gestión de continuidad -...

Gestión de Continuidad...1

Gestión de ContinuidadAlejandro Teruel

Versión 1.4

8 de noviembre 2011Versión previa: 02 de agosto 2011

IntroducciónVivimos en un mundo imperfecto donde lamentablemente ocurren eventos dañinos. Si su impacto es relativamente menor podemos tratarlo como un incidente, en caso contrario podemos estar en presencia de un desastre. Algunos de estos eventos son de origen natural mientras que otros, denominados antropogénicos, son causados o potenciados por personas, en forma intencional o no.

La posición de los muy optimistas es que estos eventos nunca le pasarán, la posición de los muy pesimistas es que ocurrirán pero que no vale la pena hacer nada al respecto. Si tomamos en cuenta adecuadamente la posibilidad que ocurran estos eventos, podemos tomar medidas antes, durante y después de estos eventos para reducir la posibilidad de que ocurran, la severidad de los daños que puedan causar o el esfuerzo y tiempo que necesitamos para recuperarnos parcial o totalmente de ellos.

Defensa Civil (denominada oficialmente en Venezuela Protección civil y administración de desastres) es un interesante modelo a seguir para el administrador de servicios informáticos. El postulado básico de Defensa Civil, a nivel internacional, es “salvaguardar la vida de las personas, sus bienes y el entorno” (Wikipedia). Podemos distinguir:

• Acciones a realizar antes del evento;

• Acciones a realizar durante el evento;

• Acciones a realizar después del evento.

Las acciones previas incluyen:

• Acciones preventivas de corto, mediano y largo plazo que buscan evitar la ocurrencia de los eventos dañinos o aminorar el impacto que pudieran tener.

• Acciones de vigilancia y alerta.

Las acciones a realizar durante la ocurrencia del evento, es decir durante la emergencia, pueden ser de coordinación, de atención y de mitigación de impactos. Estas acciones pueden ser reactivas y/o proactivas.Las acciones que se realizan después del evento incluyen acciones de reanudación, recuperación, reconstrucción y evaluación.

El administrador de servicios informáticos debe prepararse para contingencias de variada índice, a título personal, familiar, profesional y ciudadano. Esto incluye prepararse para enfrentar posibles dilemas debidos a las responsabilidades asociadas con estos diferentes roles. ¿Qué hacer si una descarga eléctrica daña un servidor crítico bajo la responsabilidad directa del administrador cuando debe ir a buscar su hijo de dos años a la guardería porque está enfermo?


La mayoría de las metodologías de gestión de servicios informáticos como ITIL se centran en el problema de la continuidad de funcionamiento del sistema de recursos (informáticos) en el contexto de la continuidad de los procesos críticos de continuidad organizacional (o de negocios). Sobresimplificando, ¿qué hago por los recursos informáticos, para que el proceso crítico del negocio o siga funcionando o vuelva a funcionar en un tiempo aceptable al menor costo y esfuerzo posible? El modelo de servicios centrado en procesos sugiere que podemos crear un mapa o matriz de acciones a realizar para lograr tal continuidad e incorporar tales compromisos en los acuerdos de niveles de servicio:

Acciones previas Acciones durante la emergencia

Acciones posteriores

PrestadorClienteInsumosBeneficiosContraprestacionesSistema de recursosPuntos de contactoIntegraciónValores

EjemplosConsidere los siguientes eventos y determine si pueden considerarse como desastres,así como las acciones que deben realizarse en las tres etapas en vista de tales eventos:

1. A final de la década de 1980, el centro de computación de la Fuerza Aérea venezolana en la base de La Carlota se inundó debido al desborde de una quebrada cercana a ella.

2. En los deslaves de Vargas en diciembre 1999, las oficinas de admisión y control de estudios de lo que se conocía como el Núcleo (actualmente Sede) del Litoral de la Universidad Simón Bolívar quedaron destruidas.

3. En el valle de Sartenejas, donde se encuentra otra de las sedes de la Universidad Simón Bolívar, caen rayos. La sobrecarga ocasionado por un rayo dañó varios servidores y enrutadores.

4. A pocos días de un evento electoral importante, un contratista que usaba un martillo hidráulico para acelerar la remoción de una vieja y deteriorada capa de impermeabilizante, atravesó la placa del techo y cortó el cable que alimentaba una sala de totalización de votos.

5. Un administrador de sistemas descubrió indicios de acceso no autorizada a datos confidenciales en un servidor departamental que contenía un examen departamental, pocas horas antes que estuviera previsto hacerle el examen a ochocientos estudiantes.

6. Debido a imprevistos, un equipo de desarrollo de software se da cuenta, el 30 de octubre, que es sumamente probable que no pueda culminar el sitio de comercio electrónico en la fecha


acordada con el cliente (30 de noviembre), última fecha en que puede hacerse el lanzamiento a tiempo para las ventas navideñas.

7. Una hora antes de abrir el proceso de inscripción/publicación de resultados del examen de admisión, a la directora de Admisión y Control de Estudios, le informaron que el sistema no lograba iniciarse porque un módulo de autenticación no funcionaba. El único técnico que puede revisar y corregir este problema no podía localizarse. Posteriormente descubrió que estaba hospitalizado.

8. La dirección responsable del resguardo de documentos y archivos legales e históricos críticos de una institución descubrió que el jefe de un departamento que no está a su cargo, inconsultamente decidió que requería espacio para archivos y destruyó documentos que él consideraba duplicados, obsoletos o sin importancia.

9. Una dirección del Museo Británico respaldó las digitalizaciones que se habían hecho durante varios años de una parte de su colección, que es patrimonio de la humanidad. Pasaron varios años y la dirección se dio cuenta que el formato de digitalización se había vuelto obsoleto y que ya no contaba con equipos capaces de leer las digitalizaciones hechas ni sus respaldos.

Finalmente un ejemplo más personal. ¿Cómo respalda usted los archivos digitales personales que considera importante? ¿Cuán al día están sus respaldos? Si se daña su máquina ¿puede recuperar los archivos? ¿Si se daña la máquina, cómo procede usted a acceder los respaldos? Si durante ese proceso de recuperación de archivos de los respaldos se dañan sus respaldos, ¿puede recuperar los archivos o los pierde?

