|


 
|  
 ¿ƕPor qué se necesita un Plan de Contingencia?

A medida que las empresas se han vuelto cada vez más dependientes de las
computadoras y las redes para manejar sus actividades, la disponibilidad de los sistemas
informáticos se ha vuelto crucial. Actualmente, la mayoría de las empresas necesitan un nivel
alto de disponibilidad y algunas requieren incluso un nivel continuo de disponibilidad, ya que les
resultaría extremadamente difícil funcionar sin los recursos informáticos.

Los procedimientos manuales, si es que existen, sólo serían prácticos por un corto
periodo. En caso de un desastre, la interrupción prolongada de los servicios de computación
puede llevar a pérdidas financieras significativas, sobre todo si está implicada la responsabilidad
de la gerencia de informática. Lo más grave es que se puede perder la credibilidad del público
o los clientes y, como consecuencia, la empresa puede terminar en un fracaso total.
 È¿Por qué se necesita un plan de contingencia para desastres si existe una
póliza de seguro para esta eventualidad?Ə

La respuesta es que si bien el seguro puede cubrir los costos materiales de los
activos de una organización en caso de una calamidad, no servirá para recuperar el negocio. No
ayudará a conservar a los clientes y, en la mayoría de los casos, no proporcionará fondos por
adelantado para mantener funcionando el negocio hasta que se haya recuperado.

En un estudio realizado por la Universidad de Minnesota, se ha demostrado que más

del 60% de las empresas que sufren un desastre y que no tienen un plan de recuperación ya en
funcionamiento, saldrán del negocio en dos o tres años. Mientras vaya en aumento la dependencia
de la disponibilidad de los recursos informáticos, este porcentaje seguramente crecerá.

Por lo tanto, la capacidad para recuperarse exitosamente de los efectos de un desastre

dentro de un periodo predeterminado debe ser un elemento crucial en un plan Estratégico de
Seguridad para una organización.
 Ômagínese una situación que interrumpa las operaciones de las computadoras
durante una semana o un mes; imagine la pérdida de todos los datos de la
empresa, todas las unidades de respaldo del sitio y la destrucción de equipos
vitales del sistema,
¿Cómo se manejaría semejante catástrofe?
Si Ud. se ve en esta situación y lo único que puede hacer es preguntarse
"¿Y ahora qué?"
¡ya es demasiado tarde!

La única manera efectiva de afrontar un desastre es tener una solución completa

y totalmente probada para recuperarse de los efectos del mismo.
Plan de Contingencia:
6oy por hoy, la información es uno de los principales activos que la empresa debe
cautelar mediante el desarrollo de un plan de contingencia, que permita el adecuado
funcionamiento del negocio frente a un cese prolongado del servicio informático.

El objetivo del plan no es evitar los riesgos, sino minimizar el impacto que las
incidencias podrían producir en la organización.

La alta dirección debe tomar conciencia que el desarrollo y la implantación de planes

de contingencia comprende toda la organización, pues se trata de una situación de negocios y no
puramente informática.

¿Qué es un desastre?
Se puede considerar como un desastre la
interrupción prolongada de los recursos
informáticos y de comunicación de una
organización, que no puede remediarse dentro de
un periodo predeterminado aceptable y que
necesita el uso de un sitio o equipo alterno para su
recuperación.
 Ejemplos obvios son los grandes incendios, las inundaciones, los terremotos, las
explosiones, los actos de sabotaje, etcétera.

