Situaciones críticas en la empresa

Administración y Organización. Plan de contingencia. Crisis y respuesta. Procedimientos básicos usuarios. Designación responsabilidades

  • Enviado por: Mauricio Garzón
  • Idioma: castellano
  • País: México México
  • 12 páginas

publicidad
cursos destacados
Tablas financieras de uso permanente para no financieros
Tablas financieras de uso permanente para no financieros
Cómo realizar por uno mismo cálculos financieros: valor final de rentas financieras, capitalización, actualización,...
Ver más información

El Método Harvard de Negociación
El Método Harvard de Negociación
Extensamente empleado en todos los sectores, desde el ámbito laboral al mercantil pasando por conflictos sociales o...
Ver más información


1. PLAN DE CONTINGENCIA


  • Definición del Plan de Contingencia

  • Un Plan de Contingencia es una herramienta que ayudará a que los procesos críticos de una empresa u organización continúen funcionando a pesar de una posible falla en los sistemas computarizados necesarios para que se efectúen, en forma normal, dichas tareas críticas.

    Representa una especie de “salvavidas” indispensable para sobrevivir y seguir operando aunque sea al mínimo.

    1.2 Requerimientos del Plan de Contingencia

    El mayor problema de los Planes de Contingencia es que tienden a tratar sólo los grandes problemas de infraestructura y considera los inconvenientes se presentan uno a la vez.

    Las áreas que se deben tener en cuenta en un Plan de Contingencia son:

    Entorno: software, hardware, bases de datos, librerías de pruebas, infraestructura, reinfecciones (errores provenientes del exterior que pueden afectar sistemas previamente remediados).

    Clientes: información proveniente de ellos, información destinada a ellos, habilidad de la empresa para entregarles o distribuirles los productos.

    Suplidores, vendedores y servicios gubernamentales: habilidad de la empresa para seguir operando, para seguir brindándole los servicios necesarios.

    1.3 Aspectos fundamentales que se deben incluir en un Plan de Contingencia


    • El impacto potencial del problema

    • Priorizar la identificación de los sistemas, instituciones e industrias más críticas y con mayores riesgos.

    • Formular una estrategia para el manejo de en caso de emergencia.

    • Recomendaciones acerca de cómo informar al público acerca del problema.

    • La formación de grupos de trabajo para abordar el problema.

    • Plan para la recuperación de los grandes sistemas, ya sea para rediseñarlos, darles mantenimiento, etc.

    • El Plan de Contingencia se debe unirse al Plan de Preparación y Acciones ante desastres, junto con esfuerzos de mitigación y respuesta a crisis, Planes de Recuperación y Acciones de difusión.

    2. Las RAZONES de implementar el Plan de Contingencia

    Las entidades gubernamentales y privadas deben tener sus planes de contingencia por las siguientes razones:


    • Ayuda a administrar el riesgo

    • Minimiza dicho riesgo

    • Garantiza la continuidad del negocio

    • Demuestra una actitud diligente, comprometida y previsora departe de la empresa.

    • Contribuye a que las personas puedan manejar, de forma ordenada, solidaria y efectiva, los errores provocados.

    3. Guía General para un Plan de Contingencia


    • 3.1 Objetivo del Plan

    La continuidad de operaciones del negocio trata la noción de que una empresa debe estar en condiciones de sobrevivir a un desastre. Es decir, el objetivo de un Plan de Contingencia es el de asegurar la capacidad de la empresa para que, ante un desastre o situaciones de emergencia, pueda responder en forma eficaz y en un tiempo razonable, garantizando la continuidad de las operaciones.

    3.2 Componentes


    • Gerencia Superior: La Gerencia Superior debe elegir como desarrollar el plan. Comprometer los recursos a fin de asegurar de que se lleva a cabo. Asignar responsabilidad tanto en el desarrollo como la implementación del Plan, y fijar fechas objetivos para esos logros. La Gerencia debe insistir en una retroalimentación para asegurarse de que los Planes de Contingencia son en verdad operables y los procedimientos se mantienen actualizados.

    Además, en caso de producirse efectivamente una contingencia, requerirá un informe crítico que permita la evaluación y la actualización del Plan de acuerdo a los resultados obtenidos en la ejecución del mismo.

    • Gerencia Informática: Es responsable del desarrollo, prueba e implementación del Plan de Contingencias de los Sistemas Computarizados.

    • Gerencia Usuaria: Es el personal que debe actuar directamente ante el desastre. Su participación es esencial para identificar los Sistemas críticos y sus tiempos de recuperación crítica asociada, y la especificación de los recursos requeridos.

