22 años de consultoría en ITSCM

Establecer la Gestión de la Continuidad del Servicio de TI (ITSCM) con los elementos básicos de la preparación para emergencias de TI y la respuesta a emergencias de TI significa que está óptimamente preparado para incidentes críticos de TI.

Gestión de la continuidad de los servicios de TI

ITSCM, también conocida como gestión de contingencias de TI o gestión de recuperación de desastres de TI, es una disciplina fundamental dentro de los procesos de gestión de servicios de TI. En el mundo actual, impulsado por la tecnología de TI, muchos procesos empresariales dependen en gran medida del funcionamiento de los servicios de TI. Un fallo de las infraestructuras, los sistemas o las aplicaciones informáticas puede provocar interrupciones en los procesos empresariales, lo que puede acarrear considerables daños financieros y de reputación (por ejemplo, a la imagen de marca). Muchas industrias, como la banca, los seguros y las empresas de infraestructuras críticas, también están sujetas a estrictos requisitos normativos y/o de cumplimiento que dictan un sólido plan de continuidad de negocio.

Con una Gestión de la Continuidad del Servicio de TI (ITSCM) establecida con los elementos básicos de preparación para emergencias de TI y gestión de emergencias de TI, estará óptimamente preparado para incidentes críticos de TI.

Los servicios de TI necesarios para sus operaciones empresariales no se interrumpen, o sólo durante un breve periodo de tiempo, durante la transición a operaciones de TI de emergencia y la existencia económica de su empresa permanece segura incluso en caso de un incidente grave.

Aunque la implantación de un ITSCM requiere una inversión inicial, el ahorro a largo plazo derivado de evitar interrupciones prolongadas de TI puede ser considerable. Además, al implantar la gestión de la continuidad del servicio de TI, envía una clara señal de fiabilidad a los clientes y socios contractuales, incluso en caso de un incidente de TI crítico. Esto puede representar una importante ventaja competitiva frente a otras empresas.

Nuestros servicios de consultoría ITSCM

Trabajamos con usted para desarrollar soluciones personalizadas adaptadas a sus necesidades en este complejo entorno de TI. Ni que decir tiene que también tenemos en cuenta las interfaces correspondientes con otras disciplinas de gestión, como la gestión de la continuidad del negocio (BCM), la gestión de la seguridad de la información (ISM), la gestión de la respuesta a ciberincidentes (CIRM) y la gestión de crisis (KM). Con nuestros muchos años de experiencia, le apoyamos en la introducción, desarrollo o evaluación de su actual sistema de gestión de la continuidad de los servicios de TI (ITSCMS). Nuestro enfoque se basa en normas reconocidas internacionalmente (ISO 27031 y Guía de Buenas Prácticas BCI), ITIL y modelos de buenas prácticas de nuestros muchos años de experiencia en proyectos.

Nuestro coaching ITSCM

A la hora de implementar proyectos, nuestros expertos en TI siempre se centran en desarrollar la experiencia interna. Nuestro objetivo es que, durante la ejecución del proyecto, usted aprenda de nosotros los conocimientos necesarios sobre el proceso de gestión y, a continuación, pueda poner en práctica directamente lo aprendido. Los nuevos procesos no siempre reciben una respuesta totalmente positiva. Según nuestros muchos años de experiencia, la mejor forma de superar el escepticismo interno es concienciar a los empleados. Igual que la cita de Antoine de Saint-Exupéry: „Si quieres construir un barco, no reúnas hombres para conseguir madera, asignar tareas y dividir el trabajo, sino enseña a los hombres a anhelar el ancho e interminable mar“ – No dude en ponerse en contacto con nosotros si necesita ayuda para preparar y aplicar medidas de concienciación.

¿Cuáles son los tres argumentos más importantes a favor de ITSCM?

El ITSCM como proceso de gestión crea estructuras organizativas y de personal para la prevención y gestión de incidentes informáticos críticos. Con un ITSCM establecido, usted es capaz de:
  • reaccionar ante incidentes informáticos críticos de forma estructurada

  • garantizar una operación de emergencia informática

  • para reiniciar sus infraestructuras de TI, sistemas de TI y aplicaciones dentro de una ventana de tiempo aceptable

Por qué es tan importante ITSCM

Cuando las infraestructuras TI/TI fallan, el factor tiempo juega un papel fundamental. Cuanto más tiempo estén indisponibles los servicios de TI necesarios para los procesos críticos de negocio, mayor será el daño financiero y/o reputacional. Para algunas empresas, el margen de tiempo antes de que su existencia se vea amenazada es muy pequeño. Un ITSCM establecido reduce la probabilidad de que se produzcan escenarios de daños ITSCM, crea estructuras para hacer frente a incidentes críticos de TI y le da la seguridad de poder reiniciar la TI dentro de la ventana de tiempo especificada.

¿Qué es exactamente ITSCM?

