7.capitulo VII plan de contingencia
description
Transcript of 7.capitulo VII plan de contingencia
PLAN DE CONTINGENCIA
CAPITULO VII
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 2
PLAN DE CONTINGENCIA
DEFINICIÓN
Es un conjunto de métodos alternativos al funcionamiento normal de la empresa, cuyo objetivo es el de permitir que la organización permanezca operativa aun cuando alguna de sus funciones deje de hacerlo.
Es la reanudación de las actividades ante una calamidad presentada en el área de Tecnología. La preparación es la clave del éxito para enfrentar los problemas.
Son los procedimientos alternativos al orden normal de una empresa, cuyo fin es permitir el normal funcionamiento de ésta, aún cuando alguna de sus funciones se viese dañada por un accidente interno o externo. Nace de un análisis de riesgo donde, entre otras amenazas, se identifican aquellas que afectan a la continuidad del negocio.
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 3
PLAN DE CONTINGENCIA
PARÁMETROS DE UN PLAN DE CONTINGENCIA
El plan de contingencias sigue el conocido ciclo de vida
iterativo (planificar-hacer-comprobar-actuar )
El Plan de contingencia nace de un análisis de riesgo
donde, entre otras amenazas, se identifican aquellas que
afectan a la continuidad del negocio.
El plan debe ser revisado periódicamente. Generalmente, la
revisión será consecuencia de un nuevo análisis de riesgo.
Se modifica el plan de contingencias de acuerdo a las
revisiones aprobadas y, de nuevo, se inicia el ciclo de vida
del plan.
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 4
PLAN DE CONTINGENCIA El plan de contingencias comprende tres subplanes. Cada plan
determina las contramedidas necesarias en cada momento del tiempo respecto a la materialización de cualquier amenaza:
Plan de respaldo. Contempla las contramedidas preventivas antes de que se materialice una amenaza. Su finalidad es evitar dicha materialización.
Plan de emergencia. Contempla las contramedidas necesarias durante la materialización de una amenaza, o inmediatamente después. Su finalidad es paliar los efectos adversos de la amenaza.
Plan de recuperación. Contempla las medidas necesarias después de materializada y controlada la amenaza. Su finalidad es restaurar el estado de las cosas tal y como se encontraban antes de la materialización de la amenaza.
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 5
PLAN DE CONTINGENCIA
El Plan de Contingencia debe de expresar claramente:
Qué recursos materiales son necesarios.
Qué personas están implicadas en el cumplimiento del plan.
Cuales son las responsabilidades concretas de esas personas y su rol dentro del plan.
Qué protocolos de actuación deben seguir y cómo son.
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 6
IMPORTANCIA DE UN PLAN DE
CONTINGENCIA
Un plan de contingencia es importante ya que garantiza la continuidad del negocio y las operaciones de una compañía.
Un Plan de Contingencias (PDC) es una herramienta que definitivamente permitirá ayudar a muchas organizaciones a mantener la continuidad de las operaciones del negocio, ante la ocurrencia de alguna falla que afecte a los sistemas informáticos, provocando la paralización parcial o total de la empresa. Un PDC abarca la recuperación de aquellos servicios y recursos críticos ante eventos que van desde desastres naturales (como por ejemplo terremotos, inundaciones, etc.) hasta no naturales (como por ejemplo el daño de un disco, el agotamiento de la papelería de la empresa, fallas técnicas y/o errores de programas).
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 7
AREAS DE APLICACIÓN
Los planes de contingencia tienen una aplicación muy amplia y variada, puede darse tanto para empresas (comerciales o industriales) a nivel gubernamental (como en el caso de emergencias regionales), para casos muy específicos como derrame de petróleo, incendios, escacés de alimentos, administración de proyectos de cualquier índole como: construcciones y desarrollo de software u otros.
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 8
METODOLOGÍA DE DESARROLLO DE UN PLAN DE
CONTINGENCIAS
El diseñar e implementar un plan de contingencia para recuperación de desastres no es una tarea fácil; puede implicar esfuerzos y gastos considerables, sobre todo si se está partiendo de cero.
Una solución comprende las siguientes actividades:
Debe ser diseñada y elaborada de acuerdo con las necesidades de la empresa.
Puede requerir la construcción o adaptación de un sitio para los equipos computacionales.
Requerirá del desarrollo y prueba de muchos procedimientos nuevos, y éstos deben ser compatibles con las operaciones existentes. Se hará participar a personal de muchos departamentos diferentes, el cual debe trabajar en conjunto cuando se desarrolle e implemente la solución.
Implicará un compromiso entre costo, velocidad de recuperación, medida de la recuperación y alcance de los desastres cubiertos.
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 9
METODOLOGÍA DE DESARROLLO DE UN PLAN DE
CONTINGENCIAS Un método estructurado ayuda a asegurar de que se toman en
cuenta todos estos factores y de que se les trata adecuadamente.
Principales actividades requeridas para la planificación e
implementación de una capacidad de recuperación de desastres:
Identificación de riesgos
Evaluación de riesgos
Asignación de prioridades a las aplicaciones
Establecimiento de los requerimientos de recuperación
Elaboración de la documentación
Verificación e implementación del plan
Distribución y mantenimiento del plan
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 10
IDENTIFICACIÓN DE RIESGOS
En esta fase, la preocupación está relacionada con tres simples preguntas: ¿qué está bajo riesgo?, ¿qué puede ir mal? y ¿cuál es la probabilidad de que suceda? El primer componente del plan de contingencia debe ser una
descripción del servicio y el riesgo para ese servicio, igualmente se debe determinar el costo que representa para la organización el experimentar un desastre que afecte a la actividad empresarial.
