Seguridad de la Información

Plan de Contingencia
Indice
1. OBJETIVO.....................................................................
....................................2
2. RESPONSABLES DEL CUMPLIMIENTO ...............................................
...........................2
3. INCUMPLIMIENTOS..............................................................
.................................2
4. DEFINICIONES ................................................................
...................................2
Norma Plan de Contingencia
Versión 1.0 -10/01/2008
Página 1 de 10
Seguridad de la Información
Plan de Contingencia
1. Objetivo
Definir las pautas generales para asegurar una adecuada recuperación de la informa
ción en
caso de ser necesario a través de la metodología definida para recuperar el procesam
iento de
los recursos críticos.
2. Responsables del cumplimiento
Las Direcciones y jefaturas, el responsable del área de Seguridad Informática (desig
nar), el
responsable de Desarrollo Tecnológico, el responsable del área de Auditoría Interna, s
on
responsables de la definición y la implementación del Plan de Contingencia (Plan de
Continuidad del Procesamiento).
3. Incumplimientos
Las medidas disciplinarias están descriptas en el Anexo II Sanciones por incumplim
ientos del
Manual de Gestión de Seguridad de la Información, y forman parte del conjunto de med
idas
disciplinarias del INEC.
4. Definiciones
Plan de Contingencia del INEC
ESQUEMA GENERAL
El Plan de Contingencias implica un análisis de los posibles riesgos a los cuales
pueden estar
expuestos nuestros equipos de procesamiento y la información contenida en los dive
rsos
medios de almacenamiento, por lo que en este documento se hará un análisis de los ri
esgos,
ver cómo reducir su posibilidad de ocurrencia y los procedimientos a seguir en cas
o que se
presentara el problema. Pese a todas nuestras medidas de seguridad puede ocurrir
un
desastre, por tanto es necesario que el Plan de Contingencias incluya un Plan de
Recuperación de Desastres -DRP, el cual tendrá como objetivo, restaurar el Servicio
de
Procesamiento en forma rápida, eficiente y con el menor costo y pérdidas posibles. S
i bien es
cierto que se pueden presentar diferentes niveles de daños, también se hace necesari
o
presuponer que el daño ha sido total, con la finalidad de tener un Plan de Conting
encias lo
más completo posible.

Haciendo un esquema, el Plan de Contingencias abarcará los siguientes aspectos:

1.-Plan de Reducción de Riesgos (Plan de Seguridad).
2.-Plan de Recuperación de Desastres.
2.1.-Actividades Previas al Desastre.
2.1.1.-Establecimiento del Plan de Acción.
2.1.2.- Formación de Equipos Operativos.
2.1.3.-Formación de Equipos de Evaluación (auditoria de cumplimiento de procedimient
os de
Seguridad).
2.2.-Actividades durante el Desastre.
2.2.1.-Plan de Emergencias.

Norma Plan de Contingencia Página 2 de 10

Versión 1.0 -10/01/2008
Seguridad de la Información
Plan de Contingencia
2.2.2.-Formación de Equipos.
2.2.3.-Entrenamiento.
2.3.- Actividades después del Desastre.
2.3.1.-Evaluación de Daños.
2.3.2.-Priorización de Actividades del Plan de Acción señaladas en 2.1.1
2.3.3.-Ejecución de Actividades
2.3.4.-Evaluación de Resultados.
2.3.5.-Retroalimentación del Plan de Acción.

