PLAN DE CONTINGENCIA

Entendemos por plan de contingencia el conjunto de procedimientos alternativos a la operativa normal de cada empresa, cuya finalidad es la de permitir el funcionamiento de sta, an cuando alguna de sus funciones deje de hacerlo por culpa de algn incidente tanto interno como ajeno a la organizacin

Las causas pueden ser variadas y pasan por un problema informtico, un fallo en la correcta circulacin de informacin o la falta de provisin de servicios bsicos tales como energa elctrica o telecomunicaciones. El hecho de preparar un plan de contingencia no implica un reconocimiento de la ineficiencia en la gestin de la empresa, sino todo lo contrario, supone un importante avance a la hora de superar todas aquellas situaciones descritas con anterioridad y que pueden provocar importantes prdidas, no solo materiales sino aquellas derivadas de la paralizacin del negocio durante un perodo ms o menos largo.

Elaboracin de un Plan de Contingencia

La orientacin principal de un plan de contingencia es la continuidad de las operaciones de la empresa, no slo de sus sistemas de informacin. Su elaboracin la podemos dividir en cinco etapas: 1. Evaluacin. 2. Planificacin. 3. Pruebas de viabilidad. 4. Ejecucin. 5. Recuperacin. Las tres primeras hacen referencia al componente preventivo y las ltimas a la ejecucin del plan una vez ocurrido el siniestro.

Evaluacin
1. Constitucin del grupo de desarrollo del plan. Este grupo debe estar liderado por un responsable del plan y formado por los lderes de las reas que se desean cubrir con dicho plan. Su elaboracin ha de desarrollarse con la continua supervisin por parte de la direccin ya que durante la elaboracin y/o ejecucin de ste, debern comprometerse recursos y aprobarse procedimientos especiales que requieran un nivel de autorizacin superior. 2. Identificacin de las funciones crticas. Esta subfase consiste en identificar aquellos elementos de nuestra empresa o funciones que puedan ser crticos ante cualquier eventualidad o desastre y jerarquizarlos por orden de importancia dentro de la organizacin. 3. Definicin y documentacin de los posibles escenarios con los que podemos encontrarnos para cada elemento o funcin crtica. Puede tratarse de problemas en el hardware, software de base, de telecomunicaciones, software de aplicacin propio o provisto por terceros, etc. Tambin deben incluirse en esta categora los siniestros provocados por incendios, una utilizacin indebida de medios magnticos de resguardo o back up o cualquier otro dao de origen fsico que pudiera provocar la prdida masiva de informacin. Tambin incluimos en este apartado todos aquellos problemas asociados con la carencia de fuentes de energa y de telecomunicaciones. 4. Anlisis del impacto del desastre en cada funcin crtica. Consiste en realizar un anlisis del impacto de cada problema sobre cada una de las funciones crticas de la organizacin, teniendo en cuenta las siguientes prioridades:

Evaluacin
Evitar prdidas de vida. Satisfacer las necesidades bsicas. Reanudar las operaciones lo antes posible. Proteger el medio ambiente. Lograr las conexiones con los principales clientes y proveedores. Mantener la confianza en la empresa. Una correcta cuantificacin del impacto econmico de cada problema ayudar a una correcta seleccin de la solucin alternativa. 5. Definicin de los niveles mnimos de servicio. Se trata de definir los mnimos niveles de servicio aceptables para cada problema que se pueda plantear. Es importante que dicho nivel se consense con cada uno de los responsables de las reas que puedan verse afectadas. 6. Identificacin de las alternativas de solucin. En esta subfase debern identificarse las soluciones alternativas para cada uno de los problemas previsibles. Para ello se puede considerar: Implementar procesos manuales. Contratar las tareas crticas con terceros. Diferir la tarea crtica por un tiempo determinado. Otra medida que permita continuar las operaciones. 7. Evaluacin de la relacin coste/beneficio de cada alternativa. De cada alternativa identificada en el punto anterior y sobre la base del impacto econmico de cada problema, deber determinarse la mejor solucin desde el punto de vista coste/beneficio para cada proceso crtico y su tiempo de elaboracin con un nivel de servicio que satisfaga el nivel mnimo.

Planificacin
1. Documentacin del plan de contingencia. Es necesario documentar el plan, cuyo contenido mnimo ser: Objetivo del plan. Modo de ejecucin. Tiempo de duracin. Costes estimados. Recursos necesarios. Evento a partir del cual se pondr en marcha el plan. Personas encargadas de llevar a cabo el plan y sus respectivas responsabilidades. 2. Validacin del plan de contingencia. Es necesario que el plan sea validado por los responsables de las reas involucradas. De igual manera hay que tener en cuenta las posibles consecuencias jurdicas que pudiesen derivarse de las actuaciones contempladas en l.