    • Gerencia de Auditoría Interna: Es responsable por coordinar y evaluar las diferentes funciones presentadas por los participantes para ensamblar el Plan y presentarlo a la Gerencia General para su aprobación y puesta en marcha.

    3.3 Procedimientos básicos del usuario y del procesamiento de datos

    La mayoría de los Planes se compilan como procedimientos que se desarrollan para dar margen de acción a las estrategias de recuperación del sistema, usuarios y red. Tales procedimientos deben incluir lo siguiente:


    • Acción de emergencia.

    Los procedimientos para reaccionar a las crisis, desde los procedimientos de activación de gas, hasta evacuaciones de emergencia.

    • Notificación.

    Los procedimientos para notificar a los gerentes pertinentes en caso de que se produzca un desastre.

    Por lo general se incluye una lista de números de teléfonos particulares y de emergencia.

    • Declaración del desastre.

    Los procedimientos relacionados con la evaluación del daño que sigue al desastre, los criterios para determinar si la situación constituye uno, y los procedimientos para declarar un desastre e invocar el plan pertinente.

    • Recuperación de sistemas.

    Los procedimientos que han de seguirse para restaurar los sistemas críticos y vitales a nivel de servicio de emergencia dentro de un marco de tiempo determinado de acuerdo con la estrategia de recuperación de sistemas definido en el plan.

    3.4 Personal decisorio clave

    El Plan debe contener un directorio de notificación del personal decisorio clave que se requiere para iniciar y llevar a cabo los esfuerzos de recuperación. Generalmente es una agenda telefónica de las personas que deben ser notificadas en el caso de un desastre. Esta agenda debería incluir la siguiente información:

    • Lista priorizada de contactos (a quién se llama primero).

    • Teléfonos y domicilios primarios y de emergencia para cada persona de contacto. Generalmente serán los líderes de equipos claves. Los líderes de equipos pueden ser responsables de contactar los miembros de su equipo.

    • Números telefónicos y domicilios de los representantes de vendedores de equipos y software.

    • Números telefónicos de contactos dentro de las empresas que se han designado para brindar insumos y equipos o servicios.

    • Números telefónicos de contactos en las instalaciones de recuperación, incluyendo representantes del hot-site o servicios de reruteo de comunicaciones de red predefinidos, etc.

    • Números telefónicos de los agentes de la empresa de seguros.

    • Números telefónicos de contactos en agencias de servicios de personal contratado.

    3.5 Back-up de Insumos Requeridos

    Deben proveerse todos los insumos necesarios para el esfuerzo de recuperación para que pueda continuarse con las actividades normales de negocios. Ello incluye procedimientos detallados actualizados impresos en papel que puedan ser seguidos con facilidad por el personal contratado que no está familiarizado con las operaciones estándares. También se necesita asegurar, en una sede distinta, un stock de formularios especiales tales como: formularios de cheques, formularios de requisiciones, etc.

    Si la función de carga de datos depende de cierto hardware y/o programas, debe proveer esos programas y equipo en el hot-site, incluyendo equipo y programas especializados de EDI (Electronic Data Interchange).

    3.4 Respaldo de Insumos Necesarios y Requeridos

    Se deben proveer todos los insumos necesarios para el esfuerzo de recuperación para que pueda continuarse con las actividades normales de negocios. Esto incluye procedimientos detallados, actualizados, impresos en papel que puedan ser seguidos con facilidad por el personal contratado que no está familiarizado con estas operaciones estándares. También se necesita asegurar, en una sede distinta, un stock de formularios especiales tales como: formularios de cheques, formularios de requisiciones, etc.

    Si la función de carga de datos depende de cierto hardware y/o programas, debe proveer esos programas y equipo, incluyendo equipo y programas especializados como EDI (Electronic Data Interchange).

    3.5 Designación de Responsabilidades

    A fin de implementar las estrategias que se han desarrollado para la recuperación del negocio, debe identificarse al personal clave en la toma de decisiones.

    Esas personas generalmente están a cargo de equipos que se crean como respuesta a funciones o tareas críticas definidas en el plan. Según el tamaño de la operatoria del negocio, tales equipos pueden designarse como funciones unipersonales.

    Los equipos son los siguientes:

    Brigada de acción ante una emergencia

    Equipo de primera respuesta, cuya primera función es enfrentarse a fuegos o situaciones de respuesta a emergencias.

    Una de sus funciones primarias es la evacuación ordenada del personal y proteger la vida humana.

