Imagen creada con Inteligencia artificial
En la vida cotidiana las personas desarrollan sus propios planes de contingencia que tienen como objetivo enfrentar situaciones límite que se presentan en determinados momentos de la existencia.
En este sentido, en las personas naturales, es común la tenencia de ahorros monetarios, por ejemplo, que permitan enfrentar este tipo de situaciones que se imponen y que deben encontrar una solución como única forma de seguir adelante.
Esto constituye un modelo actuación desde la prevención y es aplicable también a la respuesta de las organizaciones para enfrentar situaciones que se interponen en la continuidad de sus procesos socio-productivos y de sus misiones.
La existencia de incidentes que afectan las TIC y por ende el cumplimiento de las misiones institucionales, ponen ante la encrucijada de crear planes para enfrentar las contingencias o perecer como resultado de la aplicación de soluciones improvisadas, cuyos resultados pueden desencadenar efectos desastrosos. El ideal debe ser siempre, prevenir de antemano, para enfrentar las amenazas y riesgos que se detectan para tener al capital humano preparado en torno a que acciones deben desarrollarse en cada caso.
De esto se deriva que el plan de contingencias debe ser de conocimiento público y no dejar margen a la ambigüedad o interpretaciones que puedan distorsionar los efectos esperados.
Al igual que el plan de seguridad informática, el que se elabora para atender las contingencias se sustenta en el análisis de riesgos y la manera en que estos serán gestionados. Deben estar descritas las acciones en concordancia con el camino a seguir ante cada impacto.
Debe existir claridad sobre cuales incidentes serán enfrentados para su erradicación, cuales serán tratados para mitigarlos, en qué casos serán transferidos a terceros y cuáles serán considerados como aceptables, al ser parte de un riesgo residual.
Pero sobre todo debe estar claro, que al conocer de una amenaza, vulnerabilidad o riesgo, el ideal está encaminado a la prevención para que no ocurra y cuando no quede otra opción, entonces se elaboran las acciones a desarrollar en caso de su ocurrencia.
El plan de contingencias se enfoca a los aspectos que rebasan las posibilidades de prevenir de la organización. Ejemplo de estos son los terremotos, las inundaciones, las intensas lluvias, ciclones tropicales, caídas de voltaje o incidentes eléctricos, entre otros.
Un plan de contingencias debe atender todas las incidencias de una organización para lograr la eficiencia. Mientras mayor sea el espectro de los impactos posibles previstos, mayor será la preparación para enfrentar cualquier situación inesperada.
Para acometer la creación de un plan de contingencias, se debe partir de un conjunto de pautas que harán posible mantener un hilo lógico en el cumplimiento del objetivo.
1. Identificación de los riesgos. (Evaluación de ellos)
2. Análisis del impacto y probabilidad, que implica la clasificación de los riesgos según su impacto potencial y la probabilidad de ocurrencia para priorizar los más críticos.
3. Desarrollar una estrategia de respuesta, que implica desarrollar acciones estratégicas específicas para mitigar cada riesgo.
4. Asignación de responsabilidades, por la necesidad de definir roles y responsabilidades para cada estrategia de respuesta.
5. Comunicación y capacitación, donde es vital la información a todos y su capacitación para conocer las medidas a tomar en cada situación.
6. Realización de pruebas y simulacros, que permiten asegurar la actualización y eficiencia del plan y en caso de fallos ajustar sus acciones.
7. Revisión y actualización. En esta fase es vital la mejora del plan para asegurar el éxito de la organización ante cualquier impacto, pero desde el ideal de la prevención.
En el plan de contingencias debe tomar en cuenta entre los incidentes para los que se deben planificar acciones de enfrentamiento los siguientes:
1. Desastres naturales (terremotos, inundaciones, huracanes y tormentas). Esto implica la tenencia de protocolos de evacuación, planes y medidas de seguridad y de protección para el equipamiento y la infraestructura de datos.
2. Incendios, para los que debe atenderse la evacuación y la protección de los datos.
3. Fallas tecnológicas. En estas deben tomarse en consideración las fallas de energía, de hardware y software.
4. Ciberataques, donde deben ser atendidos de manera especial los que se producen a través del ransomware, las filtraciones de datos y la denegación de servicios.
5. Problemas de comunicaciones que atienden los aspectos vinculados a la conectividad y de forma especial la comunicación externa durante las fallas.
6. Fallas en la cadena de suministros por problemas de los proveedores, para lo que deben establecerse alternativas y para la logística que asegure un suministro de materiales, productos y servicios críticos.
7. Problemas con el personal. Se debe atender la ausencia de personal clave, por lo que debe haber previsión en la formación de sucesores. Esto debe acompañarse de acciones como el trabajo remoto y la continuidad de operaciones.
8. Incidentes de seguridad, que deben ser atendidos de manera especial, entre los que destacan los accesos no autorizados, el vandalismo y el robo.
La atención a estos aspectos permitirá asegurar una rápida recuperación con el mínimo impacto en la operatividad, pero siempre manteniendo la vista en la prevención.