Se debe evaluar el nivel de riesgo de la información para hacer:
Un adecuado estudio costo/beneficio entre el costo por pérdida de información y el
costo de un sistema de seguridad.
Clasificar la instalación en términos de riesgo (alto, mediano, bajo) e identificar las
aplicaciones que representen mayor riesgo.
Cuantificar el impacto en el caso de suspensión del servicio.
Determinar la información que pueda representar cuantiosas pérdidas para la
organización o bien que pueda ocasionar un gran efecto en la toma de decisiones.
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 11
EVALUACIÓN DE RIESGO Es el proceso de determinar el costo para la organización
de sufrir un desastre que afecte su actividad.
Los costos de un desastre pueden clasificarse en las siguientes
categorías:
Costos reales de reemplazar el sistema informático
Costos por falta de producción.
Costos por negocio perdido.
Costos por reputación.
Es importante resaltar que cuando ocurra una contingencia, es
esencial que se conozca al detalle el motivo que la originó y el
daño producido mediante la evaluación y análisis del problema
donde se revisen las fortalezas, oportunidades, debilidades y
amenazas, lo que permitirá recuperar en el menor tiempo posible
el proceso perdido.
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 12
ASIGNACIÓN DE PRIORIDADES
Después de que acontezca un desastre y se inicie larecuperación de los sistemas, debe conocerse quéaplicaciones recuperar en primer lugar.
Esto implica la necesidad de determinar por anticipadocuáles son las aplicaciones fundamentales del negocio.
Es fundamental que la dirección ayude a determinar elorden en que los sistemas sean recuperados. El plan decontingencia debería incluir la lista de los sistemas y suprioridad. Esta sección del plan debería ser firmada por ladirección para minimizar las desavenencias.
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 13
ESTABLECIMIENTO DE LOS
REQUERIMIENTOS DE RECUPERACIÓN
La clave de esta fase del proceso de elaboración del plan de migración es definir un periodo de tiempo aceptable y viable para lograr que la red esté de nuevo activa.
La preocupación básica debería ser disponer de las aplicaciones más importantes en primer lugar. El personal directivo de la organización deseará saber cuándo estarán sus aplicaciones funcionando para planificar las actividades de la compañía.
El término para este tiempo es tiempo de recuperación objetivo o en inglés TRO (Recovery Time Objective). El TRO definido debe ser verificado para comprobar que es realista y factible, no sólo por uno mismo, sino por el resto de la organización, que puede ser requerido para realizar el trabajo.
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 14
ESTABLECIMIENTO DE LOS
REQUERIMIENTOS DE RECUPERACIÓN Se procede a determinar lo que se debe hacer para lograr una óptima
solución, especificando las funciones con base en el estado actual de la organización.
Es necesario adelantar las siguientes actividades :
Profundizar y ampliar la definición del problema
Analizar áreas problema, documentos utilizados
Esquema organizacional y funcional
Las comunicaciones y sus flujos
El sistema de control y evaluación
Formulación de las medidas de seguridad necesarias dependiendo del nivel de seguridad requerido
Justificación del costo de implantar las medidas de seguridad
Análisis y evaluación del plan actual
Determinar los recursos humanos, técnicos y económicos necesarios para desarrollar el plan
Definir un tiempo prudente y viable para lograr que el sistema esté nuevamente en operación.
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 15
ELABORACIÓN DE LA DOCUMENTACIÓN
Crear un documento que mucha gente pueda tener como referencia es quizás lo más difícil del plan de contingencia.
El plan de contingencia debe definir cinco áreas:
Listas de notificación, números de teléfono, mapas y direcciones.
Prioridades, responsabilidades, relaciones y procedimientos.
Información sobre adquisiciones y compras.
Diagramas de las instalaciones
Sistemas, configuraciones y copias de seguridad en cinta.
La documentación ayudará a comprender otros aspectos del sistema y puede ser primordial para la empresa en caso de ocurrir un desastre. Deben incluirse, detalladamente, los procedimientos que muestren las labores de instalación y recuperación necesarias, procurando que sean entendibles y fáciles de seguir.
La documentación del plan de contingencia se debe desarrollar desde el mismo momento que nace, pasando por todas sus etapas y no dejando esta labor de lado, para cuando se concluyan las pruebas y su difusión.
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 16
VERIFICACIÓN E IMPLEMENTACIÓN DEL
PLAN
Una vez redactado el plan, hay que probarlo. Hay que estar
seguro de que el plan va a funcionar.
Comprobación del plan por partes
Verificar el plan con otras personas de la organización que se
encuentren familiarizadas con los productos o procedimientos
empleados.
Una correcta documentación ayudará a la hora de realizar las
pruebas. La capacitación del equipo de contingencia y su
participación en pruebas son fundamentales para poner en
evidencia posibles carencias del plan.
Presentado y preparado por
Ing. Lourdes Raveneau de Torres 17
DISTRIBUCIÓN Y MANTENIMIENTO DEL
PLAN
Cuando se disponga del plan definitivo ya probado, es
necesario hacer su difusión y capacitación entre las personas
encargadas de llevarlo a cargo.
Controlar las versiones del plan, de manera que no exista
confusión con múltiples versiones.
El mantenimiento y verificación de un plan de migración
ayudará a que se produzca dicha comunicación dentro de la
organización.
El mantenimiento del plan comienza con una revisión del plan
existente y se examina en su totalidad realizando los cambios
en la información que pudo haber ocasionado una variación en
el sistema y realizando los cambios que sean necesarios.