Guía metodológica para la implementación de Resiliencia operacional en los servicios de TI
Enviado por jlujana • 5 de Noviembre de 2017 • Informe • 3.981 Palabras (16 Páginas) • 253 Visitas
Guía metodológica para la implementación de Resiliencia operacional en los servicios de TI
Resumen — Actualmente las TI forman parte de la estrategia y actividades medulares de las empresas, el cual les permite poder generar valor, alcanzar los objetivos planteados a nivel de empresa de forma rápida y eficaz.
Los servicios TI dan el soporte necesario a los diversos procesos de las organizaciones, existiendo una gran dependencia directa para el logro de los objetivos de la organización. Por la gran importancia que cumplen los servicios de TI en las organizaciones se debe de plantear acciones y estrategias para poder asegurar la protección y continuidad ante eventos o amenazas que pongan en peligro la operatividad de los servicios de TI, lo que llamamos resiliencia operacional.
Este artículo busca dar una orientación a los ejecutivos que toman decisiones en las organizaciones, a los responsables de la continuidad de servicios sobre las actividades que permitan asegurar la resiliencia operacional de los servicios de TI y los indicadores de medición a tener en cuenta.
Palabras Claves — Resiliencia, Resiliencia operacional, CERT-RMM, Servicios de TI.
I. INTRODUCCIÓN
A nivel mundial, las empresas han aumentado continuamente la dependencia de los sistemas de TI en los procesos de negocio. Los procesos de negocio que se basan directamente en los sistemas de información y la infraestructura de TI de apoyo a menudo requieren altos niveles de disponibilidad y recuperación en el caso ocurra una interrupción o paralización imprevista. Los sistemas informáticos son cada vez más críticos para el funcionamiento de cualquier organización, por lo que también ha aumentado la importancia de asegurar la continuidad del funcionamiento de esos sistemas críticos y su rápida recuperación.
Sin embargo, la mayoría de las empresas todavía están mal preparadas para un desastre. Se han realizado innumerables estudios acerca de las problemáticas que pueden enfrentar las empresas cuando su infraestructura de TI no está lista para recuperarse, no solo de los desastres naturales, sino de los informáticos, que en esta era de dependencia tecnológica cada día son más frecuentes y los daños que ocasionan, más graves. Las organizaciones buscan contar con servicios TI de gran disponibilidad e integridad y no sean vulnerables a los ataques informáticos.
“Considerando la importancia que hoy tiene el riesgo de la tecnología, las organizaciones necesitan mejorar el desarrollo de habilidades y de patrones de carrera en la administración del riesgo de tecnología” (Deloitte, 2016, p. 11)
El día 12 de mayo de 2017 grandes empresas a nivel mundial fueron víctimas del mayor ciberataque de la historia, el Ransomware Wanna Cry tomó el control de miles de equipos de cómputo con Sistema Operativo Windows. “De acuerdo con cifras oficiales, alrededor de 150 países fueron afectados, y más de 200 mil usuarios atacados por Wanna Cry” (Totalsec, 2017)
Ante esta problemática surge en las organizaciones la gestión de la seguridad de información, que tiene como finalidad de salvaguardar, proteger la información y la gestión de la continuidad del negocio ante eventos o amenazas que pongan en peligro la misión de la organización.
Las organizaciones deben de establecer acciones y estrategias para poder asegurar la protección y continuidad ante eventos o amenazas que pongan en peligro la operatividad de los servicios TI, lo que llamamos resiliencia operacional.
II. REFERENCIAL TEÓRICO
El proceso de recuperación de las operaciones frente a los incidentes es unos de los grandes temas de gran importancia para las organizaciones. Gracias a las investigaciones de académicos y organizaciones han salido un conjunto de propuesta para el manejo de los incidentes como metodologías, estándares y marcos de trabajo que puedan permitir mitigar los riesgos en las organizaciones.
