El documento presenta un plan de contingencia. Define un plan de contingencia como un conjunto de métodos alternativos para mantener operativa una empresa ante fallas. Describe que un plan de contingencia incluye planes de respaldo, emergencia y recuperación. También cubre la identificación de riesgos, evaluación de prioridades, documentación del plan y pruebas para garantizar que funcione ante una contingencia.
2. PLAN DE CONTINGENCIA
DEFINICIÓN
Es un conjunto de métodos alternativos al funcionamiento normal de la
empresa, cuyo objetivo es el de permitir que la organización
permanezca operativa aun cuando alguna de sus funciones deje de
hacerlo.
Es la reanudación de las actividades ante una calamidad presentada en
el área de Tecnología. La preparación es la clave del éxito para
enfrentar los problemas.
Son los procedimientos alternativos al orden normal de una empresa,
cuyo fin es permitir el normal funcionamiento de ésta, aún cuando
alguna de sus funciones se viese dañada por un accidente interno o
externo. Nace de un análisis de riesgo donde, entre otras amenazas, se
identifican aquellas que afectan a la continuidad del negocio.
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 2
3. PLAN DE CONTINGENCIA
PARÁMETROS DE UN PLAN DE CONTINGENCIA
El plan de contingencias sigue el conocido ciclo de vida
iterativo (planificar-hacer-comprobar-actuar )
El Plan de contingencia nace de un análisis de riesgo
donde, entre otras amenazas, se identifican aquellas que
afectan a la continuidad del negocio.
El plan debe ser revisado periódicamente. Generalmente, la
revisión será consecuencia de un nuevo análisis de riesgo.
Se modifica el plan de contingencias de acuerdo a las
revisiones aprobadas y, de nuevo, se inicia el ciclo de vida
del plan.
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 3
4. PLAN DE CONTINGENCIA
El plan de contingencias comprende tres subplanes. Cada plan
determina las contramedidas necesarias en cada momento del
tiempo respecto a la materialización de cualquier amenaza:
Plan de respaldo. Contempla las contramedidas preventivas
antes de que se materialice una amenaza. Su finalidad es evitar
dicha materialización.
Plan de emergencia. Contempla las contramedidas necesarias
durante la materialización de una amenaza, o inmediatamente
después. Su finalidad es paliar los efectos adversos de la
amenaza.
Plan de recuperación. Contempla las medidas necesarias
después de materializada y controlada la amenaza. Su finalidad
es restaurar el estado de las cosas tal y como se encontraban
antes de la materialización de la amenaza.
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 4
5. PLAN DE CONTINGENCIA
El Plan de Contingencia debe de expresar
claramente:
Qué recursos materiales son necesarios.
Qué personas están implicadas en el
cumplimiento del plan.
Cuales son las responsabilidades concretas de
esas personas y su rol dentro del plan.
Qué protocolos de actuación deben seguir y
cómo son.
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 5
6. IMPORTANCIA DE UN PLAN DE
CONTINGENCIA
Un plan de contingencia es importante ya que garantiza la
continuidad del negocio y las operaciones de una compañía.
Un Plan de Contingencias (PDC) es una herramienta que
definitivamente permitirá ayudar a muchas organizaciones a
mantener la continuidad de las operaciones del negocio, ante la
ocurrencia de alguna falla que afecte a los sistemas informáticos,
provocando la paralización parcial o total de la empresa. Un PDC
abarca la recuperación de aquellos servicios y recursos críticos
ante eventos que van desde desastres naturales (como por
ejemplo terremotos, inundaciones, etc.) hasta no naturales (como
por ejemplo el daño de un disco, el agotamiento de la papelería de
la empresa, fallas técnicas y/o errores de programas).
