Un Plan de Contingencia es un conjunto de procedimientos alternativos a la operativa normal de cada empresa, cuya finalidad es la de permitir el funcionamiento de esta, aun cuando alguna de sus funciones deje de hacerlo por culpa de algun incidente tanto interno como ajeno a la empresa.
Las causas pueden ser variadas y pasan por un problema informático, un fallo en la correcta circulación de información o la falta de provisión de servicios básicos tales como energía eléctrica, gas, agua y telecomunicaciones.
El hecho de preparar un plan de contingencia no implica un reconocimiento de la ineficiencia en la gestión de la empresa, sino todo lo contrario, supone un importante avance a la hora de superar todas aquellas situaciones descritas con anterioridad y que pueden provocar importantes pérdidas, no solo materiales sino aquellas derivadas de la paralización del negocio durante un período más o menos largo.
Como Elaborar un Plan de Contingencia (ETAPAS):
La orientación principal de un plan de contingencia es la continuidad de las operaciones de la empresa, no sólo de sus sistemas de información.
Su elaboración la podemos dividir en cuatro etapas:
Evaluación.
Planificación.
Pruebas de viabilidad.
Ejecución.
Recuperación
Las tres primeras hacen referencia al componente preventivo y las últimas a la ejecución del plan una vez ocurrido el siniestro.
Estas etapas se explican a continuación:
EVALUACIÓN:
1. Constitución del grupo de desarrollo del plan.
Este grupo debe estar liderado por un responsable del plan y formado por los líderes de las áreas que se desean cubrir con dicho plan. Su elaboración ha de desarrollarse con la continua supervisión por parte de la dirección ya que durante la elaboración y/o ejecución de éste, deberán comprometerse recursos y aprobarse procedimientos especiales que requieran un nivel de autorización superior.
2. Identificación de las funciones críticas.
Esta subfase consiste en identificar aquellos elementos de nuestra empresa o funciones que puedan ser críticos ante cualquier eventualidad o desastre y jerarquizarlos por orden de importancia dentro de la organización.
3. Definición y documentación de los posibles escenarios con los que podemos encontrarnos para cada elemento o función crítica.
Puede tratarse de problemas en el hardware, software de base, de telecomunicaciones, software de aplicación propio o provisto por terceros, etc. También deben incluirse en esta categoría los siniestros provocados por incendios, una utilización indebida de medios magnéticos de resguardo o back up o cualquier otro daño de origen físico que pudiera provocar la pérdida masiva de información. También incluimos en este apartado todos aquellos problemas asociados con la carencia de fuentes de energía y de telecomunicaciones.
4. Análisis del impacto del desastre en cada función crítica.
Consiste en realizar un análisis del impacto de cada problema sobre cada una de las funciones críticas de la organización, teniendo en cuenta las siguientes prioridades:
-Evitar pérdidas de vida.
-Satisfacer las necesidades básicas.
-Reanudar las operaciones lo antes posible.
-Proteger el medio ambiente.
-Lograr las conexiones con los principales clientes y proveedores.
-Mantener la confianza en la empresa.
Una correcta cuantificación del impacto económico de cada problema ayudará a una correcta selección de la solución alternativa.
5. Definición de los niveles mínimos de servicio.
Se trata de definir los mínimos niveles de servicio aceptables para cada problema que se pueda plantear. Es importante que dicho nivel se consensúe con cada uno de los responsables de las áreas que puedan verse afectadas.
6. Identificación de las alternativas de solución.
En esta subfase deberán identificarse las soluciones alternativas para cada uno de los problemas previsibles. Para ello se puede considerar:
-Implementar procesos manuales.
-Contratar las tareas críticas con terceros.
-Diferir la tarea crítica por un tiempo determinado.
-Otra medida que permita continuar las operaciones.
7. Evaluación de la relación coste/beneficio de cada alternativa.
De cada alternativa identificada en el punto anterior y sobre la base del impacto económico de cada problema, deberá determinarse la mejor solución desde el punto de vista coste/beneficio para cada proceso crítico y su tiempo de elaboración con un nivel de servicio que satisfaga el nivel mínimo.
PLANIFICACIÓN:
1. Documentación del plan de contingencia.
Es necesario documentar el plan, cuyo contenido mínimo será:
-Objetivo del plan.
-Modo de ejecución.
-Tiempo de duración.
-Costes estimados.
-Recursos necesarios.
