ACLARACIONES IMPORTANTES. Sobre el plan de continuidad de TI, se presentan varios enfoques que pueden causar confusiones sobre el tema.

Transcripción

1 PLAN DE CONTINUIDAD DEL SERVICIO DE TECNOLOGIA (RPO). Permite hacer una planificación y ejecución de los activos de tecnologías con el objetivo de garantizar la disponibilidad de la información para que se cumplan los objetivos del negocio. El contenido de este documento es el siguiente: Aclaración de algunos conceptos que causan confusión. Se definen los pasos para implementar un plan de continuidad Se desarrolla el proceso Dss04 de COBIT Este documento hace un gran aporte para que los jefes de áreas empiecen a implementar procesos competitivos en el área de tecnología sin tener que hacer grandes inversiones. ACLARACIONES IMPORTANTES. Sobre el plan de continuidad de TI, se presentan varios enfoques que pueden causar confusiones sobre el tema. Plan de contingencia. Es contar un plan alterno que remplace al sistema actual en caso de falle uno o vario de sus recursos. La continuidad del negocio. Encierra todos los procesos tanto administrativos, operativos y tecnológicos de la empresa para soportar los objetivos del negocio.

2 La continuidad del servicio de TI. Solo soporta los procesos y las actividades relacionadas con la tecnología de información, las comunicaciones, algunos procesos administrativos y las automatizaciones del área operativa. La confusión. Esta se presenta porque la mayoría de empresas que elaboran y ejecutan un plan de continuidad, el core del negocio depende ciento por ciento de los recursos de tecnología de información. Ejemplo los bancos y las empresas de telefonía. 4. Definición de medios para la publicación. Hay que definir los medios para hacer la publicación de los procesos a implementar. Intranet o medios impresos. TÉRMINOS RTO. Objetivo de tiempo de recuperación. Es el lapso de tiempo que va desde que ocurrió la interrupción del servicio hasta su recuperación. RPO. Objetivo de Punto de Recuperación. Consiste en la planificación para recuperar los objetivo, en otras palabras es la planificación de la continuidad del negocio. Indicadores. Permiten hacer la medición de un control, actividad o recurso con el objetivo de medir su rendimiento. Entregables. Son los hitos o resultados alcanzados en la ejecución del proyecto de continuidad. PASOS PARA IMPLEMENTAR UN PLAN DE CONTINUIDAD TI. Dos factores importantes se deben tener en cuenta en la etapa exploratoria del plan que son:

3 1. Definir el alcance. Hay que definir si se quiere un plan que integre todos los procesos del área de tecnología o un plan que permita recuperar los recursos críticos que soportan los servicios de TI. 1.1 Plan integral de continuidad área de tecnología. Donde se tienen que desarrollar una serie de procesos relacionados con los controles de seguridad, gestión de servicios y los que hacen parte del plan de continuidad. La iniciativa debe estar respaldada por el gobierno en cabeza del consejo directivo. 1.2 Recuperación de recursos críticos. Está relacionado con la recuperación de los recursos críticos que soportan los servicios de TI. Esta iniciativa está a cargo del jefe de área tecnología de la información ya que no requiere de grandes inversiones. 2 Nombramiento del gerente del proyecto. Se requiere de un gerente de proyecto con dominio de las metodologías COBIT y conocimiento de ISO27001, ITIL y gestión de riesgo. Además del gerente se requiere un dos auxiliares que se encargaran de la documentación y la recolección de la información. 3 Selección de las metodologías. El comité directivo junto al gerente de proyecto debe definir el alcance y las metodologías que se van a utilizar para desarrollar los procesos. Un plan de continuidad por lo menos se debe desarrollar 10 procesos básicos de una metodología como COBIT. 3.1 Definición de la estructura de los procesos. La estructura de los procesos corporativos y las utilizadas por las metodologías presentas muchas veces una diferencia, las cuales deben ser ajustas por el gerente de proyecto y presentadas ante el área de normalización de la empresa. Por lo general en las empresas utilizan procesos y procedimientos, mientras la metodología su estructura están definida por dominios proceso y actividades.