Estadísticas recientes sobre los tipos más comunes de desastres que ocurren
muestran que el terrorismo, los incendios y los huracanes son las causas más comunes en
muchos países.
- Terrorismo : 17.5 %
-Ôncendios : 17.5 %
- 6uracanes y Tornados : 14.0 %
- Terremotos : 10.5 %
- Ônterrupción de Suministros de
Energía Eléctrica : 9.5 %
- Errores de Software : 8.8 %
- Ônundación : 7.0 %
- Errores de hardware : 5.3 %
- Ônterrupción Servicio Red : 3.5 %
- Rotura de Tuberías : 3.5 %
- Otros : 2.9 %

La alta gerencia tiene que decidir el periodo predeterminado que lleva una interrupción
de servicio de la situación de "problema" a la de "desastre". La mayoría de las organizaciones
logran esto llevando a cabo un análisis de impacto en el negocio para determinar el máximo
tiempo de interrupción permisible en funciones vitales de sus actividades.
 Plan de Contingencia:

La reanudación de las actividades ante una calamidad puede ser una de las situaciones
más difíciles con las que una organización deba enfrentarse. Tras un desastre, es probable que no
haya posibilidades de regresar al lugar de trabajo o que no se disponga de ninguna de los recursos
acostumbrados. Ôncluso, es posible que no se pueda contar con todo el personal. La preparación es
la clave del éxito para enfrentar los problemas.
No existe ninguna manera costeable para protegerse completamente contra todo tipo
de Riesgos, particularmente amenazas naturales a gran escala que pueden arrasar zonas
extensas. Como consecuencia, siempre se tiene que tolerar algún riesgo residual. La decisión
sobre el alcance del desastre para el que habrá de prepararse debe tomarse en los más altos
niveles de la empresa

Ə Un plan de contingencia es el proceso de determinar qué hacer si una

catástrofe se abate sobre la empresa y es necesario recuperar la red y
los sistemas.Ɛ

Desdichadamente, un plan de contingencia es como el ejercicio y la dieta: más fácil

pensar en ello que hacerlo. Con la cantidad de trabajo que la mayoría de los gerentes tienen, el
plan de contingencia tiende a dejarse para una ocasión posterior. Uno de los problemas asociados
al plan de contingencia es saber por dónde empezar.
 
 D UN PLAN D
CNNGNCAS

Es proveer una solución para mantener

operativas las funciones que son
fundamentales para la organización,
cuando son paralizadas afectando la base
computacional instalada
 •ACS A CNSDA

à Cuales son las amenazas potenciales a la

capacidad de procesamiento de datos de la
organización ?
à De que manera se pueden ver afectadas las
comunicaciones entre oficinas y entre
computadores ?
à Cuanto tiempo puede operar la organización sin
su capacidad de procesamiento de datos ?
à Cuanto tiempo puede operar la organización sin
el sistema en línea ?
à n que debe invertir la organización para afrontar
una contingencia ?.
à Cuales sistemas deben ser procesados durante el
tiempo que demore la contingencia ?.
 NCSDAD DL PLAN D
CNNGNCAS

Esta relacionada con el impacto potencial

que provocaría una interrupción parcial o
total de los servicios de información, sobre
el desarrollo de las actividades de la
organización.
 NA
AS PNCALS DL PLAN

à Determinar acciones preventivas, reduciendo

el grado de vulnerabilidad y exposición al
riesgo.
à Dimensionar el riesgo potencial.
à Tomar decisiones rápidas ante anormalidades
o fallas.
à Generar cultura de seguridad en la
organización.
à Asegurar la estabilidad de la organización.
 ANALSS DL SG

