EST SU EMPRESA PREPARADA ANTE INCIDENTES

IMPREVISTOS? - (1 PARTE)
PLANES DE CONTINGENCIA, POR HISPASECURITY
INTRODUCCIN:
Entendemos por plan de contingencia el conjunto de procedimientos alternativos a
la operativa normal de cada empresa, cuya finalidad es la de permitir el
funcionamiento de sta, an cuando alguna de sus funciones deje de hacerlo por
culpa de algn incidente tanto interno como ajeno a la organizacin.
Las causas pueden ser variadas y pasan por un problema informtico, un fallo en
la correcta circulacin de informacin o la falta de provisin de servicios bsicos
tales como energa elctrica, gas, agua y telecomunicaciones.
El hecho de preparar un plan de contingencia no implica un reconocimiento de la
ineficiencia en la gestin de la empresa, sino todo lo contrario, supone un
importante avance a la hora de superar todas aquellas situaciones descritas con
anterioridad y que pueden provocar importantes prdidas, no solo materiales sino
aquellas derivadas de la paralizacin del negocio durante un perodo ms o menos
largo.
El primer ejercicio importante a este respecto que tuvimos que hacer muchos
responsables de sistemas fue con la llegada del ao 2.000 y el famoso efecto
2.000, que nos tuvo a muchos en vilo incluso ya avanzado el mes de enero. Esta
fue la primera prueba de fuego que tuvimos que pasar y que nos ha servido para
terminar de concienciarnos sobre la importancia que tiene en estos das el correcto
funcionamiento de nuestros sistemas informticos.
ELABORACIN DE UN PLAN DE CONTINGENCIA:
La orientacin principal de un plan de contingencia es la continuidad de las
operaciones de la empresa, no slo de sus sistemas de informacin.
Su elaboracin la podemos dividir en cuatro etapas:
1. Evaluacin.
2. Planificacin.
3. Pruebas de viabilidad.
4. Ejecucin.
5. Recuperacin.
Las tres primeras hacen referencia al componente preventivo y las ltimas a la
ejecucin del plan una vez ocurrido el siniestro.
Cada etapa esta dividida a su vez en subetapas que se detallan y explican en
siguientes entregas.
HISPASECURITY
Seguridad Informtica
Http://hispasecurity.com

PRIMERA FASE EN LA ELABORACIN DE UN PLAN DE

CONTINGENCIA: LA EVALUACIN - 2 PARTE EST SU EMPRESA
PREPARADA ANTE INCIDENTES IMPREVISTOS?
Wifi Despega- PLANES DE CONTINGENCIA, POR HISPASECURITY
Abrchense los

Cinturones EVALUACIN:
Eleccin 1. Constitucin del grupo de desarrollo del plan.
Correcta de Este grupo debe estar liderado por un responsable del plan y formado por los
Puntos de lderes de las reas que se desean cubrir con dicho plan. Su elaboracin ha de
Acceso Quin desarrollarse con la continua supervisin por parte de la direccin ya que durante
se atreve? la elaboracin y/o ejecucin de ste, debern comprometerse recursos y
aprobarse procedimientos especiales que requieran un nivel de autorizacin
Filtrado de superior.
Direcciones
MAC
Seguridad 2. Identificacin de las funciones crticas.
WiFi? Esta subfase consiste en identificar aquellos elementos de nuestra empresa o
funciones que puedan ser crticos ante cualquier eventualidad o desastre y
WPA Un mal jerarquizarlos por orden de importancia dentro de la organizacin.
necesario?

3. Definicin y documentacin de los posibles escenarios con los que

Cuidado con podemos encontrarnos para cada elemento o funcin crtica.
los aviones! Puede tratarse de problemas en el hardware, software de base, de
telecomunicaciones, software de aplicacin propio o provisto por terceros, etc.
Tambin deben incluirse en esta categora los siniestros provocados por incendios,
una utilizacin indebida de medios magnticos de resguardo o back up o cualquier
otro dao de origen fsico que pudiera provocar la prdida masiva de informacin.
Tambin incluimos en este apartado todos aquellos problemas asociados con la
carencia de fuentes de energa y de telecomunicaciones.
4. Anlisis del impacto del desastre en cada funcin crtica.
Consiste en realizar un anlisis del impacto de cada problema sobre cada una de
las funciones crticas de la organizacin, teniendo en cuenta las siguientes
prioridades:
Evitar prdidas de vida.
Satisfacer las necesidades bsicas.
Reanudar las operaciones lo antes posible.
Proteger el medio ambiente.
Lograr las conexiones con los principales clientes y proveedores.
Mantener la confianza en la empresa.
Una correcta cuantificacin del impacto econmico de cada problema ayudar a
una correcta seleccin de la solucin alternativa.
5. Definicin de los niveles mnimos de servicio.
Se trata de definir los mnimos niveles de servicio aceptables para cada problema
que se pueda plantear. Es importante que dicho nivel se consense con cada uno
de los responsables de las reas que puedan verse afectadas.
6. Identificacin de las alternativas de solucin.
En esta subfase debern identificarse las soluciones alternativas para cada uno de
los problemas previsibles. Para ello se puede considerar:
Implementar procesos manuales.
Contratar las tareas crticas con terceros.
Diferir la tarea crtica por un tiempo determinado.
Otra medida que permita continuar las operaciones.
7. Evaluacin de la relacin coste/beneficio de cada alternativa.
De cada alternativa identificada en el punto anterior y sobre la base del impacto
econmico de cada problema, deber determinarse la mejor solucin desde el
punto de vista coste/beneficio para cada proceso crtico y su tiempo de elaboracin