Objetivo claveToda institución lleva a cabo actividades que son críticas para sobrevivir y para cumplir su misión. Son críticas en cuanto a que dejar de llevar a cabo tales actividades más allá de un cierto período, producen pérdidas inaceptables para la institución. La gestión de la continuidad institucional (que se suele denominar gestión de la continuidad del negocio) se encarga de planificar y ejecutar las acciones necesarias para que las actividades críticas no sean interrumpidas o, en todo caso, se minimicen las pérdidas inaceptables.

Un servicio informático o informatizado puede contribuir a las actividades críticas de la organización prestadora del servicio o a las actividades críticas de la institución del cliente. La gestión de continuidad de servicios informáticos ( informatizados) planifica y ejecuta las acciones necesarias para que las actividades críticas institucionales puedan continuar en un plazo aceptable a pesar del daño o las fallas que pueda presentar el servicio.

La gestión de disponibilidad de servicios planifica y ejecuta acciones que atienden incidentes que pueden ser controlados antes que impactos a las actividades críticas institucionales, mientras que la gestión de continuidad de servicios lidia con eventos catastróficos cuyo alcance potencialmente sobrepasa el ámbito netamente informático. En la práctica, la frontera entre gestión de disponibilidad y gestión de continuidad es bastante fluida, por lo que ambas funciones deben trabajar de manera integrada. La falla de un servidor es un evento relativamente predecible y por ende una buena gestión de disponibilidad debería lograr resolverla, evitando que la falla escale a nivel que el evento necesite considerarse y tratarse como catastrófico. Un incendio, inundación, sismo u otro evento capaz de destruir o hacer fallar múltiples recursos informáticos y no informáticos de un servicio e impactar la continuidad institucional pertence al alcance de la gestión de continuidad informática e institucional.


Dado el rol clave de los desastres, el objetivo clave de la gestión de continuidad es evitar, en la medida de lo posible, desastres prevenibles y aminorar el impacto de los desastres sobre la disponibilidad de servicios críticos institucionales. Aminorar tal impacto implica:

• Garantizar la pronta recuperación de los servicios críticos de tecnología informática tras un desastre.

• Establecer políticas y procedimientos que eviten, en la medida de lo posible, las consecuencias negativas de un desastre o causa de fuerza mayor en las actividades críticas institucionales del prestador o el cliente.

Formalmente:

El objetivo de la Gestión de Continuidad de los Servicios de Tecnología Informática es proporcionar el soporte necesario a la Gestión de Continuidad de la Organización (Business Continuity Management) asegurando que los servicios requeridos de infraestructura y servicio de TI puedan ser reestablecidos en un máximo prestablecido de tiempo después de la ocurrencia de un desastre.

Bon et al [2005]

Síntomas de gestión inadecuada de este proceso[Dejar que estudiantes sugieran, inicialmente y luego repasar y completar al final de la clase.]

1. No hay planes de contingencia.

2. Los incidentes escalan fácil y frecuentemente a desastres.

3. Las emergencias son frecuentes.

4. Nadie sabe qué hacer en una emergencia o impera la confusión e inconsistencia de acciones.

5. No se localiza a personal clave.

6. No hay ejercicios de contingencia (emergency drills).

7. No se revisan y actualizan los planes de contingencia.

8. En caso de emergencia no se encuentran componentes requeridos o se encuentran pero no funcionan adecuadamente.

Reto más significativoDedicar tiempo, esfuerzos y recursos a la planificación y ejercitación de acciones ante contingencias. En la práctica la urgencia e inercia de lo cotidiano incide en el descuido de este tipo de actividades. Como muestra basta un botón: el descuido de los respaldos personales por parte de muchos usuarios y profesionales de la computación...

También es importante que el responsable de los planes de contingencia no pierda credibilidad al exagerar las amenazas o insistir en la producción de planes sobre-elaborados y poco factibles.


Actividades de la Gestión de Continuidad

Identificación de servicios críticosDeterminar, desde el punto de vista de la organización, ¿cuáles son los servicios que se consideran críticos? Con la ayuda de la base de configuración e información sobre la capacidad de los recursos y procesos, se pueden identificar los componentes críticos de estos servicios.

Evaluación de riesgosUna vez identificados los activos o componentes críticos (assets), se analizan las amenazas a esos componentes se estima la vulnerabilidad (alta, media y baja) de esos componentes críticos ante tales amenazas.

En teoría, los riesgos se estiman tomando en cuenta el producto de la probabilidad de ocurrencia de la amenaza por un estimado del impacto que los componentes dejen de funcionar o funcionen mal –como se esperaría, en ambientes de negocio, es usual utilizar como medida de impacto un estimado de pérdida monetaria. En la práctica podemos aplicar un doble umbral, es decir sólo proceder a analizar los componentes de alto impacto crítico que a la vez sean muy o medianamente vulnerables.

Los riesgos menores pueden considerarse responsabilidad de la Gestión de Incidentes, la Gestión de Problemas y la Gestión de Disponibilidad.

Es usual también recurrir a una lista de amenazas y riesgos, algunas de las cuáles serán específicos al negocio. OGC[2001] presenta las siguientes listas, que ha sido ligeramente adaptada a nuestro medio:

Riesgo AmenazaPérdida de recursos internos de TI Incendio

Falla o daño eléctricoVandalismoInundaciónImpacto vehicular (carro, avión...)Fenómeno climático (p. ej. huracán)TerremotoDesastre ambientalAtaque terroristaSabotaje o ataque hackerFalla técnicaDaño accidentalSoftware de baja calidad (!)Calor y humedadManejo inadecuado de sustancias peligrosasOperación inadecuada


Riesgo AmenazaPérdida de sistemas externos Cualquiera de las anteriores

Demanda excesiva de serviciosAtaques, incluyendo por negación de servicioFalla técnica

Pérdida de datos o archivos Falla técnicaError humanoAtaque

Pérdida de servicios de red Daños o negación en acceso a servicios de redPérdida de servicio debido a problemas en el proveedorAtaque

Personal clave no está disponible ParoNegación de acceso a instalacionesRenunciaAccidente/enfermedadDificultades de transporteIncomunicado (celular sin pila, apagado, ....)Atiende otra falla crítica

Falla de proveedores Falla empresarial (e.g. bancarrota)Negación de acceso a instalacionesPersonal del proveedor no está disponibleIncumplimiento de acuerdo de servicio

Si bien los medios tienden a reportar los daños causados por las grandes fuerzas de la naturaleza como huracanes, inundaciones y terremotos, Schliesser[2002] recuerda que la mayoría de las interrupciones catastróficas de servicios se deben a incidentes relativamente pequeños y localizados: una tubería de agua que se revienta o una falla eléctrica inhabilita un dispositivo1.