4 4 Diagnóstico inicial. De acuerdo a la definición del alcance se debe hacer un diagnóstico para determinar el estado actual de los procedimientos y actividades que se ejecutan el área de tecnología. Después de hacer la evaluación y la ponderación del mismo se debe ajustar el cronograma del proyecto. PROCESOS BASICOS DE UN PLAN DE CONTINUIDAD. Un plan de continuidad debe tener como base los siguientes procesos que permitan ofrecer un servicio de %. Seguridad de la información Control de cambio Administración de personal Administración de servicio Administración de riesgo Gestión de compras Dirección tecnológica. Determinación de la arquitectura. Gestión de riesgos Gestión de la capacidad Plan de contingencia 5 PLANEACIÓN Y DISEÑO. Con las anteriores definiciones se debe hacer el diseño y la planeación de los procesos que integran el plan incluyendo los entregables, indicadores y el cronograma del proyecto. 6. ETAPA DE DESARROLLO. Con base al cronograma de trabajo se empieza a desarrollar las actividades teniendo como base los diseños y las entradas que se requieren obtener los entregables definidos. DESARROLLO DEL PROCESO DSS04 DE COBIT. Tomamos como ejemplo el desarrollo de este proceso, que tiene como objetivo proteger los

5 recursos críticos de los servicios de TI y la recuperación ante las interrupciones no planeadas. Aclaración. El desarrollo de un proceso requiere ciertas entradas provenientes de otros procesos que se tendrán que desarrollar para obtener esas entradas. Los ejemplos se pueden llevar en un formato de hoja electrónica o a través de una aplicación. 1. Alcance Modelo de tarjeta de operación activos de TI. Modelo de programación de las copias almacenadas fuera de las instalaciones. Criterios para establecer el tipo de TIER de un centro de datos. Indicador del proceso 2 Entradas requeridas Esquema de clasificaciones de datos asignados (P02) Valoración de riesgo (P09) Especificación de disponibilidad, continuidad y recuperación(ds3) Manuales, de usuario, técnicos, operativos, de soporte y de administración(ds3) 3 Actividades a desarrollar 3.1 Planeación de la continuidad. En esta actividad se deben desarrollar planes de continuidad de TI, diseñado para reducir el impacto de una

6 interrupción mayor de las funciones y los procesos clave del negocio. Los planes deben considerar requerimientos de resistencia, procesamiento alternativo, y capacidad de recuperación de todos los servicios críticos de TI. También debe cubrir los lineamientos de uso, los roles y responsabilidades, los procedimientos, los procesos de comunicación y el enfoque de pruebas. 3.2 Recursos críticos de TI. Esta actividad esta direccionada a centrar la atención en los puntos determinados como los más críticos en el plan de continuidad de TI, para construir resistencia y establecer prioridades en situaciones de recuperación. Evitar la distracción de recuperar los puntos menos críticos Inventario de recursos críticos. Colocamos aquí algunas actividades de control a manera de ejemplo para estos tipos de recursos. Recurso Responsable Actividades Servidor de Ing. Carlos M. Monitoreo del arreglo de discos aplicaciones Revisión de puertos Aplicación Ing. Jose M. Gestión de copias de seguridad. nomina Centro de datos Tec. Mario F. Control sobre los accesos físicos. Generador eléctrico Tec. Jose M. Revisión combustible y baterías y aceite Modelo de formato tarjeta de operación para recursos críticos. Esta tarjeta permite hacer la transferencia de conocimiento entre los responsables de los integrantes del plan. TARJETA DE OPERACIÓN RECURSO NOMBRE: UPS 125 KVA MARCA: CDP Chicado Digital Power

