Un plan de contingencia es un curso de acción diseñado para ayudar a una organización a responder de manera efectiva a un evento o situación importante en el futuro que puede suceder o no.
Un plan de contingencia a veces se denomina "Plan B", porque también se puede utilizar como una alternativa de acción si los resultados esperados no se materializan. La planificación de contingencias es un componente de la continuidad del negocio, la recuperación de desastres y la gestión de riesgos.
Los siete pasos descritos para un plan de contingencia de TI en la publicación NIST 800-34 Rev.1 son:
1. Desarrollar la declaración de política de planificación de contingencias. Una política formal proporciona la autoridad y la orientación necesarias para desarrollar un plan de contingencia eficaz.
2. Realizar el análisis de impacto empresarial (BIA). El BIA ayuda a identificar y priorizar los sistemas y componentes de información críticos para respaldar la misión / funciones comerciales de la organización.
3. Identificar controles preventivos. Las medidas tomadas para reducir los efectos de las interrupciones del sistema pueden aumentar la disponibilidad del sistema y reducir los costos del ciclo de vida de contingencia.
4. Crea estrategias de contingencia. Las estrategias de recuperación exhaustivas garantizan que el sistema se pueda recuperar de forma rápida y eficaz después de una interrupción.
5. Desarrollar un plan de contingencia del sistema de información. El plan de contingencia debe contener una guía y procedimientos detallados para restaurar un sistema dañado exclusivo para el nivel de impacto de seguridad del sistema y los requisitos de recuperación.
6. Asegúrese de planificar las pruebas, la formación y los ejercicios. Las pruebas validan las capacidades de recuperación, mientras que la capacitación prepara al personal de recuperación para la activación del plan y el ejercicio del plan identifica brechas en la planificación; combinadas, las actividades mejoran la eficacia del plan y la preparación general de la organización.
7. Asegurar el mantenimiento del plan. El plan debe ser un documento vivo que se actualice periódicamente para mantenerse al día con las mejoras del sistema y los cambios organizativos.