1.1 PLAN DE RIESGOS (PLAN DE SEGURIDAD)

Para asegurar que se consideran todas las posibles eventualidades, se ha de elab
orar una
lista de todos los riesgos conocidos, para lo cual se deberá realizar un análisis de
riesgos.
1.1.1 ANALISIS DE RIESGOS
El análisis de riesgos supone más que el hecho de calcular la posibilidad de que ocu
rran cosas
negativas. Se ha de poder obtener una evaluación económica del impacto de estos suce
sos
negativos. Este valor se podrá utilizar para contrastar el costo de la protección de
la
Información en análisis, versus el costo de volverla a producir (reproducir).
La evaluación de riesgos y presentación de respuestas debe prepararse de forma
personalizada para cada organización.
La evaluación de riesgos supone imaginarse lo que puede ir mal y a continuación esti
mar el
coste que supondría. Se ha de tener en cuenta la probabilidad de que sucedan cada
uno de
los problemas posibles. De esta forma se pueden priorizar los problemas y su cos
te potencial
desarrollando un plan de acción adecuado.
Para cada riesgo, se debe determinar la probabilidad del factor de riesgo. Como
ejemplo
se mencionan algunos factores de riesgo:
1. Factor de riesgo bajo
2. Factor de riesgo muy bajo
3. Factor de riesgo alto
4. Factor de riesgo muy alto
5. Factor de riesgo medio
Luego se efectuará un resumen de los riesgos ordenados por el factor de riesgo de
cada uno.
Ejemplo:
TIPO DE RIESGOS FACTOR DE RIESGO
Robo Alto
Vandalismo Medio
Fallas en los equipos Medio
Acción de virus Medio
Equivocaciones Bajo
Terremotos Bajo
Accesos no autorizados Bajo
Robo de datos Bajo
Fuego Bajo
Fraude Muy bajo
Norma Plan de Contingencia
Versión 1.0 -10/01/2008
Página 3 de 10
Seguridad de la Información
Plan de Contingencia
ANALISIS DE FALLAS EN LA SEGURIDAD
Esto supone estudiar las computadoras, su software, localización y utilización con e
l objeto
de identificar los resquicios en la seguridad que pudieran suponer un peligro. P
or ejemplo, si
se instala una computadora personal nueva, para recibir informes de inventario d
esde otras
PCUS vía WAN/LAN/Internet situados en lugares remotos, y debido a se configura par
a que
pueda recibir datos, se ha abierto una vía de acceso al sistema informático. Habrá que
tomar
medidas de seguridad para protegerlo, como puede ser la validación de la clave de
acceso.
PROTECCIONES ACTUALES
1. Generales, se hace una copia casi diaria de los archivos que son vitales para
la Institución.
2. Robo común, se cierran las puertas de entrada y ventanas.
3. Vandalismo, se cierra la puerta de entrada.
4. Falla de los equipos, se tratan con cuidado, se realiza el mantenimiento de f
orma regular,
no se permite fumar, está previsto el préstamo de otros equipos.
5. Daño por virus, todo el software que llega se analiza en un sistema utilizando
software
antivirus. Los programas de dominio público y de uso compartido (Shareware), sólo se
usan si
proceden de una fuente fiable.
6. Equivocaciones, los empleados tienen buena formación. Cuando son necesarios, se
intenta
conseguir buenos trabajadores temporales.
7. Terremoto, nada. Aparte de la protección contra incendios, la cual es buena.
8. Acceso no autorizado, se cierra la puerta de entrada. Varias computadoras dis
ponen de
llave de bloqueo del teclado.
9. Robo de datos, se cierra la puerta principal. Varias computadoras disponen de
llave de
bloqueo del teclado
10. Fuego, en la actualidad se encuentra instalado Sistemas contra incendios, ex
tinguidores,
en sitios estratégicos y se brinda entrenamiento en el manejo de los sistemas o ex
tinguidores
al personal, en forma periódica.
En los Capítulos siguientes se brinda información completa y detallada de la Segurid
ad de
Equipos y de la Información.
1.2 PLAN DE RECUPERACION DE DESASTRES
Es importante definir los procedimientos y planes de acción para el caso de una po
sible falla,
siniestro o desastre en el área Informática, considerando como tal todas las áreas de
los
usuarios que procesan información por medio de la computadora.
Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo
que la
originó y el daño producido, lo que permitirá recuperar en el menor tiempo posible el
proceso
perdido.

La elaboración de los procedimientos que se determinen como adecuados para un caso

de
emergencia, deben ser planeados y probados fehacientemente.
Los procedimientos deberán ser de ejecución obligatoria y bajo la responsabilidad de
los
encargados de la realización de los mismos, debiendo haber procesos de verificación
de su
cumplimiento. En estos procedimientos estará involucrado todo el personal de la In
stitución.

Los procedimientos de planes de recuperación de desastres deben de emanar de la máxi

ma
autoridad Institucional, para garantizar su difusión y estricto cumplimiento.

