Guía de implementación

Compartir
Facebook Twitter Copiar enlace WhatsApp LinkedIn

SO 3 Gestionar la capacidad de los servicios y recursos que se encuentran operativos.

ObjetivoAsegurar que la capacidad de servicios de TI y la infraestructura de TI, sean capaces de cumplir con los objetivos acordados de capacidad y desempeño de manera puntual y efectiva en términos económicos.
AlcanceCualquier organización
Referencia ISO 27001A.12.1.3
Guía de implementación

Alcance de la gestión de la capacidad

Una reducción en la calidad de los servicios críticos o interrupciones de éstos debido a que la infraestructura disponible no sea suficiente para soportar la demanda puede tener consecuencias en operaciones de la organización.
Si bien la gestión de la capacidad debe ser lo más amplia posible, se entiende que al menos se debe enfocar a la gestión de la capacidad de los servicios críticos.

Identificación de los requisitos de capacidad

Para lograr esto, es necesario en primer lugar, lograr la identificación de los activos (servicios, sistemas y recursos) críticos para la organización. 
Posteriormente, se debe identificar los requisitos de capacidad para esos activos críticos.
Se debería poder realizar mediciones objetivas para detectar problemas de capacidad. 

Plan de gestión de la capacidad

Se debe elaborar un plan de gestión de la capacidad. Para ello es necesario conocer o definir al menos:

  • Alcance del plan de capacidad.
  • Responsables y roles.
  • Las operaciones de negocio actuales (al menos las críticas) y los requerimientos asociados a ellas. 
  • Los planes de negocio futuros.
  • Acuerdos de nivel de servicio.
  • Actividades de supervisión de los recursos más relevantes (aquellos que son más costosos o cuya adquisición lleva mucho tiempo).
  • Estimaciones sobre la cantidad de recursos que se requerirán a futuro en los próximos años (ejemplo, 1,2 o 3 años).
  • Obtener información que determine las tendencias o los cambios en la utilización de los recursos.
  • Períodos pico o bajas (peak times – down times).
  • Estudios de aumento de capacidad o disminución de la demanda (estrategia a seguir), por ejemplo: lograr espacio en disco eliminando datos que ya no se utilizan, desinstalar aplicaciones que no se utilizan, así como sus bases de datos, optimización de procesos por lotes, optimización de consultas en las bases de datos, estudiar el uso del ancho de banda de los servicios críticos para evaluar si se puede negar o restringir el uso del mismo, entre otros.
  • Recomendaciones necesarias para el o los períodos futuros.
  • Revisiones del plan a intervalos regulares.
Administración Central-
Instituciones de salud-
Guía de evidencia para auditoría
  • Plan de capacidad.
  • Registros que demuestren que se han realizado mediciones de los recursos críticos (hardware, software, etc.) en el período auditado.
  • Actividades realizadas para proporcionar o mejorar la capacidad en el período auditado, de acuerdo al plan de capacidad.
Normativa asociadaN/A

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para la ciudadanía Herramientas para organismos Política Digital del Uruguay