1 Hinds[2010] entrevistó al experto ambiental venezolano Juan Carlos Sánchez quien indicó que “...en Venezuela ocurrieron 14 catástrofes naturales de origen hidrometereológico entre 1987 y 2008, lo cual arroja una frecuencia de 1 cada 18 meses.” La Fundación Venezolana de Investigaciones Sismológicas (Funvisis) considera que los eventos hidrometereológicos son responsables del 87% de los fallecidos y 98% de las viviendas destruidas por desastres naturales en Venezuela. El mismo artículo menciona que además de los catorce sucesos que se consideraron catástrofes por su magnitud, en el mismo período en Venezuela ocurrieron 1,429 sucesos de menor escala, o sea 65 eventos hidrometeorológicos por año.


Figura 1: Diagrama de Ishikawa de Actividades Claves en la Gestión de Continuidad

Gestión de continuidad

Elaborar eimplantar Plan de

Contingencia(actualizado)

Ejercitar Plande Contingencia

Monitorear (condiciones

normales)

Ejecución durante

contingencia Cierrepost-contingencia

Análisis impactoinstitucional

Acordar estrategiasAcordar tácticas

Acordar logística

Preparar soporte

Identif activ críticas Institucionales

Identificarriesgos

Identificaramenazas

Identificarvulnerabilidades

Establecer protocolos

comunicación(prestadores,proveedores,

clientesautoridades,

medios )

Establecercadena de

mandoAcordarmanejoalertas

De infraestructura

De traslado

De localidad

De recursosDe personasTurnos

Apoyofamilias Alojamiento

Alimentación

Firmar contratos

Aprobar plan Ejecutar accionespreventivas acordadas

Divulgar plan

Preparar ejercicios

Evaluar por escritocada ejercicio

Ejecutar cada ejercicio

Revisar plan

Monitorear posiblesamenazas

Monitorearvulnerabilidades

Reporte actualizadode riesgos

Evaluar estado de riesgos y, de ser procedente,

cambiar nivel de alerta

Revisar plan

Ejecutar protocolosde comunicación

Activar equipo de manejo de contingencia

Ejecutar accionescontentivas

Ejecutar logística

Ejecutar restauración crítica

Ejecutar monitoreo de condiciones de contingencia

Ejecutar recuperación crítica

Evaluar estado decontingencia

Restaurar condicionesnormales

Completarrecuperación

Auditar

Ejecutar acciones de seguimiento

Evaluar manejo decontingencia (con clientes)

Revisar plan de contingencia

Alejandro Teruel


Medidas preventivasSe deben desarrollar actividades preventivas para reducir las vulnerabilidades más marcadas ante las amenazas más probables. Un grupo de actividades preventivas tiene que ver con intentos de reducir la probabilidad o evitar que se presente la amenaza, otro grupo con reducir o eliminar la vulnerabilidad, mientras que un tercer grupo de actividades tiene que ver con prepararse para identificar lo antes posible la ocurrencia de una amenaza y estar listo para reaccionar adecuadamente cuando se presente.

Por ejemplo:

• Ubicar el sistema de recursos computacionales de un servicio informático en una zona de menor riesgo sísmico, reduce la probabilidad de daños sísmicos;

• Desconectar un sistema de administración de bases de datos de la red evita que sea vulnerable a ataques por la red;

• Instalar pararrayos puede reducir la vulnerabilidad de sistemas informáticos ante rayos;

• Instalar, mantener y ejercitar sistemas adecuados contra incendios permiten reaccionar rápidamente y sofocarlos antes que causen extensos daños.

Una estrategia costosa pero válida para ciertos servicios críticos, está basada en el enfoque de fortaleza, valga decir en “blindar” extensivamente las instalaciones y recursos informáticos. Instalar generadores eléctricos propios blinda a una instalación contra caídas del suministro eléctrico, así como lo hace la instalación de recursos espejos, capaz de entrar en funcionamiento en caliente, cuando las circunstancias lo demanden. Paradójicamente concentrarse en blindar una instalación puede ser contraproducente o incrementar las vulnerabilidades relacionadas con el acceso a esos recursos: en un servicio Internet, podemos reforzar los servidores en una instalación blindada, pero si falla la conexión a Internet de esa instalación, el servicio deja de prestarse2.

En la práctica tendremos que balancear las inversiones en acciones de prevención contra las inversiones en contención y recuperación.

Las medidas de prevención incluyen la ejercitación de los planes de contingencia y atender que todo el personal pertinente sepa cómo actuar en una emergencia. Schliesser[2002] menciona que la rotación de los operadores de los turnos nocturnos es muy alto y más de un operador novato o temporal desconoce un aspecto tan básico como a quién llamar en caso de emergencia.

Medidas de recuperación y restauración de serviciosSchliesser[2002] advierte que debe distinguirse conceptualmente entre la restauración de un servicio y la recuperación después de un desastre. La gestión de continuidad enfatiza la importancia de restaurar servicios críticos en el menor tiempo de posible, así sea trasladando todas las operaciones del servicio a otra localidad; la recuperación del desastre puede incluir las reparaciones necesarias para recuperar las

2 Es análogo a lo que le pasó a los franceses entre las dos guerras mundiales cuando se dedicaron a construir la línea Maginot, un sistema de más de cien fortalezas, numerosos fortines y 400 kilómetros de galerías y trincheras cuyo objetivo era detener o retrasar cualquier posible avance alemán en una guerra de trincheras como lo había sido la Primera Guerra Mundial. En 1940, los alemanes invadieron Francia. Utilizaron una concepción estratégica radicalmente distinta a la guerra de trincheras y se apoyaron en la movilidad de las divisiones Panzer, bombardeos aéreos y tropas aerotransportadas, meticulosamente evitando las fortalezas de la línea. El 13 de mayo de 1940 el ejército alemán cruzó la frontera con Francia; para el 15 de mayo ya había dejado atrás la línea Maginot...


instalaciones dañadas y lógicamente puede llevar más tiempo.