Norma Plan de Contingencia

Versión 1.0 -10/01/2008
Página 4 de 10
Seguridad de la Información
Plan de Contingencia
Las actividades a realizar en un Plan de Recuperación de Desastres se pueden clasi
ficar en
tres etapas:
1.2.1 Actividades Previas al Desastre.
1.2.2 Actividades Durante el Desastre.
1.2.3 Actividades Después del Desastre.
1.2.1 ACTIVIDADES PREVIAS AL DESASTRE
Son todas las actividades de planeamiento, preparación, entrenamiento y ejecución de
las
actividades de resguardo de la información, que nos aseguren un proceso de Recuper
ación
con el menor costo posible a nuestra Institución.
Podemos detallar las siguientes Actividades Generales:

1.2.1.1 Establecimiento del Plan de Acción.

1.2.1.2 Formación de Equipos Operativos.
1.2.1.3 Formación de Equipos de Evaluación (auditoria de cumplimiento de los procedi
mientos
sobre Seguridad).
1.2.1.1 ESTABLECIMIENTO DE PLAN DE ACCIÓN
En esta fase de Planeamiento se debe de establecer los procedimientos relativos
a:

a) Sistemas e Información.
b) Equipos de Cómputo.
c) Obtención y almacenamiento de los Respaldos de Información (BACKUPS).
d) Políticas (Normas y Procedimientos de Backups).

a) Sistemas e Información.
La Institución deberá tener una relación de los Sistemas de Información con los que cuen
ta,
tanto los realizados por el centro de cómputo como los hechos por las áreas usuarias
.
Debiendo identificar toda información sistematizada o no, que sea necesaria para l
a buena
marcha Institucional.
La relación de Sistemas de Información deberá detallar los siguientes datos:

