Interconecta

Anuncio
Interconecta
Licitación Pública Nacional Reservada de la Cobertura de los
Tratados de Libre Comercio Electrónica de Servicios
No. LA-006E00001-E4-2016
“Administración de Puestos de Servicio 3 (APS-3)”
Cd. de México a 25 de mayo de 2016
Servicio de Administración Tributaria
Presente:
ID 9 Gestión de la Continuidad Operativa
La información contenida en este documento es
confidencial y exclusiva para la persona o la entidad a
la que va dirigido. Este documento y/o cualquier
documento adjunto pueden contener información de
carácter privilegiado y/o estar protegidos de
cualquier otra forma contra cualquier tipo de
revelación de su contenido.
Interconecta, S.A. de C.V. Circuito San Andrés No. 31, Col. Club de Golf las Fuentes,
C.P. 72110, Puebla, Puebla., Tel. 54811800, Fax 54811888, R.F.C.: INT 001130 R8
1
Este folio es consecutivo en orden alfabético por empresa: 11125
Interconecta
Licitación Pública Nacional Reservada de la Cobertura de los
Tratados de Libre Comercio Electrónica de Servicios
No. LA-006E00001-E4-2016
“Administración de Puestos de Servicio 3 (APS-3)”
Cd. de México a 25 de mayo de 2016
Servicio de Administración Tributaria
Presente:
INDICE
INTRODUCCIÓN .................................................................................................................................................. 2
Presentación ......................................................................................................................................................... 2
Gestión de la Continuidad Operativa .................................................................................................................... 3
1.- Introducción y objetivos ................................................................................................................................... 3
2.- Proceso ............................................................................................................................................................ 3
3.- Análisis de Impacto.......................................................................................................................................... 4
4.- Evaluación de Riesgos .................................................................................................................................... 5
5.- Estrategias ....................................................................................................................................................... 6
6.- Supervisión ...................................................................................................................................................... 7
8.- Herramienta ITSM ........................................................................................................................................... 7
INTRODUCCIÓN
Interconecta S.A. de C.V. en adelante “Interconecta” desarrolla el presente documento cumpliendo con
todos los requisitos solicitados en las bases de la Licitación Pública Nacional Reservada de la Cobertura de
los Tratados de Libre Comercio Electrónica de Servicios No. LA-006E00001-E4-2016 para la
“Administración de Puestos de Servicio 3 (APS-3)” y su junta de aclaraciones.
PRESENTACIÓN
La Gestión de la Continuidad del Servicio que implementará “Interconecta” contiene informes sobre su
gestión que incluyen información relevante para el resto de los procesos que serán Implementados en el
proyecto de Administración de Puestos de Servicio (APS3).
Estos informes incluyen:
• Análisis sobre nuevos riesgos y evaluación de su impacto.
• Evaluación de los simulacros de desastre realizados.
• Actividades de prevención y recuperación realizadas.
• Preparación y capacitación del personal TI respecto a los planes y procedimientos de prevención y
recuperación.
Interconecta, S.A. de C.V. Circuito San Andrés No. 31, Col. Club de Golf las Fuentes,
C.P. 72110, Puebla, Puebla., Tel. 54811800, Fax 54811888, R.F.C.: INT 001130 R8
2
Este folio es consecutivo en orden alfabético por empresa: 11126
Interconecta
Licitación Pública Nacional Reservada de la Cobertura de los
Tratados de Libre Comercio Electrónica de Servicios
No. LA-006E00001-E4-2016
“Administración de Puestos de Servicio 3 (APS-3)”
GESTIÓN DE LA CONTINUIDAD OPERATIVA
1.- Introducción y objetivos
Los objetivos principales de la Gestión de la Continuidad de los Servicios TI (ITSCM) se resumen en:
•
•
Garantizar la pronta recuperación de los servicios (críticos) TI tras un desastre.
Establecer políticas y procedimientos que eviten, en la medida de lo posible, las perniciosas
consecuencias de un desastre o causa de fuerza mayor.
Una correcta ITSCM debe formar parte integrante de la Gestión de Continuidad del Negocio (BCM) y debe
estar a su servicio. Los servicios TI no son sino una parte, aunque a menudo muy importante, del negocio en
su conjunto y no tiene mayor sentido que, por ejemplo, un sistema de pedidos online siga funcionando a la
perfección tras un desastre si nos resulta imposible suministrar la mercancía a nuestros clientes.