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 6
7. AREAS DE APLICACIÓN
Los planes de contingencia tienen una
aplicación muy amplia y variada, puede
darse tanto para empresas (comerciales o
industriales) a nivel gubernamental (como
en el caso de emergencias regionales),
para casos muy específicos como derrame
de petróleo, incendios, escacés de
alimentos, administración de proyectos de
cualquier índole como: construcciones y
desarrollo de software u otros.
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 7
8. METODOLOGÍA DE DESARROLLO DE UN PLAN DE
CONTINGENCIAS
El diseñar e implementar un plan de contingencia para recuperación de
desastres no es una tarea fácil; puede implicar esfuerzos y gastos
considerables, sobre todo si se está partiendo de cero.
Una solución comprende las siguientes actividades:
Debe ser diseñada y elaborada de acuerdo con las necesidades de
la empresa.
Puede requerir la construcción o adaptación de un sitio para los
equipos computacionales.
Requerirá del desarrollo y prueba de muchos procedimientos
nuevos, y éstos deben ser compatibles con las operaciones
existentes. Se hará participar a personal de muchos
departamentos diferentes, el cual debe trabajar en conjunto
cuando se desarrolle e implemente la solución.
Implicará un compromiso entre costo, velocidad de recuperación,
medida de la recuperación y alcance de los desastres cubiertos.
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 8
9. METODOLOGÍA DE DESARROLLO DE UN PLAN DE
CONTINGENCIAS
Un método estructurado ayuda a asegurar de que se toman en
cuenta todos estos factores y de que se les trata adecuadamente.
Principales actividades requeridas para la planificación e
implementación de una capacidad de recuperación de desastres:
Identificación de riesgos
Evaluación de riesgos
Asignación de prioridades a las aplicaciones
Establecimiento de los requerimientos de recuperación
Elaboración de la documentación
Verificación e implementación del plan
Distribución y mantenimiento del plan
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 9
10. IDENTIFICACIÓN DE RIESGOS
En esta fase, la preocupación está relacionada con tres simples
preguntas: ¿qué está bajo riesgo?, ¿qué puede ir mal? y ¿cuál
es la probabilidad de que suceda?
El primer componente del plan de contingencia debe ser una
descripción del servicio y el riesgo para ese servicio, igualmente se
debe determinar el costo que representa para la organización el
experimentar un desastre que afecte a la actividad empresarial.
Se debe evaluar el nivel de riesgo de la información para hacer:
Un adecuado estudio costo/beneficio entre el costo por pérdida de información y el
costo de un sistema de seguridad.
Clasificar la instalación en términos de riesgo (alto, mediano, bajo) e identificar las
aplicaciones que representen mayor riesgo.
Cuantificar el impacto en el caso de suspensión del servicio.
Determinar la información que pueda representar cuantiosas pérdidas para la
organización o bien que pueda ocasionar un gran efecto en la toma de decisiones.
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 10
11. EVALUACIÓN DE RIESGO
Es el proceso de determinar el costo para la organización
de sufrir un desastre que afecte su actividad.
Los costos de un desastre pueden clasificarse en las siguientes
categorías:
Costos reales de reemplazar el sistema informático
Costos por falta de producción.
Costos por negocio perdido.
Costos por reputación.
Es importante resaltar que cuando ocurra una contingencia, es
esencial que se conozca al detalle el motivo que la originó y el
daño producido mediante la evaluación y análisis del problema
donde se revisen las fortalezas, oportunidades, debilidades y
amenazas, lo que permitirá recuperar en el menor tiempo posible
el proceso perdido.
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 11
12. ASIGNACIÓN DE PRIORIDADES
Después de que acontezca un desastre y se inicie la
recuperación de los sistemas, debe conocerse qué
aplicaciones recuperar en primer lugar.
Esto implica la necesidad de determinar por anticipado
cuáles son las aplicaciones fundamentales del negocio.
Es fundamental que la dirección ayude a determinar el
orden en que los sistemas sean recuperados. El plan de
contingencia debería incluir la lista de los sistemas y su
prioridad. Esta sección del plan debería ser firmada por la
dirección para minimizar las desavenencias.
