1.

PLAN DE CONTIGENCIA
1.1. GENERALIDADES DEL PLAN DE CONTIGENCIA
1.1.1. Definiciones
Proceso planificado que busca determinar anticipadamente los escenarios
hipotéticos de siniestro, que pudieran presentarse en las diferentes Centrales de
generación, con el fin de reducir al máximo la indisponibilidad. (Luis Fernando
Botero, 2007)

Existe la posibilidad de que, en un determinado momento, una organización

independientemente de su tamaño, número de trabajadores o de la actividad que
realice, pueda verse afectada por una crisis o desastre. (ISOTools, 2019)

Por lo tanto, podemos decir que lo que se busca con un plan de contingencia
es predecir aquellos inconvenientes que podrían ocasionarse durante el
desarrollo de las actividades del negocio, para reducir la posibilidad de
ocurrencia o llevar a cabo acciones para evitarlo.

Dentro de un centro de computo el plan de contingencia debe obedecer a un

proceso formal y debe ser la conclusión de un proyecto de elaboración del mismo
que incluya la identificación de los factores críticos, el establecimiento de los
equipos de trabajo y alternativas de solución de la contingencia, una prueba real
del mismo plan una capacitación de las personas involucradas y una constante
actualización.

1.1.2. IMPORTANCIA DE UN PLAN DE COTINGENCIA

El plan se diseña para que en el caso de un siniestro se active el plan de
contingencia informático permitiendo dar continuidad a las actividades de la
institución. (AVELI).

Los planes de contingencia permiten mantener la continuidad de los sistemas de

información frente a eventos críticos, y minimizar el impacto negativo sobre la
misma, sus empleados y usuarios. Estos deben ser parte integral de la
organización y servir para evitar interrupciones, estar preparado para fallas
potenciales y guiar hacia una solución.
 1.2. ELEMENTOS DE UN PLAN DE CONTIGENCIA
1.2.1. Elementos según ISO 22301

La norma ISO 22301 tiene como objetivo minimizar cualquier posibilidad de

que tenga lugar un desastre y en caso de producirse, que su impacto sea
mínimo y así minimizar el tiempo de reanudación de la actividad que desarrolla
la empresa. El plan de contingencia se enmarca dentro del plan de riesgo de la
organización, y se implementa mediante un ciclo de mejora continúa basado en
un modelo PDCA.

Según la ISO 22301 detalla los siguientes elementos como los principales
para la elaboración de un plan de contingencia.

 Definición de las situaciones críticas: Se define los activos críticos y la

relación de procesos de negocio que afecten a esos activos previamente
identificados.
 Asignación de responsabilidades: Se deben crear grupos humanos
configurados por personal competente como el comité de emergencia, el
cual se encargará de ejecutar los procedimientos adecuados en el caso
de que se produzca una situación crítica.
 Determinar las acciones de respuesta: Esta fase del plan implica tener
muy bien definida una hoja de ruta con las siguientes acciones a llevar a
cabo:
o Indicadores que marcarán el inicio del plan de contingencia.
o Secuencias de acciones que hay que llevar a cabo en el orden
preciso.
o Indicadores que permiten considerar que la situación ha quedado
normalizada.
o Determinación de los registros y documentación necesaria para
dejar constancia por escrito de las acciones que se han llevado a
cabo.
 Mantenimiento del plan: Es necesaria la obtención de datos de
ejecución del plan con el fin de actualizarse y mejorarse para incrementar
su eficiencia en futuras ejecuciones.
 Un plan de contingencia suficientemente elaborado permite retomar las
actividades dentro de unos tiempos de recuperación adecuados,
previamente definidos.

1.2.2. Elementos según CORPONOR

A continuación, se muestra un ejemplo general de elementos que intervienen en

el proceso de esta gestión de riesgo que es de ayuda para el desarrollo del plan
de contingencia.

Figura 1. Elementos del proceso de gestión de riesgo

Estos elementos presentan relación con los detallados en la norma ISO.

Comunicación y consulta. Comunicar y consultar con interesados internos y

externos según corresponda en cada etapa del proceso de administración de
riesgos y concerniendo al proceso como un todo.

Establecer el contexto. Establecer el contexto interno y externo de la gestión

del riesgo en el cual tendrá lugar el resto del proceso.

Identificar riesgos. Identificar qué, por qué y cómo pueden surgir las cosas
como base para análisis posterior.
Analizar riesgos. Determinar los controles existentes y analizar riesgos en
términos de consecuencias y probabilidades en el contexto de esos controles. El
análisis debería considerar el rango de consecuencias potenciales y cuán
probable es que ocurran esas consecuencias.

Consecuencias y probabilidades. Pueden ser combinadas para producir un

nivel estimado de riesgo.

Evaluar riesgos. Comparar niveles estimados de riesgos contra los criterios

preestablecidos.

Tratar los riesgos. Aceptar y monitorear los riesgos de baja prioridad. Para otros
riesgos, desarrollar e implementar un plan de administración específico que
incluya consideraciones de fondeo, reduciendo pérdidas potenciales.