1. Nombre del Sistema.

2. Lenguaje o Paquete con el que fue creado el Sistema. Programas que lo conform
an (tanto
programas fuentes como programas objetos, rutinas, macros, etc.).
3. La Dirección (Gerencia, Departamento, etc.) que genera la información base (el «dueño»
del Sistema).
4. Las unidades o departamentos (internos/externos) que usan la información del Si
stema.
5. El volumen de los archivos que trabaja el Sistema.
6. El volumen de transacciones diarias, semanales y mensuales que maneja el sist
ema.
7. El equipamiento necesario para un manejo óptimo del Sistema.
8. La(s) fecha(s) en las que la información es necesitada con carácter de urgencia.
9. El nivel de importancia estratégica que tiene la información de este Sistema para
la
Institución (medido en horas o días que la Institución puede funcionar adecuadamente,
sin
disponer de la información del Sistema). Equipamiento mínimo necesario para que el S
istema
pueda seguir funcionando (considerar su utilización en tres turnos de trabajo, par
a que el
equipamiento sea el mínimo posible).
10. Actividades a realizar para volver a contar con el Sistema de Información (act
ividades de
Restore).
Norma Plan de Contingencia
Versión 1.0 -10/01/2008
Página 5 de 10
Seguridad de la Información
Plan de Contingencia
Con toda esta información se deberá de realizar una lista priorizada (un ranking) de
los
Sistemas de Información necesarios para que la Institución pueda recuperar su operat
ividad
perdida en el desastre (contingencia).
b) Equipos de Cómputo. Aparte de las Normas de Seguridad que se verán en los capítulos
siguientes, hay que tener en cuenta:
Inventario actualizado de los equipos de manejo de información (computadoras, lect
oras de
microfichas, impresoras, etc.), especificando su contenido (software que usa, pr
incipales
archivos que contiene), su ubicación y nivel de uso Institucional.
1. Pólizas de Seguros Comerciales. Como parte de la protección de los Activos
Institucionales, pero haciendo la salvedad en el contrato, que en casos de sinie
stros, la
restitución del Computador siniestrado se podrá hacer por otro de mayor potencia (po
r
actualización tecnológica), siempre y cuando esté dentro de los montos asegurados.
2. Señalización o etiquetado de los Computadores de acuerdo a la importancia de su
contenido, para ser priorizados en caso de evacuación. Por ejemplo etiquetar (colo
car un
sticker) de color rojo a los Servidores, color amarillo a las PCUS con Información
importante o
estratégica y color verde a las PCUS de contenidos normales.
3. Tener siempre actualizada una relación de PCUS requeridas como mínimo para cada
Sistema permanente de la Institución (que por sus funciones constituyen el eje cen
tral de los
Servicios Informáticos de la Institución), las funciones que realizaría y su posible u
so en dos
o tres turnos de trabajo, para cubrir las funciones básicas y prioritarias de cada
uno de estos
Sistemas.
c) Obtención y almacenamiento de los Respaldos de Información (BACKUPS).
Se deberá establecer los procedimientos para la obtención de copias de Seguridad de
todos
los elementos de software necesarios para asegurar la correcta ejecución de los Si
stemas o
aplicativos de la Institución. Para lo cual se debe contar con:
1) Backups del Sistema Operativo (en caso de tener varios Sistemas Operativos o
versiones, se contará con una copia de cada uno de ellos).
2) Backups del Software Base (Paquetes y/o Lenguajes de Programación con los cuale
s
han sido desarrollados o interactúan nuestros Aplicativos Institucionales).
3) Backups del Software Aplicativo (Considerando tanto los programas fuentes, co
mo los
programas objetos correspondientes, y cualquier otro software o procedimiento qu
e también
trabaje con la data, para producir los resultados con los cuales trabaja el usua
rio final). Se
debe considerar también las copias de los listados fuentes de los programas defini
tivos, para
casos de problemas.
4) Backups de los Datos (Bases de Datos, Índices, tablas de validación, passwords, y
todo
archivo necesario para la correcta ejecución del Software Aplicativo de nuestra In
stitución).
5) Backups del sitio Web (Aplicativo y Bases de Datos, Índices, ficheros de descar
ga,
contraseñas).
6) Backups del Hardware. Se puede implementar bajo dos modalidades:
Modalidad Externa. Mediante convenio con otra Institución que tenga equipos simila
res o
mayores y que brinden la seguridad de poder procesar nuestra Información, y ser pu
estos a
nuestra disposición, al ocurrir una contingencia y mientras se busca una solución de
finitiva al
Norma Plan de Contingencia
Versión 1.0 -10/01/2008
Página 6 de 10
Seguridad de la Información
Plan de Contingencia
siniestro producido. Este tipo de convenios debe tener tanto las consideraciones
de
equipamiento como de ambientes y facilidades de trabajo que cada institución se
compromete a brindar, y debe de ser actualizado cada vez que se efectúen cambios
importantes de sistemas que afecten a cualquiera de las instituciones.
Modalidad Interna. Si tenemos más de un local, en ambos debemos tener señalados los
equipos, que por sus características técnicas y capacidades, son susceptibles de ser
usados
como equipos de emergencia del otro local, debiéndose poner por escrito (igual que
en el
caso externo), todas las actividades a realizar y los compromisos asumidos.
En ambos casos se deberá probar y asegurar que los procesos de restauración de
Información posibiliten el funcionamiento adecuado de los Sistemas. En algunos cas
os puede
ser necesario volver a recompilar nuestro software aplicativo bajo plataformas d
iferentes a la
original, por lo que es imprescindible contar con los programas fuentes, al mism
o grado de
actualización que los programas objeto.
d) Políticas (Normas y Procedimientos de Backups)
Se debe establecer los procedimientos, normas, y determinación de responsabilidade
s en la
obtención de los Backups mencionados anteriormente en el punto «c», debiéndose incluir:
1. Periodicidad de cada Tipo de Backup.
2. Respaldo de Información de movimiento entre los períodos que no se sacan Backups
(backups incrementales).
3. Uso obligatorio de un formulario estándar para el registro y control de los Bac
kups
Correspondencia entre la relación de Sistemas e Informaciones necesarias para la b
uena
marcha de la empresa (mencionado en el punto «a»), y los backups efectuados.
1. Almacenamiento de los Backups en condiciones ambientales óptimas, dependiendo d
el
medio magnético empleado.
2. Reemplazo de los Backups, en forma periódica, antes que el medio magnético de sop
orte
se pueda deteriorar (reciclaje o refresco).
