3.2 Factores de Contingencias en Época de Emergencia.
3.2 Factores de Contingencias en Época de Emergencia.
3.2 Factores de Contingencias en Época de Emergencia.
ASIGNATURA
TEORÍA Y PRÁCTICA ADMINISTRATIVA
3.4. Integración
3.2. FACTORES DE CONTINGENCIAS EN ÉPOCA
DE EMERGENCIA.
Resultado de aprendizaje
Conocer los factores de contingencias que pueden las empresas utilizar en el logro de los
objetivos.
¿QUÉ ES UN PLAN DE CONTINGENCIAS?
DEFINICIÓN Un Plan de contingencias es un instrumento de gestión para el buen gobierno de las Tecnologías de la
Información y las Comunicaciones en el dominio del soporte y el desempeño.
Dicho plan contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la
continuidad del negocio y las operaciones de una compañía. Un plan de contingencias es un caso particular
de plan de continuidad aplicado al departamento de informática o tecnologías.
Un plan de contingencia es una estrategia planificada constituida por un conjunto de recursos de respaldo, una organización de
emergencia y unos procedimientos de actuación encaminada a conseguir una restauración progresiva y ágil de los servicios de
negocios por una paralización total o parcial de la capacidad operativa de la empresa.
Un plan de contingencias es una estrategia planificada con una serie de procedimientos que nos faciliten o nos orienten a tener una
solución alternativa que nos permita restituir rápidamente los servicios de la organización ante la eventualidad de todo lo que lo
pueda paralizar, ya sea de forma parcial o total.
El plan de contingencia es una herramienta que le ayudará a que los procesos críticos de su empresa u organización continúen funcionando a
pesar de una posible falla en los sistemas computarizados. Es decir, un plan que le permite a su negocio u organización, seguir operando
Todas las instituciones deberían contar con un plan de contingencia actualizado, valiosa herramienta en general
basada en un análisis de riesgo.
OBJETIVOS DEL PLAN DE CONTINGENCIA
Los objetivos del plan de contingencia son el de planificar y describir la capacidad para
respuestas rápidas, requerida para el control de emergencias.
Los planes de contingencia son necesarios en todo sistema y no podría dejarse de lado en el
tema de seguridad.
COMPONENTES DEL PLAN DE CONTINGENCIA
Objetivo del plan: se deben indicar aquellos componentes de la función crítica que se pretenden cubrir
frente a la contingencia considerada. Estos componentes pueden variar, así como su grado de
cobertura para las distintas contingencias analizadas.
Criterio para la ejecución del plan: condiciones bajo las cuales se considera que debe comenzar a aplicarse
el plan de contingencia.
Tiempo esperado máximo de duración del plan: Es decir, el tiempo máximo que se puede continuar
operando bajo estas condiciones de contingencia
Roles, responsabilidad y autoridad: Esto es clave para la buena marcha del plan de contingencia. Se debe determinar muy claramente, cuál
es el papel de cada uno de los sectores de la organización ante la contingencia y como se alteran los procedimientos habituales para dar lugar
a los procedimientos de contingencia.
Requerimiento de recursos: que recursos se necesitan para operar en el modo contingencia y cuáles de los recursos
habitualmente utilizados no se deben utilizar. Esto debe estar debidamente documentado y verificado lo más
exhaustivamente posible.
1. Análisis de
impacto en el
negocio
4. Evaluar el
3. Diseño del
plan y entrenar
plan
al personal
CUÁLES SON LAS ETAPAS DE UN PLAN DE
CONTINGENCIA
3. Pruebas de
1. Evaluación 2. Planificación
viabilidad
4. Ejecución 5. Recuperación
CONSIDERACIONES PARA ELABORAR EL PLAN DE
CONTINGENCIA
Incorporar acciones que respondan desde el mismo momento en que se da la alerta hasta el cumplimiento de las operaciones de
restitución del servicio educativo.
La elaboración y coordinación del Plan de Contingencia esta a cargo de la Comisión de Gestión de Riesgo de Desastres, la
comunidad educativa y comunidad local como:
Comité de Defensa Civil, postas o centros de salud, municipalidades y gobiernos regionales, sector privado, ONG, etc.
