PLAN DE CONTINGENCIA

CAPITULO VII
 PLAN DE CONTINGENCIA

 DEFINICIÓN
 Es un conjunto de métodos alternativos al funcionamiento normal de la
empresa, cuyo objetivo es el de permitir que la organización
permanezca operativa aun cuando alguna de sus funciones deje de
hacerlo.
 Es la reanudación de las actividades ante una calamidad presentada en
el área de Tecnología. La preparación es la clave del éxito para
enfrentar los problemas.
 Son los procedimientos alternativos al orden normal de una empresa,
cuyo fin es permitir el normal funcionamiento de ésta, aún cuando
alguna de sus funciones se viese dañada por un accidente interno o
externo. Nace de un análisis de riesgo donde, entre otras amenazas, se
identifican aquellas que afectan a la continuidad del negocio.

Presentado y preparado por

Ing. Lourdes Raveneau de Torres 2
 PLAN DE CONTINGENCIA
 PARÁMETROS DE UN PLAN DE CONTINGENCIA
 El plan de contingencias sigue el conocido ciclo de vida
iterativo (planificar-hacer-comprobar-actuar )
 El Plan de contingencia nace de un análisis de riesgo
donde, entre otras amenazas, se identifican aquellas que
afectan a la continuidad del negocio.
 El plan debe ser revisado periódicamente. Generalmente, la
revisión será consecuencia de un nuevo análisis de riesgo.
 Se modifica el plan de contingencias de acuerdo a las
revisiones aprobadas y, de nuevo, se inicia el ciclo de vida
del plan.

Presentado y preparado por

Ing. Lourdes Raveneau de Torres 3
 PLAN DE CONTINGENCIA
 El plan de contingencias comprende tres subplanes. Cada plan
determina las contramedidas necesarias en cada momento del
tiempo respecto a la materialización de cualquier amenaza:
 Plan de respaldo. Contempla las contramedidas preventivas
antes de que se materialice una amenaza. Su finalidad es evitar
dicha materialización.
 Plan de emergencia. Contempla las contramedidas necesarias
durante la materialización de una amenaza, o inmediatamente
después. Su finalidad es paliar los efectos adversos de la
amenaza.
 Plan de recuperación. Contempla las medidas necesarias
después de materializada y controlada la amenaza. Su finalidad
es restaurar el estado de las cosas tal y como se encontraban
antes de la materialización de la amenaza.

Presentado y preparado por

Ing. Lourdes Raveneau de Torres 4
 PLAN DE CONTINGENCIA
 El Plan de Contingencia debe de expresar
claramente:
 Qué recursos materiales son necesarios.
 Qué personas están implicadas en el
cumplimiento del plan.
 Cuales son las responsabilidades concretas de
esas personas y su rol dentro del plan.
 Qué protocolos de actuación deben seguir y
cómo son.

Presentado y preparado por

Ing. Lourdes Raveneau de Torres 5
 IMPORTANCIA DE UN PLAN DE
CONTINGENCIA

 Un plan de contingencia es importante ya que garantiza la

continuidad del negocio y las operaciones de una compañía.
 Un Plan de Contingencias (PDC) es una herramienta que
definitivamente permitirá ayudar a muchas organizaciones a
mantener la continuidad de las operaciones del negocio, ante la
ocurrencia de alguna falla que afecte a los sistemas informáticos,
provocando la paralización parcial o total de la empresa. Un PDC
abarca la recuperación de aquellos servicios y recursos críticos
ante eventos que van desde desastres naturales (como por
ejemplo terremotos, inundaciones, etc.) hasta no naturales (como
por ejemplo el daño de un disco, el agotamiento de la papelería de
la empresa, fallas técnicas y/o errores de programas).

Presentado y preparado por

Ing. Lourdes Raveneau de Torres 6
 AREAS DE APLICACIÓN

 Los planes de contingencia tienen una

aplicación muy amplia y variada, puede
darse tanto para empresas (comerciales o
industriales) a nivel gubernamental (como
en el caso de emergencias regionales),
para casos muy específicos como derrame
de petróleo, incendios, escacés de
alimentos, administración de proyectos de
cualquier índole como: construcciones y
desarrollo de software u otros.

