Información general sobre la resiliencia y la continuidad
¿Cómo garantiza Microsoft la continuidad empresarial si se produce un desastre u otra amenaza a la disponibilidad del servicio?
El equipo de Administración de crisis y resistencia empresarial (ERCM) de Microsoft supervisa la administración de la continuidad empresarial y las actividades de recuperación ante desastres en los servicios de Microsoft y las ofertas en la nube. Los representantes de las unidades de negocio de Microsoft se coordinan con el equipo de ERCM para desarrollar planes de continuidad empresarial y validar el cumplimiento de los requisitos de continuidad empresarial.
El ciclo de vida de Business Continuity Management (BCM) es el núcleo de nuestra metodología de BCM. Este proceso de tres fases está diseñado para ser adaptable para que pueda implementarse mediante una amplia variedad de modelos de negocio en Microsoft. Comienza con una fase de evaluación para identificar los procesos y objetivos críticos que deben incluirse en el programa de continuidad empresarial. La fase de evaluación también requiere un análisis de impacto empresarial (BIA). La fase de planeación se centra en desarrollar e implementar estrategias de resistencia y recuperación y documentarlas en planes oficiales de continuidad empresarial. Por último, la validación de capacidad prueba los planes de continuidad empresarial y sus implementaciones para comprobar la eficacia e identificar posibles mejoras.
Las estrategias de continuidad empresarial de Microsoft servicios en línea usan redundancia de hardware, red y centro de datos. La replicación de datos entre centros de datos proporciona alta disponibilidad y confiabilidad durante un incidente catastrófico. También aumenta la resistencia a incidentes mundanos, como errores de hardware aislados o daños en los datos.
¿Cómo prueba Microsoft los planes de continuidad empresarial y recuperación ante desastres?
La directiva de Administración de crisis y resistencia empresarial (ERCM) de Microsoft estipula que todos los planes de continuidad empresarial y recuperación ante desastres de Microsoft deben probarse, actualizarse y revisarse anualmente. Microsoft servicios en línea probar sus planes de continuidad empresarial al menos anualmente por directivas ERCM. Una vez creados y revisados los informes de acción para validarlos, los resultados de las pruebas e informar a las actualizaciones del plan en respuesta a los problemas detectados durante las pruebas.
Para validar las estrategias de resistencia y recuperación frente a una amplia gama de posibles incidentes, el Programa ERCM define varias categorías de escenarios de prueba que afectan a personas, ubicaciones y tecnología. El nivel de validación requerido para cada servicio se basa en la importancia del servicio, y los servicios más críticos reciben una validación más rigurosa. Cada equipo de servicio en línea de Microsoft prueba su plan de continuidad empresarial de acuerdo con las directrices de ERCM para medir la eficacia del plan y la preparación del equipo de servicio para ejecutar el plan.
Según las directrices de ERCM, las revisiones anuales de los planes de continuidad empresarial y la validación de capacidad deben tener lugar dentro de los 12 meses posteriores a la última revisión. La validación de la funcionalidad debe incluir la revisión de la documentación auxiliar, como la BIA, para asegurarse de que sigue siendo precisa. Microsoft pone a disposición de nuestros clientes los resultados de validación de funcionalidades para seleccionar microsoft servicios en línea a través de informes trimestrales.
¿Cómo garantiza Microsoft servicios en línea la capacidad del sistema a la demanda?
El planeamiento de capacidad ayuda a los equipos de servicio a asignar los recursos necesarios para admitir la disponibilidad del servicio en línea de Microsoft. Se requiere un planeamiento de capacidad regular como parte del programa ERCM de Microsoft. Los equipos de servicio revisan los datos de capacidad durante las revisiones trimestrales y en situaciones de emergencia que justifican una mayor revisión de la capacidad.