à 
S
Determinar las aplicaciones críticas
Ôdentificar los ambientes informáticos
Ôdentificar debilidades de control.
à 6AMNAS.
Entrevistas.
Formularios
Visitas de inspección.
 CCDAD D APLCACNS
à CCDAD ƏAƐ.
ƏAƐ.
odas aquellas aplicaciones que necesariamente deben ejecutarse.
sto significa que la interrupción no deberá ser mayor de 24 horas.
APLCACNS
ANC A
à Cuentas corrientes
à emesas.
à mpuestos.
à Contabilidad.
à Nómina.
MPSA X
à Nómina.
à nventarios.
à Contabilidad.
à Compras e importaciones.
à Cuentas por pagar.
 CCDAD D APLCACNS
CCDAD Ə Ɛ.
Son aplicaciones que admitirán una interrupción de mediana
magnitud y que son susceptibles de:
a. Permanecer interrumpidas durante un periodo.
. Ser reemplazadas parcialmente por procedimientos manuales.
APLCACNS.
ANC A.
à Credibanco.
à Cdt`s´.
à Cartera.
MPSA X.
à Movimiento bancos.
à Activos fijos.
à erceros.
à Producción y ventas.
à ecursos humanos.
 CCDAD D APLCACNS
CCDAD ƏCƐ.
Son aplicaciones que admiten una interrupción prolongada, no siendo
indispensable la recuperación de la información comprendida en el
tiempo generado por la interrupción.
APLCACNS.
ANC A.
à Certificaciones.
à S.. (sistema integrado de información).
à Activos fijos.
à Cupos de crédito.
à Cartera fondo de empleados.
à Control de pagares.
à Notas de contabilidad.
à Documentos.
MPSA X.
à Conciliación bancos.
à Salarios.
à Presupuestos.
à Clínica.
 SNSS

PS D SNSS.
Existen dos tipos de siniestros:
à Siniestros naturales.
à Siniestros ocasionados por el hombre.
stos siniestros se clasifican en:
à Siniestros catastróficos.
à Siniestros que afectan parcialmente los equipos, el
software, la información y las comunicaciones.
à Siniestros por retiro de personal o por alta
dependencia de ellos.
à Siniestros por imposibilidad de acceso.
à Siniestros por huelga en los servicios
públicos.
 SNSS

SNSS CAAS•CS

à Terremotos.
à Temblores.
à 6uracanes.
à Anegación.
à Ôncendio.
à Sabotaje.
à Terrorismo.
à Sustracción de hardware.
 SNSS QU A•CAN PACALMN LS
QUPS, L S•A, LA N•MACN Y LAS
CMUNCACNS.

à •alla en el suministro de energía.

à Sustracción de software.
à •allas de hardware.
à •allas equipos comunicaciones.
à •allas en comunicaciones.
à •allas en planta eléctrica.
à •allas UPS.
à •allas reguladores.
à •alla aire acondicionado.
à •alla tablero de control.
à •allas en el software operativo, aplicativo
y de comunicación.
SNSS P AUSNCA   D PSNAL,
P MPS LDAD D ACCS A •CNAS Y P
6ULGA N LS SCS PU LCS.

Siniestros por ausencia o retiros de personal:

à Conflicto laboral.
à Retiro de personal clave.
à Retiro masivo de personal.

Siniestros por imposibilidad de acceso a oficinas:

à Ômposibilidad de acceso.
à 6uelgas en los servicios públicos:
à Energía eléctrica.
à Comunicaciones.
 DSCPCN D CS

à NDPNDNCA GGA•CA.
La operación se llevaría a cabo en lugares distantes
geográficamente, lo cual reduciría la probabilidad de que
en caso de siniestro severo, la operación se afecte en los
dos lugares simultáneamente.
à AUNMA.
Cuando se es dueño de los recursos necesarios y tienen
total control sobre ellos; posee completa autonomía para
realizar sus procesos y operaciones, sin depender de
entidades externas.
 DSCPCN D CS

à DPNDNCA PD ƐSCƐ.

La alternativa esta sujeta a la permanencia en el
mercado de la firma proveedora/ơserviceơ del recurso
necesario.
à DPNDNCA CN NDAD XNA.
Se tienen alternativa de procesamiento dependiendo de
la disposición y de la disponibilidad de recurso que tenga
la entidad escogida como soporte.
à DPNDNCA CN LCM.
La alternativa depende totalmente del servicio que preste
telecom en un momento determinado.
 DSCPCN D CS

à DPNDNCA UAS D ANSP.