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 12
13. ESTABLECIMIENTO DE LOS
REQUERIMIENTOS DE RECUPERACIÓN
La clave de esta fase del proceso de elaboración del plan de
migración es definir un periodo de tiempo aceptable y viable
para lograr que la red esté de nuevo activa.
La preocupación básica debería ser disponer de las
aplicaciones más importantes en primer lugar. El personal
directivo de la organización deseará saber cuándo estarán sus
aplicaciones funcionando para planificar las actividades de la
compañía.
El término para este tiempo es tiempo de recuperación objetivo
o en inglés TRO (Recovery Time Objective). El TRO definido
debe ser verificado para comprobar que es realista y factible,
no sólo por uno mismo, sino por el resto de la organización,
que puede ser requerido para realizar el trabajo.
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 13
14. ESTABLECIMIENTO DE LOS
REQUERIMIENTOS DE RECUPERACIÓN
Se procede a determinar lo que se debe hacer para lograr una óptima
solución, especificando las funciones con base en el estado actual de
la organización.
Es necesario adelantar las siguientes actividades :
Profundizar y ampliar la definición del problema
Analizar áreas problema, documentos utilizados
Esquema organizacional y funcional
Las comunicaciones y sus flujos
El sistema de control y evaluación
Formulación de las medidas de seguridad necesarias dependiendo del
nivel de seguridad requerido
Justificación del costo de implantar las medidas de seguridad
Análisis y evaluación del plan actual
Determinar los recursos humanos, técnicos y económicos necesarios
para desarrollar el plan
Definir un tiempo prudente y viable para lograr que el sistema esté
nuevamente en operación.
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 14
15. ELABORACIÓN DE LA DOCUMENTACIÓN
Crear un documento que mucha gente pueda tener como referencia
es quizás lo más difícil del plan de contingencia.
El plan de contingencia debe definir cinco áreas:
Listas de notificación, números de teléfono, mapas y
direcciones.
Prioridades, responsabilidades, relaciones y procedimientos.
Información sobre adquisiciones y compras.
Diagramas de las instalaciones
Sistemas, configuraciones y copias de seguridad en cinta.
La documentación ayudará a comprender otros aspectos del sistema
y puede ser primordial para la empresa en caso de ocurrir un
desastre. Deben incluirse, detalladamente, los procedimientos que
muestren las labores de instalación y recuperación necesarias,
procurando que sean entendibles y fáciles de seguir.
La documentación del plan de contingencia se debe desarrollar desde
el mismo momento que nace, pasando por todas sus etapas y no
dejando esta labor de lado, para cuando se concluyan las pruebas y
su difusión.
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 15
16. VERIFICACIÓN E IMPLEMENTACIÓN DEL
PLAN
Una vez redactado el plan, hay que probarlo. Hay que estar
seguro de que el plan va a funcionar.
Comprobación del plan por partes
Verificar el plan con otras personas de la organización que se
encuentren familiarizadas con los productos o procedimientos
empleados.
Una correcta documentación ayudará a la hora de realizar las
pruebas. La capacitación del equipo de contingencia y su
participación en pruebas son fundamentales para poner en
evidencia posibles carencias del plan.
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 16
17. DISTRIBUCIÓN Y MANTENIMIENTO DEL
PLAN
Cuando se disponga del plan definitivo ya probado, es
necesario hacer su difusión y capacitación entre las personas
encargadas de llevarlo a cargo.
Controlar las versiones del plan, de manera que no exista
confusión con múltiples versiones.
El mantenimiento y verificación de un plan de migración
ayudará a que se produzca dicha comunicación dentro de la
organización.
El mantenimiento del plan comienza con una revisión del plan
existente y se examina en su totalidad realizando los cambios
en la información que pudo haber ocasionado una variación en
el sistema y realizando los cambios que sean necesarios.
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 17