¿Cuáles son los requerimientos mínimos de Calidad y Compliance para la Resiliencia de la continuidad del negocio, la gestión de la continuidad de los servicios de IT y la planificación de recuperación de desastres?
Nos estamos refiriendo a los procesos del negocio soportados por sistemas computarizados, dentro del laboratorio y a todos los sistemas computarizados y los servicios que los soportan.
¿Qué deberíamos considerar?
- Gestión de la Continuidad del Negocio
Esta gestión debe asegurar para todos los procesos de negocios del laboratorio, que tras la disrupción, la operatividad comercial se mantiene en un nivel aceptable.
Cuando no se requieran planes de continuidad del negocio, esta decisión debe ser documentada y justificada con una evaluación de riesgos adecuada que tenga en cuenta el impacto sobre el negocio.
- Gestión de la Continuidad del Servicio de IT
La Gestión de la Continuidad del Servicio de IT debe asegurar que la infraestructura de IT del laboratorio y sus servicios se pueden restaurar en los plazos determinados de conformidad con los Niveles de Servicio después de un desastre. Todos los Servicios de IT requieren planes de recuperación y procedimientos establecidos de acuerdo a su criticidad.
Los planes de Gestión de Continuidad del Servicio de IT debe incluir la planificación de procesos y ajuste de procedimientos durante desastres, así como de Planes de recuperación Servicio específicos direccionados a la recuperación técnica.
Estos planes deben revisarse y ensayarse sobre bases regulares para asegurar viabilidad y efectividad. Los planes y capacidades de recuperación deben ajustarse de acuerdo a los resultados de los ensayos realizados.
Se deben realizar evaluaciones y revisiones de riesgo periódicas para identificar si la probabilidad de un desastre o interrupción del servicio serio para el laboratorio ha cambiado y / o para identificar nuevas amenazas o vulnerabilidades. Los planes de Mitigación de Riesgo / Mejora de Servicio se deben desarrollar según el caso.
- Gestión de Recuperación de Desastre (incluyendo recuperación de aplicaciones)
Se deben considerar Planes de Recuperación de Desastre y de Aplicaciones para todos los sistemas computarizados utilizados por el laboratorio.
El Propietario del Sistema es responsable por asegurar la existencia, en el lugar, de un Plan de Recuperación de Desastre y Aplicaciones y de las pruebas asociadas.
Cuando los Planes mencionados no se necesitan, la decisión se debe documentar y justificar con un análisis de riesgo que considere el impacto en el negocio.
En caso de un evento de Desastre, todas las aplicaciones y sistemas computarizados serán recuperados de acuerdo al orden de prioridad, el cual se basa en aquellos sistemas que están dentro de los Planes de Recuperación (o contrato) del lugar. De no existir contratos de Recuperación de Desastres, la recuperación de las aplicaciones y sistemas se hará de manera “comercialmente razonable”, basando el orden en prioridad para el negocio (las aplicaciones sin contrato de recuperación de desastres se podrían recuperar dentro de un período de semanas o meses).
Un Sistema Crítico o conjunto de sistemas se define como un conjunto de sistemas computarizados críticos y la infraestructura soporte, que, si no es accesible, podría afectar seriamente al laboratorio.
Factores a evaluar:
- La dependencia del negocio de la aplicación o servicio y
- El Tiempo de Recuperación que se requiere para evitar un impacto no aceptable en el negocio.
Los Sistemas que están dentro del listado de críticos, junto con la infraestructura soporte y los procesos, deben tener Planes de Continuidad de negocio y Recuperación de Desastre, disponibles en el lugar.
El listado de Conjuntos críticos debe ser revisado trimestralmente, para su actualización.
Excepciones
No todos los procesos y sistemas requieren planes de Continuidad de Negocio o de Recuperación de Desastre. Esto se basa en su uso y en el nivel de riesgo e impacto que representan en lo que respecta a la criticidad del negocio.
La decisión acerca de que un proceso o sistema no requiera plan de Continuidad de Negocio o de Recuperación de Desastre debe ser documentada y aprobada por el Propietario del Sistema o el Proceso de Negocio.
(*) Según Wikipedia:
La resiliencia es la capacidad de los seres humanos para adaptarse positivamente a las situaciones adversas. Sin embargo, el concepto ha experimentado cambios importantes desde la década de los 60. En un principio se interpretó como una condición innata luego se enfocó en los factores no solo individuales, sino también familiares y comunitarios y actualmente en los culturales. Los investigadores del siglo XXI entienden la resiliencia como un proceso comunitario y cultural, que responde a tres modelos que la explican: un modelo «compensatorio», otro de «protección» y por último uno de «desafío».
Asimismo, la resiliencia es la capacidad de tener éxito de modo aceptable para la sociedad a pesar de un estrés o de una adversidad que implica normalmente un grave riesgo de resultados negativos. También se define como un proceso de competitividad donde la persona debe adaptarse positivamente a las situaciones adversas.
Etimología
Resiliencia viene del término latín resilio, «volver atrás, volver de un salto, resaltar, rebotar». El término se adaptó al uso en psicología y otras ciencias sociales para referirse a las personas que a pesar de sufrir situaciones estresantes no son afectadas psicológicamente por ellas.
La palabra resiliencia, en cuanto a la física y la química, designa la capacidad del acero para recuperar su forma inicial a pesar de los golpes que pueda recibir y a pesar de los esfuerzos que puedan hacerse para deformarlo. La palabra proviene del latín saliere, que se traduce como “saltar hacia atrás, rebotar, ser repelido o surgir”, antecedido por el prefijo “re”, que indica repetición o reanudación.