Las acciones que se establecen en el Plan de Contingencia deben ser planificadas, ejecutadas y validadas con anterioridad a
través de los simulacros y sumulaciones.
PASOS PARA ELABORAR EL PLAN DE CONTINGENCIA
Determinación de actividades.
AMENAZA O PELIGRO o factor de riesgo externo de un sujeto o sistema, representado por un peligro
latente, asociado con un fenómeno físico de origen natural, tecnológico o antrópico, que se puede presentar en
un sitio específico y en un tiempo determinado, produciendo efectos adversos en las personas, bienes o en el
medio ambiente.
Se expresa como la probabilidad de ocurrencia del fenómeno, con una cierta intensidad y
potencialmente nocivo para las personas, bienes, infraestructura o el medio ambiente, dentro
a) Exógenas: Cuando proviene del exterior del proyecto, las cuales pueden ser de origen natural
o antrópicas.
b) Endógenas: Cuando se presentan al interior del proyecto y son causadas por el desarrollo de
b) Tecnológicos: Que corresponde a eventos relacionados con explosión de equipos, incendios, derrames de sustancias,
fallas estructurales de las obras.
c) Antrópicas: Relacionado con la actividad humana, y pueden ser causadas en forma accidental o intencional por el hombre,
o a consecuencia de presiones indebidas puntuales o crónicas sobre los elementos naturales.
VULNERABILIDAD: Definida como el grado de pérdida o daño de un elemento o grupo de elementos bajo riesgo,
resultado de la probable ocurrencia de un evento desastroso, expresado en una escala desde 0 (sin daño) a 1 (pérdida
total). La vulnerabilidad puede entenderse, entonces, como la predisposición intrínseca de un sujeto o elemento a sufrir
La fase de planificación es la etapa donde se define y prepara el esfuerzo de planificación de contingencia/continuidad. Las actividades
durante esta fase incluyen:
• Definición explícita del alcance, indicando qué es lo que se queda y lo que se elimina, y efectuando un seguimiento de las ambigüedades.
• Definición de las fases del plan de eventos (por ejemplo, los períodos preevento, evento, y post-evento) y los aspectos sobresalientes de cada
fase.
• Identificación y asignación de los grupos de trabajos iníciales; definición de los roles y responsabilidades.
• Identificación de las fuentes de financiamiento y beneficios del negocio; revisión del impacto sobre los negocios
• Duración del enfoque y comunicación de las metas y objetivos, incluyendo los objetivos de la empresa.
• Las pruebas para el plan serán parte de (o mantenidas en conjunción con) los ejercicios normalmente programados para la recuperación de
desastres, las pruebas específicas del plan de contingencia de los sistemas de información y la realización de pruebas a nivel de todos los
clientes.
FASE II: ANÁLISIS DE RIESGOS
La Fase de Identificación de Riesgos, busca minimizar las fallas generadas por cualquier caso en contra del normal desempeño de los sistemas de
información a partir del análisis de los proyectos en desarrollo, los cuales no van a ser implementados a tiempo.
El objetivo principal de la Fase de Reducción de Riesgo, es el de realizar un análisis de impacto económico y legal, determinar el efecto de fallas
de los principales sistemas de información y producción de la institución o empresa.
2. Elaborar una lista de Servicios afectados evaluando su importancia, magnitud del impacto, cuantificar con niveles A, B, C u otro.
Identificación de alternativas
Estos son algunos ejemplos de alternativas que pudieran ayudar al inicio del proceso de preparación.
• Planifique la necesidad de personal adicional para atender los problemas que ocurran.
• Recurra al procesamiento manual (de facturas, órdenes, cheques, etc.) si fallan los sistemas automatizados.
• Planifique el cierre y reinicio progresivo de los dispositivos y sistemas que se consideran en riesgo.
• Disponga del suministro adicional de combustible para los generadores, en caso de fallas eléctricas prolongadas.
• No haga nada y vea qué pasa – esta estrategia es algunas veces llamada arreglar sobre falla.