3. Almacenamiento de los Backups en locales diferentes donde reside la información
primaria
(evitando la pérdida si el desastre alcanzo todo el edificio o local estudiado).
4. Pruebas periódicas de los Backups (Restore), verificando su funcionalidad, a tr
avés de los
sistemas, comparando contra resultados anteriores confiables.
1.2.1.2 FORMACIÓN DE EQUIPOS OPERATIVOS
En cada unidad operativa de la Institución, que almacene información y sirva para la
operatividad Institucional, se deberá designar un responsable de la seguridad de l
a
Información de su unidad. Pudiendo ser el jefe de dicha Área Operativa.
Sus labores serán:
1. Ponerse en contacto con los propietarios de las aplicaciones y trabajar con e
llos.
2. Proporcionar soporte técnico para las copias de respaldo de las aplicaciones.
3. Planificar y establecer los requerimientos de los sistemas operativos en cuan
to a archivos,
bibliotecas, utilitarios, etc., para los principales sistemas y subsistemas.
4. Supervisar procedimientos de respaldo y restauración.
5. Supervisar la carga de archivos de datos de las aplicaciones, y la creación de
los respaldos
incrementales.
6. Coordinar redes, líneas, terminales, módems, otros aditamentos para comunicacione
s.
7. Establecer procedimientos de seguridad en los sitios de recuperación.
8. Organizar la prueba de hardware y software.
Norma Plan de Contingencia
Versión 1.0 -10/01/2008
Página 7 de 10
Seguridad de la Información
Plan de Contingencia
9. Ejecutar trabajos de recuperación.
10. Cargar y probar archivos del sistema operativo y otros sistemas almacenados
en el local
alternante.
11. Realizar procedimientos de control de inventario y seguridad del almacenamie
nto en el
local alternante.
12. Establecer y llevar a cabo procedimientos para restaurar el lugar de recuper
ación.
13. Participar en las pruebas y simulacros de desastres.
1.2.1.3 FORMACIÓN DE EQUIPOS DE EVALUACIÓN (AUDITORIA DE CUMPLIMIENTO DE
LOS PROCEDIMIENTOS SOBRE SEGURIDAD)
Esta función debe ser realizada de preferencia por personal de Auditoria, de no se
r posible, la
realizará el personal del área de Informática, debiendo establecerse claramente sus
funciones, responsabilidades y objetivos:
1. Revisar que las Normas y procedimientos con respecto a Backups y seguridad de
equipos y
data se cumpla.
2. Supervisar la realización periódica de los backups, por parte de los equipos oper
ativos,
comprobando físicamente su realización, adecuado registro y almacenamiento.
3. Revisar la correlación entre la relación de Sistemas e Informaciones necesarios p
ara la
buena marcha de la Institución (detallados en «a»), y los backups realizados.
4. Informar de los cumplimientos e incumplimientos de las Normas, para las accio
nes de
corrección respectivas.
1.2.2 ACTIVIDADES DURANTE EL DESASTRE
Una vez presentada la Contingencia o Siniestro, se deberá ejecutar las siguientes
actividades, planificadas previamente:
1.2.2.1 Plan de Emergencias.
1.2.2.2 Formación de Equipos.
1.2.2.3 Entrenamiento.
1.2.2.1 PLAN DE EMERGENCIAS
En este plan se establecen las acciones se deben realizar cuando se presente un
Siniestro,
así como la difusión de las mismas.
Es conveniente prever los posibles escenarios de ocurrencia del siniestro:
1. Durante el día.
2. Durante la noche o madrugada.
Este plan deberá incluir la participación y actividades a realizar por todas y cada
una de las
personas que se pueden encontrar presentes en el área donde ocurre el siniestro, d
ebiendo
detallar:
1. Vías de salida o escape.
2. Plan de Evacuación del Personal.
3. Plan de puesta a buen recaudo de los activos (incluyendo los activos de Infor
mación) de la
Institución (si las circunstancias del siniestro lo posibilitan)
4. Ubicación y señalización de los elementos contra el siniestro (extinguidores, cober
tores
contra agua, etc.)
Norma Plan de Contingencia
Versión 1.0 -10/01/2008
Página 8 de 10
Seguridad de la Información
Plan de Contingencia
5. Secuencia de llamadas en caso de siniestro, tener a la mano: elementos de ilu
minación
(linternas), lista de teléfonos de Bomberos / Ambulancia, Jefatura de Seguridad y
de su
personal (equipos de seguridad) nombrados para estos casos.
1.2.2.2 FORMACIÓN DE EQUIPOS
Establecer claramente cada equipo (nombres, puestos, ubicación, etc.) con funcione
s
claramente definidas a ejecutar durante el siniestro.
Si bien la premisa básica es la protección de la Integridad del personal, en caso de
que el
siniestro lo permita (por estar en un inicio o estar en una área cercana, etc.), d
eberá de
existir dos equipos de personas que actúen directamente durante el siniestro, un e
quipo para
combatir el siniestro y otro para el salvamento de los recursos Informáticos, de a
cuerdo a los
lineamientos o clasificación de prioridades, para salvar los equipos señalados en el
acápite
1.2.1.1.
1.2.2.3 ENTRENAMIENTO
Establecer un programa de prácticas periódicas de todo el personal en la lucha contr
a los
diferentes tipos de siniestros, de acuerdo a los roles que se le hayan asignado
en los planes
de evacuación del personal o equipos, para minimizar costos se puede aprovechar fe
chas de
recarga de extinguidores, charlas de los proveedores, etc.
Un aspecto importante es que el personal tome conciencia de que los siniestros (
incendios,
inundaciones, terremotos, apagones, etc.) pueden realmente ocurrir, y tomen con
seriedad y
responsabilidad estos entrenamientos, para estos efectos es conveniente que part
icipen los
elementos directivos, dando el ejemplo de la importancia que la alta dirección oto
rga a la
Seguridad Institucional.
1.2.3 ACTIVIDAD DESPUÉS DEL DESASTRE
Después de ocurrido el Siniestro o Desastre es necesario realizar las actividades
que se
detallan, las cuales deben estar especificadas en el Plan de Acción elaborado en e
l punto
1.2.1.1
1.2.3.1 Evaluación de Daños.
1.2.3.2 Priorización de Actividades del Plan de Acción.
1.2.3.3 Ejecución de Actividades.
1.2.3.4 Evaluación de Resultados.
1.2.3.5 Retroalimentación del Plan de Acción.
1.2.3.1 EVALUACIÓN DE DAÑOS
Inmediatamente después que el siniestro ha concluido, se deberá evaluar la magnitud
del
daño que se ha producido, que sistemas se están afectando, que equipos han quedado n
o
operativos, cuales se pueden recuperar, y en cuanto tiempo, etc.
Adicionalmente se deberá lanzar un pre-aviso a la Institución con la cual tenemos el
convenio
de respaldo, para ir avanzando en las labores de preparación de entrega de los equ
ipos por
dicha Institución.
1.2.3.2 PRIORIZACIÓN DE ACTIVIDADES DEL PLAN DE ACCIÓN
Toda vez que el Plan de acción es general y contempla una pérdida total, la evaluación
de
daños reales y su comparación contra el Plan, nos dará la lista de las actividades que