Monitoreo y revisión. Es necesario monitorear la eficacia de todas las etapas

del proceso de gestión del riesgo. Esto es importante para la mejora continua.

1.3. CICLO PDCA

Como otros muchos planes de gestión, el plan de contingencia también se basa

en el conocido ciclo PDCA (plan-do-check-act, es decir, planificar-hacer-
comprobar-actuar). Este tiene su origen en un análisis de riesgo en la
organización mediante el cual, entre otras muchas amenazas, se descubren
aquellas que afectan de manera concreta a la continuidad del negocio.

1.3.1. P (Plan):
El propósito de esta fase es ganar la aceptación del equipo en aquello que
requiere nuestra atención. Se trata de tener un sistema en taller (y en oficina)
que cuenta con canales para las oportunidades de mejora. Se basa en:

o La comunicación entre las personas.

o La consideración de diversas perspectivas.
o La delimitación del ámbito de la cadena de valor a tener en cuenta.
o El diagnóstico de causas de la situación y el planteamiento de un curso
de acción.
 1.3.2. D (Do):
Se trata de la ejecución del plan. Generalmente requiere ensayos y ajustes,
hasta conseguir una implementación eficaz y simple de mantener.

1.3.3. C (Check):
Se trata de verificar que los logros no son casuales, sino que son una
consecuencia de los cambios realizados.

1.3.4. A (Act):
Se trata de estandarizar la nueva situación; es decir, los cambios son
incorporados como característica del sistema. Es el momento para reflexionar
sobre las lecciones aprendidas e iterar el ciclo PDCA.

El plan deberá ser revisado de forma periódica. Por norma, la revisión se lleva a
cabo cuando se realiza un nuevo análisis de riesgo. Normalmente, el plan de
contingencias siempre se cuestiona cuando se detecta una amenaza, llevando
a cabo la siguiente actuación:

 En el caso de que la amenaza estuviera prevista y las contramedidas

fueron eficaces: de esta manera se llevará a cabo la corrección
únicamente de aspectos menores del plan para mejorar la eficiencia.

 Si se preveía la amenaza, pero las contramedidas fueron ineficaces:

habrá que analizar la causa del fallo proponiendo nuevas contramedidas.

 Si no se preveía la amenaza: se deberá promover un nuevo análisis de

riesgos. Puede ser que las contramedidas adoptadas fueran eficaces para
una amenaza no prevista. No obstante, esto no es excusa para evitar el
análisis de lo ocurrido en un equipo.

1.4. EJEMPLO PLAN DE CONTIGENCIA DEL CENTRO DE COMPUTO

CORPAC.
Como ya se ha visto anteriormente los elementos que se tienen que tomar en
cuenta para hacer un plan de contingencia, se mostrara a continuación un
modelo utilizado por el centro de cómputo CORPAC para prevenir la incidencia
de algún riesgo.
 1.4.1. PLANIFICACION DE CONTIGENCIA
Durante la planificación se da mayor prioridad a la necesidad de contar con
estrategias para análisis de riesgo, de prevención, emergencia, recuperación y
al final costes para planificar y enfrentar desastres.

1.4.1.1. ACTIVIDADES
Las actividades consideradas son:
o Análisis de riesgo, cuyo objetivo es el de identificar los bienes de la
corporación, asignarles sus respectivos costos y determinar el
costo/beneficio de las mediada de seguridad.
o Las medidas preventivas que permitirán reducir las exposiciones a los
riesgos.
o Las estrategias de emergencia, que intentan reducir el daño que provocan
los desastres y mantener el servicio a usuario finales
o El plan de respaldo que contempla el desarrollo y cumplimiento de
procedimiento críticos de la función, entre el desastre y la recuperación
o El plan de recuperación, que prevé el pronto restablecimiento de los
servicios después de un desastre.
1.4.2. ANALISIS DE RIESGO
Se realiza la estimación de daños potenciales, realizando tareas como:

o Identificación de los bienes de la empresa, y sus características

pertenecientes al rubro de tecnología de la información y comunicaciones
o Identificación de los posibles daños a los que los bienes podrían estar
expuestos.
o Establecimiento de un criterio de asignación de valores y prioridad a las
tareas y aplicaciones
o Identificación de las tareas y aplicaciones críticas.

Entre los bienes que se describen dentro del rubro de tecnología y sobre las
cuales pueden causar impactos están:

o Personal
o Hardware (sistemas de voz y datos) o equipos de telecomunicaciones
o Software y utilitarios
o Datos e información
o Procedimientos de operación y archivos
o Documentación y suministros
o Suministro de energía eléctrica
Los daños pueden referirse a:

Negación de recursos: Daños estructurales, tomas de local y prohibición de

ingreso, y el sabotaje a las instalaciones.

Modificación del sistema instalado: Cambios en las claves de ingreso,

cambios de código de entidades importantes, así como en los datos, borrado y
ejecución de procesos no deseados.

