Qu es un Plan de Contingencia?

Un plan de contingencia es un conjunto de procedimientos alternativos a la operacin normal, que le permitir a la Empresa seguir operando, an cuando falle el sistema que soporta a alguna de sus funciones. Este plan tendr las instrucciones y procedimientos para que la funcin pase a ser soportada por un sistema alternativo o para que sea cumplida slo parcialmente . Hasta en algunos casos, dentro de este plan podra preverse dejar de cumplir la funcin afectada si ella puede postergarse o suspenderse por no ser crtica. Las causas pueden ser un problema informtico de su Organizacin, la falla en la entrega de informacin o insumo bsico por parte de terceros o la falta de provisin de servicios bsicos tales como energa elctrica y telecomunicaciones. La contingencia es en general atendida con alguna degradacin en el nivel de servicio prestado y por un perodo limitado. El hecho de que la Empresa tenga un plan de contingencia no implica que se trabaje inadecuadamente. Por el contrario indica que la Empresa es previsora y que est cubriendo las eventualidades tanto internas como externas. La preparacin de un plan de contingencia, constituye en todos los casos una inversin adecuada ya que gran parte o la totalidad del mismo, as como la experiencia adquirida en su elaboracin, sern aplicables a otros escenarios de contingencias. La orientacin principal de un plan de contingencia es la continuidad de operaciones de la Empresa, no slo de sus Sistemas de Informacin. La siguiente gua orientar cmo elaborar un plan de contingencia. El mismo consta de las etapas de Evaluacin, Planificacin, Pruebas, Ejecucin y Recuperacin. Las primeras tres dentro de la fase de prevencin y las ltimas dentro de la fase de reaccin ante la falla. Las etapas y actividades son las siguientes: Evaluacin Planificacin Pruebas Ejecucin Recuperacin

EVALUACION
1) Constitucin del grupo de desarrollo del plan : Este grupo debe estar formado por representantes de diversas reas de la Empresa: el Lder del plan de contingencia, los Responsables de las reas afectadas, un representante de la Auditora interna y de la Asesora Legal. Esta ltima deber intervenir para certificar que la adopcin de las alternativas no colisione con los plazos convenidos y la calidad Legalmente comprometida. La decisin de desarrollar el plan debe estar en el ms alto nivel de direccin, ya que constituye un tema de continuidad de operaciones. No debe estar integrado por gente de Informtica exclusivamente. La designacin de los miembros debiera ser avalada por la ms alta direccin dado que debern comprometerse recursos y aprobarse procesos especiales. 2) Identificacin de las funciones crticas: Identifique todas las funciones crticas y los sistemas y equipos automatizados de la Empresa. Es importante detectar los equipos que contengan circuitos ocultos o embebidos y que afecten a funciones crticas (ver formularios 1 y 2 del Anexo 1"). 3) Identificacin de las interfaces externas de los procesos crticos : Identifique las conexiones con Proveedores y Clientes que intervengan en sus procesos crticos (ver formulario 3 del Anexo 1". Recuerde que sus objetivos pueden estar afectados fuertemente por la informacin o insumos externos a su Organizacin y viceversa (ver lista Proveedores servicios bsicos del Anexo 2".

4) Definicin y documentacin de los posibles escenarios de fallas : esto es las posibles fallas que pueden presentarse para cada funcin crtica (ver formulario 4 del Anexo 1" :

a.

b.

c.

Internas: en este caso la falla est restringida a la empresa u Organizacin. Puede tratarse de problemas informticos (hardware, software de base, de telecomunicaciones, software de aplicacin propio o provisto por terceros) o equipos o sistemas automticos dependientes de fechas (sistemas de acceso, etc.). Tambin deben incluirse en esta categora los siniestros que podran producir incendios, utilizacin indebida de medios magnticos de resguardo o back up, o cualquier otro dao de origen fsico que pudiera provocar la prdida masiva de informacin. De interfaces: se trata de problemas en la informacin recibida o enviada hacia otras empresas u Organismos. Considere que lo que es crtico para Ud. puede ser trivial para el proveedor de la informacin. Infraestructura bsica: se trata de problema s asociados con la carencia de fuentes de energa, de comunicaciones, abastecimiento de insumos, transporte, etc.

5) Anlisis del impacto de la falla en cada funcin crtica : Realice un anlisis de impacto de cada falla, (ya sea interna, de interfaces o de infraestructura bsica) sobre cada una de las funciones crticas de la Organizacin, teniendo en cuenta las siguientes prioridades: a. b. c. d. e. f. Evitar prdidas de vida. Satisfacer las necesidades bsicas. Reanudar las operaciones lo antes posible. Proteger el medio ambiente. Lograr las conexiones con los principales clientes y proveedores. Mantener la confianza en su Organizacin.