Presentado y preparado por

Ing. Lourdes Raveneau de Torres 7
 METODOLOGÍA DE DESARROLLO DE UN PLAN DE
CONTINGENCIAS

 El diseñar e implementar un plan de contingencia para recuperación de

desastres no es una tarea fácil; puede implicar esfuerzos y gastos
considerables, sobre todo si se está partiendo de cero.
 Una solución comprende las siguientes actividades:
 Debe ser diseñada y elaborada de acuerdo con las necesidades de
la empresa.
 Puede requerir la construcción o adaptación de un sitio para los
equipos computacionales.
 Requerirá del desarrollo y prueba de muchos procedimientos
nuevos, y éstos deben ser compatibles con las operaciones
existentes. Se hará participar a personal de muchos
departamentos diferentes, el cual debe trabajar en conjunto
cuando se desarrolle e implemente la solución.
 Implicará un compromiso entre costo, velocidad de recuperación,
medida de la recuperación y alcance de los desastres cubiertos.

Presentado y preparado por

Ing. Lourdes Raveneau de Torres 8
 METODOLOGÍA DE DESARROLLO DE UN PLAN DE
CONTINGENCIAS
 Un método estructurado ayuda a asegurar de que se toman en
cuenta todos estos factores y de que se les trata adecuadamente.
 Principales actividades requeridas para la planificación e
implementación de una capacidad de recuperación de desastres:
 Identificación de riesgos
 Evaluación de riesgos

 Asignación de prioridades a las aplicaciones

 Establecimiento de los requerimientos de recuperación
 Elaboración de la documentación
 Verificación e implementación del plan
 Distribución y mantenimiento del plan
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 9
 IDENTIFICACIÓN DE RIESGOS
 En esta fase, la preocupación está relacionada con tres simples
preguntas: ¿qué está bajo riesgo?, ¿qué puede ir mal? y ¿cuál
es la probabilidad de que suceda?
 El primer componente del plan de contingencia debe ser una
descripción del servicio y el riesgo para ese servicio, igualmente se
debe determinar el costo que representa para la organización el
experimentar un desastre que afecte a la actividad empresarial.
 Se debe evaluar el nivel de riesgo de la información para hacer:
 Un adecuado estudio costo/beneficio entre el costo por pérdida de información y el
costo de un sistema de seguridad.
 Clasificar la instalación en términos de riesgo (alto, mediano, bajo) e identificar las
aplicaciones que representen mayor riesgo.
 Cuantificar el impacto en el caso de suspensión del servicio.
 Determinar la información que pueda representar cuantiosas pérdidas para la
organización o bien que pueda ocasionar un gran efecto en la toma de decisiones.

Presentado y preparado por

Ing. Lourdes Raveneau de Torres 10
 EVALUACIÓN DE RIESGO
 Es el proceso de determinar el costo para la organización
de sufrir un desastre que afecte su actividad.
 Los costos de un desastre pueden clasificarse en las siguientes
categorías:
 Costos reales de reemplazar el sistema informático
 Costos por falta de producción.
 Costos por negocio perdido.
 Costos por reputación.
 Es importante resaltar que cuando ocurra una contingencia, es
esencial que se conozca al detalle el motivo que la originó y el
daño producido mediante la evaluación y análisis del problema
donde se revisen las fortalezas, oportunidades, debilidades y
amenazas, lo que permitirá recuperar en el menor tiempo posible
el proceso perdido.

Presentado y preparado por

Ing. Lourdes Raveneau de Torres 11
 ASIGNACIÓN DE PRIORIDADES
 Después de que acontezca un desastre y se inicie la
recuperación de los sistemas, debe conocerse qué
aplicaciones recuperar en primer lugar.
 Esto implica la necesidad de determinar por anticipado
cuáles son las aplicaciones fundamentales del negocio.
 Es fundamental que la dirección ayude a determinar el
orden en que los sistemas sean recuperados. El plan de
contingencia debería incluir la lista de los sistemas y su
prioridad. Esta sección del plan debería ser firmada por la
dirección para minimizar las desavenencias.