Identificación de soluciones
El objetivo es reducir el costo de encontrar una solución en la medida de lo posible, a tiempo de documentar todos los riesgos
identificados.
• La asignación de equipos de solución para cada función, área funcional o área de riesgo de la organización.
• La asociación de soluciones con cada riesgo identificado- se recomienda tener un abanico de alternativas de soluciones.
• Comparar los riesgos y determinarles pesos respecto a su importancia crítica en término del impacto de los mismos.
Las estrategias de contingencia / continuidad de los negocios están diseñadas para identificar prioridades y determinar en forma
razonable las soluciones a ser seleccionadas en primera instancia o los riesgos a ser encarados en primer lugar. Hay que decidir
si se adoptarán las soluciones a gran escala, como las opciones de recuperación de desastres para un centro de datos.
Los puntos que deben ser cubiertos por todos las áreas informáticas y usuarios en general son:
• Respaldar toda la información importante en medio magnético, ya sea en disquetes, cintas o CD-ROM, dependiendo de
los recursos con que cuente cada área. Acordamos que lo que debe respaldarse es INFORMACION y no las aplicaciones.
• Generar discos de arranque para las máquinas dependiendo de su sistema operativo, libres de virus y protegidos contra
escritura.
• Mantener una copia de antivirus más reciente en disco para emergencias (dependiendo del fabricante, variarán las
instrucciones para generarlo).
• Guardar una copia impresa de la documentación de los sistemas e interfaces, al igual de los planes de contingencia
definidos por el resto de las áreas.
FASE V: DOCUMENTACIÓN DEL PROCESO
Todo el proceso de lograr identificar soluciones ante determinados problemas no tendrá su efecto verdadero si es que no
se realiza una difusión adecuada de todos los puntos importantes que este implica, y un plan de Contingencia con mucho
mayor razón necesita de la elaboración de una documentación que sea eficientemente orientada.
Como puntos importantes que debe de incluir esta documentación podremos citar las siguientes:
• Cuadro de descripción de los equipos y las tareas para ubicar las soluciones a las contingencias.
Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la originó y el daño producido, lo que
permitirá recuperar en el menor tiempo posible el proceso perdido.
La elaboración de los procedimientos que se determinen como adecuados para un caso de emergencia, deben ser
planeados y probados fehacientemente.
Las actividades a realizar en un plan de recuperación de desastres se pueden clasificar en tres etapas:
Son todas las actividades de planeamiento, preparación, entrenamiento y ejecución de las actividades de resguardo de la
información, que nos aseguren un proceso de Recuperación con el menor costo posible a nuestra Institución.
Una vez presentada la contingencia o siniestro, se deberá ejecutar las siguientes actividades, planificadas previamente:
a) Plan de emergencias.
b) Formación de equipos.
c) Entrenamiento.
a) Plan de emergencias.
En este plan se establecen las acciones se deben realizar cuando se presente un Siniestro, así como la difusión de las mismas. Es conveniente
prever los posibles escenarios de ocurrencia del siniestro:
Durante el día.
Este plan deberá incluir la participación y actividades a realizar por todas y cada una de las personas que se pueden encontrar presentes en el
área donde ocurre el siniestro, debiendo detallar
• Plan de puesta a buen recaudo de los activos (incluyendo los activos de Información) de la Institución (si las circunstancias del siniestro lo
posibilitan).
• Ubicación y señalización de los elementos contra el siniestro (extinguidores, cobertores contra agua, etc.)
• Secuencia de llamadas en caso de siniestro, tener a la mano: elementos de iluminación (linternas), lista de teléfonos de Bomberos /
Ambulancia, Jefatura de Seguridad y de su personal (equipos de seguridad) nombrados para estos casos.
b) Formación de equipos
Establecer claramente cada equipo (nombres, puestos, ubicación, etc.) con funciones claramente definidas a ejecutar
durante el siniestro. Si bien la premisa básica es la protección de la Integridad del personal, en caso de que el siniestro lo
permita (por estar en un inicio o estar en una área cercana, etc.), deberá de existir dos equipos de personas que actúen
directamente durante el siniestro, un equipo para combatir el siniestro y otro para el salvamento de los recursos
Informáticos, de acuerdo a los lineamientos o clasificación de prioridades.
c) Entrenamiento
Establecer un programa de prácticas periódicas de todo el personal en la lucha contra los diferentes tipos de siniestros, de
acuerdo a los roles que se le hayan asignado en los planes de evacuación del personal o equipos, para minimizar costos se
puede aprovechar fechas de recarga de extinguidores, charlas de los proveedores, etc.