Cuantifique, de ser posible, el impacto econmico de cada falla; le servir para la correcta seleccin de la solucin alternativa. 6) Definicin de los niveles mnimos de servicio: Defina los niveles de servicio mnimos aceptables que debern alcanzarse an en caso de falla, operando en modo contingencia. Es importante que dicho nivel sea aceptado por las reas afectadas y cuente con el aval de Auditora interna y la intervencin de la Asesora Legal. 7) Identificacin de las alternativas de solucin: Identifique las soluciones alternativas para cada una de las fallas eventuales o previsibles. Para ello puede considerar: a. b. c. d. Implementar procesos manuales. Contratar las tareas crticas con terceros. Diferir la tarea crtica por un tiempo determinado. Otro que permita continuar las operaciones.

8) Evaluacin de la relacin costo/beneficio de cada alternativa : De cada alternativa identificada en el punto anterior y sobre la base del impacto econmico de cada falla, determine la mejor solucin desde el punto de vista costo/beneficio para cada proceso crtico y su tiempo de elaboracin con un nivel de servicio que satisfaga el mnimo nivel. Elevar para su aprobacin y obtener el compromiso de la mxima autoridad. Poner en conocimiento los pros y contras de cada alternativa.

PLANIFICACION
9) Documentacin del plan de contingencia: Es necesario documentar el plan, cuyo contenido mnimo se describe a continuacin. Tener en cuenta que en algunos casos puede requerirse especificar estos contenidos para distintas funciones y tipos de fallas. a. Objetivo del plan: definir el plan que permitir continuar la operacin de tareas crticas, por ejemplo: continuar las actividades en forma normal, continuar las actividades con un

b. c. d. e. f.

g. h. i. j.

k. l.

deterioro aceptable de la calidad y productividad o diferir las actividades por razones econmicas o de seguridad. Modo de ejecucin: indica si la solucin alternativa es de tipo manual, semiautomtica o automtica (ver formulario 5 del Anexo 1". Tiempo mximo sin servicio: si es posible, cuantificar el tiempo que la Organizacin puede sobrevivir sin prestar ningn servicio. Tiempo mximo de duracin de la contingencia : debe estar claramente especificado el tiempo que la Organizacin admite trabajar segn el nivel mnimo de servicio. Costos estimados: se refiere a los costos asociados a la solucin alternativa. Recursos necesarios: para indicar qu tipo de recursos se necesitan para la solucin alternativa: personal, formularios, mquinas, proveedor externo, grupo electrgeno, etc (ver formulario 6 del Anexo 1". Criterio disparador: cul ser el evento que comenzar la operatoria alternativa y quin lo activar (ver formularios 7 y 8 del Anexo 1". Autoridades: quines sern las autoridades a cargo de los distintos aspectos del plan. Roles y responsabilidades: definir qu har cada persona afectada al plan y cul es su responsabilidad. Capacitacin del personal: segn la tarea que cada persona cumpla en el plan debe ser capacitada para esta nueva tarea. Si la solucin es de tipo manual, hay que recordar que ser necesario reentrenar. Retorno a la operacin normal: deber ser programada la entrada a la operacin normal y especialmente, la recuperacin de la informacin daada o corrompida. Comunicaciones: ser necesario informar del servicio que se prestar tanto al personal de la Empresa como al pblico usuario. Es importante consignar aqu que se deben contemplar las interfaces con otras Organizaciones que reciben informacin de la nuestra o que envan datos. Como ya se mencion anteriormente lo que es trivial para una Organizacin puede ser muy importante para la otra.

10) Validar el plan de contingencia: Es necesario validar el plan de contingencia con las reas involucradas y tambin dar intervencin a Auditora interna para asegurar que los procedimientos alternativos adoptados tienen la seguridad que corresponde (ver formulario 9 del Anexo 1). Asimismo, como en general la operacin en modalidad de contingencia tendr una degradacin en el tiempo de respuesta, ser necesario que personal de la Asesora Legal verifique si la Organizacin puede tener problemas Legales por su implementacin.