    Equipo de evaluación de daños

    La función de este equipo es evaluar la extensión del daño después del desastre.

    El equipo debe incluir personas que tienen la capacidad de evaluar el daño y estimar el tiempo que se requiere para recuperar las operaciones de la sede afectada.

    Debe incluirse al personal calificado para la utilización de equipo de pruebas, conocimientos de sistemas y redes y con entrenamiento en las normas y procedimientos de seguridad.

    Asimismo, este equipo tiene la responsabilidad de identificar las posibles causas del desastre y su impacto sobre el daño, y el tiempo que puede estimarse estará fuera de funcionamiento.

    Brigada de administración de la emergencia

    Este equipo es responsable de coordinar las actividades de todas las otras brigada de recuperación y se encarga de las decisiones clave.

    Determina la activación del Plan de Contingencia.

    También tienen la función de hacer los arreglos de la financiación de la recuperación, de temas legales, y hacerse cargo de las relaciones públicas y las indagaciones de la prensa.

    Actúa como supervisor del desastre.

    Brigada de sede alternativa de almacenamiento

    Este equipo es responsable de obtener, acondicionar para transporte y enviar los medios magnéticos y los registros a la instalación de recuperación así como establecer y supervisar el cronograma de almacenamiento en la sede alternativa.

    Equipo de software

    Responsable de restaurar los paquetes de sistemas, carga y prueba del software de sistema operativo y resolver problemas en el ámbito de sistema.

    Brigada de Aplicaciones

    Viaja a la sede de recuperación de sistema y restaura los paquetes de usuarios y los programas de aplicaciones en el sistema de respaldo “backup”.

    Equipo de seguridad

    Monitorea en forma continuada la seguridad del sistema y los enlaces de comunicaciones, también resuelve los conflictos de seguridad que impiden la recuperación rápida del sistema.

    Brigada de Operadores de Emergencia

    Está constituido por los operadores y supervisores de turno que actuarán en la sede de recuperación de sistemas y administrarán la operación del sistema durante los proyectos de desastre y recuperación.

    Equipo de Restauración operativa de red

    Responsable de re-direccionar el tráfico de las comunicaciones de voz y el tráfico de las comunicaciones de datos y restablecer el control de la red en el host y acceso a la sede de recuperación.

    Da soporte permanentemente para las comunicaciones.

    Brigada de Telecomunicaciones

    Trabaja en la sede de recuperación junto al equipo de Recuperación de Red para establecer una red de usuarios / sistema.

    También es responsable de solicitar e instalar el hardware de telecomunicaciones, en la sede de recuperación.

    Equipo de transportes terrestre y/o aéreo

    Actúa como un equipo de instalaciones para ubicar la sede de recuperación de usuarios si uno ya no ha sido predeterminado y es responsable de coordinar el transporte de los empleados de la empresa a la sede de recuperación. Les informa a los mismos las nuevas ubicaciones del trabajo y horarios.

    Brigada de hardware para usuarios

    Ubica y coordina la entrega e instalación de terminales de usuarios, servidores, impresoras, máquinas de escribir, fotocopiadoras y otro equipo de computo que sea necesario.

    Equipo de preparación de datos y registros

    Actualiza la base de datos de aplicaciones que trabaja desde terminales instaladas en la sede de recuperación.

    Supervisa al personal contratado de carga de datos.

    Brigada de Soporte Administrativo

    Brinda respaldo de personal administrativo a todos los otros equipos y actúa como centro de mensaje para la sede de recuperación.

    Puede controlar las funciones de Contabilidad y Sueldo y Jornales, así como la administración continua de la instalación.

    Equipo de insumos

    Realiza contactos con los vendedores y coordina la logística de la provisión continua de insumos necesarios de oficina y computación.

    Brigada de salvamento

    Administrar la reubicación.

    Realiza una evaluación del daño a las instalaciones y equipo más detallada que la realizada inicialmente.

    Provee al equipo de Administración de la Emergencia la información requerida para determinar si la planificación debe ser dirigida a la reconstrucción o reubicación.

    Provee la información necesaria para presentar los reclamos de los seguros. Coordina los esfuerzos necesarios para el salvamento de registros

    Equipo de reubicación física

    Coordina el proceso de mudanza desde la sede de recuperación a la nueva ubicación o a la ubicación original restaurada. Esto involucra las operaciones de procesamiento, tráfico de telecomunicaciones, y las operaciones de usuario.


