PLAN DE CONTINGENCIA

ÍNDICE

INTRODUCCIÓN

PLAN DE CONTINGENCIA 1

I. Definición 1

II. Funciones 2

III. Objetivos 2

IV. Contenido de un plan de contingencia 4

V. Importancia de un plan de contingencia 6

VI. Áreas de aplicación 7

VII. Quienes diseñan el plan de contingencia 7

VIII. Metodología de desarrollo de un plan de contingencia 8

1. Análisis de riesgos 10

2. Evaluación de riesgos 11

3. Jerarquización de las aplicaciones 13

4. Establecimientos de requerimientos de recuperación 14

5. Ejecución 15

6. Pruebas 16

7. Documentación 16

8. Difusión y capacitación 17

9. Mantenimiento 18

IX. Características de un plan de contingencia 19

X. Ejemplo práctico de aplicación 20

CONCLUSIÓN 30

BIBLIOGRAFÍA 31

INTRODUCCIÓN

Desde los inicios de los sistemas de información se comprendió que las contingencias forman parte inherente de los mismos. Las amenazas a la información pueden provenir de muchas fuentes, tanto de origen natural (terremotos, tormentas, etc.), de origen humano (celos profesionales, competencia, huelga, problemas laborales, entre otros), como de origen técnico (fallas del hardware, del software, con el suministro de energía, etc.). Y es casi siempre una situación no prevista la que regularmente provoca una crisis y las consecuencias de la misma, según su impacto y extensión, pueden ser catastróficas para los intereses de cualquier organización.

Los fallos técnicos y humanos han hecho recapacitar a las organizaciones sobre la necesidad de auxiliarse con herramientas que le permitan garantizar una rápida vuelta a la normalidad ante la presencia de cualquier eventualidad, por lo tanto, el hecho de diseñar y preparar un plan de contingencias no implica un reconocimiento de la ineficiencia en la gestión de la empresa, sino todo lo contrario, los mecanismos de seguridad de la información buscan proteger a la información de las diversas amenazas a las que se ve expuesta y supone un importante avance a la hora de superar todas aquellas adversidades que pueden provocar importantes pérdidas, no solo materiales sino aquellas derivadas de la paralización del negocio durante un período más o menos prolongado.

PLAN DE CONTINGENCIA

I. DEFINICIÓN

General: Un plan de contingencia es el conjunto de procedimientos alternativos a la operativa normal de cada empresa, cuya finalidad es la de permitir el funcionamiento de ésta, aún cuando alguna de sus funciones deje de hacerlo por culpa de algún incidente tanto interno como ajeno a la organización.

Especifica: Un plan de contingencia consiste en la identificación de aquellos sistemas de información y/o recursos informáticos aplicados que son susceptibles de deterioro, violación o pérdida y que pueden ocasionar graves trastornos para el desenvolvimiento normal de la organización, con el propósito de estructurar y ejecutar aquellos procedimientos y asignar responsabilidades que salvaguarden la información y permitan su recuperación garantizando la confidencialidad, integridad y disponibilidad de ésta en el menor tiempo posible y a unos costos razonables.

El plan de contingencia debe cubrir todos los aspectos que se van a adoptar tras una interrupción, lo que implica suministrar el servicio alternativo y para lograrlo no solo se deben revisar las operaciones cotidianas, sino que también debe incluirse el análisis de los principales distribuidores, clientes, negocios y socios, así como la infraestructura en riesgo. Esto incluye cubrir los siguientes tópicos: hardware, software, documentación, talento humano y soporte logístico; debe ser lo más detallado posible y fácil de comprender.

II. FUNCIONES

Los planes de contingencia cumplen las siguientes funciones:

 Determinar acciones preventivas, reduciendo el grado de vulnerabilidad y exposición al riesgo.

 Reducir el tiempo de reacción ante la emergencia.

 Dimensionar el riesgo potencial.

 Tomar decisiones rápidas ante anormalidades o falla.

 Generar cultura de seguridad en la organización.

 Asegurar la estabilidad de la organización.

 Hacer sistemático, ordenado y eficiente lo que, sin un plan debidamente concebido y ensayado, sería arbitrario, caótico e ineficiente.

 Cumplir con las normativas legales.