La alternativa depende de que haya transporte a las
diferentes ciudades los días y horas claves para la
entidad
à ANSP D DCUMNS.
El transporte de documentos incrementa el riesgo de
perdida de la información.
à ANSP MDS MAGNCS.
Al tenerse que transportar medios magnéticos y archivos,
aumenta el riesgo de perdida de información y por lo
tanto de la confidencialidad de la misma.
 DSCPCN D CS
à •ACLDAD D ASLAD DL CUS.
En esta alternativa el recurso necesario puede ser
trasladado fácilmente.
à •ACLDAD D PACN.
Con la alternativa, la operación se puede efectuar sin
cambios drásticos, permitiendo llevar a cabo las labores
diarias sin mucha dificultad.
à AUMN D CAGAS D A A
 N LA
•CNA ƏSPƐ.
Al presentarse una mayor afluencia de publico por el
traslado de la operación de una oficina a otra, las cargas
de trabajo del personal de la oficina de soporte
aumentan.
 DSCPCN D CS

à AUMNA L SG D S N

PACN.
Al presentarse congestión y sobrecargas de trabajo en la
oficina Ơsoporteơaumenta el riesgo de que los
funcionarios de esta cometan errores.
à CAPACDAD D PCSS.
Se tiene la capacidad de recurso suficiente para la
operación y/o proceso.
à CNCMN •UNCNAS.
Los funcionarios tienen el suficiente conocimiento de la
operación y/o proceso, sin requerirse una capacitación
durante la contingencia.
 DSCPCN D CS
à SC AL CLN.
Al utilizarse la alternativa, el servicio al cliente va a verse
deteriorado en alguna medida.
à DMAS NGA N•MACN.
La alternativa obliga a que la entidad, que va a utilizar el
equipo de soporte, tenga que esperar a que la entidad
que le va a conceder el equipo, termine sus procesos,
ocasionándole esta situación perdida de tiempo y
demoras en la entrega de la información.
à AUMNA L SG D S N
ANSCPCN.
Al utilizarse la alternativa, el riesgo de aumento de
errores en la transcripción de datos es muy grande.
 DSCPCN D CS
à MPS ALS D ANSCPCN,
Al utilizarse la alternativa, hay alto riesgo de que los
tiempos de transmisión aumenten.
à SG D DCUMNACN CN
AAMN NCC.
Cuando se incrementan las cargas de trabajo en forma
imprevista se aumenta el riesgo de clasificación
incorrecta de documentos.
à CN•DNCALDAD N•MACN.
Al procesar la información en un lugar diferente, existe el
riesgo de que la confidencialidad de la información se
pierda por manipulación de terceros.
 DSCPCN D CS
à AL CS.
Los costos que pueda generar esta alternativa, son altos
comparados con los costos que puedan generar las otras
alternativas planteadas (en el caso de las alternativas
para procesamiento en ciudades diferentes a la sede
habitual, se presentan algunos costos asociados).
à ALNAA A MDAN LAG PLAZ.
Dadas las tareas y actividades que habría que realizar
previamente como es la adecuación del recurso de
soporte, este alternativa no se podría poner en practica
en forma inmediata.
à SU ULZACN DL CUS.
En caso de no presentarse un siniestro, se corre el riesgo
de no darle utilización adecuada al recurso.
 DSCPCN D CS

à DSPN LDAD DL CUS.