Norma Plan de Contingencia

Versión 1.0 -10/01/2008
Página 9 de 10
Seguridad de la Información
Plan de Contingencia
debemos realizar, siempre priorizándola en vista a las actividades estratégicas y ur
gentes de
nuestra Institución.
Es importante evaluar la dedicación del personal a actividades que puedan no haber
se
afectado, para ver su asignación temporal a las actividades afectadas, en apoyo al
personal
de los sistemas afectados y soporte técnico.
1.3.2.3 EJECUCIÓN DE ACTIVIDADES
La ejecución de actividades implica la creación de equipos de trabajo para realizar
las
actividades previamente planificadas en el Plan de acción (1.2.1.1). Cada uno de e
stos
equipos deberá contar con un coordinador que deberá reportar diariamente el avance d
e los
trabajos de recuperación y, en caso de producirse algún problema, reportarlo de inme
diato a
la jefatura a cargo del Plan de Contingencias.
Los trabajos de recuperación tendrán dos etapas, la primera la restauración del servic
io
usando los recursos de la Institución o local de respaldo, y la segunda etapa es v
olver a
contar con los recursos en las cantidades y lugares propios del Sistema de Infor
mación,
debiendo ser esta última etapa lo suficientemente rápida y eficiente para no perjudi
car el
buen servicio de nuestro Sistema e imagen Institucional, como para no perjudicar
la
operatividad de la Institución o local de respaldo.
1.3.2.4 EVALUACIÓN DE RESULTADOS
Una vez concluidas las labores de Recuperación del (los) Sistema(s) que fueron afe
ctados por
el siniestro, debemos de evaluar objetivamente, todas las actividades realizadas
, que tan
bien se hicieron, que tiempo tomaron, que circunstancias modificaron (aceleraron
o
entorpecieron) las actividades del plan de acción, como se comportaron los equipos
de
trabajo, etc.
De la Evaluación de resultados y del siniestro en si, deberían de salir dos tipos de
recomendaciones, una la retroalimentación del plan de Contingencias y otra una lis
ta de
recomendaciones para minimizar los riesgos y pérdida que ocasionaron el siniestro.

1.3.2.5 RETROALIMENTACIÓN DEL PLAN DE ACCIÓN

Con la evaluación de resultados, debemos de optimizar el plan de acción original, me
jorando
las actividades que tuvieron algún tipo de dificultad y reforzando los elementos q
ue
funcionaron adecuadamente.
El otro elemento es evaluar cual hubiera sido el costo de no haber tenido nuestr
a Institución
el plan de contingencias llevado a cabo.
Norma Plan de Contingencia
Versión 1.0 -10/01/2008
Página 10 de 10