PRUEBAS
11) Definir y documentar las pruebas del plan: Es necesario definir las pruebas del plan y el personal y recursos necesarios para su realizacin. Una correcta documentacin ayudar a la hora de realizar las pruebas. 12) Obtener los recursos necesarios para las pruebas: Deben obtenerse los recursos para las pruebas, ya sean recursos fsicos o mano de obra para realizarlas. 13) Capacitar al personal que intervendr en las pruebas: Ser necesario en esta actividad capacitar a todos los participantes en las pruebas. Sern de utilidad los seminarios y talleres que se puedan implementar. 14) Ejecutar las pruebas y documentarlas: Realice las pruebas o simulacros. Mientras mayores sean los ensayos de su plan, aumentar la certidumbre de que las tareas fundamentales de su Organizacin sobrevivan a las contingencias. La capacitacin del equipo de contingencia y su participacin en pruebas son fundamentales para poner en evidencia posibles fallas del plan. Es necesario documentar las pruebas para su aprobacin por parte de las reas afectadas. 15) Ejecutar y documentar las pruebas de reiniciacin del proceso normal : La reiniciacin del proceso normal no slo debe ser ensayado, sino tambin documentado. Coordine las pruebas. Tenga en cuenta que el plan de contingencia no sustituye el/los proyectos de Actualizacin, sino que lo complementa y soporta. Es conveniente que un representante del plan de Actualizacin est presente

al momento de realizar las pruebas. Deben establecerse los procedimientos para recuperar los datos desactualizados o que puedan haber quedado daados. 16) Actualizar el plan de contingencia de acuerdo a los resultados obtenidos en las pruebas : Ser necesario realimentar el plan de acuerdo a los resultados obtenidos en las pruebas. Tenga en cuenta que el plan de contingencia general o de continuidad de operaciones de la empresa contiene los planes de contingencia especficos para cada falla definida. Los distintos planes deben integrarse en un todo, considerando las posibles relaciones mutuas. 17) Designar el equipo ejecutor del plan, incluyendo el grupo de recuperacin de informacin : El equipo ejecutor debera ser el de pruebas, ampliado. Definir autoridades y responsabilidades. 18) Capacitar al equipo ejecutor.

EJECUCION
19) Notificar a los involucrados la ocurrencia del evento disparador. 20) Ejecutar el plan de contingencia: Recuerde que el plan no busca resolver la causa de la falla, sino asegurar la continuidad de las tareas crticas de la Organizacin a pesar de la falla en los medios normales de operacin. Tenga presente que la contingencia es un trabajo de equipo, en una situacin de emergencia y por un tiempo corto. Asegrese de que haya una buena comunicacin con sus empleados, sus proveedores y sus clientes.

RECUPERACION
21) Recuperar los datos: Los datos de sus archivos o bases de datos pueden haber quedado desactualizados o corruptos. Deben corregirse usando los procedimientos ya definidos. 22) Iniciar el proceso normal en paralelo con el proceso alternativo: En general, la reiniciacin del proceso normal no implica la cancelacin del alternativo, salvo que deban utilizarse los mismos recursos. Si esto no es as, durante cierto tiempo, los procesos deberan ejecutarse en paralelo para asegurar que la reiniciacin de la operacin normal es correcta y, ante cualquier defecto, continuar con el de contingencia. 23) Notificar la reiniciacin de la operacin normal: Su Organizacin debe ser notificada de que la operacin normal ha sido reiniciada. 24) Finalizar las operaciones de contingencia: Una vez asegurados de que la operacin normal se est ejecutando normalmente con sus datos correctos, se finalizarn las tareas de contingencia. Elabore un informe final sobre los resultados del plan de contingencia y actualcelo de ser necesario.

ANEXO I
Sucursal: Area Sector:

Plan de contingencias. Evaluacin del circuito de informacin.

Este relevamiento tiene por objeto determinar el grado de preparacin de las diferentes reas frente a una probable contingencia originada por algn Problema, en cualquiera de los procesos considerados crticos por los mximos responsables de dichas reas.
1. Indique las funciones consideradas crticas dentro del rea por orden de prioridad.

Orden
1

Descripcin

10

2.

En orden coincidente con lo descripto en el punto anterior, complete los datos identificatorios que se solicitan en el siguiente cuadro.

Datos de ubicacin Nombre del responsable, o persona a cargo rea Sector Sucursal E-Mail Telfono

3. En orden coincidente con lo descripto en el punto 1, indique si existen relaciones internas o externas (tambin llamadas Interfaces) con otros sistemas.
Descripcin de la relacin

Nombre y tipo de rea

Nombre:

Medio de comunicacin
Correo electrnico Red interna Diskettes Papel

Emisora Receptora Nombre:

Emisora Receptora Nombre:

Correo electrnico Red interna Diskettes Papel

Emisora Receptora Nombre:

Correo electrnico Red interna Diskettes Papel

Emisora Receptora Nombre:

Correo electrnico Red interna Diskettes Papel

Emisora Receptora Nombre:

Correo electrnico Red interna Diskettes Papel

Emisora Receptora Nombre:

Correo electrnico Red interna Diskettes Papel

Emisora Receptora Nombre:

Correo electrnico Red interna Diskettes Papel

Emisora Receptora

Correo electrnico Red interna Diskettes Papel

4.