La alternativa esta completamente disponible, ya que el
recurso de soporte se encuentra siempre al alcance de la
entidad.
à •CACN DL PLAN.
La alternativa da la posibilidad de llevar a cabo
periódicamente procedimientos operativos del plan, que
permiten determinar la confiabilidad del mismo.
à ULZACN QUPS AS AAS.
La alternativa obliga la utilización de los equipos de otras
áreas de la entidad, interrumpido en su trabajo y
actividades diarias.
 DSCPCN D CS
à MPS ALS D PCS.
Al utilizarse un equipo de menor capacidad, los tiempos
de proceso aumentan.
à PCSS N AS LUGAS.
La alternativa obliga a procesar en distintos lugares
debido a la falta de capacidad de los equipos de soporte.
à A
 CS.
Los costos que pueda generar la alternativa son
relativamente bajos comparados con los costos que
puedan generar las otras alternativas de soporte
planteadas dentro del mismo ambiente operativo.
 DSCPCN D CS
à N 6AY GAANAS D DSPN LDAD
PMANN D QUPS.
El proveedor no garantiza la disponibilidad permanente
de recursos ya que en un momento dado puede disponer
de ellos.
à QUPS DUNDANS.
El recurso de soporte posee una capacidad de
operación/procesamiento similar al de la entidad, lo cual
le permitiría en caso de siniestro severo, seguir
prestando
los servicios sin mayor traumatismo.
à ACCS A S CNS D CMPU.
Al tenerse un convenio con otras entidades, le permite
tener acceso a otros centros de computo y a equipos de
MDLGÍA PAA L PLAN D CNNGNCA

El diseñar e implementar un plan de contingencia para recuperación de desastres

no es una tarea fácil; puede implicar esfuerzos y gastos considerables, sobre todo si se está
partiendo de cero. Una solución comprende las siguientes actividades:

1. Debe ser diseñada y elaborada de acuerdo con las necesidades de la empresa.

2. Puede requerir la construcción o adaptación de un sitio para los equipos
computacionales.
3. Requerirá del desarrollo y prueba de muchos procedimientos nuevos, y
éstos deben ser compatibles con las operaciones existentes. Se hará participar a personal
de muchos departamentos diferentes, el cual debe trabajar en conjunto cuando se
desarrolle e implemente la solución.
4. Ômplicará un compromiso entre costo, velocidad
de recuperación, medida de la recuperación y alcance
de los desastres cubiertos. .
Principales actividades requeridas para la planificación e implementación de una
capacidad de recuperación de desastres.

1. Ôdentificación de riesgos
2. Evaluación de riesgos
3. Asignación de prioridades a las aplicaciones
4. Establecimiento de los requerimientos de recuperación
5. Elaboración de la documentación
6. Verificación e implementación del plan
7. Distribución y mantenimiento del plan
w. dentificación de iesgos

La primera fase del plan de contingencia, el análisis de riesgos, nos sitúa en el

lugar de un asesor de una compañía de seguros. En esta fase, la preocupación está
relacionada con tres simples preguntas:

- ¿qué está bajo riesgo?,

- ¿qué puede ir mal? Y

- ¿cuál es la probabilidad de que suceda?

2. valuación de iesgos:

Es el proceso de determinar el costo para la organización de sufrir un desastre que

afecte su actividad. Si una inundación impidiera la actividad comercial durante cinco días, la
compañía perdería cinco días de ventas, además del deterioro físico de los edificios e inventario.
En el caso de los sistemas informáticos, la preocupación principal es comprender la cantidad de
pérdida financiera que puede provocar la interrupción de los servicios, incluyendo los que se
basan en las redes.
Los costos de un desastre pueden clasificarse en las siguientes categorías:
- Costos reales de reemplazar el sistema informático
- Costos por falta de producción.
- Costos por negocio perdido
- Costos de reputación.
 . Asignación de prioridades a las aplicaciones

Después de que acontezca un desastre y se inicie la recuperación de los sistemas,

debe conocerse qué aplicaciones recuperar en primer lugar. No hay que perder el tiempo
restaurando los datos y sistemas equivocados cuando la actividad empresarial necesita
primero sus aplicaciones esenciales.