Es importante diferenciar entre desastres "de toda la vida", tales como incendios, inundaciones, etcétera, y
desastres "puramente informáticos", tales como los producidos por ataques distribuidos de denegación de
servicio (DDOS), virus informáticos, etcétera. Aunque es responsabilidad de la ITSCM prever los riesgos
asociados en ambos casos y restaurar el servicio TI con prontitud, es evidente que recae sobre la ITSCM una
responsabilidad especial en el último caso pues:
•
•
•
Sólo afectan directamente a los servicios TI pero paralizan a toda la organización.
Son más previsibles y más habituales.
La percepción del cliente es diferente: los desastres naturales son más asumibles y no se asocian a
actitudes negligentes, aunque esto no sea siempre cierto.
Los principales beneficios de una correcta Gestión de la Continuidad del Servicio se resumen en:
•
•
•
•
Se gestionan adecuadamente los riesgos.
Se reduce el periodo de interrupción del servicio por causas de fuerza mayor.
Se mejora la confianza en la calidad del servicio entre clientes y usuarios.
Sirve de apoyo al proceso de Gestión de la Continuidad del Negocio (BCM).
Las principales dificultades a la hora de implementar la Gestión de la Continuidad del Servicio se resumen en:
•
•
•
•
•
•
•
Puede haber resistencia a realizar inversiones cuya rentabilidad no es inmediata.
No se presupuestan correctamente los costes asociados.
No se asignan los recursos suficientes.
No existe el compromiso suficiente con el proceso dentro de la organización y las tareas y actividades
correspondientes se demoran perpetuamente para hacer frente a "actividades más urgentes".
No se realiza un correcto análisis de riesgos y se obvian amenazas y vulnerabilidades reales.
El personal no está familiarizado con las acciones y procedimientos a tomar en caso de interrupción
grave de los servicios.
Falta de coordinación con la BCM
2.- Proceso
Las principales actividades que desarrollara “Interconecta” para correcta Gestión de la Continuidad de los
Servicios TI se resumen en:
Interconecta, S.A. de C.V. Circuito San Andrés No. 31, Col. Club de Golf las Fuentes,
C.P. 72110, Puebla, Puebla., Tel. 54811800, Fax 54811888, R.F.C.: INT 001130 R8
3
Este folio es consecutivo en orden alfabético por empresa: 11127
Interconecta
•
•
•
•
•
•
•
•
•
Licitación Pública Nacional Reservada de la Cobertura de los
Tratados de Libre Comercio Electrónica de Servicios
No. LA-006E00001-E4-2016
“Administración de Puestos de Servicio 3 (APS-3)”
Establecer las políticas y alcance de la ITSCM.
Evaluar el impacto en el negocio de una interrupción de los servicios TI.
Analizar y prever los riesgos a los que está expuesto la infraestructura TI.
Establecer las estrategias de continuidad del servicio TI.
Adoptar medidas proactivas de prevención del riesgo.
Desarrollar los planes de contingencia.
Poner a prueba dichos planes.
Formar al personal sobre los procedimientos necesarios para la pronta recuperación del servicio.
Revisar periódicamente los planes para adaptarlos a las necesidades reales del negocio.
3.- Análisis de Impacto
Una correcta Gestión de la Continuidad del Servicio requiere en primer lugar determinar el impacto que
una interrupción de los servicios TI pueden tener en el negocio.
En la actualidad casi todas las empresas, grandes y pequeñas, dependen en mayor o menor medida de los
servicios informáticos, por lo que cabe esperar que un "apagón" de los servicios TI afecte a prácticamente
todos los aspectos del negocio. Sin embargo, es evidente que hay servicios TI estratégicos de cuya
continuidad puede depender la supervivencia del negocio y otros que "simplemente" aumentan la
productividad de la fuerza comercial y de trabajo.
Cuanto mayor sea el impacto asociado a la interrupción de un determinado servicio mayor habrá de ser el
esfuerzo realizado en actividades de prevención. En aquellos casos en que la "solución puede esperar" se
puede optar exclusivamente por planes de recuperación.
Los servicios que “Interconecta” considera han de ser analizados por la ITSCM en función de diversos
parámetros:
•
Consecuencias de la interrupción del servicio en el negocio:
o Pérdida de rentabilidad.
Interconecta, S.A. de C.V. Circuito San Andrés No. 31, Col. Club de Golf las Fuentes,
C.P. 72110, Puebla, Puebla., Tel. 54811800, Fax 54811888, R.F.C.: INT 001130 R8
4
Este folio es consecutivo en orden alfabético por empresa: 11128
Interconecta
•
•
Licitación Pública Nacional Reservada de la Cobertura de los
Tratados de Libre Comercio Electrónica de Servicios
No. LA-006E00001-E4-2016
“Administración de Puestos de Servicio 3 (APS-3)”
o Pérdida de cuota de mercado.
o Mala imagen de marca.
o Otros efectos secundarios.