III. OBJETIVOS

Los objetivos de un plan de contingencia son:

 Reanudar con la mayor brevedad posible las funciones empresariales más críticas, en aras a minimizar el impacto de manera que la correcta recuperación de los sistemas y procesos quede garantizada y se conserven los objetivos estratégicos de la empresa. Para proteger el personal, minimizar el daño a operaciones y equipo de procesamiento de datos, así como reducir la magnitud de la interrupción en el servicio.

 Evaluar los riesgos así como los costos de los procedimientos de contingencia requeridos cuando se presenta una interrupción de las operaciones, de forma que sólo se inviertan los recursos necesarios.

 Optimizar los esfuerzos y recursos necesarios para atender cualquier contingencia de manera oportuna y eficiente, definiendo las personas responsables de las actividades a desarrollar antes y durante la emergencia.

Puede concluirse de lo anterior que el aspecto clave es proteger el personal y la información vital para la organización. Esta protección conduce a realizar un análisis de los riesgos a que está sometida dicha información y la forma de minimizar el efecto de esos riesgos.

Esto mismo lleva a desarrollar los mecanismos necesarios que permitan identificar los elementos involucrados y mitigar los efectos del desastre o salir de él lo más exitosamente posible.

IV. CONTENIDO DE UN PLAN DE CONTINGENCIA

El plan de contingencias comprende tres subplanes. Cada plan determina las contramedidas necesarias en cada momento del tiempo respecto a la materialización de cualquier amenaza:

 El plan de respaldo.

Contempla las contramedidas preventivas antes de que se materialice una amenaza. Su finalidad es evitar dicha materialización.

El nivel adecuado de seguridad física, o grado de seguridad, es un conjunto de acciones utilizadas para evitar el fallo o, en su caso, aminorar las consecuencias que de el se puedan derivar.

Es un concepto aplicable a cualquier actividad, no sólo a la informática, en la que las personas hagan uso particular o profesional de entornos físicos.

 El plan de emergencia.

Contempla las contramedidas necesarias durante la materialización de una amenaza, o inmediatamente después. Su finalidad es paliar los efectos adversos de la amenaza.

La probabilidad de que ocurra un desastre es muy baja, aunque se diera, el impacto podría ser tan grande que resultaría fatal para la organización. Por otra parte, no es corriente que un negocio responda por sí mismo ante un acontecimiento como el que se comenta, se deduce la necesidad de contar con los medios necesarios para afrontarlo. Estos medios quedan definidos en el Plan de Recuperación de Desastres que junto con el Centro Alternativo de Proceso de Datos, constituye el plan de contingencia que coordina las necesidades del negocio y las operaciones de recuperación del mismo.

 El plan de recuperación.

Contempla las medidas necesarias después de materializada y controlada la amenaza. Su finalidad es restaurar el estado de las cosas tal y como se encontraban antes de la materialización de la amenaza.

Después de ocurrido el Siniestro o Desastre es necesario realizar las actividades que se detallan, las cuales deben estar especificadas en el Plan de Acción.

a) Evaluación de Daños.

b) Priorización de Actividades del Plan de Acción.

c) Ejecución de Actividades.

d) Evaluación de Resultados.

e) Retroalimentación del Plan de Acción.

La magnitud, de un plan de contingencia será proporcional a la complejidad, importancia, costo del servicio al cual está destinado a proteger y el riesgo asociado a la misma.

V. IMPORTANCIA DE UN PLAN DE CONTINGENCIA

La necesidad de un plan de contingencia esta relacionada con el impacto potencial que provocaría una interrupción parcial o total de los servicios de información, sobre el desarrollo de las actividades de la organización. Conforme las organizaciones aumentan la automatización de sus operaciones, éstas son más dependientes de la tecnología que capta, almacena y procesa la información vital para su funcionamiento.

Su importancia radica en que:

 Permitirá una respuesta rápida en caso de incidentes, accidentes o estados de emergencia.

 Permitirá ejecutar un conjunto de normas, procedimientos y acciones básicas de respuesta que se debería tomar para afrontar semanera oportuna, adecuada y efectiva, ante la eventualidad de incidentes, accidentes y/o estados de emergencias que pudieran ocurrir tanto en las instalaciones como fuera de ellas.

...