Proyectar con COBIT e ITIL el plan de recuperación de desastres
COBIT e ITIL son dos marcos de trabajo que proporcionan controles medibles de asistencia en la revisión de los procesos de Recuperación ante Desastres (DR).
Un aspecto clave en la gestión de la continuidad del negocio (BC) y la recuperación ante desastres (DR) es la medición del rendimiento. El presente artículo abre nuestras mentes hacia el uso de métricas y examina cómo la recuperación ante desastres puede ser diseñada a través de dos marcos de referencia ampliamente utilizados: la Biblioteca de Infraestructura de Tecnologías de la Información (ITIL - Information Technology Information Library) versión 3 y los Objetivos de Control para la Información y Tecnologías relacionadas (COBIT - Control Objectives for Information and related Technology) edición 4.1. Estos dos marcos de referencia proporcionan controles medibles que se pueden aplicar a los procesos de recuperación ante desastres de los Sistemas de Información (TI). Por qué es importante? Dando por hecho que usted quiere diseñar unos planes de recuperación ante desastres que sean compatibles con los estándares y controles aceptados por la industria, estos dos marcos proporcionan unos sólidos puntos de partida.
COBIT 4.1
COBIT 4.1 es un marco de trabajo para el control de los Sistemas de Información (TI) globalmente aceptado basado en estándares de la industria y mejores prácticas. Una vez implantado, los ejecutivos pueden asegurarse de que la Tecnología de la Información (TI) se encuentran alineada con los objetivos corporativos de manera eficaz y de que el uso de TI está correctamente orientado hacia la obtención de ventajas competitivas. Desarrollado por el Instituto de Administración de las Tecnologías de la Información (TI Governance Institute), COBIT provee a los ejecutivos de un lenguaje común para comunicar las metas, objetivos y resultados a los profesionales de auditoría, de TI y a otros profesionales. COBIT ofrece unas buenas prácticas y herramientas para el seguimiento y la gestión de las actividades de TI. También ayuda a los ejecutivos a comprender y gestionar las inversiones en TI durante todo su ciclo de vida y proporciona un método para evaluar si los servicios de TI y las nuevas iniciativas están cumpliendo con las exigencias corporativas y si generarán los beneficios esperados.
ITIL Versión 3
ITIL V3 es un marco para la gestión de servicios de TI que se ocupa de la planificación, aprovisionamiento, diseño, implementación, operación, soporte y mejora de los servicios de TI que sean adecuados para las necesidades del negocio. ITIL proporciona un marco integral, consistente y coherente de buenas prácticas en la gestión de los servicios de TI y otros procesos relacionados. ITIL también promueve un enfoque de alta calidad para el logro de la eficacia empresarial y la eficiencia en la gestión de los servicios de TI. Desarrollado en el Reino Unido por la Oficina de Comercio del Gobierno (Office of Government Commerce - OGC), el marco de trabajo ITIL describe los métodos, funciones, roles y procesos sobre los que las organizaciones pueden desarrollar y evaluar sus propias actividades de TI.
Diseño de la Recuperación ante Desastres de TI con COBIT e ITIL
El proceso de recuperación ante desastres de TI está bastante bien definido. Para determinar dónde encajan los componentes de COBIT e ITIL con los planes de Recuperación ante Desastres de TI, hemos elaborado esta guía como se muestra en el "Diseño detallado de recuperación ante desastres de TI con COBIT e ITIL”. Usted puede utilizar el contenido detallado de esta guía como referencia de ambos marcos dado que está alineado con las actividades específicas de Recuperación ante Desastres de TI. Si usted ya utiliza uno de estos marcos o ambos, no pretendemos que desarrolle unos programas y planes de Recuperación ante Desastres de una manera distinta a como usted ya lo haría. Al igual que la mayoría de normas, prácticas y marcos actuales, COBIT e ITIL son preceptivos. Ellos describen "qué" hay que hacer, pero no "cómo" hacerlo. Usted puede utilizar los marcos como una lista de comprobación para asegurarse de que no ha omitido ninguna de las actividades principales.
Figura 1: Mapa detallado de Recuperación ante Desastres con COBIT e ITIL
Actividades de Recuperaciónante Desastres de TI |
COBIT | ITIL | ||
Objetivo del control | Denominación | Objetivo del control | Denominación | |
Enfoque consistente y global de la administración de la continuidad de TI | DS4.1 | Marco de trabajo de continuidad de TI | SD 4.5 SD 4.5.5.1 CSI 5.6.3 |
Administración de la continuidad del servicio TI Etapa 1: Inicio Administración de la continuidad del servicio TI |
Planes individuales de continuidad basados en el marco de trabajo Análisis de la incidencia en el negocio Resistencia, procesamiento alternativo y recuperación |
DS4.2 | Planes de continuidad de TI | SD 4.5.5.2 SD 4.5.5.3 |
Etapa 2: Requerimientos y estrategia Etapa 3: Implementación |
Enfoque sobre la infraestructura crítica, resistencia y priorización Respuesta para diferentes periodos de tiempo |
DS4.3 | Recursos críticos de TI | SD 4.4.5.2
|
Actividades de administración de la disponibilidad Etapa 4: Operación en curso |
Control de cambios que refleje los requerimientos actuales del negocio |
DS4.4 | Mantenimiento del plan de continuidad de TI | SD 4.5.5.4 | Etapa 4: Operación en curso |
Realización de pruebas con regularidad Implementación de un plan de acción |
DS4.5 | Pruebas del Plan de continuidad de TI | SD 4.5.5.3 SD 4.5.5.4 |
Etapa 3: Implementación Etapa 4: Operación en curso |
Capacitación regular de todas las partes interesadas | DS4.6 | Ensayo del plan de continuidad de TI | SD 4.5.5.3 SD 4.5.5.4 |
Etapa 3: Implementación Etapa 4: Operación en curso |
Distribución adecuada y segura del plan a todas las partes autorizadas | DS4.7 | Distribución del plan de continuidad de TI | SD 4.5.5.3 SD 4.5.5.4 |
Etapa 3: Implementación Etapa 4: Operación en curso |
|
DS4.8 | Recuperación y reanudación de los servicios TI | SD 4.4.5.2
SD 4.5.5.4 |
Actividades de administración de la disponibilidad Etapa 4: Operación en curso |
Almacenamiento fuera de las instalaciones de todos los medios, documentos y recursos críticos necesarios en colaboración con los responsables de los procesos |
DS4.9 | Almacenamiento de copias de seguridad fuera de las instalaciones | SD 4.5.5.2 SO 5.2.3 |
Etapa 2: Requerimientos y estrategia Copia de seguridad y restauración |
Evaluación regular de los planes | DS4.10 | Revisión Post-reanudación | SD 4.5.5.3 SD 4.5.5.4 |
Etapa 3: Implementación Etapa 4: Operación en curso |
La figura muestra cómo se planifican algunas actividades de Recuperación ante Desastres de TI mediante COBIT e ITIL. Aunque el plan general de Recuperación ante Desastres de TI que uno puede desarrollar incluirá probablemente más puntos de los que aquí se indican, éstas constituyen unos sólidos fundamentos.