Algunas opciones de restauración incluyen:

1. Improvisación, se verá qué se pueda hacer cuando ocurra el desastre –evidentemente una opción poco profesional. Los grandes músicos de jazz saben que se requieren desarrollar habilidades de improvisación y que tal desarrollo se logra combinando inspiración con práctica.

2. Proporcionar el servicio manualmente. Esta opción puede funcionar por un tiempo limitado en el contexto de algunos servicios, mientras que para otros servicios prescindir de recursos informáticos es quedarse sin servicio.

3. Recortar el servicio. Por ejemplo, al caerse una de las localidades adscritos a un servicio distribuido, la operación puede continuarse en las otras localidades (pero, sin acceso al inventario en la localidad que está fuera de línea). Otra opción es continuar operaciones de consulta sobre una copia local de una base de datos distribuida pero suspender operaciones que modifiquen esa base de dato, o acumular tales solicitudes para ser procesadas al reestablecerse el servicio.

4. Acuerdos de reciprocidad, con otra empresa. Hace años dos de las filiales de Petróleos de Venezuela llegaron a tal acuerdo; si el centro de computación de una de las filiales quedaba inoperativa el acuerdo era que las operaciones se trasladan a la otra filial. Afortunadamente, un tiempo después decidieron hacer una práctica de contingencia, es decir simularon una falla catastrófica para poner a prueba el plan de recuperación. Durante el simulacro detectaron que los dos dos centros habían divergido en sus configuraciones y equipamiento, y que, por ende, los sistemas críticos de una filial no corrían en el centro de computación de la otra filial. Este tipo de acuerdo implica que ambas empresas deben mantenerse compatibles y, además requiere prácticas y auditorías periódicas para cerciorarse que la compatibilidad requerida se mantiene y que el personal involucrado sabe qué hacer y lo hace eficientemente. Algunas de estas experiencias se han visto entorpecidas por cuanto se le ha negado el acceso a instalaciones a miembros claves del equipo de traslado de operaciones.

5. Acuerdos con proveedores para que suministren equipos o capacidad de procesamiento en caso de emergencia en un período bien definido. Nótese que esto constituye una “recuperación” en frío pues debe pasar un tiempo apreciable tiempo (medido en horas o días) para volver a poner en marcha al sistema. Algunos proveedores ofrecen instalaciones fijas o móviles desde los cuales el prestador de servicios pasa a operar sus servicios.En contraposición la recuperación en caliente, implica la existencia de facilidades espejo o de recursos redundantes que entran en operación al poco tiempo (máximo segundos) después de detectada la falla.

En todo caso, una restauración y una recuperación exitosa puede darse sólo si existen los respaldos apropiados de datos, software, equipo, personal y cualquier otro componente de configuración que pueda ser relevante.

La política de respaldos debe elaborarse con el debido cuidado y es crucial que los respaldos se realicen con la periodicidad adecuada y que se tomen las precauciones necesarias para salvaguardarlos. Esto implica al menos un respaldo localizado en la misma institución y otra fuera de la institución.

Ejercicio (en clase)1. Uno de los Secretarios previos sugirió que la infraestructura informática de los servicios críticos

de una Universidad debía ser replicada en cada sede de la Universidad, de modo que cualquiera


de las sedes pueda funcionar como espejo de cualquier otra. ¿Qué opinión le merece la idea?

2. Toda institución debería mantener una lista de contactos para cada uno de sus miembros (¿por qué?) Hoy en día, la tasa de rotación de números de teléfonos celulares o direcciones de correo electrónico es tan alto que las listas se vuelven obsoletas rápidamente. ¿Qué mecanismo sugiere para mantener actualizadas tales listas?

AlertasLos planes de continuidad pueden incorporar niveles de vigilancia y alerta (típicamente verde, naranja/amarillo y roja) cuando hay posibilidades de hacerle seguimiento a potenciales eventos. La Universidad Simón Bolívar ha diseñado e implantado un sistema de alerta temprano de inundaciones para la Sede del Litoral.

Diseño de gestión de continuidadSe ha sugerido que los requerimientos necesarios para manejar bien la continuidad del servicio debe tomarse en cuenta durante el proceso de diseño del servicio y no constituir una actividad llevada a cabo a posteriori. Evidentemente es más eficiente localizar, desde el principio, a una sala de servidores en un primer piso, fuera del alcance de las aguas, que inventar cómo reducir la vulnerabilidad de esa misma sala a inundaciones una vez colocada en un sótano, al lado de un baño.

La próxima figura resume una agrupación posible de actividades, basada en el modelo ITIL (OGC[2001]) : Analizar impacto

sobre el negocio

Evaluar riesgos

Acordar estrategiade continuidad

Planificar organización e implantación

Implementarmedidas de reducción

de riesgos

Desarrollar planesde recuperación

Implementar facilidades de respaldo

Desarrollarprocedimientos

Gestión decambiosPruebasRevisar y

auditarEntrenar y

concientizar

Evaluar

Actividades/Procesos(basado en el modelocorrespondiente ITIL)


Relaciones con otros procesosGestión de disponibilidadEstrechamente vinculado con la gestión de continuidad. La gestión de disponibilidad monitorea el servicio y dispara los procesos de restauración diseñados por la gestión de continuidad.

Gestión de configuraciónEs la base necesaria para analizar las vulnerabilidades de recursos, indicar la localización de recursos redundantes, almacenar los planes de contingencia, proporcionar información crucial para localizar proveedores,clientes y personal necesario para la gestión de continuidad.

Gestión de capacidadLa gestión de recuperación debe tomar en cuenta los resultados de la gestión de capacidad. Si no lo hace, el plan de contingencia puede resultar insuficiente ante el crecimiento en el volumen de operaciones.

Gestión de incidentes La detección y reporte de ciertos incidentes claves pueden ser invalorables para la gestión de continuidad, al igual que para la gestión de disponibilidad

Gestión de problemas, cambios y versionesCuando se detectan y resuelven problemas y se llevan a cabo cambios en ls infraestructura de un servicio, ¿se toma nota de ellos para la infraestructura de gestión de continuidad? Por otro lado, la institución se cerciora que no se lleven a cabo cambios irrelevantes en una situación de alerta amarillo?