-Evento a partir del cual se pondrá en marcha el plan.
-Personas encargadas de llevar a cabo el plan y sus respectivas responsabilidades.
2. Validación del plan de contingencia.
Es necesario que el plan sea validado por los responsables de las áreas involucradas. De igual manera hay que tener en cuenta las posibles consecuencias jurídicas que pudiesen derivarse de las actuaciones contempladas en él.
PRUEBAS DE VIABILIDAD:
1. Definir y documentar las pruebas del plan
Es necesario definir las pruebas del plan y el personal y recursos necesarios para su realización. Una correcta documentación ayudará a la hora de realizar las pruebas.
2. Obtener los recursos necesarios para las pruebas
Deben obtenerse los recursos para las pruebas, ya sean recursos físicos o mano de obra para realizarlas.
3. Ejecutar las pruebas y documentarlas
Consiste en realizar las pruebas pertinentes para intentar valorar el impacto real de un posible problema dentro de los escenarios establecidos como posibles.
La capacitación del equipo de contingencia y su participación en pruebas son fundamentales para poner en evidencia posibles carencias del plan.
Es necesario documentar las pruebas para su aprobación por parte de las áreas implicadas.
4. Actualizar el plan de contingencia de acuerdo a los resultados obtenidos en las pruebas
Será necesario realimentar el plan de acuerdo a los resultados obtenidos en las pruebas.
Hay que tener en cuenta que el plan de contingencia general o de continuidad de operaciones de la empresa contiene los planes de contingencia específicos para cada problema definido. Los distintos planes deben integrarse en un todo, considerando las posibles relaciones mutuas.
EJECUCIÓN:
En esta fase hay que tener muy presente que el plan no busca resolver la causa del problema, sino asegurar la continuidad de las tareas críticas de la empresa.
RECUPERACIÓN:
Los datos afectados por el siniestro que pudiesen haber quedado desactualizados o corruptos, deben corregirse usando los procedimientos ya definidos.
En general, la reiniciación del proceso normal no implica la cancelación del alternativo, salvo que deban utilizarse los mismos recursos. Si esto no es así, durante cierto tiempo, los procesos deberían ejecutarse en paralelo para asegurar que la reiniciación de la operación normal es correcta y, ante cualquier defecto, continuar con el de contingencia.
Una vez finalizado el plan, es conveniente elaborar un informe final con los resultados de su ejecución cuyas conclusiones pueden servir para mejorar éste ante futuras nuevas eventualidades.
El hecho de preparar un plan de contingencia no implica un reconocimiento de la ineficiencia en la gestión de la empresa, sino todo lo contrario, supone un importante avance a la hora de superar todas aquellas situaciones descritas con anterioridad y que pueden provocar importantes pérdidas, no solo materiales sino aquellas derivadas de la paralización del negocio durante un período más o menos largo.
Como Elaborar un Plan de Contingencia (ETAPAS):
La orientación principal de un plan de contingencia es la continuidad de las operaciones de la empresa, no sólo de sus sistemas de información.
Su elaboración la podemos dividir en cuatro etapas:
Evaluación.
Planificación.
Pruebas de viabilidad.
Ejecución.
Recuperación
Las tres primeras hacen referencia al componente preventivo y las últimas a la ejecución del plan una vez ocurrido el siniestro.
Estas etapas se explican a continuación:
EVALUACIÓN:
1. Constitución del grupo de desarrollo del plan.
Este grupo debe estar liderado por un responsable del plan y formado por los líderes de las áreas que se desean cubrir con dicho plan. Su elaboración ha de desarrollarse con la continua supervisión por parte de la dirección ya que durante la elaboración y/o ejecución de éste, deberán comprometerse recursos y aprobarse procedimientos especiales que requieran un nivel de autorización superior.
2. Identificación de las funciones críticas.
Esta subfase consiste en identificar aquellos elementos de nuestra empresa o funciones que puedan ser críticos ante cualquier eventualidad o desastre y jerarquizarlos por orden de importancia dentro de la organización.
3. Definición y documentación de los posibles escenarios con los que podemos encontrarnos para cada elemento o función crítica.
Puede tratarse de problemas en el hardware, software de base, de telecomunicaciones, software de aplicación propio o provisto por terceros, etc. También deben incluirse en esta categoría los siniestros provocados por incendios, una utilización indebida de medios magnéticos de resguardo o back up o cualquier otro daño de origen físico que pudiera provocar la pérdida masiva de información. También incluimos en este apartado todos aquellos problemas asociados con la carencia de fuentes de energía y de telecomunicaciones.
