7.capitulo vii plan de contingencia

PLAN DE CONTINGENCIA

CAPITULO VII

Presentado y preparado por

Ing. Lourdes Raveneau de Torres 2


DEFINICIÓN

Es un conjunto de métodos alternativos al funcionamiento normal de la empresa, cuyo objetivo es el de permitir que la organización permanezca operativa aun cuando alguna de sus funciones deje de hacerlo.

Es la reanudación de las actividades ante una calamidad presentada en el área de Tecnología. La preparación es la clave del éxito para enfrentar los problemas.

Son los procedimientos alternativos al orden normal de una empresa, cuyo fin es permitir el normal funcionamiento de ésta, aún cuando alguna de sus funciones se viese dañada por un accidente interno o externo. Nace de un análisis de riesgo donde, entre otras amenazas, se identifican aquellas que afectan a la continuidad del negocio.




PARÁMETROS DE UN PLAN DE CONTINGENCIA

El plan de contingencias sigue el conocido ciclo de vida

iterativo (planificar-hacer-comprobar-actuar )

El Plan de contingencia nace de un análisis de riesgo

donde, entre otras amenazas, se identifican aquellas que

afectan a la continuidad del negocio.

El plan debe ser revisado periódicamente. Generalmente, la

revisión será consecuencia de un nuevo análisis de riesgo.

Se modifica el plan de contingencias de acuerdo a las

revisiones aprobadas y, de nuevo, se inicia el ciclo de vida

del plan.



PLAN DE CONTINGENCIA El plan de contingencias comprende tres subplanes. Cada plan

determina las contramedidas necesarias en cada momento del tiempo respecto a la materialización de cualquier amenaza:

Plan de respaldo. Contempla las contramedidas preventivas antes de que se materialice una amenaza. Su finalidad es evitar dicha materialización.

Plan de emergencia. Contempla las contramedidas necesarias durante la materialización de una amenaza, o inmediatamente después. Su finalidad es paliar los efectos adversos de la amenaza.

Plan de recuperación. Contempla las medidas necesarias después de materializada y controlada la amenaza. Su finalidad es restaurar el estado de las cosas tal y como se encontraban antes de la materialización de la amenaza.




El Plan de Contingencia debe de expresar claramente:

Qué recursos materiales son necesarios.

Qué personas están implicadas en el cumplimiento del plan.

Cuales son las responsabilidades concretas de esas personas y su rol dentro del plan.

Qué protocolos de actuación deben seguir y cómo son.



IMPORTANCIA DE UN PLAN DE

CONTINGENCIA

Un plan de contingencia es importante ya que garantiza la continuidad del negocio y las operaciones de una compañía.

Un Plan de Contingencias (PDC) es una herramienta que definitivamente permitirá ayudar a muchas organizaciones a mantener la continuidad de las operaciones del negocio, ante la ocurrencia de alguna falla que afecte a los sistemas informáticos, provocando la paralización parcial o total de la empresa. Un PDC abarca la recuperación de aquellos servicios y recursos críticos ante eventos que van desde desastres naturales (como por ejemplo terremotos, inundaciones, etc.) hasta no naturales (como por ejemplo el daño de un disco, el agotamiento de la papelería de la empresa, fallas técnicas y/o errores de programas).



AREAS DE APLICACIÓN

Los planes de contingencia tienen una aplicación muy amplia y variada, puede darse tanto para empresas (comerciales o industriales) a nivel gubernamental (como en el caso de emergencias regionales), para casos muy específicos como derrame de petróleo, incendios, escacés de alimentos, administración de proyectos de cualquier índole como: construcciones y desarrollo de software u otros.



METODOLOGÍA DE DESARROLLO DE UN PLAN DE

CONTINGENCIAS

El diseñar e implementar un plan de contingencia para recuperación de desastres no es una tarea fácil; puede implicar esfuerzos y gastos considerables, sobre todo si se está partiendo de cero.

Una solución comprende las siguientes actividades:

Debe ser diseñada y elaborada de acuerdo con las necesidades de la empresa.

Puede requerir la construcción o adaptación de un sitio para los equipos computacionales.

Requerirá del desarrollo y prueba de muchos procedimientos nuevos, y éstos deben ser compatibles con las operaciones existentes. Se hará participar a personal de muchos departamentos diferentes, el cual debe trabajar en conjunto cuando se desarrolle e implemente la solución.

Implicará un compromiso entre costo, velocidad de recuperación, medida de la recuperación y alcance de los desastres cubiertos.



METODOLOGÍA DE DESARROLLO DE UN PLAN DE

CONTINGENCIAS Un método estructurado ayuda a asegurar de que se toman en

cuenta todos estos factores y de que se les trata adecuadamente.

Principales actividades requeridas para la planificación e

implementación de una capacidad de recuperación de desastres:

Identificación de riesgos

Evaluación de riesgos

Asignación de prioridades a las aplicaciones

Establecimiento de los requerimientos de recuperación

Elaboración de la documentación

Verificación e implementación del plan

Distribución y mantenimiento del plan



IDENTIFICACIÓN DE RIESGOS

En esta fase, la preocupación está relacionada con tres simples preguntas: ¿qué está bajo riesgo?, ¿qué puede ir mal? y ¿cuál es la probabilidad de que suceda? El primer componente del plan de contingencia debe ser una

descripción del servicio y el riesgo para ese servicio, igualmente se debe determinar el costo que representa para la organización el experimentar un desastre que afecte a la actividad empresarial.