    • 3.6 Clasificación de Sistemas

    La clasificación de riesgos implica priorizar los sistemas críticos, de acuerdo con su sensibilidad al tiempo y su carácter crítico, que son necesarios para que se reanude el negocio luego de desastre. La identificación de los sistemas críticos generalmente surge de un ejercicio formal de análisis de riesgos.

    Lo que también surge es una determinación de la tolerancia del sistema.

    La tolerancia es la capacidad de enfrentar una interrupción de los sistemas. Ésta puede ser expresada como un valor monetario. Una baja tolerancia se expresa con un alto valor monetario o costo.

    Diversos grados de tolerancia llevan a una clasificación de los sistemas.

    Críticos: Estas funciones no pueden llevarse a cabo salvo que sean reemplazadas por capacidades idénticas. Las aplicaciones críticas no pueden ser reemplazadas por métodos manuales. La tolerancia a la interrupción es muy baja por lo que el costo de la misma es muy alto.

    Vitales: Estas funciones pueden ser realizadas manualmente pero solamente por un período breve. La tolerancia es mayor que la de los sistemas críticos, por ende los costos de interrupción son menores, siempre y cuando se restauren las funciones dentro de un marco temporal determinado (normalmente 120 horas o 5 días o menos).

    Sensibles: Estas funciones pueden realizarse en forma manual con costos tolerables por un largo período. Es un proceso difícil y exige mano de obra adicional para realizarse.

    No críticos: Estas funciones pueden ser interrumpidas durante un lapso largo, con poco o sin costo para la empresa, y exigen poco o ningún esfuerzo de “ponerse al día” cuando se restauran.

    • 3.7 Puesta a prueba del plan de continuidad del negocio

    La mayoría de las pruebas de contingencia son de escala menor que una prueba total de todas las porciones operativas de la empresa. Ello no debe incidir para no realizar una prueba exhaustiva total o parcial ya que el propósito de la prueba de recuperación de desastres es determinar hasta que punto funciona el plan o que partes han de mejorarse.

    La prueba debe tratar de realizar las siguientes tareas:


    • Verificación de que la información del plan de contingencia es completa y exacta.

    • Evaluación del rendimiento del personal involucrado en el ejercicio.

    • Evaluación del entrenamiento y percepción por parte de los miembros que no pertenezcan a la contingencia.

    • Evaluación de la coordinación entre el equipo de contingencia y los proveedores y vendedores externos.

    • Medición de la habilidad y capacidad de la sede de respaldo “back-up” para realizar el procesamiento prescrito.

    • Evaluación del estado y cantidad de los equipos e insumos que se han reubicado en la sede de recuperación.

    • Medición del rendimiento general de las actividades de operaciones y procesamiento de datos relacionados con mantener la capacidad del negocio.


    • 3.8 Ejecución de pruebas

    A fin de realizar la prueba, deben completarse las siguientes fases de prueba:

    Pre-prueba : El conjunto de acciones necesarias para armar el escenario para la prueba. Varía desde ubicar mesas en el área de recuperación correcta hasta la transporte del equipo telefónico de back-up. Estas actividades están fuera del alcance de aquellas que sucederían en caso de una emergencia real en que no existe pre-aviso del hecho y por lo tanto no existe tiempo para realizar acciones preparatorias.

    Prueba: Esta es la acción real de probar el plan de contingencia. Las operaciones reales se ejecutan para probar los objetivos específicos del plan de contingencia. Se realiza carga de datos, llamadas telefónicas, procesamiento de datos, órdenes de acarreo y movimiento de personal, proveedores y equipo. Los evaluadores hacen un examen de los miembros del personal mientras realizan las tareas designadas. Esta es la prueba del nivel de preparación para responder a la emergencia.

    Post-prueba: La limpieza de actividades grupales. Esta fase comprende tales asignaciones como devolver todos los recursos a su lugar correcto, desconexión del equipo y retorno del personal, borrar todos los datos de la empresa de los sistemas de terceros, así como evaluar formalmente el plan e implementar las mejoras indicadas.

    • 3.9 Documentación detallada de resultados de las pruebas

    Durante cada fase de la prueba, debe llevarse la documentación detallada de las observaciones, problemas y las soluciones. A menudo esta documentación actúa como importante información histórica que puede facilitar la recuperación real en caso de un desastre. Asimismo, la documentación contribuye a realizar un análisis detallado de las fortalezas y debilidades del plan.

    • 3.10 Análisis de resultados de pruebas

    Es importante tener formas de medir el éxito del Plan y Prueba en función de los objetivos expresados. Por ende, es importante que se midan los resultados cuantitativamente en contrario a la evaluación basada solamente en la observación.

    Las mediciones específicas varían según la prueba y la organización. Sin embargo, comúnmente estas mediciones generales son aplicables.

    Tiempo: El tiempo transcurrido para la terminación de las tareas definidas, entrega del equipo, reunión del personal y llegada a la sede predeterminada.

    Cantidad: La cantidad de trabajo que el personal administrativo y el personal de procesamiento de datos realiza en la sede respaldo “back-up”.

    Recuento: El número de registros vitales que fueron llevados con éxito a la sede de respaldo versus el número requerido y el número de insumos y equipo solicitado versus el realmente recibido. También puede medirse el número de sistemas que se recuperaron con éxito.

    Exactitud: La exactitud de la carga de datos en la sede de recuperación versus la exactitud normal (expresado en porcentajes). También puede determinarse la exactitud de los ciclos de procesamiento reales comparando los resultados de out-put con los del mismo período procesados en condiciones normales.

    3.11 Mantenimiento y actualización del plan

    Deben hacerse revisiones y actualizarse los planes para back-up para reconocer los requerimientos cambiantes.

    Ello se basa en que:

    Una estrategia que es adecuada en un momento puede no resultar adecuada a medida que cambian las necesidades de la organización

    Pueden adquirirse nuevas aplicaciones.

    Los cambios en la estrategia del negocio pueden alterar la importancia de las aplicaciones criticas o hacer que se consideren como criticas aplicaciones adicionales.

    Los cambios al ambiente de software o hardware pueden convertir en obsoleta o inapropiada las previsiones actuales.

    3.12 Compromiso de mantenimiento

    Desarrollo de un cronograma para revisiones y mantenimiento periódico del plan, asesorando al personal respecto a sus funciones y las fechas limites para recibir revisiones y sugerencias.

    Examen de las revisiones y sugerencias, ya actualización del plan dentro de treinta días de la fecha de revisión.

    Realizar arreglos y coordinar pruebas planeadas y no planeadas del plan de recuperación de desastres para evaluar su adecuación.

    Planificación en pruebas planeadas del plan cuatro veces por año en fecha determinadas.

    Desarrollo de un cronograma de entrenamiento del personal de recuperación en procedimientos de emergencia y recuperación según lo especifica el plan de recuperación.

    Llevar los registros de las actividades de mantenimiento del plan de recuperación.

    Actualizar el Directorio de Notificación respecto de todos los cambios de personal, incluyen números telefónicos, responsabilidades, o cargo dentro de la empresa

    3.13. Verificación del Plan

    Cuando se hace la revisión del plan desarrollado, el Auditor de sistema debe verificar que son evidentes los elementos de un plan bien desarrollado.

    Debe realizarse una verificación especifica de la información contenida dentro del plan.

    Obtenga una copia del Plan o manual de Recuperación de Desastre.

    Realice un muestreo de las copias distribuidas del manual y verifique que están actualizadas.

    Evalúe la eficacia de los procedimientos documentados para iniciar el esfuerzo de recuperación y desastre.

    Revise la identificación y el soporte planificado de las aplicaciones criticas, incluyendo sistemas basados en PC o desarrollados por usuarios finales.

    - Determine si se han revisado todas las aplicaciones en busca de su nivel de tolerancia en caso de un desastre.

    - Determine si se han identificado todas las aplicaciones.

    Revise la corrección y exhaustividad de las lista de personal de recuperación de desastres, contactos de emergencia con el hot-site, contactos de emergencia con proveedores, etc.

    - En la practica realice llamados a una muestra de la gente indicada y verifique de sus números de teléfono y domicilio son correctos y que poseen una copia del manual de recuperación de desastre

    - Entrevístelos para obtener una comprensión de las responsabilidades que tienen asignadas en una situación de desastre.

    Evalúe el procedimiento para actualizar el manual.

    PLAN DE CONTINGENCIA

    Pagina

    PLAN DE CONTINGENCIA

    Pagina

    PLAN DE CONTINGENCIA

    Pagina

    PLAN DE CONTINGENCIA

    Pagina

    PLAN DE CONTINGENCIA

    Pagina

    PLAN DE CONTINGENCIA

    Pagina

    PLAN DE CONTINGENCIA

    Pagina

    PLAN DE CONTINGENCIA

    Pagina

    PLAN DE CONTINGENCIA

    Pagina

    PLAN DE CONTINGENCIA

    Pagina