Cuánto se puede esperar a restaurar el servicio sin que tenga un alto impacto en los procesos de
negocio.
Compromisos adquiridos a través de los SLAs.
Dependiendo de estos factores se buscará un balance entre las actividades de prevención y recuperación
teniendo en cuenta sus respectivos costos financieros
4.- Evaluación de Riesgos
Sin conocer cuáles son los riesgos reales a los que se enfrenta la infraestructura TI es imposible realizar una
política de prevención y recuperación ante desastre mínimamente eficaz.
La Gestión de la Continuidad del Servicio debe enumerar y evaluar, dependiendo de su probabilidad e
impacto, los diferentes riesgos factores de riesgo. Para ello la ITSCM debe:
•
•
•
Conocer en profundidad la infraestructura TI y cuáles son los elementos de configuración (CIs)
involucrados en la prestación de cada servicio, especialmente los servicios TI críticos y estratégicos.
Analizar las posibles amenazas y estimar su probabilidad.
Detectar los puntos más vulnerables de la infraestructura TI.
Gracias a los resultados de este detallado análisis se dispondrá de información suficiente para proponer
diferentes medidas de prevención y recuperación que se adapten a las necesidades reales del negocio.
Interconecta, S.A. de C.V. Circuito San Andrés No. 31, Col. Club de Golf las Fuentes,
C.P. 72110, Puebla, Puebla., Tel. 54811800, Fax 54811888, R.F.C.: INT 001130 R8
5
Este folio es consecutivo en orden alfabético por empresa: 11129
Interconecta
Licitación Pública Nacional Reservada de la Cobertura de los
Tratados de Libre Comercio Electrónica de Servicios
No. LA-006E00001-E4-2016
“Administración de Puestos de Servicio 3 (APS-3)”
La prevención frente a riesgos genéricos y poco probables puede ser muy cara y no estar siempre justificada,
sin embargo, las medidas preventivas o de recuperación frente a riesgos específicos pueden resultar
sencillas, de rápida implementación y relativamente baratas.
Por ejemplo, si el riesgo de pérdida de alimentación eléctrica es elevado debido, por ejemplo, a la localización
geográfica se puede optar por deslocalizar ciertos servicios TI a través de ISPs que dispongan de sistemas
de generadores redundantes o adquirir generadores que proporcionen la energía mínima necesaria para
alimentar los CIs de los que dependen los servicios más críticos, etcétera.
5.- Estrategias
La continuidad de los servicios TI puede conseguirse bien mediante medidas preventivas, que eviten la
interrupción de los servicios, o medidas reactivas, que recuperen unos niveles aceptables de servicio en el
menor tiempo posible.
Es responsabilidad de la Gestión de la Continuidad del Servicio diseñar actividades de prevención y
recuperación que ofrezcan las garantías necesarias a unos costes razonables.
Actividades preventivas
Las medidas preventivas requieren un detallado análisis previo de riesgos y vulnerabilidades. Algunos de
ellos serán de carácter general: incendios, desastres naturales, etcétera, mientras que otros tendrán un
carácter estrictamente informático: fallo de sistemas de almacenamiento, ataques de hackers, virus
informáticos, etcétera.
La adecuada prevención de los riesgos de carácter general depende de una estrecha colaboración con la
Gestión de la Continuidad del Negocio (BCM) y requieren medidas que implican a la infraestructura "física" de
la organización.
La prevención de riesgos y vulnerabilidades "lógicas" o de hardware requiere especial atención de la ITSCM.
En este aspecto es esencial la estrecha colaboración con la Gestión de la Seguridad.
Los sistemas de protección habituales son los de "Fortaleza" que ofrecen protección perimetral a la
infraestructura TI. Aunque imprescindibles no se hallan exentos de sus propias dificultades pues aumentan la
complejidad de la infraestructura TI y pueden ser a su vez fuente de nuevas vulnerabilidades.
Actividades de recuperación
Tarde o temprano, por muy eficientes que seamos en nuestras actividades de prevención, será necesario
poner en marcha procedimientos de recuperación.