Un aspecto importante es que el personal tome conciencia de que los siniestros (incendios, inundaciones, terremotos,
apagones, etc.) pueden realmente ocurrir, y tomen con seriedad y responsabilidad estos entrenamientos, para estos
efectos es conveniente que participen los elementos directivos, dando el ejemplo de la importancia que la alta dirección
otorga a la Seguridad Institucional.
• Actividades después del desastre:
Después de ocurrido el Siniestro o Desastre es necesario realizar las actividades que se detallan, las cuales deben estar especificadas en el
Plan
a) Evaluación de daños.
c) Ejecución de actividades.
d) Evaluación de resultados.
Inmediatamente después que el siniestro ha concluido, se deberá evaluar la magnitud del daño que se ha
producido, que sistemas se están afectando, que equipos han quedado no operativos, cuales se pueden
recuperar, y en cuanto tiempo, etc.
Adicionalmente se deberá lanzar un pre-aviso a la Institución con la cual tenemos el convenio de respaldo, para
ir avanzando en las labores de preparación de entrega de los equipos por dicha Institución.
Toda vez que el Plan de Acción es general y contempla una pérdida total, la evaluación de daños reales y su
comparación contra el plan, nos dará la lista de las actividades que debemos realizar, siempre priorizándola en
vista a las actividades estratégicas y urgentes de la institución.
Es importante evaluar la dedicación del personal a actividades que puedan no haberse afectado, para ver su
asignamiento temporal a las actividades afectadas, en apoyo al personal de los sistemas afectados y soporte
técnico
c) Ejecución de actividades.
La ejecución de actividades implica la creación de equipos de trabajo para realizar las actividades previamente planificadas
en el Plan de acción.
Los trabajos de recuperación tendrán dos etapas, la primera la restauración del servicio usando los
recursos de la Institución o local de respaldo, y la segunda etapa es volver a contar con los
recursos en las cantidades y lugares propios del Sistema de Información, debiendo ser esta última
etapa lo suficientemente rápida y eficiente para no perjudicar el buen servicio de sistema e imagen
Institucional, como para no perjudicar la operatividad de la Institución o local de respaldo.
d) Evaluación de resultados
Una vez concluidas las labores de Recuperación del (los) Sistema(s) que fueron afectados por el siniestro, debemos de
evaluar objetivamente, todas las actividades realizadas, que tan bien se hicieron, que tiempo tomaron, que circunstancias
modificaron (aceleraron o entorpecieron) las actividades del plan de acción, como se comportaron los equipos de trabajo,
etc.
De la evaluación de resultados y del siniestro en si, deberían de salir dos tipos de recomendaciones, una la retroalimentación
del plan de Contingencias y otra una lista de recomendaciones para minimizar los riesgos y pérdida que ocasionaron el
siniestro.
Con la evaluación de resultados, debemos de optimizar el plan de acción original, mejorando las
actividades que tuvieron algún tipo de dificultad y reforzando los elementos que funcionaron
adecuadamente. El otro elemento es evaluar cual hubiera sido el costo de no haber tenido nuestra
Institución el plan de contingencias llevado a cabo.
FASE VII: IMPLEMENTACIÓN
La fase de implementación se da cuando han ocurrido o están por ocurrir los problemas para este caso se tiene que tener
preparado los planes de contingencia para poder aplicarlos. Puede también tratarse esta etapa como una prueba
controlada
La fase de Monitoreo nos dará la seguridad de que podamos reaccionar en el tiempo preciso y con la acción correcta. Esta
fase es primordialmente de mantenimiento. Cada vez que se da un cambio en la infraestructura, debemos de realizar un
mantenimiento correctivo o de adaptación.