Gestión de seguridadLos planes de contingencia deben incluir su impacto sobre la gestión de seguridad. Una institución, sus servicios y su infraestructura puede estar mucho más vulnerable durante una emergencia: es responsabilidad de la gestión de seguridad de que esto no sea así, en la medida de lo posible. Por otro lado, la insistencia en mantener los procedimientos usuales de seguridad durante una emergencia puede comprometer seriamente la recuperación del servicio. Esto es particularmente crítico en situaciones de ataque intencional. Desde hace mucho tiempo se sabe que los ataques informáticos pueden crear situaciones de emergencia para facilitar su proceso de penetración, acceso, expoliación o destrucción de datos electrónicos (Fugueras, 2004).

Gestión de nivel de serviciosA nivel del cliente, la continuidad como atributo se esconde tras la disponibilidad. El cliente busca disponibilidad, el prestador es quien se preocupa por la continuidad necesaria para cumplir con la


disponibilidad. Sin embargo, la continuidad no debe ser invisible en los acuerdos de servicio. No es sólo que debajo de la punta del acuerdo del tiempo máximo de interrupción de servicio está el resto del témpano de guardias, respaldos, repuestos, recursos e instalaciones espejo y mecanismos de arranque en frío o en caliente que son materia de una buena gestión de continuidad. También es precisar cómo y cuándo se reporta la pérdida de continuidad al cliente, pues si el prestador es responsable de la continuidad de su servicio, el cliente es quien sufre las consecuencias de esa falta de continuidad. Esto es particularmente cierto cuando el cliente a su vez ofrece un servicio que se monta sobre el servicio informático de menor nivel. Esto se puede ver claramente en la Universidad, donde la Dirección de Admisión y Control de Estudios (DACE) es quien atiende al cliente último, valga decir a los estudiantes o aspirantes a estudiantes en los procesos de admisión, inscripción trimestral, retiro, y certificación de notas entre otros, pero depende a su vez de, entre otros, la Dirección de Servicios Telemáticos quien administra los servidores y la red. Si estos recursos provocan una falla de continuidad, quien da la cara ante los miles de usuarios es DACE; es cuestión de respeto y solidaridad básica que el DST mantenga informada sobre una situación de falla de continuidad, incluso que la apoye buscando una salida urgente para reestablecer parcialmente el servicio lo más pronto posible (por ejemplo se aceptan solicitudes manuales a transcribir posteriormente). El acuerdo de servicio puede incluir cláusulas de penalización para fallas de continuidad, o de estímulo si la continuidad del servicio sobrepasó un cierto nivel. En otros contextos, es importante incluir en el acuerdo el modo y circunstancias de corte o suspensión del servicio. Si bien el acuerdo de servicio puede indicar claramente que el servicio se cortará si no se ha pagado para una fecha límite dada, lo considerado es al menos notificar al cliente oportunamente del riesgo de corte. Tan importante como el procedimiento de corte es el procedimiento de reestablecimiento de servicio después de un corte. A título de ejemplo considere la situación de una pareja de personas de la tercera edad, una encamada y la otra recien dada de alta de una hospitalización. Ahora imagínese el impacto y consecuencias de un corte de luz intempestivo, “por falta de pago” y un procedimiento que obligue al usuario a trasladarse a una oficina especial para solicitar un reestablecimiento de servicio “en 72 horas3...

Gestión financieraEs importante determinar el costo de la continuidad, el balance entre la inversión en prevención y la inversión en restauración y recuperación del servicio, y el asegurar tener la disponibilidad de fondos necesarios para afrontar ciertos tipos de emergencia.

Factibilizando el alcanceUna posible estrategia de gestión de continuidad es comenzar por planificar e implantar las acciones de prevención para evitar y contener los mayores riesgos de continuidad, extendiendo tal planificación a cada vez más componentes del proceso y del sistema de recursos que lo sustenta. Se trata entonces de una estrategia sistemática que desarrolla planes de prevención y contingencia cada vez más detallados, a nivel de proceso, a nivel de componente y a nivel de subcomponente (¿qué hago si se quema la fuente de poder de la laptop del vendedor en la mitad de una presentación a clientes potenciales?). De esta manera, la estrategia parece apuntar a la elaboración de un sistema experto en el que la gestión de la continuidad se reduce a un algoritmo y una base de datos.

3 En Venezuela el artículo 29 de la Ley para la Defensa de las Personas en elAcceso a Bienes y Servicios (2010) establece claramente condiciones, procedimientos y plazos para proceder con una suspensión de servicio.


Varias características atentan contra la factibilidad última de esta estrategia.

Primero, los planes deben factibilizarse en cuanto a costos; es poco probable que se cuente con un presupuesto que le permita a cada vendedor andar con una laptop de respuesto, por ejemplo.

Segundo, si bien es cierto que algunos eventos y sus consecuencias son (parcialmente) previsibles y que en algunos casos podemos preveer lo que previamente era un imprevisto, siempre quedarán eventos imprevistos. Todo prestador de servicios con experiencia tiene sus cuentas de lo imprevisible que resultan las acciones de algunos de sus clientes y usuarios. Al fin y al cabo, la gestión de continuidad tiene que tratar imprevistos4.

Como punto de comparación, podemos considerar a los bomberos. ¿El bombero está entrenado para afrontar, en detalle, cada contingencia posible? Al bombero se le entrena para afrontar cierto tipo de contingencias, a manejar bien sus herramientas, a trabajar en equipo, a identificar situaciones de riesgo, a identificar situaciones en la que puede requerir asistencia especializada, a enfrentarse a lo imprevisto. El bombero no se la pasa apagando incendios, se la pasa preparándo mental y físicamente para apagar incendios. Por ende el bombero dedica una buena parte de su tiempo al entrenamiento, imaginándose, viviendo y resolviendo simulacros del tipo “qué hacer si ocurre X”. El profesional en servicios informáticos debe hacer lo mismo; una parte de su tiempo debe pasarla entrenándose para enfrentar contingencias previsibles (entrenamiento para reparar un servidor, para reinicializar un servidor, para desalojar una sala de servidores) pero otra parte de su tiempo debe dedicarla a plantearse contingencias tipo ¿qué hacer si ocurre X?, y desarrollando una actitud (mindset) para actuar efectiva y oportunamente cuando se presenta una emergencia debido a un imprevisto. El objetivo de los simulacros de desastres es lograr que las personas que tengan responsabilidades de continuidad conozcan y se ejerciten en situaciones realistas, de manera que puedan controlar situaciones reales de emergencia, para lo cual es necesario controlar los comportamientos cognitivos, afectivos y conductuales que se den.