Resiliencia Operacional: La resiliencia operacional es la capacidad de una organización en perseguir su misión en un evento adverso. Esta capacidad tiene como objetivo mantener, restablecer los procesos de negocios y los servicios críticos que brindan el soporte a la misión de la organización.
Caralli, Allen, Curtis, White y Young (2010) expresan que la resiliencia operacional es la propiedad emergente de una organización que puede continuar llevando a cabo su misión después de una interrupción que no excede su límite operacional
En las organizaciones es de gran importancia considerar la resiliencia operacional, ya que es de gran aporte a la Gobernanza corporativa, permitiendo garantizar la operatividad de los servicios.
Tapper (2013) refiere que las empresas deben adoptar un plan para lograr la resiliencia operacional
Gestión de TI: La gestión de TI permite realizar el monitoreo y supervisión de los temas relacionados con las operaciones y recursos de tecnología de información en los procesos de las organizaciones.
La gestión efectiva de TI permite a la organización asegurar y optimizar los recursos tecnológicos y del personal idóneo, optimizar los procesos del negocio y de comunicación organizacional.
A continuación se describirá los diversos estándares y marcos de trabajo para el manejo de los riesgos:
Cobit 5 (Control Objectives for Information and related Technology): Es un marco de trabajo que permite el gobierno y la gestión de las tecnologías de información (TI) de una organización. Este marco está conformado por 37 procesos que se clasifican en dos grandes categorías gobiernos de TI y gestión de TI. Los procesos de gestión de TI son los referidos a los temas de riesgo, a continuación se lista dichos procesos:
- Gestión de operaciones: Coordinar y ejecutar las actividades requeridas para lograr la entrega de los servicios de TI a los usuarios. Se realiza un monitoreo constante para lograr los niveles óptimos de los servicios de TI.
- Gestión de las solicitudes de servicio e incidente: Este proceso proporciona una solución y respuesta efectiva a las solicitudes de incidente de los usuarios. Permite la pronta restauración de los servicios de TI.
- Gestión de problemas: Este proceso permite identificar y clasificar los incidentes e identificar sus causas. Este proceso proporciona un conjunto de recomendaciones para poder eliminar los incidentes presentados.
- Gestión de la continuidad: Este proceso establece un plan de respuesta a los incidentes presentados, permitiendo asegurar la operatividad de los servicios de TI.
- Gestión de servicios de seguridad: Este proceso establece la protección de la información de la organización, asegurando la integridad, confidencialidad y disponibilidad de la información, mantiene los niveles de riesgo aceptables de acuerdo con la política de seguridad de la organización.
ITIL (Information Technology Infrastructure Library): Es un conjunto de buenas prácticas de la industria que permite una óptima gestión de los servicios de TI con calidad y aun costo adecuado. A continuación se muestra los procesos de TI para el manejo de los riesgos:
- Gestión de problemas: Este proceso se encarga de mitigar los problemas de los servicios de TI. El objetivo principal es la reducción del impacto de las interrupciones sobre los servicios.
- Gestión de cambio: Este proceso se encarga de identificar los cambios proactivos y reactivos. Los cambios enfocados en la reducción de costo o mejora de servicios son proactivos. Los cambios reactivos son las respuestas para la solución de errores, adaptación o cambio de circunstancias.
- Gestión de la disponibilidad: este proceso propone un plan de disponibilidad que será medido y monitoreado que permita asegurar los niveles de disponibilidad de cada uno de los servicios de TI.
- Continuidad de servicios de TI: Este proceso permite garantizar que los servicios de TI se puedan reanudar dentro del tiempo requerido y acordado con los usuarios y clientes.
ISO/IEC 20000: Esta norma ISO es el primer estándar referido al manejo y Gestión de servicios de TI. Esta norma soporta algunos procesos de seguridad de información de la norma ISO 27000; disponibilidad de los servicios de TI y la gestión continuidad.
...