7 RESPONSABLE: Analista de redes y comunicaciones CONDICIONES GENERALES Se debe verificar de forma continua que este recurso no sobrepase el 80% de carga, en tal caso se deberá considerar la adquisición de más unidades de este tipo de recurso. En los tomas de corrientes alimentados por este recurso (tomas de corriente regulada) no se deberán conectar aparatos que funcionen con base en motores eléctricos, tales como secadoras, aspiradoras, etc. Tampoco se deberán conectar impresoras láser a este tipo de toma corriente. 1. INSTRUCCIONES DE APAGADO. 1. Inicialmente se debe verificar que tanto el breaker correspondiente a la UPS de 15 KVA que se encuentra contiguo a la trasferencia se encuentra cerrado así como también el breaker para este mismo recurso ubicado en la PDU(Unidad de distribución de poder) principal. 2. Para iniciar con el apagado se abre el breaker correspondiente a la UPS de 15 KVA ubicado en la PDU (Unidad de distribución de poder) principal. 3. Se deberá presionar cualquier botón de la pantalla del panel principal para activar el menú de opciones. 4. Se deberá esperar hasta que la pantalla de la UPS se ilumine. 5. Se debe presionar el botón arriba ( ) en la pantalla del panel frontal, y luego se debe presionar el botón derecha ( ) para seleccionar el menú de encendido/apagado. 3. INTRUCCIONES DE ENCENDIDO. 1. Inicialmente se debe verificar que tanto el breaker correspondiente a la UPS de 15 KVA que se encuentra contiguo a la trasferencia se encuentra abierto así como también el breaker para este mismo recurso ubicado en la PDU(Unidad de distribución de poder) principal. 2. Para iniciar con el encendido de la UPS, se debe cerrar el breaker

8 que corresponde a la UPS de 15 KVA ubicado en la parte derecha de la trasferencia, una vez se realiza esta acción la UPS en cuestión inicia de forma automática. 3. Se deberá esperar hasta que la pantalla de la UPS se ilumine. Periodos de Ejecuta el mantenimiento Responsable mantenimiento Enero/01/2013 ups de Colombia Analista de redes. Junio/01/2013 ups de Colombia Analista de redes La tarjeta de operación es un documento para la transferencia de conocimiento ya que contiene el procedimiento para la operación de los activos críticos del plan de continuidad del servicio. 3.3 Entrenamiento del plan Asegurarse que todas las partes involucradas en el plan reciban sesiones de capacitación de acuerdo a las funciones asignadas de forma regular y permanente. El entrenamiento se debe hacer tanto para el personal el técnico y el funcional Plan de entrenamiento. Funcionario Entrenamiento Fecha Fuente Tec. Pedro Rojas Copias de seguridad programa gestión recurso 24/01/14 Documentación del plan. Inf. Pedro R. humano. Encendido de y apago de UPS central. 20/05/14 Entreno Tec Pedro R. 3.4 Pruebas de plan

9 Probar el plan de forma regular para asegurar que todos los recursos de tecnología de información, puedan ser recuperados de forma efectiva. Todas las pruebas se deben hacer en un ambiente de prueba y en ningún caso sobre los ambientes de producción para evitar errores que puedan afectar la continuidad de los servicios de tecnología de información Registro Bitácora de control de las pruebas del plan. Esta bitácora se puede llevar a través de una aplicación. Fecha Recurso Responsable Detalle 24/01/14 Fluido eléctrico Ing. Carlos M. De desconecto la corriente eléctrica y el generador arranco sin novedad. 28/04/14 Aplicación gestión humana Ing. Pedro M. En el ambiente de prueba se bajó la base de datos y se hizo la restauración sin novedad. 3.5 Almacenamientos de respaldo. Esta actividad se encarga de almacenar todos los medios de respaldo, documentación y otros recursos de TI críticos, necesarios para la recuperación del plan continuidad. El contenido de los respaldos a almacenar debe determinarse en conjunto entre los responsables de los procesos de negocio y el personal de TI. La administración del sitio de almacenamiento, debe apegarse a la política de clasificación de datos.