ITSCM como proceso de gestión planifica proactivamente todos los aspectos necesarios para la continuación, reinicio o recuperación de sus infraestructuras de TI, sistemas de TI y/o aplicaciones. Como apoyo y en coordinación con el proceso BCM, se reducen los riesgos para los servicios de TI y se planifica, prepara y prueba el reinicio de dichos servicios. Como resultado, ITSCM refuerza la resistencia, continuidad y estabilidad de sus servicios críticos de TI. ITSCM forma parte de Gestión de la Continuidad del Negocio (BCM) con especial atención a los fallos de TI.

¿Cuáles son los objetivos de ITSCM?

  • Asegurar la disponibilidad de las infraestructuras de TI, los sistemas de TI y las aplicaciones necesarias incluso en caso de un incidente de TI crítico o una emergencia de TI

  • Minimización de los riesgos que podrían provocar incidentes informáticos críticos o emergencias informáticas

  • Fortalecer la resistencia, continuidad y estabilidad de sus servicios críticos de TI frente a influencias externas

  • Crear seguridad para los clientes y socios contractuales

¿Qué ventajas tiene una empresa con un ITSCM implantado? 

  • Evitar o minimizar el tiempo de inactividad de los servicios críticos de TI, como consecuencia de lo cual se ven afectados los procesos de negocio

  • Minimización y acortamiento de los tiempos de reinicio

  • Reducir las amenazas actuales y futuras y proporcionar procesos de respuesta eficaces

  • Reforzar la capacidad de recuperación de las TI

  • Cumplir los requisitos legales, normativos y de los clientes

  • Resiliencia demostrada frente a clientes y proveedores

Ya tenemos BCM. Sigo necesitando ITSCM?

La respuesta a esta pregunta es un rotundo sí. BCM identifica los procesos de negocio críticos en el tiempo de una empresa y garantiza que puedan continuar en caso de incidente. ITSCM garantiza la disponibilidad de los servicios de TI necesarios para los procesos de negocio críticos en el tiempo. Así, mientras que BCM, como proceso de gestión holística de los fallos de las infraestructuras de TI/TI, „sólo“ planifica medidas manuales de „recuperación, ITSCM se ocupa de mantener la disponibilidad o el reinicio más rápido posible de las infraestructuras de TI, los sistemas de TI y las aplicaciones.

¿Qué pasa con ISM? ¿Sigo necesitando además ITSCM?

La respuesta a esta pregunta también es claramente afirmativa. Gestión de la Seguridad de la Información (ISM) tiene como objetivo proteger toda la información de una empresa, independientemente de su tipo y origen. La GSI planifica de forma proactiva la prevención de incidentes de seguridad o violaciones de los objetivos de seguridad definidos, como la confidencialidad, la integridad, la continuidad y la autenticidad. Se trata, por tanto, de requisitos para el funcionamiento normal. Normalmente no se crean planes independientes para tratar los problemas de seguridad. Esto crea muy a menudo un vacío peligroso. Las estructuras organizativas de ITSCM y los planes de alerta y gestión de incidentes informáticos críticos pueden, por supuesto, utilizarse también para gestionar incidentes de seguridad. Nuestro modelo de proceso general para la gestión de la continuidad de los servicios de TI se basa en nuestros muchos años de experiencia en proyectos y en los modelos de mejores prácticas del sector. A continuación describimos las etapas individuales del modelo, cuyo objetivo es establecer ITSCM en su empresa.

¿Cómo es una implantación de ITSCM?

Nuestro modelo de procesos para la gestión de la continuidad de los servicios de TI se basa en nuestros muchos años de experiencia en proyectos y en los modelos de mejores prácticas del sector. En las páginas siguientes describimos las distintas fases del modelo, cuyo objetivo es implantar ITSCM en su empresa.

El objetivo del proceso ITSCM es permitir que una organización vuelva a disponer de los servicios de TI críticos para el tiempo que hayan fallado dentro de una ventana de tiempo predeterminada y un nivel de servicio de TI mínimo acordado con el fin de respaldar los requisitos empresariales mínimos.

Desde 2011, existe una norma internacional para la planificación de contingencias de TI (ITSCM) en forma de ISO 27031. El propio título „Tecnología de la información „ Técnicas de seguridad „ Directrices para la preparación de la tecnología de la información y la comunicación para la continuidad del negocio„ indica que debe haber una estrecha cooperación entre las disciplinas BCM e ITSCM en la empresa desde el principio.

En nuestro modelo de proceso ITSCM tenemos en cuenta esta cuestión de la interfaz. Su objetivo es establecer el proceso ITSCM en la empresa en forma de proyecto. Además de nuestra experiencia práctica de más de 20 años de trabajo de consultoría, siempre incorporamos requisitos de las descripciones de procesos según ITIL „ITSCM“, de la seguridad de la información (especialmente según ISO 27001) y de normas como la norma alemana BSI 200-4 „Business Continuity Management“ en nuestros conceptos.