4. Análisis del impacto del desastre en cada función crítica.
Consiste en realizar un análisis del impacto de cada problema sobre cada una de las funciones críticas de la organización, teniendo en cuenta las siguientes prioridades:
-Evitar pérdidas de vida.
-Satisfacer las necesidades básicas.
-Reanudar las operaciones lo antes posible.
-Proteger el medio ambiente.
-Lograr las conexiones con los principales clientes y proveedores.
-Mantener la confianza en la empresa.
Una correcta cuantificación del impacto económico de cada problema ayudará a una correcta selección de la solución alternativa.
5. Definición de los niveles mínimos de servicio.
Se trata de definir los mínimos niveles de servicio aceptables para cada problema que se pueda plantear. Es importante que dicho nivel se consensúe con cada uno de los responsables de las áreas que puedan verse afectadas.
6. Identificación de las alternativas de solución.
En esta subfase deberán identificarse las soluciones alternativas para cada uno de los problemas previsibles. Para ello se puede considerar:
-Implementar procesos manuales.
-Contratar las tareas críticas con terceros.
-Diferir la tarea crítica por un tiempo determinado.
-Otra medida que permita continuar las operaciones.
7. Evaluación de la relación coste/beneficio de cada alternativa.
De cada alternativa identificada en el punto anterior y sobre la base del impacto económico de cada problema, deberá determinarse la mejor solución desde el punto de vista coste/beneficio para cada proceso crítico y su tiempo de elaboración con un nivel de servicio que satisfaga el nivel mínimo.
PLANIFICACIÓN:
1. Documentación del plan de contingencia.
Es necesario documentar el plan, cuyo contenido mínimo será:
-Objetivo del plan.
-Modo de ejecución.
-Tiempo de duración.
-Costes estimados.
-Recursos necesarios.
-Evento a partir del cual se pondrá en marcha el plan.
-Personas encargadas de llevar a cabo el plan y sus respectivas responsabilidades.
2. Validación del plan de contingencia.
Es necesario que el plan sea validado por los responsables de las áreas involucradas. De igual manera hay que tener en cuenta las posibles consecuencias jurídicas que pudiesen derivarse de las actuaciones contempladas en él.
PRUEBAS DE VIABILIDAD:
1. Definir y documentar las pruebas del plan
Es necesario definir las pruebas del plan y el personal y recursos necesarios para su realización. Una correcta documentación ayudará a la hora de realizar las pruebas.
2. Obtener los recursos necesarios para las pruebas
Deben obtenerse los recursos para las pruebas, ya sean recursos físicos o mano de obra para realizarlas.
3. Ejecutar las pruebas y documentarlas
Consiste en realizar las pruebas pertinentes para intentar valorar el impacto real de un posible problema dentro de los escenarios establecidos como posibles.
La capacitación del equipo de contingencia y su participación en pruebas son fundamentales para poner en evidencia posibles carencias del plan.
Es necesario documentar las pruebas para su aprobación por parte de las áreas implicadas.
4. Actualizar el plan de contingencia de acuerdo a los resultados obtenidos en las pruebas
Será necesario realimentar el plan de acuerdo a los resultados obtenidos en las pruebas.
Hay que tener en cuenta que el plan de contingencia general o de continuidad de operaciones de la empresa contiene los planes de contingencia específicos para cada problema definido. Los distintos planes deben integrarse en un todo, considerando las posibles relaciones mutuas.
EJECUCIÓN:
En esta fase hay que tener muy presente que el plan no busca resolver la causa del problema, sino asegurar la continuidad de las tareas críticas de la empresa.
RECUPERACIÓN:
Los datos afectados por el siniestro que pudiesen haber quedado desactualizados o corruptos, deben corregirse usando los procedimientos ya definidos.
En general, la reiniciación del proceso normal no implica la cancelación del alternativo, salvo que deban utilizarse los mismos recursos. Si esto no es así, durante cierto tiempo, los procesos deberían ejecutarse en paralelo para asegurar que la reiniciación de la operación normal es correcta y, ante cualquier defecto, continuar con el de contingencia.
Una vez finalizado el plan, es conveniente elaborar un informe final con los resultados de su ejecución cuyas conclusiones pueden servir para mejorar éste ante futuras nuevas eventualidades.