• Un punto donde se tiene que actuar es por ejemplo cuando se ha identificado un nuevo riesgo o una nueva solución. En este caso,
toda la evaluación del riesgo se cambia, y comienza un nuevo ciclo completo, a pesar de que este esfuerzo podría ser menos
exigente que el primero.
Esto es importante ya que nos alimentamos de las nuevas posibilidades de soluciones ante nuevos casos que se puedan presentar.
Podríamos enumerar las actividades principales a realizar:
• Establecer los procedimientos de mantenimiento para la documentación y la rendición de informes referentes a los riesgos.
• Revisión continua del sistema de backup o copias de seguridad (permiten guardar en forma periódica la información contenida en un
ordenador, ya sea estación de trabajo, servidor o base de datos).
Peter Rahan, director del Departamento de Transporte de Missouri, durante su discurso anual sobre el estado del
transporte decía a los legisladores estatales que en los próximos cinco años verían 866 proyectos por un total de 7
mil millones de dólares. Dijo, “soñamos en grande, y entregamos en grande. Se acabó la burocracia indecisa.
Llegó una organización más ágil que logra que las cosas se hagan”.
Los gerentes de nivel alto por lo general se esfuerzan demasiado en diseñar una estructura adecuada. De lo que
son una parte importante de las estrategias de una organización, sólo es lógico que la estrategia y la estructura
Alfred Chandler fue el primero en investigar esta relación. Estudió a varias compañías grandes de Estados Unidos y concluyó que
los cambios en la estrategia corporativa originaban cambios en la estructura de la organización que apoyaban la estrategia. Las
investigaciones han mostrado que ciertos diseños estructurales funcionan mejor con distintas estrategias organizacionales. Por
ejemplo, la flexibilidad y el libre flujo de información de la estructura orgánica funciona bien cuando una organización busca
innovaciones significativas y únicas. La organización mecanicista, con su eficiencia, estabilidad y estrechos controles, funciona
grandes organizaciones (por lo general las que tienen más de 2,000 empleados) tienden a presentar mayor
Sin embargo, una vez que una organización rebasa cierto tamaño, éste tiene menor influencia sobre la estructura. ¿Por
qué? Básicamente, una vez que hay alrededor de 2,000 empleados, la organización es de hecho mecanicista. Aumentar
otros 500 empleados no afectará demasiado la estructura. Por otra parte, es probable que al agregar 500 empleados a una
Por ejemplo, los trabajadores de Whirlpool en Manaus, Brasil, fabrican hornos de microondas y aparatos de aire
acondicionado en una línea de ensamblaje estandarizada. Los empleados de FedEx Kinko’s producen trabajos de diseño
e impresión personalizados para clientes individuales. Y los empleados de Bayer en la planta de Karachi, Pakistán,
La investigación inicial del efecto de la tecnología sobre la estructura puede adjudicarse a Joan Woodward, quien estudió
pequeñas empresas manufactureras del sur de Inglaterra para determinar el grado de relación entre los elementos de diseño
tecnología que tenían niveles crecientes de complejidad y sofisticación. La primera categoría, la producción de unidades,
describió la producción de elementos en unidades o pequeños lotes. La segunda categoría, la producción masiva,
describió la manufactura de grandes lotes. Por último, el tercero y tecnológicamente más complejo grupo, la producción
incertidumbre, mientras que otros enfrentan entornos dinámicos y complejos con demasiada incertidumbre. Los gerentes
En entornos sencillos y estables, los diseños mecanicistas pueden ser más efectivos. Por otra parte, a mayor incertidumbre, la
organización necesita más la flexibilidad de un diseño orgánico. Por ejemplo, la naturaleza incierta de la industria del petróleo
implica que las compañías petroleras necesitan ser flexibles. Poco después de haber sido nombrado presidente del Royal Dutch
Shell PLC, Jeroen van der Veer modernizó la estructura corporativa para contrarrestar parte de la volatilidad de la industria. Algo
que hizo fue eliminar los procesos demasiado analíticos y engorrosos de la compañía para hacer tratos con los países de la OPEP