En esta píldora te presentaremos la práctica de Gestión de la continuidad del servicio de ITIL 4
¡Esperamos que te sea de gran ayuda!
(Desliza para continuar)El propósito de la práctica es asegurar que la disponibilidad y desempeño de un servicio se mantiene en los niveles suficientes en caso de desastre. La práctica proporciona un marco de trabajo para construir resiliencia organizacional con la capacidad de producir una respuesta efectiva que salvaguarde los intereses de las partes interesadas clave y la reputación, marca y actividades de creación de valor de la organización.
La práctica ayuda a asegurar que los proveedores de servicio están listos para responder a incidentes de alto impacto que puedan interrumpir las actividades principales de la organización.
La práctica por lo general aborda riesgos de alto impacto y baja probabilidad que no pueden ser prevenidos, especialmente por ser factores externos, por ejemplo, los desastres naturales.
• Desastre: es un evento repentino, no planeado que causa gran daño o serias pédidas a la organización. Para ser clasificado como desastre, el evento debe coincidir con ciertos criterios de impacto comercial que son predefinidos por la organización.
• Continuidad del servicio: es la capacidad de un proveedor de continuar con la operación del servicio en niveles aceptables predefinidos después de un evento de desastre o un incidente disruptivo.
• Tiempo objetivo de recuperación (RTO): es el máximo período de tiempo después de la interrupción del servicio que puede transcurrir antes de que la falta de funcionalidad impacte severamente la organización. Esto representa el tiempo máximo acordado dentro del cual se debe reanudar un producto o una actividad, o los recursos puedan ser recuperados.
• Punto objetivo de recuperación (RPO): es el punto en el cual la información que utiliza una actividad deber ser restaurada para permitir a la actividad operar eficazmente después de la reanudación.
Define el período de tiempo de pérdida de datos aceptable, por ejemplo, si el RPO es 30 minutos, debe haber al menos una copia de seguridad 30 minutos antes del evento disruptivo, para que cuando se restaure el servicio dichos datos estén disponibles.
• Nivel de servicio objetivo mínimo: es el nivel de servicio que es aceptable para el proveedor de servicios para lograr sus objetivos durante una disrupción.
• Análisis del impacto en el negocio (BIA): es una actividad clave de la práctica que identifica las funciones vitales del negocio (VBFs) y sus depedencias. Estas dependencias incluyen proveedores, personas, otros procesos de negocio y servicios de TI. Este análisis define los requisitos de recuperación para los servicios de TI, incluidos en RTO, RPO y el nivel de servicio objetivo mínimo.
• Plan de continuidad del servicio: es la guia del proveedor de servicios para responder, recuperar y restaurar los niveles normales de servicio, después de una disrupción. Este plan incluye un plan de respuesta, un plan de restauración y un plan para retornar a la normalidad de las operaciones.
El alcance de la práctica incluye las siguientes áreas:
• Ejecutar el análisis del impacto en el negocio para cuantificar el impacto de la no disponibilidad del servicio para el proveedor y los consumidores del servicio.
• Desarrollar estrategias de continuidad del servicio, incluyendo elementos de medición de mitigación de riesgo así como la selección de opciones apropiadas de recuperación.
• Desarrollar y gestionar planes de continuidad del servicio.
• Realizar ejercicios y pruebas de los planes de continuidad del servicio en caso de desastre.
Desarrollar y gestionar planes de continuidad del servicio
Para responder efectivamente a un desastre es necesario un plan de continuidad, el cual refleje las estrategias de continuidad del servicio seleccionadas, estas estrategias se diseñan de acuerdo a lo que se haya identificado en el BIA.
Mitigar los riesgos de la continuidad del servicio
Se debe incluir la definición y gestión de controles para manejar grandes rangos de riesgo, para esto se utilizan en conjunto prácticas como la gestión del riesgo, la gestión de la capacidad y el rendimiento, gestión de la disponibilidad y gestión de la seguridad de la información. Los controles de la disponibilidad acordados deben implementarse a través del diseño, desarrollo y gestión de software, y la infraestructura y plataforma de las prácticas de gestión.