Pruebas de Vialidad
1. Definir y documentar las pruebas del plan Es necesario definir las pruebas del plan y el personal y recursos necesarios para su realizacin. Una correcta documentacin ayudar a la hora de realizar las pruebas. 2. Obtener los recursos necesarios para las pruebas Deben obtenerse los recursos para las pruebas, ya sean recursos fsicos o mano de obra para realizarlas. 3. Ejecutar las pruebas y documentarlas Consiste en realizar las pruebas pertinentes para intentar valorar el impacto real de un posible problema dentro de los escenarios establecidos como posibles. La capacitacin del equipo de contingencia y su participacin en pruebas son fundamentales para poner en evidencia posibles carencias del plan. Es necesario documentar las pruebas para su aprobacin por parte de las reas implicadas. 4. Actualizar el plan de contingencia de acuerdo a los resultados obtenidos en las pruebas Ser necesario realimentar el plan de acuerdo a los resultados obtenidos en las pruebas. Hay que tener en cuenta que el plan de contingencia general o de continuidad de operaciones de la empresa contiene los planes de contingencia especficos para cada problema definido. Los distintos planes deben integrarse en un todo, considerando las posibles relaciones mutuas.

Ejecucin
En esta fase hay que tener muy presente que el plan no busca resolver la causa del problema, sino asegurar la continuidad de las tareas crticas de la empresa.

Recuperacin
Los datos afectados por el siniestro que pudiesen haber quedado desactualizados o corruptos, deben corregirse usando los procedimientos ya definidos. En general, la reiniciacin del proceso normal no implica la cancelacin del alternativo, salvo que deban utilizarse los mismos recursos. Si esto no es as, durante cierto tiempo, los procesos deberan ejecutarse en paralelo para asegurar que la reiniciacin de la operacin normal es correcta y, ante cualquier defecto, continuar con el de contingencia. Una vez finalizado el plan, es conveniente elaborar un informe final con los resultados de su ejecucin cuyas conclusiones pueden servir para mejorar ste ante futuras nuevas eventualidades.

Bienes susceptibles de un dao

Personal Hardware Software y utilitarios Datos e informacin Documentacin Suministro de energa elctrica Suministro de telecomunicaciones

Daos
Los posibles daos pueden referirse a: Imposibilidad de acceso a los recursos debido a problemas fsicos en las instalaciones donde se encuentran los bienes, sea por causas naturales o humanas. Imposibilidad de acceso a los recursos informticos por razones lgicas en los sistemas en utilizacin, sean estos por cambios involuntarios o intencionales, llmese por ejemplo, cambios de claves de acceso, datos maestros claves, eliminacin o borrado fsico/lgico de informacin clave, proceso de informacin no deseado. Divulgacin de informacin a instancias fuera de la Compaa y que afecte su patrimonio estratgico Comercial y/o Institucional, sea mediante Robo o Infidencia.

Fuentes de Dao
Acceso no autorizado Por vulneracin de los sistemas de seguridad en operacin (Ingreso no autorizado a las instalaciones). Ruptura de las claves de acceso a los sistema computacionales Instalacin de software de comportamiento errtico y/o daino para la operacin de los sistemas computacionales en uso (Virus, sabotaje). Intromisin no calificada a procesos y/o datos de los sistemas, ya sea por curiosidad o malas intensiones.

Fuentes de Dao
Desastres Naturales a) Movimientos telricos que afecten directa o indirectamente a las instalaciones fsicas de soporte (edificios) y/o de operacin (equipos computacionales). b) Inundaciones causados por falla en los suministros de agua. c) Fallas en los equipos de soporte: Por fallas causadas por la agresividad del ambiente Por fallas de la red de energa elctrica pblica por diferentes razones ajenas

al manejo por parte de la Compaa. Por fallas de los equipos de acondicionamiento atmosfricos necesarios para una adecuada operacin de los equipos computacionales ms sensibles. Por fallas de la comunicacin. Por fallas en el tendido fsico de la red local. Fallas en las telecomunicaciones con la fuerza de venta. Fallas en las telecomunicaciones con instalaciones externas. Por fallas de Central Telefnica. Por fallas de lneas de fax.

Fuentes de Dao
Fallas de Personal Clave Se considera personal clave aquel que cumple una funcin vital en el flujo de procesamiento de datos u operacin de los Sistemas de Informacin:

Personal de Informtica. Gerencia, supervisores de Red. Administracin de Ventas. Personal de Administracin de Bodegas-Despachos.
Pudiendo existir los siguientes inconvenientes:

Enfermedad. Accidentes.

Renuncias.
Abandono de sus puestos de trabajo. Otros imponderables.

Fuentes de Dao
Fallas de Hardware a) Falla en el Servidor de Aplicaciones y Datos, tanto en su(s) disco(s) duro(s) como en el procesador central. b) Falla en el hardware de Red: Falla en los Concentradores (Switch, Hub, Router). Falla en el cableado de la Red. c) Falla en el FireWall.