Presentado y preparado por

Ing. Lourdes Raveneau de Torres 12
 ESTABLECIMIENTO DE LOS
REQUERIMIENTOS DE RECUPERACIÓN
 La clave de esta fase del proceso de elaboración del plan de
migración es definir un periodo de tiempo aceptable y viable
para lograr que la red esté de nuevo activa.
 La preocupación básica debería ser disponer de las
aplicaciones más importantes en primer lugar. El personal
directivo de la organización deseará saber cuándo estarán sus
aplicaciones funcionando para planificar las actividades de la
compañía.
 El término para este tiempo es tiempo de recuperación objetivo
o en inglés TRO (Recovery Time Objective). El TRO definido
debe ser verificado para comprobar que es realista y factible,
no sólo por uno mismo, sino por el resto de la organización,
que puede ser requerido para realizar el trabajo.

Presentado y preparado por

Ing. Lourdes Raveneau de Torres 13
 ESTABLECIMIENTO DE LOS
REQUERIMIENTOS DE RECUPERACIÓN
 Se procede a determinar lo que se debe hacer para lograr una óptima
solución, especificando las funciones con base en el estado actual de
la organización.
 Es necesario adelantar las siguientes actividades :
 Profundizar y ampliar la definición del problema
 Analizar áreas problema, documentos utilizados
 Esquema organizacional y funcional
 Las comunicaciones y sus flujos
 El sistema de control y evaluación
 Formulación de las medidas de seguridad necesarias dependiendo del
nivel de seguridad requerido
 Justificación del costo de implantar las medidas de seguridad
 Análisis y evaluación del plan actual
 Determinar los recursos humanos, técnicos y económicos necesarios
para desarrollar el plan
 Definir un tiempo prudente y viable para lograr que el sistema esté
nuevamente en operación.
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 14
 ELABORACIÓN DE LA DOCUMENTACIÓN
 Crear un documento que mucha gente pueda tener como referencia
es quizás lo más difícil del plan de contingencia.
 El plan de contingencia debe definir cinco áreas:
 Listas de notificación, números de teléfono, mapas y
direcciones.
 Prioridades, responsabilidades, relaciones y procedimientos.
 Información sobre adquisiciones y compras.
 Diagramas de las instalaciones
 Sistemas, configuraciones y copias de seguridad en cinta.
 La documentación ayudará a comprender otros aspectos del sistema
y puede ser primordial para la empresa en caso de ocurrir un
desastre. Deben incluirse, detalladamente, los procedimientos que
muestren las labores de instalación y recuperación necesarias,
procurando que sean entendibles y fáciles de seguir.
 La documentación del plan de contingencia se debe desarrollar desde
el mismo momento que nace, pasando por todas sus etapas y no
dejando esta labor de lado, para cuando se concluyan las pruebas y
su difusión.

Presentado y preparado por

Ing. Lourdes Raveneau de Torres 15
 VERIFICACIÓN E IMPLEMENTACIÓN DEL
PLAN
 Una vez redactado el plan, hay que probarlo. Hay que estar
seguro de que el plan va a funcionar.
 Comprobación del plan por partes
 Verificar el plan con otras personas de la organización que se
encuentren familiarizadas con los productos o procedimientos
empleados.
 Una correcta documentación ayudará a la hora de realizar las
pruebas. La capacitación del equipo de contingencia y su
participación en pruebas son fundamentales para poner en
evidencia posibles carencias del plan.

Presentado y preparado por

Ing. Lourdes Raveneau de Torres 16
 DISTRIBUCIÓN Y MANTENIMIENTO DEL
PLAN
 Cuando se disponga del plan definitivo ya probado, es
necesario hacer su difusión y capacitación entre las personas
encargadas de llevarlo a cargo.
 Controlar las versiones del plan, de manera que no exista
confusión con múltiples versiones.
 El mantenimiento y verificación de un plan de migración
ayudará a que se produzca dicha comunicación dentro de la
organización.
 El mantenimiento del plan comienza con una revisión del plan
existente y se examina en su totalidad realizando los cambios
en la información que pudo haber ocasionado una variación en
el sistema y realizando los cambios que sean necesarios.

Presentado y preparado por

Ing. Lourdes Raveneau de Torres 17