Oficina con mesa de despacho y librerías

A continuación vas a aprender en qué consiste un elemento fundamental en la gestión de riesgos: el plan de contingencias. Un plan de contingencias es un instrumento de gestión que consiste en una serie de medidas a llevar a cabo de forma complementaria al funcionamiento habitual de la empresa. Su objetivo es garantizar la continuidad del negocio de una organización en caso de se produzca un impacto.

Para ello, un plan de contingencias se desarrolla en tres subplanos independientes:

Plan de respaldo: consiste en una serie de medidas preventivas. Su objetivo es simplemente tratar que no se materialicen las amenazas que puedan llegar a causar un impacto.
Plan de emergencia: en este caso, el momento de aplicar el plan es durante el desastre, por tanto, el objetivo en este caso es paliar los daños del ataque.
Plan de recuperación: como su propio nombre indica, en este caso se trata de recuperarse, restaurar el sistema y minimizar los daños tras un impacto.

Es de suma importancia que el personal de la empresa conozca perfectamente el plan de contingencias para actuar en consecuencia. De lo contrario, perdería gran parte de su sentido.

Además de especificar medidas organizativas, también recoge información acerca de las responsabilidades del personal, los materiales empleados para llevar a cabo las medidas, etc.

Ejercicio Resuelto

En este apartado hemos visto en qué cosiste un plan de contingencias. Basándote en lo anteriormente expuesto, ¿serías capaz de ilustrar el concepto con un ejemplo?

Retroalimentación

Supongamos una pequeña empresa dedicada al comercio electrónico. La infraestructura física de dicha empresa consiste en una serie de oficinas donde trabajan habitualmente sus empleados y empleadas y un par de servidores donde almacenan la mayor parte de la información. Todo ello se encuentra en la misma ubicación física.

Existen varias amenazas que pueden poner en peligro la integridad, confidencialidad y disponibilidad de la información, pero para este ejemplo, nos centraremos en una: un incendio.

Una vez que tenemos en cuenta una amenaza en concreto podemos hacer una evaluación del impacto que podría llegar a causar: pérdida de clientes, caída temporal del servicio traducida en pérdidas económicas (sin contar con el efecto sobre la reputación de la empresa), inversiones en nuevo equipamiento, etc.

El plan de contingencias debería reflejar una serie de contramedidas para evitar o paliar el impacto en la medida de lo posible. Por ejemplo, extintores, detectores de humo, un seguro de incendios, copias de seguridad de la información (almacenadas en otro lugar), formación del personal (por ejemplo realizando algún simulacro de incendio), etc.
Por último, los tres subplanes clasificarían las medidas de la siguiente manera:

Plan de respaldo: revisión de extintores, simulacro de incendios, realización de copias de seguridad, etc. Como puedes ver, son medidas preventivas.
Plan de emergencia: activación del sistema de extinción de incendios, restauración de las copias de seguridad, peritación del siniestro, etc. En este caso las medidas son tomadas durante el desastre o inmediatamente después.
Plan de recuperación: evaluación del impacto, reanudación de la actividad, tramitar indemnización de la compañía de seguros, etc.