con un nivel de servicio que satisfaga el nivel mnimo.

HISPASECURITY
Seguridad Informtica
Http://hispasecurity.com

SEGUNDA FASE EN LA ELABORACIN DE UN PLAN DE

CONTINGENCIA: LA PLANIFICACIN - 3 PARTE EST SU EMPRESA
PREPARADA ANTE INCIDENTES IMPREVISTOS?
Enero PLANES DE CONTINGENCIA, POR HISPASECURITY

2001

PLANIFICACIN:
1. Documentacin del plan de contingencia.
Es necesario documentar el plan, cuyo contenido mnimo ser:
Objetivo del plan.
Modo de ejecucin.
Tiempo de duracin.
Costes estimados.
Recursos necesarios.
Evento a partir del cual se pondr en marcha el plan.
Personas encargadas de llevar a cabo el plan y sus respectivas responsabilidades.
2. Validacin del plan de contingencia.
Es necesario que el plan sea validado por los responsables de las reas
involucradas. De igual manera hay que tener en cuenta las posibles consecuencias
jurdicas que pudiesen derivarse de las actuaciones contempladas en l.
HISPASECURITY
Seguridad Informtica
Http://hispasecurity.com

TERCERA FASE EN LA ELABORACIN DE UN PLAN DE

CONTINGENCIA: LA PRUEBAS DE VIABILIDAD - 4 PARTE EST SU
EMPRESA PREPARADA ANTE INCIDENTES IMPREVISTOS?
Enero PLANES DE CONTINGENCIA, POR HISPASECURITY

2001

PRUEBAS DE VIABILIDAD:
1. Definir y documentar las pruebas del plan
Es necesario definir las pruebas del plan y el personal y recursos necesarios para
su realizacin. Una correcta documentacin ayudar a la hora de realizar las
pruebas.
2. Obtener los recursos necesarios para las pruebas
Deben obtenerse los recursos para las pruebas, ya sean recursos fsicos o mano
de obra para realizarlas.
3. Ejecutar las pruebas y documentarlas
Consiste en realizar las pruebas pertinentes para intentar valorar el impacto real de
un posible problema dentro de los escenarios establecidos como posibles.
La capacitacin del equipo de contingencia y su participacin en pruebas son
fundamentales para poner en evidencia posibles carencias del plan.
Es necesario documentar las pruebas para su aprobacin por parte de las reas

implicadas.
4. Actualizar el plan de contingencia de acuerdo a los resultados obtenidos
en las pruebas
Ser necesario realimentar el plan de acuerdo a los resultados obtenidos en las
pruebas.
Hay que tener en cuenta que el plan de contingencia general o de continuidad de
operaciones de la empresa contiene los planes de contingencia especficos para
cada problema definido. Los distintos planes deben integrarse en un todo,
considerando las posibles relaciones mutuas.
HISPASECURITY
Seguridad Informtica
Http://hispasecurity.com

LTIMA FASE EN LA ELABORACIN DE UN PLAN DE

CONTINGENCIA: EJECUCIN Y RECUPERACIN DE DATOS -

PARTE EST SU EMPRESA PREPARADA ANTE INCIDENTES IMPREVISTOS?

Febrero PLANES DE CONTINGENCIA, POR HISPASECURITY

2001

EJECUCIN:
En esta fase hay que tener muy presente que el plan no busca resolver la causa
del problema, sino asegurar la continuidad de las tareas crticas de la empresa.
RECUPERACIN:
Los datos afectados por el siniestro que pudiesen haber quedado desactualizados
o corruptos, deben corregirse usando los procedimientos ya definidos.
En general, la reiniciacin del proceso normal no implica la cancelacin del
alternativo, salvo que deban utilizarse los mismos recursos. Si esto no es as,
durante cierto tiempo, los procesos deberan ejecutarse en paralelo para asegurar
que la reiniciacin de la operacin normal es correcta y, ante cualquier defecto,
continuar con el de contingencia.
Una vez finalizado el plan, es conveniente elaborar un informe final con los
resultados de su ejecucin cuyas conclusiones pueden servir para mejorar ste
ante futuras nuevas eventualidades.
HISPASECURITY
Seguridad Informtica
Http://hispasecurity.com