones/Continuidad de las TIC) tiene un flujo de proceso estándar, basado en el modelo ISO Plan-Do-Check-Act-Act.
Los análisis de impacto empresarial (BIA) generalmente se realizan antes de una evaluación de riesgos para identificar las funciones comerciales más importantes y los sistemas y activos de TI que los respaldan.
A continuación, la evaluación de riesgos (RA) examina las amenazas y vulnerabilidades internas y externas que podrían afectar negativamente los activos de TI.La disponibilidad de servicios basados en la nube, que generalmente se encuentran en otro lugar fuera del control de un departamento de TI, subraya la importancia de realizar estas dos actividades analíticas.
Una vez que se han definido sistemas críticos, se han definido funciones comerciales críticas y riesgos asociados con cada uno..
Dos ejemplos de tales estrategias podrían ser contratar el almacenamiento fuera del sitio de datos y sistemas críticos utilizando una empresa de servicios en la nube de terceros como Amazon Web Services (AWS) o Microsoft Azure, y obtener activos de TI críticos como servidores y enrutadoresde múltiples proveedores.
Los planes DR proporcionan un proceso paso a paso para responder a un evento disruptivo, como se identifica en la evaluación de riesgos.Los pasos de respuesta están diseñados para proporcionar un proceso fácil de usar y repetible para recuperar los activos de TI dañados y devolverlos al funcionamiento normal lo más rápido posible.Esto presenta un desafío interesante con los servicios basados en la nube, ya que el departamento de TI prácticamente no tiene control práctico de los servicios proporcionados y debe ser especialmente proactivo al evaluar, y posteriormente administrar, un proveedor de servicios en la nube.
Los ejercicios ayudan a determinar si los procedimientos de recuperación de desastres funcionan según lo previsto.Se puede realizar una variedad de ejercicios, que van desde una revisión de la tabla (generalmente en una sala de conferencias) de planes y sus procedimientos de recuperación asociados, hasta un ejercicio a gran escala "Tire del enchufe" que examina lo que sucede cuando el sistema real falla.
En un entorno en la nube, el proveedor de servicios DR puede ofrecer su propia versión de DR Ejercicio, y es importante examinar lo que se puede hacer antes de contratar un servicio en la nube.Es especialmente importante averiguar qué recursos utilizará el proveedor, cuántos datos de rendimiento del ejercicio se pueden proporcionar y cómo los usuarios involucrados activamente pueden ser durante un ejercicio..
El mantenimiento del plan garantiza que se establezca un proceso que acomode la gestión del cambio, los cambios en el personal y otras situaciones que pueden afectar el contenido y la efectividad del plan del plan.El mantenimiento asegura que los planes sean adecuados para su propósito y se alineen con el personal actual y las operaciones comerciales.
Los proveedores de servicios de DR basados en la nube pueden ofrecer tipos similares de servicios a los clientes, y pueden ofrecer flexibilidad durante las actividades de desarrollo y mantenimiento del plan..Es muy importante investigar cuidadosamente todos los servicios disponibles desde un proveedor de la nube y comparar los costos de la gestión de terceros versus la gestión del usuario.
Estándares para sesgo y ras
El ISO tiene un estándar para realizar un análisis de impacto comercial que proporciona pautas útiles para planificar y ejecutar un BIA. It is called ISO 22317:2015, Societal security – business continuity management systems – business impact analysis. When conducting a risk assessment, a useful standard is available from the US National Institute for Standards and Technology (NIST). The standard is NIST SP 800-30 (2012), Guide for conducting risk assessments.
Análisis de impacto comercial (BIA)
El paso analítico inicial es el análisis de impacto comercial, que identifica los procesos comerciales más importantes (misioneros) y el apoyo de los activos de TI.
El BIA ayuda a identificar consecuencias adicionales para una organización si se interrumpen las funciones comerciales clave, incluida la pérdida de clientes, el mal desempeño financiero, el daño a la reputación y los impactos a los empleados y las cadenas de suministro.Una vez que se identifican las actividades comerciales más importantes y los sistemas y datos que los respaldan, el siguiente paso es el análisis de riesgos.
Un BIA utiliza una serie de preguntas presentadas a los líderes y expertos en la materia en cada unidad operativa de la empresa, incluida la TI..Las preguntas deben abordar los siguientes problemas, como mínimo:
Las salidas de BIA presentan una imagen clara de los impactos reales en el negocio, en términos de problemas potenciales y costos probables.Los resultados de la BIA ayudan a determinar qué áreas requieren protección, la cantidad de tolerancia comercial a las interrupciones, los niveles mínimos de servicio de TI que necesitan el negocio y la cantidad máxima de inactividad de TI antes de que el negocio comience a fallar.
Evaluación de riesgos (RA)
El mundo de TI generalmente se centra en uno o más de los siguientes escenarios de riesgo, cuya pérdida ciertamente tendría un impacto negativo en la capacidad de la organización para realizar negocios:
La disponibilidad de servicios basados en la nube significa que la pérdida de control es un riesgo definitivo para los departamentos de TI.La planificación y gestión de DR en el sitio se puede administrar de extremo a extremo.Pero con la nube, el control de muchas funciones abandona al tercero.El liderazgo debe decidir si vale la pena tomar el riesgo inherente al uso de la nube.
Las evaluaciones de riesgos identifican y analizan riesgos, amenazas y vulnerabilidades que pueden conducir a los resultados anteriores.Si bien hay muchas formas de realizar un análisis de riesgos disponibles, la Tabla 1 proporciona un enfoque simple que se puede implementar fácilmente.El desafío es validar los supuestos del factor de riesgo con el liderazgo superior.
La Tabla 1 proporciona ejemplos realistas de eventos de riesgo en el sitio y en la nube.Según la experiencia y las estadísticas disponibles, como las compañías de seguros o los datos actuariales, es posible estimar la probabilidad de que ocurran eventos específicos en una escala de 0 a 1 (0 (0.0 = nunca ocurrirá, y 1.0 = siempre ocurrirá).Luego haga lo mismo con el impacto del evento, utilizando un rango de 0 a 1 (0.0 = sin impacto en absoluto, y 1.0 = pérdida total de operaciones).La última columna enumera el producto de la probabilidad multiplicada por el impacto.Esto se convierte en un "factor de peso de riesgo".Las situaciones con los factores de peso de mayor riesgo se convierten en los eventos a abordar los planes DR.
Los tratamientos de riesgos incluyen lo siguiente:
La relación entre bia y ra
Cuando se han completado el análisis de impacto comercial y la evaluación de riesgos, el siguiente paso es correlacionar los datos de cada actividad en una tabla (u otro formato) que presente los riesgos críticos y los impactos comerciales causados por los riesgos que ocurren.
La siguiente tabla también incluye el objetivo de tiempo de recuperación (RTO), una métrica desarrollada a partir del BIA que indica cuánto tiempo puede no estar disponible un sistema/proceso antes de que la organización no pueda funcionar normalmente.La Tabla 2 muestra una forma de mapear los hallazgos de BIA y RA en un informe para la alta dirección.
Resumen
Los análisis de impacto empresarial y las evaluaciones de riesgos son actividades clave asociadas con la creación y gestión de los programas de recuperación de desastres tecnológicos.La disponibilidad de servicios basados en la nube introduce nuevas variaciones a los análisis basados en el centro de datos tradicional.Una comprensión clara de los riesgos de TI, especialmente con respecto a los servicios en la nube, y su relación con las operaciones comerciales es esencial al desarrollar un plan de recuperación de desastres.