Gestió de la Continuïtat del Servei

Organització i Planificació

Una cop determinat l'abast de la ITSCM, analitzats els riscs i vulnerabilitats, i definides unes estratègies de prevenció i de recuperació és necessari assignar i organitzar els recursos necessaris. Amb aquest objectiu la Gestió de la Continuïtat del Servei ha d'el·laborar una sèrie de documents entre els quals s'inclouen:

• Pla de prevenció de riscs.
• Pla de gestió d'emergències.
• Pla de recuperació.

Pla de prevenció de riscs

El principal objectiu del qual és evitar o minimitzar l'impacte d'un desastre a la infraestructura TI.

Entre les mesures habituals trobem:

• Emmagatzemament de dades distribuïdes.
• Sistemes d'alimentació elèctrica de suport.
• Polítiques de back-ups.
• Duplicació de sistemes crítics.
• Sistemes de seguretat passius.

Pla de gestió d'emergències

Les crisis solen provocar "reaccions de pànic" que poden ser contraproduents i de vegades fins i tot més perjudicials que les provocades per l'incident que les va causar. Per això és imprescindible que en cas de situació d'emergència estiguin clarament determinades les responsabilitats i les funcions del personal, així com els protocols d'acció corresponents.

En principi els plans de gestió d'emergències han de tenir en compte aspectes com:

• Avaluació de l'impacte de la contingència en la infraestructura TI.
• Assignació de funcions d'emergència al personal de servei TI.
• Comunicació als usuaris i als clients d'una interrupció greu o d'una degradació del servei.
• Procediments de contacte i de col·laboració amb els proveïdors involucrats.
• Protocols per posar en marxa el pla de recuperació corresponent.

Pla de recuperació

Quan la interrupció del servei és inevitable arriba el moment de posar en marxa els procediments de recuperació.

El pla de recuperació ha d'incloure tot el necessari per a:

• Reorganitzar el personal involucrat.
• Restablir els sistemes de hardware i software necessaris.
• Recuperar les dades i reiniciar el servei TI.

Els procediments de recuperació poden dependre de la importància de la contingència i de l'opció de recuperació associada ("cold o hot stand-by"), però en general involucren:

• Assignació de personal i recursos.
• Instal·lacions i hardware alternatius.
• Plans de seguretat que garanteixin la integritat de les dades.
• Procediments de recuperació de dades.
• Contractes de col·laboració amb altres organitzacions.
• Protocols de comunicació amb els clients.

Quan es posa en marxa un pla de recuperació no hi ha espai per a la improvisació; qualsevol decisió pot tenir greus conseqüències tant en la percepció que de nosaltres tinguin els clients com en els costos associats al procés.

Malgrat que pugui resultar paradoxal, un "desastre" pot ser una bona oportunitat per demostrar als nostres clients la solidesa de la nostra organització TI i, per tant, incrementar la confiança que tenen dipositada en nosaltres. Ja coneixem la dita: "No hi ha mal que per bé no vingui".