Ejemplo: Ensayo de los planes de recuperación ante desastres de TI
Las pruebas y los ejercicios de los planes de DR se encuentran entre las actividades más importantes – y a menudo desatendidas -- en el proceso de recuperación ante desastres. Por ejemplo, el punto DS4.5 de COBIT señala la importancia de las pruebas y de los ejercicios en los procesos de DR. Si analizamos el punto DS4.5 de COBIT, éste indica:
"Realice pruebas del plan de continuidad de TI de forma regular para garantizar que los sistemas pueden ser recuperados de manera efectiva, que las deficiencias son atendidas y que el plan sigue siendo aplicable. Esto requiere una cuidadosa preparación, documentación, elaboración de informes sobre los resultados de las pruebas y, de acueDRo con los resultados, la aplicación de un plan de acción. Evalúe el alcance de las pruebas de recuperación de aplicaciones individuales en escenarios de pruebas integrados, en pruebas de extremo a extremo y en pruebas integradas con los proveedores ", COBIT DS4.5.
Por el contrario, si analizamos las previsiones de ITIL, vemos que ITIL avala un marco de trabajo denominado Gestión de la Continuidad del Servicio de TI (ITSCM TI Service Continuity Management). El ITSCM se ocupa de los riesgos que podrían causar un impacto repentino y grave en la infraestructura de TI, de manera que una interrupción de los mismos podría poner en peligro la continuidad del funcionamiento de la empresa. De acueDRo con ITIL, la ITSCM debe estar alineada con el ciclo de vida de continuidad del negocio. La ITSCM se centra en la protección de la infraestructura tecnológica, mientras que la continuidad del negocio se centra en los riesgos que podrían interrumpir las operaciones de negocio. Los puntos SD 4.5.5.3 y SD 4.5.5.4 se ocupan de los enfoques y de las actividades y técnicas que hacen posible la ITSCM. También describen las medidas de planificación, protección y optimización de las etapas 3 y 4, Implementación (SD 4.5.5.3) y Operación en curso (SD 4.5.5.4), del ciclo de vida de la ITSCM.
En este caso, las guías de COBIT y de ITIL pueden ser utilizadas como parte del proceso de prueba de recuperación ante desastres de TI. En el punto 4.1 de COBIT se dan detalles más específicos sobre los objetivos de una prueba. Por su parte, ITIL dibuja los procesos básicos de gestión sin entrar en detalles tan específicos. No obstante, en ambos casos las guías describen lo que se debe hacer, no cómo hacerlo.
Una cosa importante que se debe hacer es determinar si su organización ya sustenta estos marcos de trabajo o tiene previsto hacerlo. Si su organización ya los sustenta, puede asegurarse de que sus programas se amoldan a estos marcos de trabajo. Si su organización no sustenta ni COBIT ni ITIL, puede en todo caso utilizar los marcos para estructurar sus programas de desarrollo de acueDRo con las prácticas aceptadas por la industria.
Las organizaciones que deseen adoptar las buenas prácticas para las operaciones de TI, incluyendo la recuperación ante desastres, pueden beneficiarse con la utilización de estos marcos de gestión. Los marcos proporcionar unos enfoques coherentes y medibles. También tienen más posibilidades de garantizar un resultado exitoso, especialmente tras una interrupción no planificada de los servicios de TI. Los ejemplos ofrecidos en este artículo pueden ayudarle a empezar. El nivel de detalle depende de su empresa, de la forma en que dirige sus negocios y de la forma en que mide el rendimiento.
Sobre el autor: Paul Kirvan, CISA [P1] , CISSP [P2] , FBCI [P3] , CBCP [P4] , tiene más de 20 años de experiencia en la gestión de la continuidad de negocio como consultor, escritor y educador. También es secretario de la División Regional en Estados Unidos del Business Continuity Institute (Instituto de Continuidad de Negocio).
[P1] CISA - Certified Information Systems Auditor (Auditor de Sistemas de Información Certificado)
[P2] CISSP - Certified Information Systems Security Professional (Certificación Profesional de Seguridad de Sistemas de Información)
[P3] FBCI - Fellow of the Business Continuity Institute (Miembro del Instituto de Continuidad de Negocio)
[P4] CBCP - Certified Business Continuity Professional (Certificación Profesional de Continuidad de Negocio)