En orden coincidente con la descripcin del punto 1, indique por cada funcin crtica, cuales son los mdulos, procesos o pasos, que podran llegar a fallar en forma conjunta o separada. (Incluyendo las relaciones externas. ) Puede indicar ms de un mdulo para la misma funcin.

Modulo o Proceso
1

Descripcin del tipo de Falla

10

11

12

13

5. Basado en la descripcin del punto anterior, y suponiendo una falla total o parcial de los sistemas que los soportan, mencione o describa las alternativas posibles para la continuidad operativa del servicio. Tiempo Mximo estimado de la Emergencia Tipo de Servicio disponible durante la emergencia.
Normal Mnimo Ninguno Normal Mnimo Ninguno Normal Mnimo Ninguno Normal Mnimo Ninguno Normal Mnimo Ninguno Normal Mnimo Ninguno Normal Mnimo Ninguno Normal Mnimo Ninguno Normal Mnimo Ninguno Normal Mnimo Ninguno

Orden

Descripcin

Tipo de Ejecucin
Manual Semiautomtica Automtica Manual Semiautomtica Automtica Manual Semiautomtica Automtica Manual Semiautomtica Automtica Manual Semiautomtica Automtica Manual Semiautomtica Automtica Manual Semiautomtica Automtica Manual Semiautomtica Automtica Manual Semiautomtica Automtica Manual Semiautomtica Automtica

El Procedimiento ya fue Probado?

S No

S No

S No

S No

S No

S No

S No

S No

S No

S No

6.

De acuerdo con el orden de prioridades del punto anterior, mencione o describa para cada tipo de ejecucin sealado, si cuenta con:
El personal y los recursos necesarios para la ejecucin manual
S No S No S No S No S No S No S No S No S No S No S No S No S No S No

Orden

El personal y los recursos necesarios para la ejecucin semiautomtica

S No S No S No S No S No S No S No S No S No S No S No S No S No S No

El personal y los recursos necesarios para la ejecucin automtica

S No S No S No S No S No S No S No S No S No S No S No S No S No S No

El procedimiento de retorno al servicio normal

S No S No S No S No S No S No S No S No S No S No S No S No S No S No

7.

De acuerdo con el orden de prioridades del punto anterior, mencione o describa para los recursos sealados si:
Nombre del responsable del recurso (a Nivel de trabajo Automtico, Semiautomtico o Manual, mnimo: nivel de jefatura) Hacer una breve descripcin de la estrategia de comunicacin a los usuarios en los casos de aplicacin de la emergencia

Orden

Se encuentra claramente especificado cual ser el criterio disparador de la emergencia. (en caso afirmativo, hacer una brevsima descripcin)

Si est capacitado el personal para la emergencia*

S No S No S No S No S No S No S No S No S No S No

*Para el caso de no estar capacitado, describir en hoja aparte cmo y cundo se impartir la capacitacin.

8.

Para cada prioridad sealada, mencione si es posible como medida precautoria, adelantar tareas consideradas crticas, sean estas repetitivas o no, antes de la finalizacin del presente ao.
Cantidad de perodos posibles de adelanto
1 2 3 4 5 ms de 5 1 2 3 4 5 ms de 5 1 2 3 4 5 ms de 5 1 2 3 4 5 ms de 5 1 2 3 4 5 ms de 5 1 2 3 4 5 ms de 5 1 2 3 4 5 ms de 5

Orden

Descripcin de la tarea

9.

Manteniendo el mismo orden de prioridades, indique si existe la posibilidad de acciones Legales o Administrativas directas o indirectas contra la Empresa, como consecuencia de la suspensin o disminucin temporaria en la prestacin de cualquiera de las funciones crticas detalladas precedentemente. En caso afirmativo, indique si ya se han realizado las consultas a las reas respectivas
Orden
Descripcin de la Funcin Posibilidades de Acciones Legales
S No S No S No S No S No S No S No S No S No S No S No S No S No

Consultas realizadas

S No S No S No S No S No S No S No S No S No S No S No S No S No

ANEXO II
Confeccionar listado de Proveedores y Clientes (incluir medios de Contacto) considerados crticos para su revisin, discusin y/o sumatoria al plan de Contingencia.