Soporte, mantenimiento y régimen de cobertura Todo sistema, servicio y equipamiento crítico del centro de procesamiento de datos debe contar con soporte de mantenimiento y recambio de partes o, en su defecto, con un plan acción en caso de falla. Se debe establecer el régimen de cobertura para los servicios críticos de acuerdo a las necesidades de la organización. La administración de infraestructura del centro de procesamiento de datos requiere atención en modalidad 7x24 (o la que mejor se adapte a las necesidades del negocio). Acuerdos de nivel de servicio Muchas veces las organizaciones no tienen la capacidad operativa para cubrir este servicio por lo que delegan o comparten la operación del centro de procesamiento de datos a proveedores. Es importante firmar con los proveedores acuerdos de niveles de servicio que pauten el cumplimiento de tiempos de respuesta, estipulados según las necesidades de negocio, así como el aseguramiento de la disponibilidad comprometida de los servicios del centro de procesamiento de datos. Tiempos de respuesta También es necesario tener acuerdos que aseguren los tiempos de respuesta para aquellos componentes que por su complejidad no puedan ser redundantes pero que, por su criticidad, su falla pueda provocar disrupción de servicios u otros daños. Transferencia de responsabilidades Los acuerdos deben especificar la transferencia de responsabilidades legales y de cumplimiento, incluyendo la protección de los datos personales y la propiedad intelectual. Es crucial establecer mecanismos para ajustar estos acuerdos ante cambios en los requisitos o el fin de la relación, asegurando una terminación ordenada y la continuidad operativa. Reporte de incidentes Debe definirse un procedimiento para el reporte de incidentes confirmados o sospechados por parte de los proveedores. Los proveedores deben estar obligados a notificar a la organización sobre cualquier incidente confirmado o sospechado tras su descubrimiento, garantizando que dicha notificación se realice sin demoras irrazonables y, respetando los plazos legales. Esta notificación debe incluir la identificación de todos los individuos cuya información personal haya sido comprometida. |