Nuestro modelo de proceso para la Gestión de la Continuidad del Servicio de TI se basa en nuestros muchos años de experiencia en proyectos y en los modelos de mejores prácticas de la industria. En las siguientes páginas, describimos las etapas individuales del modelo, que apunta a un ITSCM establecido en su empresa.

Una vida sin las actuales tecnologías de la información y la comunicación (TIC) es difícil de imaginar. Sin embargo, una y otra vez se producen interrupciones de TI, algunas de las cuales son percibidas por el público, por ejemplo, cuando se produce una avería en los cajeros automáticos, se retrasa el check-in en el aeropuerto, se envían cálculos de intereses incorrectos o las conversaciones por teléfono móvil son imposibles.

El objetivo del proceso de GICSTI es hacer posible que una organización pueda proporcionar, tras una interrupción de los servicios de TI basada en una emergencia de TI, un nivel de servicio de TI que haya sido determinado y acordado (o acordado) de antemano (,) que soporte los requisitos mínimos del negocio. Desde 2011, una norma internacional para la planificación de emergencias de TI (ITSCM) está disponible en ISO 27031. El título "Tecnología de la información - Técnicas de seguridad - Directrices para la preparación de la tecnología de la información y la comunicación para la continuidad de las actividades" ya indica que debe existir una estrecha cooperación entre las disciplinas de la GCMBC y la GICSTI dentro de una empresa.

Tomamos en cuenta estos problemas de interfaz en nuestro modelo de procesos ITSCM. Nuestro modelo de procesos ITSCM tiene como objetivo definir un proyecto para establecer el proceso ITSCM dentro de una empresa. Aparte de nuestra experiencia *que *basa en* (de/en la que se basa) más de 20 años de actividad de consultoría, los conceptos de nuestro modelo se revisan continuamente en función de los requisitos de las descripciones de procesos del "ITSCM" de ITIL, de la seguridad de la información (especialmente de la norma ISO 27001) y de normas tales como la norma alemana BSI 200-4 "Business Continuity Management".

La iniciación es la base de un proyecto exitoso de planificación de emergencias de TI. Con una política de ITSCM, la gerencia instruye al departamento de TI a establecer ITSCM en la compañía (en forma de una política de ITSCM). Los pasos necesarios para el proceso están documentados en una Guía ITSCM. Además, se documentan las medidas para el mantenimiento del proceso de la gestión integrada de las tecnologías de la información y las comunicaciones, su supervisión y su mejora continua.

"Análisis y Concepto" trata de establecer los objetivos y soluciones para los planes de recuperación.

Durante la fase de análisis, los requisitos objetivo para la disponibilidad de los servicios de TI (aplicaciones de TI) deben tomarse de la BCM y compararse con las posibilidades actualmente implementadas para la preparación de emergencias de TI. El principal criterio para la disponibilidad en el modo de emergencia es el objetivo de tiempo de recuperación (RTO) de un servicio de TI. Esto se puede determinar a partir de un Análisis de Impacto en el Negocio o de Acuerdos de Nivel de Servicio. En algunas áreas de TI, la documentación necesaria para el análisis no estará disponible. En estos casos utilizaremos métodos alternativos probados para crear estos datos.

El concepto de solución de la ITSC describe las opciones de solución seleccionadas. Estas opciones de solución sirven de base para la creación de los planes de la ITSC.

Durante la fase de implementación, se ponen en práctica las medidas acordadas.

En el contexto de las medidas preventivas para TI, se podrían, por ejemplo, establecer copias de seguridad adicionales, crear conexiones WAN, crear sistemas agrupados, organizar espacios de trabajo de copia de seguridad o incluso alquilar una nueva ubicación de centro de datos. Durante la implementación se da prioridad a aquellas medidas que resultan en mejoras en la disponibilidad de los servicios de TI de muchos sistemas diferentes, y también a las medidas que mitigan los riesgos con un alto potencial de daño.

Para su uso durante una emergencia, se debe establecer una estructura organizativa independiente de crisis y de gestión del riesgo de desastres (organización en la sombra). El objetivo de esta forma de organización es permitir llegar a decisiones precisas y rápidas en situaciones críticas basadas en menos niveles de jerarquía. Además, se definirá un proceso de escalamiento separado para esta organización de emergencia.

Después de la conclusión del proyecto, se deben definir los procesos de gestión para integrar las tareas que se repiten regularmente en las operaciones diarias normales.

Dentro de la fase de Planificación se crea el Manual de Emergencia de TI. Esto puede consistir en varios documentos, dependiendo del tamaño y número de centros de datos. En cualquier caso, deben describirse procedimientos igualmente aplicables para la gestión de crisis de TI para todos los escenarios.

Por escenario de apagón (por ejemplo, Apagón DC Sala 1, Apagón WAN, etc.) debe existir un manual de escenario. Este debe contener descripciones técnicas detalladas sobre la recuperación de los servicios de TI. Estas descripciones deben estar de acuerdo con los planes de coordinación para la Gestión de la Continuidad del Negocio y los planes de los Proveedores de Servicios de TI.

La ejecución regular de las pruebas de continuidad de TI pertinentes es crucial para estimar la eficacia de los planes de emergencia de TI. De este modo, se puede juzgar si los recursos redundantes proporcionados y los planes de recuperación permitirían la gestión de una emergencia real.

Una estrategia de pruebas y ejercicios especifica los compromisos de la política de ITSCM con respecto a la frecuencia y el alcance de las pruebas y ejercicios de continuidad de TI que deben realizarse. Para simplificar los planes de prueba, se definen los tipos de prueba (por ejemplo, prueba funcional y prueba real).

La forma de probar cada recurso de TI se especifica en forma de conceptos de prueba (tipo de desconexión o conmutación, riesgos durante la ejecución de la prueba, etc.).

Durante la planificación de la prueba, se establecen fechas para cada prueba precisa que se ejecutará dentro de un año, incluyendo la prueba inicial, y se definen sus objetivos de prueba.

Antes de poner el proyecto ITSCM en modo operacional se debe realizar una Prueba Inicial. El alcance de la prueba se determina por la planificación de la prueba previamente acordada. Es importante para esta prueba inicial que todas las actividades planificadas se ejecuten en relación con la prueba: