Capítulo II : Fases de la Metodología para el Desarrollo de un Plan de Contingencia de los Sistemas de Información

Publicado: marzo 5, 2013 en GUIA PARA ELABORAR UN PLAN DE CONTINGENCIA INFORMATICO

Debemos de tener presente que mucho dependerá de la infraestructura de la empresa y de los servicios que ésta ofrezca para determinar un modelo de desarrollo de plan, no existe un modelo único para todos, lo que se intenta es dar los puntos más importantes a tener en cuenta.

La metodología empleada para el desarrollo y aplicación del plan de contingencias de los sistemas de información, ha sido desarrollada por el INEI, en base a la experiencia lograda en el desarrollo de planes de contingencia para el problema del año 2000.

La presente metodología se podría resumir en ocho fases de la siguiente manera:

Planificación: preparación y aprobación de esfuerzos y costos.

Identificación de riesgos: funciones y flujos del proceso de la empresa.

Identificación de soluciones: Evaluación de Riesgos de fallas o interrupciones.

Estrategias: Otras opciones, soluciones alternativas, procedimientos manuales.

Documentación del proceso: Creación de un manual del proceso.

Realización de pruebas: selección de casos soluciones que probablemente funcionen.

Implementación: creación de las soluciones requeridas, documentación de los casos.

Monitoreo: Probar nuevas soluciones o validar los casos.

FASE 1 : PLANIFICACION

Diagnóstico

Cada vez que nos encontremos en una actividad que requiere el diseño de una propuesta de solución para un determinado problema, es necesario siempre la revisión exhaustiva de cada uno de los componentes que conforman nuestro sistema, es por esta razón siempre debemos de realizar una etapa de diagnostico para poder asegurar que las acciones de solución propuestas tengan un fundamento realista y no tener que volver a rehacer toda propuesta.

Organización Estructural y Funcional.

En este aspecto se deben describir y analizar las Direcciones, Gerencias o dependencias en las que se divide la empresa o institución haciendo referencia de las funciones más importantes que desempeñan cada una de ellas, priorizando tales funciones en relación al sistema productivo de bienes o servicios que desarrollan.

Estas Entidades tienen Organigramas que se rigen por Manuales de Organización y Funciones.

Servicios y/o Bienes Producidos.

En este punto se hará referencia sobre los bienes y/o servicios que produce a empresa o institución según el orden de importancia por la generación de beneficios. Si la empresa produce más de un bien la prioridad será determinada según el criterio de los Directivos.

Además se debe elaborar un directorio de clientes priorizando de acuerdo a la magnitud de los bienes o servicios que consumen. También se harán un breve análisis del mercado de consumo de los bienes y servicios producidos, identificando las zonas o sectores de mayor consumo.

Servicios y Materiales Utilizados.

Con relación a los servicios utilizados se debe elaborar un directorio de empresas o instituciones que abastecen de energía, comunicación, transporte, agua, salud y otros servicios resaltando la importancia de ellos en el sistema de producción de la entidad y verificando la seguridad de los servicios sin problemas de afectación por algún tipo de problema.

También debe hacerse un directorio de todas las entidades abastecedoras de materias primas o insumos para la producción de información.

Inventario de Recursos Informáticos.

El inventario de recursos informáticos se realizará por dependencias y en forma clasificada:

Computadoras: 386, 486 y las Pentium, impresoras, scanners, etc.

Programas: De sistemas operativos, procesadores de textos, hojas de cálculo, lenguajes de programación, software de base.

Aplicativos Informáticos: Del sistema de Contabilidad, de Trámite Documentario, Planillas, Almacén, Ventas, Presupuesto, Personal.

Equipos Empotrados: De Industrias: Hornos y envasadoras. De Banca y Seguros, Cajeros automáticos y bóvedas. De Oficinas, Centrales telefónicas.

Estos inventarios deberán hacerse a través de formularios sistemáticamente elaborados.

El procesamiento de este inventario puede ser de dos tipos:

Proceso Automatizado.- Utilizando herramientas informáticas de diferente nivel, grado de detalle y costo, que pueden acelerar el tiempo de la toma del inventario, procesamiento de datos y emisión de resultados.

Proceso Manual.- Utilizando formatos de recopilación de información. El conocimiento del Inventario de estos recursos nos permitirá hacer una evaluación de los riesgos de la operatividad de los sistemas de información. Cada formato consta de dos partes:

  • Datos componentes: Donde se registran los datos básicos de ubicación, identificación y características primarias, así como también su importancia, compatibilidad y adaptabilidad.
  • Análisis del proceso de adaptación del componente:
  • Incluye datos de costos, fecha de culminación, medios utilizados y medidas de contingencia.

Planificación

La fase de planificación es la etapa donde se define y prepara el esfuerzo de planificación de contingencia/continuidad. Las actividades durante esta fase incluyen:

  • Definición explícita del alcance, indicando qué es lo que se queda y lo que se elimina, y efectuando un seguimiento de las ambigüedades. Una declaración típica podría ser, “La continuidad de los negocios no cubre los planes de recuperación de desastres que ya fueron emitidos.”
  • Definición de las fases del plan de eventos (por ejemplo, los períodos preevento, evento, y post-evento) y los aspectos sobresalientes de cada fase.
  • Definición de una estrategia de planificación de la continuidad del negocio de alto nivel.
  • Identificación y asignación de los grupos de trabajo iniciales; definición de los
  • roles y responsabilidades.
  • Definición de las partes más importantes de un cronograma maestro y su patrón principal.
  • Identificación de las fuentes de financiamiento y beneficios del negocio; revisión del impacto sobre los negocios.
  • Duración del enfoque y comunicación de las metas y objetivos, incluyendo los objetivos de la empresa.
  • Definición de estrategias para la integración, consolidación, rendición de informes y arranque.
  • Definición de los términos clave (contingencia, continuidad de los negocios, etc.)
  • Desarrollo de un plan de alto nivel, incluyendo los recursos asignados.
  • Obtención de la aprobación y respaldo de la empresa y del personal gerencial de mayor jerarquía. Provisión de las primeras estimaciones del esfuerzo.
  • El plan debe ser ejecutado independientemente de las operaciones y procedimientos operativos normales.
  • Las pruebas para el plan serán parte de (o mantenidas en conjunción con) los ejercicios normalmente programados para la recuperación de desastres, las pruebas específicas del plan de contingencia de los sistemas de información y la realización de pruebas a nivel de todos los clientes.
  • No habrá un plan de respaldo, y tampoco se dará una reversión ni se podrá frenar el avance del plan de contingencia.
  • Si ocurre un desastre, una interrupción, o un desfase de gran magnitud en los negocios de la empresa durante el período del calendario de eventos, se pondrán en práctica los planes de continuidad de los negocios o de contingencia.
  • Si la organización ha puesto en moratoria los cambios al sistema, se deben permitir las excepciones a dicha moratoria solamente para los cambios de tipo regulador o para los problemas más importantes que afecten la producción o las operaciones de la empresa, y solamente después de haber obtenido la aprobación del nivel ejecutivo.

FASE 2 :

IDENTIFICACION DE RIESGOS

La Fase de Identificación de Riesgos, busca minimizar las fallas generadas por cualquier caso en contra del normal desempeño de los sistemas de información a partir del análisis de los proyectos en desarrollo, los cuales no van a ser implementados a tiempo.

El objetivo principal de la Fase de Reducción de Riesgo, es el de realizar un análisis de impacto económico y legal, determinar el efecto de fallas de los principales sistemas de información y producción de la institución o empresa.

Análisis y Evaluación de Riesgos

Es necesario reconocer y reducir de riesgos potenciales que afecten a los productos y servicios; es por ello que se considera dentro de un Plan de Contingencia, como primer paso la Reducción de Riesgos, para favorecer el cumplimiento de los objetivos institucionales.

El análisis y evaluación de riesgos se desarrolla en 2 situaciones

 

1-    Para entidades que desarrollan Planes de Contingencias su plan de adaptación y no tienen soluciones adecuadas.

Para aquellas entidades que están realizando Planes de Contingencia, el análisis y evaluación de riesgos consta de:

  • Evaluar el impacto de los procesos críticos.
  • Valorar la certificación de los proveedores
  • Privilegiar proyectos, eliminando aquellos que resultan extemporáneos.
  • Detectar deficiencias ante cambios en los sistemas afectados.
  • Guardar copias de información empresarial mediante convenios de soporte.

2-    Entidades que a la fecha no han tomado previsión.

Para aquellas entidades que no están realizando Planes de Contingencia, el análisis y evaluación de riesgos consta de:

  • Realización un diagnóstico integral del Sistema de Información.
  • Elaborar una lista de Servicios afectados evaluando su importancia, magnitud del impacto, cuantificar con niveles A, B, C u otro.
  • Identificar todos los procesos de los servicios afectados.
  • Analizar sólo los procesos críticos de los servicios.

 

Identificar los Procesos Críticos

Al igual que las situaciones de falla, las alternativas pueden ser infinitas. Por ende,  se deben identificar muchas para ser capaces de seleccionar las mejores opciones de contingencia. Comience por los riesgos ya identificados como prioridades máximas porque causarían el mayor impacto negativo en los servicios y en las funciones críticas de su organización.

Análisis de las Operaciones Actuales

El análisis de operación del método actual de trabajo (es decir, cómo y en qué orden su organización obtiene funciones comerciales) puede revelar las oportunidades para reducir, eliminar o simplificar ciertas operaciones o procesos. Algunas funciones probablemente pueden ser realizadas por terceros sin pérdida de control. Probablemente pueden reducirse algunas operaciones en términos de pasos e interfaces que ellos requieren. Un almacén parcialmente automatizado puede requerir 24 acciones manuales separadas para llenar una orden grande. Si la organización puede cortar esto en 33 por ciento, a 16 acciones manuales, la eficiencia incrementada puede liberar algunos recursos que pueden usarse en otra parte. Por supuesto, tales acciones van de la mano con la capacitación. Desde el punto de vista de los sistemas de información, tales consideraciones pueden ser cruciales porque puede haber una necesidad de revertir a las operaciones manuales y en ciertos casos sostener las operaciones existentes.

Si consideramos que “No existe producto y/o servicio sin un proceso. De la misma manera, que no existe proceso sin un producto o servicio”. Aunque no todos los procesos generan un producto o servicio útil (creando valor agregado) para la institución. Por lo que es necesario realizar un análisis de las operaciones y los procesos que involucran.

 

  • Organización. Cualquier grupo, empresa, corporación, planta, oficina de ventas, etc.
  • Función. Un grupo dentro de la organización funcional. Funciones características serían ventas y mercadeo, contabilidad, ingeniería de desarrollo, compras y garantía de calidad.
  • Proceso. Cualquier actividad o grupo de actividades que emplee un insumo, le agregue valor a éste y suministre un producto a un cliente externo o interno. Los procesos utilizan los recursos de una organización para suministrar resultados definitivos.
  • Proceso de producción. Cualquier proceso que entre en contacto físico con el hardware o software que se entrega a un cliente externo, hasta aquel punto en el cual el producto se empaca (por ejemplo, fabricación de computadoras, preparación de alimentos para el consumo masivo de los clientes, refinación de petróleo, transformación de hierro en acero). Esto no incluye los procesos de embarque y distribución.
  • Proceso de la empresa. Todos los procesos de servicios y los que respaldan a los de producción (por ejemplo, de pedidos, proceso de cambio en ingeniería, de planilla, diseño del proceso de manufactura). Un proceso de la empresa consiste en un grupo de tareas lógicamente relacionadas que emplean los recursos de la organización para dar resultados definidos en apoyo de los objetivos de la organización.
  • Al emplear estas definiciones, se puede observar que casi todo lo que hacemos es un proceso y que los procesos de la empresa desempeñan un papel importante en la supervivencia económica de nuestras organizaciones.
  • En todas las organizaciones existen, literalmente, centenares de procesos que se realizan diariamente. Más del 80% de éstos son repetitivos, cosas que hacemos una y otra vez. Estos procesos repetitivos (áreas administrativas, manufactureras e intermedias) pueden y deben controlarse, en gran parte, tal como se vigilan los de manufactura. Se manejan muchos procesos de las instituciones y empresas que son tan complejos como el proceso de manufactura.

 

Uso de la Técnica de Análisis de Procesos

Consideremos para el uso de la técnica de análisis de procesos:

  • El ciclo de vida empieza con la descripción de un proceso basado en las metas del proyecto, mientras se utilizan los recursos descritos del proceso.
  • El proceso se fija al asignar los recursos.
  • El proceso puede instalarse en una máquina o pueden ser procedimientos a seguir por un grupo de personas.
  • El proceso es supervisado y medido durante su uso.
  • Los datos obtenidos de esta medida se evalúan durante todo el tiempo que se desenvuelva el proceso. Una descripción del proceso existente puede empezar con un informe actual, obtenido de la supervisión y documentación del proceso.

 

El Proceso de Dirección del Ciclo de Vida en la Figura muestra la descripción de los componentes del proceso y la producción de los principales insumos de trabajo. La descripción del proceso funcionalmente se descompone en él:

1. Análisis del Proceso

2. Plan del Proceso

3. Aplicación del Proceso.

El Análisis del proceso involucra identificación, mientras se analiza el proceso, y los requisitos del proceso. El Plan del proceso involucra el modela miento de la arquitectura y la descomposición funcional del proceso. La Aplicación del proceso involucra llevar a cabo el plan del proceso para crear tareas a realizarse y proporcionar la capacitación necesaria para las personas que realicen dichas tareas. También la aplicación del proceso involucra la preparación del proceso para su actuación en la empresa o institución, el proceso consiste en los detalles específicos del proyecto y fijar los recursos necesarios.

 

Diagrama del Proceso Descompuesto

A continuación presentamos una lista de procesos típicos de las empresas definidos por IBM. Esto ayudará a definir los procesos de la empresa.

  • Manejo de índices.
  • Diseño de sistemas de control.
  • Desarrollo de comunicaciones avanzadas
  • Diseño de componentes de cable
  • Prueba de diseño
  • Revisión de diseño y materiales
  • Revisión de documentos
  • Especificación de diseño a alto nivel
  • Coordinación entre divisiones
  • Diseño lógico y verificación
  • Calificación de componentes
  • Diseño del sistema de energía
  • Divulgación del producto
  • Confiabilidad y utilidad del sistema
  • Requerimiento del sistema
  • Diseño interactivo de sistemas para el usuario
  • Análisis de la competencia
  • Apoyo de los sistemas de diseño
  • Desarrollo de la información
  • Instrumentos de diseño físico
  • Diseño de sistemas
  • Gerencia de cambio en ingeniería

Es el procedimiento por el cual se estudian los procesos dentro de una secuencia (Línea de producción) de producción o provisión de servicios, que a continuación son presentados, teniendo en consideración:

  • Las Funciones Institucionales.
  • Los procesos derivados.
  • Los subprocesos.

FASE 3 :

IDENTIFICACIÓN DE SOLUCIONES

Un proyecto de plan de contingencia no sirve si se queda en plan o papel. Un plan de contingencias debe contemplar todos los procesos institucionales sean estos manuales y/o automatizados, evaluando el volumen de información o materiales afectados, a fin de definir la complejidad de los sistemas.

La magnitud, de un plan de contingencia será proporcional a la complejidad, importancia, costo del servicio al cual está destinado a proteger y el riesgo asociado a la misma. El esquema general del plan de contingencias de los sistemas de información, está constituido por 3 grandes fases:

1. Fase de Reducción de Riesgos

2. Fase de Recuperación de Contingencia

3. Fase de Organización de un Sistema de Alerta contra Fallas

Se debe tener en cuenta al determinar los objetivos, en qué parámetros generales se va a basar, para poner en operación el plan de contingencias.

En cualquier caso, sus planes deben identificar dependencias e impactos y, al mismo tiempo, los recursos necesarios para implementar cada alternativa de contingencia. Se deben buscar alternativas “creativas”, que logren el efecto de mitigar el impacto en caso de una falla. En la siguiente tabla se muestra la matriz del plan de contingencia y algunos ejemplos.

Matriz de planificación de contingencia y ejemplos

 

 

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s