Cada equipo de servicio mantiene los datos sin procesar para el planeamiento de la capacidad e incluye métricas como el procesamiento del sistema, la memoria y la capacidad de hardware. Las revisiones programadas usan un modelo de la capacidad actual del sistema y lo prueban según las necesidades proyectadas en situaciones de emergencia. Si el modelo indica deficiencias en la capacidad, los cambios propuestos en la capacidad del sistema se envían a la dirección del equipo de servicio para su revisión. Los ingenieros del equipo de servicio incorporan los cambios aprobados en un nuevo modelo antes de la implementación.
¿Cómo mantiene Microsoft servicios en línea la disponibilidad del servicio durante errores rutinarios del sistema?
Microsoft servicios en línea lograr la resistencia del servicio mediante la arquitectura redundante, la replicación de datos y la comprobación automatizada de la integridad. La arquitectura redundante implica la implementación de varias instancias de un servicio en hardware geográfica y físicamente independiente, lo que proporciona una mayor tolerancia a errores para Microsoft servicios en línea. La replicación de datos garantiza que siempre haya varias copias de datos de clientes en distintas zonas de error, lo que permite recuperar los datos críticos del cliente si el cliente está dañado, perdido o incluso eliminado accidentalmente. La comprobación automatizada de la integridad aumenta la disponibilidad de los datos al restaurar automáticamente los datos afectados por muchos tipos de daños físicos o lógicos.
Regulaciones externas relacionadas & certificaciones
Los servicios en línea de Microsoft se auditan periódicamente para comprobar el cumplimiento de las normativas y certificaciones externas. Consulte la tabla siguiente para obtener información sobre la validación de los controles relacionados con la resistencia y la continuidad.
Azure y Dynamics 365
| Auditorías externas | Section | Fecha del informe más reciente |
|---|---|---|
|
ISO 27001 Declaración de aplicabilidad Certificado |
A.17.1: Continuidad de la seguridad de la información A.17.2: Redundancias |
8 de abril de 2024 |
|
ISO 22301 Certificado |
Todos los controles | 8 de abril de 2024 |
|
SOC 1 SOC 2 SOC 3 |
BC-1: Planes de continuidad empresarial BC-3: Procedimientos de continuidad empresarial y recuperación ante desastres BC-4: pruebas de BCDR BC-7: Planes de continuidad empresarial del centro de datos BC-8: Pruebas de continuidad empresarial del centro de datos BC-9: Evaluación de resistencia del centro de datos DS-5: Componentes del servicio de claves de copia de seguridad DS-6: redundancia de componentes críticos DS-7: replicación automática de datos de clientes DS-8: programación de copia de seguridad DS-9: Procedimientos de restauración de copias de seguridad DS-11: copias de seguridad fuera del sitio DS-14: Restauración automática de los servicios al cliente |
20 de mayo de 2024 |
Microsoft 365
| Auditorías externas | Section | Fecha del informe más reciente |
|---|---|---|
| FedRAMP | CP-2: plan de contingencia CP-3: Entrenamiento de contingencia CP-4: Pruebas del plan de contingencia CP-6: sitio de almacenamiento alternativo CP-7: sitio de procesamiento alternativo CP-9: Copia de seguridad del sistema de información CP-10: Recuperación y reconstitución del sistema de información |
21 de agosto de 2024 |
|
ISO 27001 Declaración de aplicabilidad Certificado |
A.17.1: Continuidad de la seguridad de la información A.17.2: Redundancias |
Marzo de 2024 |
|
ISO 22301 Certificado |
Todos los controles | Marzo de 2024 |
|
SOC 1 SOC 2 |
CA-49: Directivas de copia de seguridad CA-50: Continuidad empresarial CA-51: Replicación de datos |
1 de agosto de 2024 |
| SOC 3 | CUEC-09: Restauración del correo electrónico EXO | 23 de enero de 2024 |
Recursos
- Microsoft Cloud ERCM: Informe de validación del plan de continuidad empresarial y recuperación ante desastres FY24 Q4
- Programa de administración de crisis y resistencia empresarial (ERCM)