Modelo de proceso ITSCM

 Iniciación a la ITSCM

La iniciación es la base de un proyecto exitoso de planificación de emergencias de TI. Con una política de ITSCM, la gerencia instruye al departamento de TI a establecer ITSCM en la compañía (en forma de una política de ITSCM). Los pasos necesarios para el proceso están documentados en una Guía ITSCM. Además, se documentan las medidas para el mantenimiento del proceso de la gestión integrada de las tecnologías de la información y las comunicaciones, su supervisión y su mejora continua.

 Análisis y Concepto

"Análisis y Concepto" trata de establecer los objetivos y soluciones para los planes de recuperación.

Análisis de brechas
Durante la fase de análisis, los requisitos objetivo para la disponibilidad de los servicios de TI (aplicaciones de TI) deben tomarse de la BCM y compararse con las posibilidades actualmente implementadas para la preparación de emergencias de TI. El principal criterio para la disponibilidad en el modo de emergencia es el objetivo de tiempo de recuperación (RTO) de un servicio de TI. Esto se puede determinar a partir de un Análisis de Impacto en el Negocio o de Acuerdos de Nivel de Servicio. En algunas áreas de TI, la documentación necesaria para el análisis no estará disponible. En estos casos utilizaremos métodos alternativos probados para crear estos datos.

Concepto de solución de ITSC
El concepto de solución de la ITSC describe las opciones de solución seleccionadas. Estas opciones de solución sirven de base para la creación de los planes de la ITSC.

 Implementación

Durante la fase de implementación, se ponen en práctica las medidas acordadas.

Medidas de prevención y mitigación
En el contexto de las medidas preventivas para TI, se podrían, por ejemplo, establecer copias de seguridad adicionales, crear conexiones WAN, crear sistemas agrupados, organizar espacios de trabajo de copia de seguridad o incluso alquilar una nueva ubicación de centro de datos. Durante la implementación se da prioridad a aquellas medidas que resultan en mejoras en la disponibilidad de los servicios de TI de muchos sistemas diferentes, y también a las medidas que mitigan los riesgos con un alto potencial de daño.

Organización de Crisis y ITSCM
Para su uso durante una emergencia, se debe establecer una estructura organizativa independiente de crisis y de gestión del riesgo de desastres (organización en la sombra). El objetivo de esta forma de organización es permitir llegar a decisiones precisas y rápidas en situaciones críticas basadas en menos niveles de jerarquía. Además, se definirá un proceso de escalamiento separado para esta organización de emergencia.

Procesos e interfaces de ITSCM
Después de la conclusión del proyecto, se deben definir los procesos de gestión para integrar las tareas que se repiten regularmente en las operaciones diarias normales.

 Planificación

Dentro de la fase de Planificación se crea el Manual de Emergencia de TI. Esto puede consistir en varios documentos, dependiendo del tamaño y número de centros de datos. En cualquier caso, deben describirse procedimientos igualmente aplicables para la gestión de crisis de TI para todos los escenarios.

Por escenario de apagón (por ejemplo, Apagón DC Sala 1, Apagón WAN, etc.) debe existir un manual de escenario. Este debe contener descripciones técnicas detalladas sobre la recuperación de los servicios de TI. Estas descripciones deben estar de acuerdo con los planes de coordinación para la Gestión de la Continuidad del Negocio y los planes de los Proveedores de Servicios de TI.

 Validación

La ejecución regular de las pruebas de continuidad de TI pertinentes es crucial para estimar la eficacia de los planes de emergencia de TI. De este modo, se puede juzgar si los recursos redundantes proporcionados y los planes de recuperación permitirían la gestión de una emergencia real.

Una estrategia de pruebas y ejercicios especifica los compromisos de la política de ITSCM con respecto a la frecuencia y el alcance de las pruebas y ejercicios de continuidad de TI que deben realizarse. Para simplificar los planes de prueba, se definen los tipos de prueba (por ejemplo, prueba funcional y prueba real).

La forma de probar cada recurso de TI se especifica en forma de conceptos de prueba (tipo de desconexión o conmutación, riesgos durante la ejecución de la prueba, etc.).

Durante la planificación de la prueba, se establecen fechas para cada prueba precisa que se ejecutará dentro de un año, incluyendo la prueba inicial, y se definen sus objetivos de prueba.

 Prueba inicial

Antes de poner el proyecto ITSCM en modo operacional se debe realizar una Prueba Inicial. El alcance de la prueba se determina por la planificación de la prueba previamente acordada. Es importante para esta prueba inicial que todas las actividades planificadas se ejecuten en relación con la prueba:

  • Determinar los objetivos de la prueba

  • Planificación de los preparativos de las pruebas

  • Planificación de la ejecución de la prueba

  • Análisis de planificación de los resultados de los ensayos y del resumen

Contacto