Esto implica la necesidad de determinar por anticipado cuáles son las aplicaciones
fundamentales del negocio. Si la empresa es como la mayoría, se tendrán aplicaciones "muy
importantes" dependiendo de a quién se le pregunte. El departamento de recursos humanos
afirmará que el sistema de nóminas es el más importante, el departamento de ventas dirá
que es su sistema de entrada de pedidos, el departamento de producción insistirá en su
control de inventario y el departamento de compras asignará el papel de más importante a
su sistema de facturación. Desgraciadamente, no todos estos sistemas pueden ser el más
importante; por lo tanto, es fundamental que la dirección ayude a determinar el orden en
que los sistemas serán recuperados.
 Una vez conocido lo que se va a restaurar, debería disponerse de todo lo
necesario para la disponibilidad de tales aplicaciones. Un sistema de aplicación en una red
está compuesto por los sistemas servidores, donde las aplicaciones almacenan sus datos, los
sistemas de estaciones de trabajo que los procesan, las impresoras o fax empleados para
entrada/salida, la red que interconecta todo, y el software de las aplicaciones. Las
aplicaciones cliente/servidor o distribuidas añaden un nivel extra de complejidad al requerir
que distintas partes de la aplicación residan en máquinas separadas.
4. stablecimiento de los requerimientos de recuperación

La clave de esta fase del proceso de elaboración del plan de migración es definir un
periodo de tiempo aceptable y viable para lograr que la red esté de nuevo activa. Tal y como
se ha planteado en la sección anterior, la preocupación básica debería ser disponer de las
aplicaciones más importantes en primer lugar. El personal directivo de la organización deseará
saber cuándo estarán sus aplicaciones funcionado para planificar la actividades de la compañía.
Õ. laboración de la documentación:
Crear un documento que mucha gente pueda tener como referencia es quizás lo
más difícil del plan de contingencia. No hay que engañarse: implicará un esfuerzo significativo
para algunas personas, pero ayudará a aprender cosas sobre el sistema y puede que algún día
salve la empresa.

Los recursos necesarios para escribir y mantener un plan de contingencia

representan más de lo que puede realizarse en ratos libres y después de horas de oficina

Contenido del Plan de Contingencia :

El plan de contingencia debe intentar definir las cinco áreas siguientes:

1. Listas de notificación, números de teléfono, mapas y direcciones

2. Prioridades, responsabilidades, relaciones y procedimientos
3. Ônformación sobre adquisiciones y compras
4. Diagramas de las instalaciones
5. Sistemas, configuraciones y copias de seguridad
]. erificación e implementación del plan:

Una vez redactado el plan, hay que probarlo. 6ay que estar seguro de que el plan va a
funcionar. Para ello, se debe ser escéptico sobre el propio trabajo, de manera que pueda uno
probarse a sí mismo que funciona. Psicológicamente, esto no es fácil porque con toda probabilidad
se ha invertido una gran cantidad de tiempo y energía personal en este proceso, aunque lo mejor
sería, si es posible, situarse de manera imparcial ante la confiabilidad del plan. Por consiguiente,
han de realizarse las pruebas para encontrar problemas, no para verificar que el plan funciona. Si
existen errores en la información, tómese nota de ellos y corríjase el plan
Revísese cada día la parte del plan relacionada con las operaciones de copias de
seguridad verificando la finalización correcta de las mismas. Además, supervise esto
asegurándose de que algunas personas de la organización saben realizar copias de seguridad
adecuadamente, y comprobar su finalización.
§. Distribución y mantenimiento del plan

Por último, cuando se disponga de un plan definitivo ya verificado, es necesario

distribuirlo a las personas que necesitan tenerlo. Ônténtese controlar las versiones del plan, de
manera que no exista confusión con múltiples versiones. Manténgase una lista de todas las
personas y ubicaciones que tienen una copia del plan. Cuando se actualice el plan, sustituya
todas las copias y recoja las versiones previas.
El mantenimiento del plan es un proceso sencillo. Se comienza con una revisión del
plan existente y se examina en su totalidad, realizando cambios a cualquier información que
pueda haber variado. En ese instante, se debe volver a evaluar los sistemas de aplicación y
determinar cuáles son los más importantes para la organización. Las modificaciones a esta
parte del plan causarán modificaciones consecutivas a los procedimientos de recuperación
 Preguntas .. ?

|