El plan de contingencias y su gestión
Un Plan de Contingencias tiene el objetivo de garantizar la recuperación de la infraestructura que soporta los servicios de TI, posee 3 grandes beneficios: reduce los riesgos que amenazan el capital de una empresa, ahorro de tiempo y dinero al prevenir situaciones que comprometan la seguridad de la información y mejora la imagen de la empresa ante su público interno y externo.
Crear una metodología a este plan asegura la implementación de las medidas y estrategias de recuperación que el negocio necesita, así se estima el coste de la mejora de la infraestructura de TI actual que tiene una empresa frente a las pérdidas de la no disponibilidad de la información.
Un Plan de Contingencias consiste en 5 puntos:
1. Análisis de impacto en el negocio: identifica los procesos más críticos del negocio y los servicios de TI que los soportan, determina su impacto y define los requerimientos de recuperación establecidos por el negocio (tiempo máximo de interrupción y máxima pérdida permitida de datos).
2. Análisis de riesgos: estima el riesgo potencial a los que pueden verse sometidos los sistemas de TI, evaluando el impacto asociado a la materialización de una amenaza y se definen las recomendaciones o los controles preventivos que permitan reducir o eliminar dicho riesgo.
3. Definición de las estrategias de recuperación: establece los escenarios de recuperación en función de las amenazas determinadas en el análisis de riesgos y los requerimientos de negocio definidos en el análisis de impacto. Se define el escenario tecnológico óptimo para soportar los procesos de negocio, atendiendo a las disponibilidades del servicio.
4. Desarrollo e implementación del Plan de Contingencias: una vez definida la estrategia de recuperación, el plan debe definir y establecer los procedimientos, manuales técnicos y checklists funcionales que restauren los servicios de TI (sistemas, operaciones y datos) después de una emergencia o afectación total o parcial de estos servicios. La implementación del plan consiste en la ejecución de las recomendaciones establecidas en el análisis de riesgos y el escenario tecnológico definido.
5. Prueba y mantenimiento del plan: las pruebas del plan son esenciales para identificar las deficiencias de planificación y preparación del personal. Además, el plan debe ser un documento vivo que se actualiza periódicamente para mantenerse al día con los cambios en los sistemas de TI.
FUENTE: Calidad en las TIC