PLAN DE CONTINGENCIAS Un Plan de contingencias es un instrumento de gestin para el buen gobierno de las Tecnologas de la Informacin y las Comunicaciones en el dominio

del soporte y el desempeo. Dicho plan contiene las medidas tcnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de una compaa. Un plan de contingencias es un caso particular de plan de continuidad del negocio aplicado al departamento de informtica o tecnologas. Otros departamentos pueden tener planes de continuidad que persiguen el mismo objetivo desde otro punto de vista. No obstante, dada la importancia de las tecnologas en las organizaciones modernas, el plan de contingencias es el ms relevante. Ciclo de vida El plan de contingencias sigue el conocido ciclo de vida iterativo PDCA (plan-do-check-act, es decir, planificar-hacer-comprobar-actuar). Nace de un anlisis de riesgo donde, entre otras amenazas, se identifican aquellas que afectan a la continuidad del negocio. Sobre dicha base se seleccionan las contramedidas ms adecuadas entre diferentes alternativas, siendo plasmadas en el plan de contingencias junto con los recursos necesarios para ponerlo en marcha. El plan debe ser revisado peridicamente. Generalmente, la revisin ser consecuencia de un nuevo anlisis de riesgo. En cualquier caso, el plan de contingencias siempre es cuestionado cuando se materializa una amenaza, actuando de la siguiente manera: Si la amenaza estaba prevista y las contramedidas fueron eficaces: se corrigen solamente aspectos menores del plan para mejorar la eficiencia. Si la amenaza estaba prevista pero las contramedidas fueron ineficaces: debe analizarse la causa del fallo y proponer nuevas contramedidas. Si la amenaza no estaba prevista: debe promoverse un nuevo anlisis de riesgos. Es posible que las contramedidas adoptadas fueran eficaces para una amenaza no prevista. No obstante, esto no es excusa para evitar el anlisis de lo ocurrido.

Contenido El plan de contingencias comprende tres subplanes. Cada plan determina las contramedidas necesarias en cada momento del tiempo respecto a la materializacin de cualquier amenaza: El plan de respaldo. Contempla las contramedidas preventivas antes de que se materialice una amenaza. Su finalidad es evitar dicha materializacin. El plan de emergencia. Contempla las contramedidas necesarias durante la materializacin de una amenaza, o inmediatamente despus. Su finalidad es paliar los efectos adversos de la amenaza. El plan de recuperacin. Contempla las medidas necesarias despus de materializada y controlada la amenaza. Su finalidad es restaurar el estado de las cosas tal y como se encontraban antes de la materializacin de la amenaza.

Por otra parte, el plan de contingencias no debe limitarse a estas medidas organizativas. Tambin debe expresar claramente: Qu recursos materiales son necesarios. Qu personas estn implicadas en el cumplimiento del plan. Cules son las responsabilidades concretas de esas personas y su rol dentro del plan. Qu protocolos de actuacin deben seguir y cmo son.

Ejemplo Este ejemplo no es ni mucho menos exhaustivo. Supongamos una pequea compaa que se dedica a la produccin de prendas textiles. Un anlisis de riesgos identificara (entre otras cosas) lo siguiente: Activos e interdependencias: Oficinas centrales Centro de proceso de datos Computadoras y almacenamiento Informacin de pedidos y facturacin Proceso de negocio de ventas Imagen corporativa Este anlisis demuestra que una amenaza materializada en las oficinas centrales podra llegar a afectar al proceso de negocio dedicado a la venta. Aunque esto no impida a la compaa seguir comercializando productos, supondra una interrupcin temporal de las ventas. Adems afectara negativamente a la imagen corporativa provocando la prdida de clientes. As, se evaluara la siguiente amenaza y su impacto: Amenaza: Incendio. (los activos afectados son los anteriores). Impacto: (es un ejemplo ficticio) Perdida de un 10% de clientes. Imposibilidad de facturar durante un mes. Imposibilidad de admitir pedidos durante un mes. Reconstruccin manual de pedidos y facturas a partir de otras fuentes. Sanciones por accidente laboral. Inversiones en equipamiento y mobiliario. Rehabilitacin del local.

Todas estas consecuencias pueden valorarse en trminos monetarios, que junto a la probabilidad de materializacin ofrecen una estimacin del riesgo. El plan de contingencias contendra someramente las siguientes contramedidas: Medidas tcnicas: o Extintores contra incendios. o Detectores de humo. o Salidas de emergencia. o Equipos informticos de respaldo. Medidas organizativas: o Seguro de incendios.

o Precontrato de alquiler de equipos informticos y ubicacin alternativa. o Procedimiento de copia de respaldo. o Procedimiento de actuacin en caso de incendio. o Contratacin de un servicio de auditora de riesgos laborales. Medidas humanas: o Formacin para actuar en caso de incendio. o Designacin de un responsable de sala. o Asignacin de roles y responsabilidades para la copia de respaldo.

Los subplanes contendran las siguientes previsiones: Plan de respaldo: o Revisin de extintores. o Simulacros de incendio. o Realizacin de copias de respaldo. o Custodia de las copias de respaldo (por ejemplo, en la caja fuerte de un banco). o Revisin de las copias de respaldo. Plan de emergencia: o Activacin del precontrato de alquiler de equipos informticos. o Restauracin de las copias de respaldo. o Reanudacin de la actividad. Plan de recuperacin: o Evaluacin de daos. o Traslado de datos desde la ubicacin de emergencia a la habitual. o Reanudacin de la actividad. o Desactivacin del precontrato de alquiler. o Reclamaciones a la compaa de seguros.