10 Centro de datos de Telefónica Tier 4. Con una inversión inicial de 120 millones de euros telefónica se coloca como el referente para los centros de datos por encima de Google y Microsoft. La proyección de vida útil es de 25 años, ocupa un área de m2, fue inaugurado en mayo de 2013 y se encuentra ubicado en Alcala España Programación almacenamientos de respaldo fuera de las instalaciones. Información Periodicidad Responsable Clasificación Base de datos Cada 8 días Analista de bases Publica y presupuestos de datos sensitiva Información Cada 15 días Asistente de Sensitiva computador de presidencia presidencia Base de datos Cada 8 días Analista de bases Publica y ERP de datos sensitiva Base de datos Cada 8 días Analista de Sensitiva proyect server proyectos Esta programación busca asignar responsabilidades sobre la actividad de almacenamiento fuera de las instalaciones. 3.6 Indicador. Porcentaje del tiempo perdido con relación al promedio establecido por la TIER. Para obtener este indicador se debe identificar el tipo de data center de acuerdo al estándar ANSI/TIA 942 y registrar las horas perdidas por interrupciones no planeadas.

11 3.7 Estándar ANSI/TIA 942. Presenta una clasificación de cuatro niveles de clasificación de la TIER de un centro de datos. Tier 1. Diseñada para la mediana empresa, no tiene redundancia, si falla en uno de sus componentes puede afectar el funcionamiento del servicio de tecnología de información, la interrupción máxima durante el año es de 28.8 horas. Este tipo de centro de dato está expuesto a interrupciones tanto planeadas y las no planeadas. Tier 2 (N+1). Este diseño es menos susceptible a interrupciones por actividades planeadas o no planeadas con componentes redundantes (N+1), cuenta con suelos elevados cuando se encuentran ubicados en un primer piso, su disponibilidad es de %. Tier 3 (N+1). Centro de datos concurrentemente mantenibles, disponibilidad del %, permite planificar actividades de mantenimiento sin afectar al servicio tecnología, pero eventos no planeados pueden causar paradas. Tier 4 Centro de datos tolerante a fallos. Disponibilidad del %., permite planificar actividades de mantenimiento sin afectar al servicio de tecnologías críticos y es capaz de soportar por lo menos un evento no planificado del tipo peor escenario sin impacto crítico en la carga. Conectados a múltiples líneas de distribución eléctrica y de refrigeración con múltiples componentes redundantes (2 (N+1) significa 2 UPS con redundancia N+1) Criterios para establecer el tipo de TIER de un centro de datos de acuerdo al ANSI/TIA 942. Componentes TIER 1 TIER 2 TIER 3 TIER 4 Ups SI SI SI SI Piso falso(primer piso) Opcional SI SI SI Generador Opcional SI SI SI

12 Sistema a tierra SI SI SI SI Monitoreo SI SI SI SI Aire acondicionado SI SI SI SI Disponibilidad % % % %. Tiempo fuera de servicio anual 28.8 horas 22.0 Horas 1.6 horas 0.8 horas La diferencia entre las diferentes TIER, están en los niveles de redundancia. Registro de las interrupciones del servicio de TI. Actividad Fecha Planeada Tiempo fuera de servicio Mantenimiento a UPS 05/01/2012 SI 0 Falla del fluido eléctrico. No 10/03/2012 No 7.5 horas arranco el generador eléctrico Falla el fluido eléctrico 05/05/2012 No 0 Mantenimiento generado eléctrico 10/07/2012 SI 0 Falla fluido eléctrico. Generador 12/12/2012 NO 10 horas electico no arranca por falta de baterías. Total horas perdidas por interrupciones no planeadas horas De acuerdo a la sumatoria de las horas de interrupciones no planeadas podemos medir la TIER a través del indicador. Los siguientes son los datos ya procesados para obtener el indicador del proceso: Horas perdidas durante el año = 17.5 horas Disponibilidad del servicio de tecnología es de 24/6 El centro de datos cuenta con una TIER 2

13 Máximo de interrupciones del servicio es de 28.8 horas según el estándar ANSI/TIA 942 Resultado = 17.5 horas x 100% / 28.8 horas = 60.76% Análisis del indicador. Este indicador demuestra que se están cumpliendo los mantenimientos y los planes de pruebas y 5capacitación de personal de TI. Nuestro correo soporte@gestiondeti.com Skype soportedeti