Asegurar la conciencia y preparación
La prueba de los planes de recuperación es una parte crítica de la gestión y la única forma para asegurar que la estrategia seleccionada, las medidas implementadas y los planes funcionan. Probar los planes es una forma de verificar y aumentar la preparación, de esta manera se pueden identificar ineficiencias que permiten actualizar los planes.
La efectividad y desempeño de la práctica deben ser evaluados en el contexto del flujo de valor al cual contribuye. Algunos ejemplos de KPIs son:
• Porcentaje de productos y servicios con requisitos de continuidad claramente documentados.
• Porcentaje de productos y servicios críticos con planes de continuidad de servicio documentados.
• Actualización oportuna de los planes de continuidad del servicio.
• Logro de RTO (desastres y ejercicios reales).
• Logro de RPO (desastres y ejercicios reales).
• Porcentaje de medidas de efectividad de la continuidad.
• Relación entre pérdidas actuales y pérdidas esperadas.
• Porcentaje de ejercicios y sesiones de concientización que se realizaron de manera programada.
• Porcentaje de servicios para los cuales los planes de continuidad son probados e un período de tiempo (por lo general 6 meses).
La gestión de la continuidad del servicio contribuye a múltiples flujos de valor, de hecho la práctica se combina con otras prácticas para proveer servicios de alta calidad a los clientes. Las principales actividades de la Cadena de Valor del Servicio a la que contribuye la práctica son:
Entrega y soporte, diseño y transición, mejora, obtener y construir y plan.
Este proceso incluye actividades como la definición del alcance, establecimiento de políticas, desarrollo del programa de conciencia y ejercicios.
Este proceso incluye actividades como la identificación de las funciones vitales del negocio (VBF), análisis de las consecuencias de la disrupción, identificación de las interdependencias de las VBF y determinación de los requisitos de continuidad del servicio.
Este proceso incluye actividades como el desarrollo de una estrategia de continuidad del servicio basado en el BIA y garantizando una buena relación costo-efectividad, desarrollo de planes de continuidad del servicio basado en la estrategia y pruebas iniciales a los planes desarrollados antes de ser publicados.
Este proceso incluye actividades como la realización de ejercicios a intervalos planificados o cuando se presenten cambios significactivos, esto permitirá identificar oportunidades de mejora. Otra actividad son las auditorias a la continuidad del servicio que asegurarán que el BIA, las estrategias y los planes son apropiados y relevantes para el ambiente cambiante de la organización.
Este proceso incluye actividades como la invocación que es el acto de declarar que los acuerdos de continuidad de una organización deben ponerse en práctica, esta decisión por lo general es tomada por un "equipo de gestión de crisis", esta actividad también representa la última prueba de los planes de continuidad. La segunda actividad es la ejecución de los planes de continuidad del servicio, es decir que una vez ocurre la invocación, cada equipo debe ejecutar los procedimientos de continuidad del servicio.
La práctica no establece un rol particular, sino que involucra múltiples roles para cada actividad del proceso, por ejemplo al comité directivo para el proceso de gobernanza, junto con un administrador de continuidad. En el análisis de impactos se involucran doles como los dueños de productos/servicios, los gerents de relaciones, clientes, expertos técnicos, etc.
La información utilizada por la práctica, incluye pero no se limita a:
• Procesos de negocio del consumidor.
• Arquitectura y diseño de los servicios.
• Socios, proveedores y la información que ellos suministran.
• Requisitos regulatorios referentes a la continuidad del servicio.
• Tecnologías y servicios disponibles en el mercado que pueden ser relevantes para la continuidad del servicio
Con esto terminamos de abordar algunos de los aspectos más relevantes de la práctica Gestión de la continuidad.
¡Esperamos que te sean de gran utilidad!
Te invitamos a que revises las píldoras sobre las demás prácticas