Se debe evaluar el nivel de riesgo de la información para hacer:

Un adecuado estudio costo/beneficio entre el costo por pérdida de información y el

costo de un sistema de seguridad.

Clasificar la instalación en términos de riesgo (alto, mediano, bajo) e identificar las

aplicaciones que representen mayor riesgo.

Cuantificar el impacto en el caso de suspensión del servicio.

Determinar la información que pueda representar cuantiosas pérdidas para la

organización o bien que pueda ocasionar un gran efecto en la toma de decisiones.



EVALUACIÓN DE RIESGO Es el proceso de determinar el costo para la organización

de sufrir un desastre que afecte su actividad.

Los costos de un desastre pueden clasificarse en las siguientes

categorías:

Costos reales de reemplazar el sistema informático

Costos por falta de producción.

Costos por negocio perdido.

Costos por reputación.

Es importante resaltar que cuando ocurra una contingencia, es

esencial que se conozca al detalle el motivo que la originó y el

daño producido mediante la evaluación y análisis del problema

donde se revisen las fortalezas, oportunidades, debilidades y

amenazas, lo que permitirá recuperar en el menor tiempo posible

el proceso perdido.



ASIGNACIÓN DE PRIORIDADES

Después de que acontezca un desastre y se inicie larecuperación de los sistemas, debe conocerse quéaplicaciones recuperar en primer lugar.

Esto implica la necesidad de determinar por anticipadocuáles son las aplicaciones fundamentales del negocio.

Es fundamental que la dirección ayude a determinar elorden en que los sistemas sean recuperados. El plan decontingencia debería incluir la lista de los sistemas y suprioridad. Esta sección del plan debería ser firmada por ladirección para minimizar las desavenencias.



ESTABLECIMIENTO DE LOS

REQUERIMIENTOS DE RECUPERACIÓN

La clave de esta fase del proceso de elaboración del plan de migración es definir un periodo de tiempo aceptable y viable para lograr que la red esté de nuevo activa.

La preocupación básica debería ser disponer de las aplicaciones más importantes en primer lugar. El personal directivo de la organización deseará saber cuándo estarán sus aplicaciones funcionando para planificar las actividades de la compañía.

El término para este tiempo es tiempo de recuperación objetivo o en inglés TRO (Recovery Time Objective). El TRO definido debe ser verificado para comprobar que es realista y factible, no sólo por uno mismo, sino por el resto de la organización, que puede ser requerido para realizar el trabajo.



ESTABLECIMIENTO DE LOS

REQUERIMIENTOS DE RECUPERACIÓN Se procede a determinar lo que se debe hacer para lograr una óptima

solución, especificando las funciones con base en el estado actual de la organización.

Es necesario adelantar las siguientes actividades :

Profundizar y ampliar la definición del problema

Analizar áreas problema, documentos utilizados

Esquema organizacional y funcional

Las comunicaciones y sus flujos

El sistema de control y evaluación

Formulación de las medidas de seguridad necesarias dependiendo del nivel de seguridad requerido

Justificación del costo de implantar las medidas de seguridad

Análisis y evaluación del plan actual

Determinar los recursos humanos, técnicos y económicos necesarios para desarrollar el plan

Definir un tiempo prudente y viable para lograr que el sistema esté nuevamente en operación.



ELABORACIÓN DE LA DOCUMENTACIÓN

Crear un documento que mucha gente pueda tener como referencia es quizás lo más difícil del plan de contingencia.

El plan de contingencia debe definir cinco áreas:

Listas de notificación, números de teléfono, mapas y direcciones.

Prioridades, responsabilidades, relaciones y procedimientos.

Información sobre adquisiciones y compras.

Diagramas de las instalaciones

Sistemas, configuraciones y copias de seguridad en cinta.

La documentación ayudará a comprender otros aspectos del sistema y puede ser primordial para la empresa en caso de ocurrir un desastre. Deben incluirse, detalladamente, los procedimientos que muestren las labores de instalación y recuperación necesarias, procurando que sean entendibles y fáciles de seguir.

La documentación del plan de contingencia se debe desarrollar desde el mismo momento que nace, pasando por todas sus etapas y no dejando esta labor de lado, para cuando se concluyan las pruebas y su difusión.



VERIFICACIÓN E IMPLEMENTACIÓN DEL

PLAN

Una vez redactado el plan, hay que probarlo. Hay que estar

seguro de que el plan va a funcionar.

Comprobación del plan por partes

Verificar el plan con otras personas de la organización que se

encuentren familiarizadas con los productos o procedimientos

empleados.

Una correcta documentación ayudará a la hora de realizar las

pruebas. La capacitación del equipo de contingencia y su

participación en pruebas son fundamentales para poner en

evidencia posibles carencias del plan.



DISTRIBUCIÓN Y MANTENIMIENTO DEL

PLAN

Cuando se disponga del plan definitivo ya probado, es

necesario hacer su difusión y capacitación entre las personas

encargadas de llevarlo a cargo.

Controlar las versiones del plan, de manera que no exista

confusión con múltiples versiones.

El mantenimiento y verificación de un plan de migración

ayudará a que se produzca dicha comunicación dentro de la

organización.

El mantenimiento del plan comienza con una revisión del plan

existente y se examina en su totalidad realizando los cambios

en la información que pudo haber ocasionado una variación en

el sistema y realizando los cambios que sean necesarios.

7.capitulo vii plan de contingencia

Education