En líneas generales existen tres opciones de recuperación del servicio:
•Cold standby: que requiere un emplazamiento alternativo en el que podamos reproducir en pocos días
nuestro entorno de producción y servicio. Esta opción es la adecuada si los planes de recuperación estiman
que la organización puede mantener sus niveles de servicio durante este periodo sin el apoyo de la
infraestructura TI.
•Warm standby: que requiere un emplazamiento alternativo con sistemas activos diseñados para recuperar
los servicios críticos en un plazo de entre 24 y 72 horas.
Interconecta, S.A. de C.V. Circuito San Andrés No. 31, Col. Club de Golf las Fuentes,
C.P. 72110, Puebla, Puebla., Tel. 54811800, Fax 54811888, R.F.C.: INT 001130 R8
6
Este folio es consecutivo en orden alfabético por empresa: 11130
Interconecta
Licitación Pública Nacional Reservada de la Cobertura de los
Tratados de Libre Comercio Electrónica de Servicios
No. LA-006E00001-E4-2016
“Administración de Puestos de Servicio 3 (APS-3)”
•Hot standby: que requiere un emplazamiento alternativo con una replicación continua de datos y con todos
los sistemas activos preparados para la inmediata sustitución de la estructura de producción. Ésta es
evidentemente la opción más costosa y debe emplearse sólo en el caso de que la interrupción del servicio TI
tuviera inmediatas repercusiones comerciales.
6.- Supervisión
Una vez establecidas las políticas, estrategias y planes de prevención y recuperación, es indispensable que
éstos no queden en papel mojado y que la organización TI esté preparada para su correcta implementación.
Ello depende de dos factores clave: la correcta formación del personal involucrado y la continua
monitorización y evaluación de los planes para su adecuación a las necesidades reales del negocio.
Formación
Es inútil disponer de unos completos planes de prevención y recuperación si las personas que eventualmente
deben llevarlos a cabo no están familiarizadas con los mismos.
Es indispensable que la ITSCM:
•
•
•
•
Dé a conocer al conjunto de la organización TI los planes de prevención y recuperación.
Ofrezca formación específica sobre los diferentes procedimientos de prevención y recuperación.
Realice periódicamente simulacros para diferentes tipos de desastres con el fin de asegurar la
capacitación del personal involucrado.
Facilite el acceso permanente a toda la información necesaria, por ejemplo, a través de la Intranet o
portal B2E de la empresa.
8.- Herramienta ITSM
La Administración de los Servicios que “Interconecta” oferta para el proyecto de Administración de Puestos
de Servicio (APS3), se basa en una herramienta de gestión de servicios de tecnologías de información con un
alto grado de automatización, garantizando la integración de los procesos de soporte a los servicios; dicha
herramienta ofertada es BMC Foot Prints.
La solución ofertada para el proyecto de Administración de Puestos de Servicio (APS3) de ITSM (Por sus
siglas en ingles de Information Technology Service Management) cuenta con la certificación a nivel mundial
sobre la funcionalidad y desempeño en la automatización de los procesos de soporte de ITIL.
Interconecta, S.A. de C.V. Circuito San Andrés No. 31, Col. Club de Golf las Fuentes,
C.P. 72110, Puebla, Puebla., Tel. 54811800, Fax 54811888, R.F.C.: INT 001130 R8
7
Este folio es consecutivo en orden alfabético por empresa: 11131
Interconecta
Licitación Pública Nacional Reservada de la Cobertura de los
Tratados de Libre Comercio Electrónica de Servicios
No. LA-006E00001-E4-2016
“Administración de Puestos de Servicio 3 (APS-3)”
La tecnología por medio de herramientas ITIL y software ITSM, permite disponer de un entorno de TI más
flexible, con mayor disponibilidad, impulsando la productividad, ofreciendo además, por sus características y
capacidades, la posibilidad de una integración flexible con otras herramientas, cumplir con requerimientos
específicos del proyecto de Administración de Puestos de Servicio (APS3), contar con una solución que le
ayude a tener en una sola instalación con las Mesas de Servicios, flujos y procesos necesarios para atender
sus diferentes necesidades; lo que permite una mejor experiencia al usar procesos automatizados,
reduciendo los tiempos de atención y costos de operación.
Atentamente
José Ángel Sánchez Suchil
Apoderado legal de
Interconecta, S.A. de C.V.
Interconecta, S.A. de C.V. Circuito San Andrés No. 31, Col. Club de Golf las Fuentes,
C.P. 72110, Puebla, Puebla., Tel. 54811800, Fax 54811888, R.F.C.: INT 001130 R8
8
Este folio es consecutivo en orden alfabético por empresa: 11132
Descargar