Revelación de la información: robo de información e infidencia.

Las prioridades se basan en razón de tiempo y costo que demanda reponer

el servicio.

1.4.3. ANALISIS DE AMENAZAS

El acceso no autorizado, es una de las amenazas que tiene que tomarse en
cuenta, debido a la vulnerabilidad que legan a tener los sistemas de seguridad
instalados, la ruptura de claves de acceso.

Así también como la instalación o infección de virus en la red de datos, sabotaje,

intromisión por curiosidad, robo y espionaje comercial.

Desastres naturales, se las considera amenaza, por las inundaciones que

pueden llegar a ocurrir por la falla en el suministro o descarga del servicio de
agua. O incluso movimientos telúricos.

Proximidad de peligros, se estima a la zona donde están ubicadas las oficinas.

Fallas den los equipos de soporte, ya sea problemas de energía eléctrica por
la carencia del caudal o sistemas eléctricos antiguos, equipos de aire
acondicionado y en los medios de comunicación, como: Red interna de
comunicación, fallas en equipos que forman parte de la red, etc.

Indisponibilidad de personal clave, comprador logístico, analistas de

programación, cajero de cobro y pago, facturador, operadores del centro de
computo y de la central telefónica, etc. Y en el personal, amenazas como
enfermedad, accidentes, renuncia, abandono y en menor grado la prisión.

Fallas, e incendios, dispositivos que podrían llegar a causar fallas como UPS’s,
ventiladores, cafeteras entre otros.
 1.4.4. MEDIDAS PREVENTIVAS
En conjunción del análisis de riesgo, se debería establecer las siguientes
medidas preventivas a fin de reducir el riesgo.

o Rigurosidad en el control de acceso, que tiene que ver con el acceso físico
de personas no autorizadas y el Acceso a los sistemas.
o Previsión para desastres naturales.
o Evitando la proximidad de peligros
o Adecuado soporte a los equipos e instalaciones.
o Seguridad física del personal
o Seguridad de la información.
o Seguridad de la documentación
o Confiabilidad de hardware y software instalado
1.4.5. PLAN DE EMERGENCIA
Para el plan de emergencia se debe establecer los:
Alcances y Estrategias, como:
o Contar con un plan compresible de todas las amenazas.
o Protección de recursos en orden de importancia
o Asignación de responsabilidades
o Difusión de los planes a empleados y entrenamiento, entre otros.
Plan de respaldo, cuyas estrategias se centran en:
o Portabilidad
o Procedimientos manuales
o Otras instalaciones por convenio
o Servicio de procesamiento de datos, entre otros.
1.4.6. PLAN DE RECUPERACION
El objetivo de este plantea:
o La determinación de las políticas y procedimientos para respaldar
o Intentar reactivar dentro de las 72 horas de producido un desastre, todo
el sistema
o Conseguir el completo respaldo de teleprocesamiento
o Apoyo permanente a usuarios del sistema y proveer una disciplina de
acciones a ejecutar para garantizar y asegurar una rápida respuesta ante
desastre.
1.4.7. ACTIVACION DEL PLAN
Para la activación del plan, queda a juicio del gerente general y de la oficina de
informática, si ha de activarse el plan de desastre y si el procesamiento ha de
trasladarse a las instalaciones de respaldo.
El supervisor de TI, será el responsable de determinar la duración estimada de
la interrupción del servicio, dado que este es un factor clave que será discutido
y analizado antes de darse la orden de traslado.

Bibliography
AVELI, S. (s.f.). Plan de Contingencia de TI de la AVELI. VERACRUZ. Obtenido
de http://www.aveli.gob.mx/files/2016/03/plan-de-contigencia-informatica-
AVELI_.pdf
ISOTools. (4 de Junio de 2019). PLATAFORMA TECNOLÓGICA PARA LA
GESTIÓN DE LA EXCELENCIA. Obtenido de
https://www.isotools.org/2019/06/04/elementos-del-plan-de-contingencia-
segun-iso-22301/
José Costas, J. C. (2010). Entender el ciclo PDCA de mejora continua. Obtenido
de
https://www.aec.es/c/document_library/get_file%3Fp_l_id%3D64199%26
folderId%3D195586%26name%3DDLFE-7137.pdf
Luis Fernando Botero, F. R. (2007). Los planes de contingencia como estrategia
para mejorar la disponibilidad. CIER - Operación y mantenimiento en
sistemas de generación, 13. Obtenido de
http://sg.cier.org.uy/Publicaciones/Revista.nsf/0a293b20eacdf8a9032571
33003ea67d/a707f63674878b808325764e0048198b/%24FILE/02_Lospl
anesdecont.pdf
S.A., C. (2008). Plan de contingencia del centro de computo de CORPAC S.A.
CALLAO, Peru. Obtenido de
http://www.corpac.gob.pe/Docs/Transparencia/OyM/DocNormativos/Plan
es/Plan_Contingencia_Centro_Computo_CORPAC_(GG-710-
2008_06.08.2008).pdf