Es importante también involucrar al cliente en algunos de estos ejercicios. A veces uno se olvida que, muchas veces, la persona más angustiada durante la interrupción de un servicio y la que puede estar incurriendo en mayores pérdidas, es el cliente. Esconderle la noticia, hacerle opaca la situación puede ser contraproducente, porque dejas a tu cliente sin información cierta, le reduces su margen de maniobra y lo haces sentirse más desvalido. Si un servidor se cae y no hay forma de reestablecer el servicio antes de dos horas, lo ético, lo responsable, respetuoso y honesto es avisarle esto claramente al cliente, en vez de:

1. No decirle nada, ni responderle sus llamadas por miedo a que te distraiga o te grite

2. Avisarle que estará listo “en un ratico” o que “ya estamos trabajando sobre ello”, o la tautológica e indefinida “el servicio se reestablecerá cuando logremos reestablecerlo. Tenga

4 Easterly[2006] presenta una tipificación similar entre lo que denomina planificadores y buscadores:“...planners announce good intentions but do not motivate anyone to carry them out; searchers find things that work and get some reward. Planners raise expectations but take no responsibility for meeting them; searchers accept responsibility for their actions. Planners determine what to supply; searchers find out what is in demand. Planners apply global blueprints; searchers adapt to local conditions. Planners at the top lack knowledge of the bottom; searchers find out what the reality is at the bottom. Planners never hear whether the plan got what they needed; searchers find out if the customer is satisfied.“A planner thinks he already knows the answers; he thinks of poverty as a technical engineering problem that his answers will solve. A searcher admits he does not know the answers in advance; he believes that poverty is a complicated tangle of political, social, historical, institutional, and technological factors. A searcher only hopes to find answers to individual problems by trial and error experimentation. A planner believes outsiders know enough to impose solutions. A searcher believes only insiders have enough knowledge to find solutions, and that most solutions must be homegrown.”


paciencia”.

Recuerdo haber leído de un caso donde un avión de pasajeros sufrió un desperfecto en pleno vuelo. El capitán informó inmediatamente a los pasajeros que el avión tenía un desperfecto y se comprometió a reportar el estatus de la nave, cada cinco minutos, así no hubiera cambio en la situación. Mantener al cliente informado de lo que está pasando es un mínimo necesario. Hay técnicas sobre cómo y cuándo dar malas noticias que el profesional de servicio debe dominar. Una excelente introducción al tema puede encontrarse en Foster[1997] o Buckman[1992], aunque en este último caso deberá adaptar sus recomendaciones, hechas para el profesional de la salud, al contexto de servicios informáticas.

Una versión simplificada de las recomendaciones de Buckman[1992] comienzoa por reconocer que informar de una falla importante de continuidad es parte de un proceso y que debe planificarse como se llevará a cabo Pueden distinguirse varios pasos:1- Comienzo

• Cuide que el medio utilizado para proporcionar la información y el contexto físico en que se haga sean adecuados. Limitarse a enviarle al cliente un correo electrónico indicándole que se ha presentado una falla en la continuidad de servicio, es rara vez suficiente.

• Asegúrese de informar a todos los afectados, o en su defecto, a sus representantes legítimos que entiendan el alcance de la falla y que sean los responsables de tomar medidas de contingencia ante la falla.

• Asegúrese de tener la atención del cliente.

2- Averigüe cuánto sabe el cliente.

El objetivo es saber cuanto sabe el cliente sobre el IMPACTO que la falta de continuidad tendrá sobre su negocio. No se escude tras palabras técnicas y cerciórese que el cliente entienda la información que le proporciona y la necesidad de tomar acciones de contingencia.

3- Averigüe cuánto necesita y quiere saber el cliente

• Los clientes no saben sólo por lo que dice el prestador, verbal y no verbalmente, sino por lo que sienten, por lo que escuchan de otras personas en quienes confían o que se encuentran a la mano. Es más nocivo no discutir la información. La pregunta no es si quiere saber sino hasta qué nivel se quiere saber.

4- Comparta la información

• Prepare un plan de discusión (diagnóstico, acciones a realizar, efectos secundarios, pronóstico, apoyo al cliente)

• Comience desde donde está el cliente. Vaya apoyándose en los conceptos correctos y corrija los que los que haga falta.

• Educación: Vaya corrigiendo la brecha entre la situación real y la percepción del cliente Rechequee frecuentemente

• Dé la información dosificada. En casos médicos se ha encontrado que los pacientes recuerdan sólo el 50% de la información en diagnósticos sencillos y mucho menos en situaciones de emergencia; algo similar ocurre en cualquier situación de emergencia para un cliente. Se pueden dar pequeñas informaciones e ir parando para corroborar el entendimiento del cliente o contar a manera de "historia" (recapitular).

• Use ESPAÑOL, no jerga informática, a menos que el cliente sea un profesional de la informática y aún así, recuerde que puede no dominar los mismos términos técnicos que usted.

• Chequee la recepción con frecuencia y clarifique: "¿lo que digo se entiende?"... "¿le suena razonable?" "¿Entiendo que esto es difícil pero me sigue?". Esto es útil para: demostrar que le importa que el cliente entienda, permita que el cliente hable, permita que el cliente retenga una sensación de control, validar los sentimientos del cliente.


• Clarifique para estar seguro que Usted y el cliente entienden lo mismo. ¡PREGUNTE !.• Repita los puntos importantes• Use diagramas y mensajes escritos, material impreso y audiovisual si hay disponible.• Chequee SU nivel. NO paternalice.• Escuche la agenda del paciente: Permita la "lista de problemas" e intente mezclar las dos agendas.

5- Identifique y respete los sentimientos del paciente

• Haga uso de las respuestas empáticas.

6- Planee el seguimiento futuro • Demuestre que entiende la lista de problemas• Distinga lo negociable de lo no negociable (Fechas, horarios)• Elabore un plan y expliquelo: incluya lo incierto. Sea realista (algunos autores aconsejan preparar al

cliente para la peor situación sin sin dejar de esperar lo mejor –discutible).• Identifique los mecanismos de soporte que tiene el cliente y los mecanismos psicológicos de defensa en

juego.• Concerte una próxima entrevista.

