Un Plan de contingencias es un instrumento de gestión para el buen gobierno de las Tecnologías de la Información y las Comunicaciones en el dominio del soporte y el desempeño (delivery and support, véase ITIL).
Dicho plan contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de una compañía. Un plan de contingencias es un caso particular de plan de continuidad de negocio aplicado al departamento de informática o tecnologías. Otros departamentos pueden tener planes de continuidad que persiguen el mismo objetivo desde otro punto de vista. No obstante, dada la importancia de las tecnologías en las organizaciones modernas, el plan de contingencias es el más relevante.
Ciclo de vida
Dicho plan contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de una compañía. Un plan de contingencias es un caso particular de plan de continuidad de negocio aplicado al departamento de informática o tecnologías. Otros departamentos pueden tener planes de continuidad que persiguen el mismo objetivo desde otro punto de vista. No obstante, dada la importancia de las tecnologías en las organizaciones modernas, el plan de contingencias es el más relevante.
Ciclo de vida
El plan de contingencias sigue el conocido ciclo de vida iterativo PDCA (plan-do-check-act, es decir, planificar-hacer-comprobar-actuar). Nace de un análisis de riesgo donde, entre otras amenazas, se identifican aquellas que afectan a la continuidad del negocio.
Sobre dicha base se seleccionan las contramedidas más adecuadas entre diferentes alternativas, siendo plasmadas en el plan de contingencias junto con los recursos necesarios para ponerlo en marcha.
Contenido
El plan de contingencias comprende tres subplanes. Cada plan determina las contramedidas necesarias en cada momento del tiempo respecto a la materialización de cualquier amenaza:
El plan de respaldo. Contempla las contramedidas preventivas antes de que se materialice una amenaza. Su finalidad es evitar dicha materialización.
El plan de emergencia. Contempla las contramedidas necesarias durante la materialización de una amenaza, o inmediatamente después. Su finalidad es paliar los efectos adversos de la amenaza.
El plan de recuperación. Contempla las medidas necesarias después de materializada y controlada la amenaza. Su finalidad es restaurar el estado de las cosas tal y como se encontraban antes de la materialización de la amenaza.
Ejemplo
Este ejemplo no es ni mucho menos exhaustivo. Supongamos una pequeña compañía que se dedica a la producción de prendas textiles. Un ánalisis de riesgos identificaría (entre otras cosas) lo siguiente:
Activos e interdependencias: Oficinas centrales → Centro de proceso de datos → Computadoras y almacenamiento → Información de pedidos y facturación → Proceso de negocio de ventas → Imagen corporativa
Este análisis demuestra que una amenaza materializada en las oficinas centrales podría llegar a afectar al proceso de negocio dedicado a la venta. Aunque esto no impida a la compañía seguir comercializando productos, supondría una interrupción temporal de las ventas. Además afectaría negativamente a la imagen corporativa provocando la pérdida de clientes. Así, se evaluaría la siguiente amenaza y su impacto:
No hay comentarios:
Publicar un comentario