También es importante tomarse el tiempo para hacer los reportes post-facto de una emergencia, y de las pruebas o ejercicios del plan de continuidad, para evaluar la contribución de las medidas tomadas para prepararse, atender y recuperarse de la situación causada y sugerir mejoras.

Finalmente es importante establecer y conservar la credibilidad del responsable de la gestión de continuidad. En la literatura y en el cine los responsables de la continuidad suelen ser retratados de manera poco halagadora, son personajes poco motivadores, obsesivos y poco prácticos que están enamorados del detalle burocrático de planes de contingencia que suelen resultar inoperantes5.

Indicadores de gestiónSteinberg[2006] propone métricas análogas a las métricas usadas en la gestión de disponibilidad: porcentaje de servicios para los que existan planes de continuidad, tiempo entre prueba, ejercitación o auditoría de los planes de continuidad por servicio, porcentaje de incidentes relacionados con continuidad del servicio, horas y costos (planificados vs no planificados) dedicados a la continuidad. Son propuestas sensatas pues ayudan a:

• enfocar la atención en la importancia de ampliar la cobertura de los planes de continuidad,

• mantener actualizado los planes, ponerlos a prueba, y entrenar y ejercitar al personal ante las contingencias,

5 El mundo del cine ha sido más bien hostil a la administración o la planificación (a menos que sea de un crimen). Lee[2001] estima que sólo 20 películas de aproximadamente 24,000 películas que se mercadean tienen un héroe que es burócrata o administrador público. Vale la pena citar, a modo de excepciones, la película Ikiru (Vivir en Castellano, 1952) del realizador japonés Akira Kurosawa, en la que un burócrata lucha por lograr la creación de un parque en un vecindario pobre y Fat Man and Little Boy (Creadores de Sombras, Proyecto Manhattan, 1989) que narra algunos aspectos del dilemático proyecto de desarrollo de las primeras dos bombas atómicas. Es más usual que figure un plan burocrático inefectivo o de proporciones absurdas como el delicioso planteamiento de The Mouse that Roared (El Rugido del Ratón, 1959) en que el plan de un pequeño país de declararle la guerra a Estados Unidos para ser derrotado –y ayudado financieramente á la Plan Marshall- se desbarata cuando, inesperadamente, ganan la guerra, y la aún más satírica Wag the Dog (Cortina de Humo, 1997) en que se planifica una guerra imaginaria para distraer la atención pública en víspera de elecciones.


• evaluar los compromisos entre inversiones en actividades proactivas y en actividades reactivas,

• identificar servicios, procesos o componentes que deban ser sujeto de mejoras en los planes de continuidad.

Sin embargo, hay un problema de fondo con la gestión del área, pues podemos verlo como una inversión de esfuerzos y recursos para que ciertas cosas no se den. ¿Cuántas fallas de continuidad evitamos por cambiar los procedimientos en los planes de continuidad? ¿Por mantener un inventario de repuestos? Siempre habrá la tentación para el gerente apegado al bottom-line, de recortar en esos gastos cuyos beneficios contantes y sonantes no siempre se ven. Si hubo incidentes en los que los repuestos tuvieron que ponerse en funcionamiento por cinco días mientras se reparaba el que falló, es fácil calcular cuánto ahorramos por tener el respuesto y por ende haber evitado una falla de cinco días en la continuidad. Pero, ¿y si no hubo incidentes de esa índole y los repuestos no se movieron del almacen? Es el mismo problema de evaluar el rendimiento de la inversión en seguros. ¿Cómo podemos saber si la inversión hecha realmente contribuiría a la continuidad6?

Evaluación de madurez del procesoSchiesser[2002] presenta un cuestionario para evaluar la madurez del proceso de gestión de continuidad. Es análogo al que presenta para el caso de la gestión de disponibilidad.

Psicología de la emergencia[Falta por desarrollar]La mayor parte de las personas no se comportan igual en una situación normal que en una situación de emergencia. Es bien conocido, por ejemplo, que las puertas deben abrir hacia afuera, pues en un momento de pánico la gente empuja lo que percibe que son obstáculos a la salida. También resulta mejor una amplia “barra/palanca de pánico” cuyo accionamiento está más cercano a la conducta natural de apartar obstáculos, que un picaporte que haya que rotar para abrir la puerta.

El acceso a los centros de computación frecuentemente está controlado por una tarjeta de seguridad, sin embargo todo centro debe permitirle a las personas que laboren dentro salir deprimiendo una barra mecánica de pánico mecánica. Poder salir de un centro de cómputo incendiado no puede depender de un dispositivo eléctrico pues en una situación de incendio puede no haber electricidad.

El psicólogo y especialista en interfaces, Don Norman[1988], incluye un estudio fascinante sobre los problemas que plantean las puertas de vidrio en situaciones de emergencia incluyendo aspectos como que, si carecen de barra o algo que las haga más visiblemente obstáculos, la gente no las ve en una situación de emergencia, por lo que se pueden estrellar contra ellas.

La psicología de las emergencia(Marín[2005]) estudia la conducta humana antes, durante y después de las emergencias y proporciona recomendaciones para poder lidiar con estos tipos de situaciones.

6 La sabiduría sufi incluye muchos cuentos sobre un disparatado personaje llamado el Mulá (maestro) Nasrudín. Tras el humor de sus aparentes disparates hay siempre una invitación a la reflexión. El problema de estar seguro de que sean realmente útiles las inversiones en planes de continuidad recuerda uno de estos cuentos. Un día un amigo va a visitar al Mulá Nasrudín y lo encuentra esparciendo migajas de pan alrededor de su casa. “¿Qué haces, Mulá?” le pregunta el amigo. “Espanto tigres” responde el Mulá. El amigo suelta una carcajada: “Mulá, ¡pero si aquí no hay tigres!” El Mulá se detiene, mira fijamente a su amigo y le dice “¿Te das cuenta de lo efectivo que resulta?” Más cuentos sobre el Mulá Nasrudín pueden encontrarse en http://www.personarte.com/nasrudin.htm .

http://www.personarte.com/nasrudin.htm


Por ejemplo una Nota Técnica de Prevención (Fidalgo[1996]) del Instituto Nacional de Seguridad e Higiene en el Trabajo (España) indica que:

Ante una catástrofe a menudo las reacciones de las personas no son las apropiadas, pudiendo provocar como resultado hasta posibles pérdidas de vidas. Si describimos las reacciones más generalizadas, se puede decir que durante el período de impacto:

• Del 10-25 % de las personas permanecen unidas y en calma, estudian un plan de acción y posibilidades.

• El 75 % manifiesta conducta desordenada, desconcierto. [Muestran taquicardias, temblores, palpitaciones, náuseas y vómitos, confusión, incertidumbre y no-aceptación de lo sucedido].

• Del 10-25 % muestran confusión, ansiedad, paralización, llanto o gritos histéricos, ataques de ansiedad o pánico, y en ocasiones ruptura con la realidad.

La dinámica social de una emergencia la determina una complicada red de acciones individuales y acciones de los grupos [...]

La personalidad es uno de los factores que influye en cómo se comporta un individuo en una emergencia. Fidalgo[1996] destaca tres rasgos de personalidad a las que hay que prestar particular atención:

• Histérico: Este rasgo se caracteriza por producir conductas escandalosas, exageradas, infantiles y primitivas. Su nocividad reside en el riesgo de contagio que hacia los demás posee. Se reconoce por la hipercoloración de la piel del rostro, una gesticulación exagerada, verborrea, distonía en la emisión de la voz (aparecen chillidos y susurros de manera alternativa) y agitación o parálisis absoluta. Estas conductas deben intentar evitarse aislando al sujeto (que no tenga espectadores y posibilidad de contagio) o administrando un estímulo fuerte, que perciba que no es el foco de atención.

• Depresivo: Presenta conductas pesimistas y desmoralizantes para sí mismo y para otros. La nocividad es el riesgo de las conductas suicidas (explícitas e implícitas) como única vía, pudiendo sugestionar a otros. Se reconoce por su motricidad lenta, conductas apáticas, poca gesticulación, susurros y gimoteos. La forma de evitarlo es prestarle gran apoyo, transmitiendo ideas de seguridad.

• Obsesivo: es de ideas fijas e irrechazables. Su nocividad en situaciones críticas depende de la idea que presente (de salvación o destrucción), aunque pueden ser útiles para tareas organizativas de evacuación o peligrosas, puesto que pueden volver a entrar al lugar del siniestro.

Cabe destacar que en una emergencia, el primer comportamiento generalmente determina cómo se comporta el grupo de personas involucradas. Esa primera reacción puede depender de factores adicionales a la personalidad de cada quien, como por ejemplo:


• Forma en la que se da cuenta de la emergencia• Grado de gravedad supuesto• Grado de conocimiento del lugar• Grado de entrenamiento• Tipo o categoría del espacio• Existencia de salidas de socorro• Presencia de otras personas• Experiencia anterior• Desprendimiento y extensión de humo, gases ...• Características individuales: edad, sexo ...

Fidalgo[1996]

El entrenamiento y los simulacros son fundamentales para afrontar exitosamente situaciones de emergencias. También hay evidencia que las personas evacúan un local más rápidamente cuando se les informa apropiadamente de lo que está ocurriendo.

Preguntas abierta1. Terminología y psicologíaDiscuta en clase las diferencias e implicaciones de los siguientes términos:

a) Gestión de continuidad en contraposición a recuperación de desastres o gestión de discontinuidad.

b) Protección civil

c) Administración de desastres

e) Administración de emergencias

f) Planificación de contingencias

g) Administración de riesgos

h) Manejo de situaciones excepcionales

2. Cómo comunicar malas noticiasProfundice en la adaptación del protocolo de Buckman[1992] o similares al área de servicios informáticos. Preste particular atención al rol del acuerdo de servicio, el tiempo en que es conveniente/importante comunicar la noticia, entre otros.

3. Inversión en seguros¿Cómo se evalúan los beneficios de invertir en seguros? Desarrollar más la analogía entre inversiones en planes de continuidad e inversiones en seguros. ¿Cuál es el rol de los seguros en los planes de continuidad? ¿Deben formar parte de los acuerdos de nivel de servicio?


4. Planificación inefectivaSe puede aprender de éxitos y se puede aprender de los fracasos. En la web se pueden encontrar algunos casos y artículos sobre planes de contingencia que no fueron efectivos; estudiarlos para extraer las lecciones relevantes al planificador de contingencias. (Véase la sección correspondiente de referencias)

5. Cuadros de zafarranchoUno de los oficios más antiguos en la que se tiene que estar preparado a afrontar riesgos y peligros, es el oficio de marinero. El mar es muy cambiante y guarda muchas sorpresas por lo que todo quien se haga a la mar debe saber qué hacer en una situación de emergencia y entrenarse de manera de hacerlo correctamente y sin perder tiempo. Si una persona no está entrenada en estos procedimientos, en caso de una emergencia puede que haga justamente lo que no debe hacer, puede quedarse paralizado por cuanto no cree que la situación le esté ocurriendo a él o porque no se le ocurre qué puede hacer, o puede entrar en pánico y ponerse frenético, aumentando el peligro para él mismo y para los demás. En el mundo náutico, se denomina zafarrancho a “toda aquella aquella situación inesperada que atenta contra la seguridad operacional de una embarcación o buque”[Costa Rica 2000]. La Organización Marítima Internacional requiere que los tripulantes de una embarcación estén debidamente capacitados y certificados para atender situaciones de emergencia operacional tales como:

• Incendio a bordo;• Inundación o control de daños;• Colisión;• Hombre al agua;• Abandono de nave.

La normativa pertinente exige adicionalmente que la tripulación se ejercite periódicamente en simulacros de emergencias; típicamente se realiza al menos un simulcro a la semana de modo que cada tipo de emergencia se ejercite al menos una vez al mes. La normativa exige además que se registren estas prácticas en la bitácora de la nave.

Se escribe y se publica en sitios visibles de la embarcación el cuadro de zafarrancho (en inglés station bill). El cuadro de zafarrancho “es el documento donde se consigna la responsabilidad de cada tripulante ante una emergencia y que define las acciones que cada uno de ellos debe ejecutar en cada caso en particular”. Es obligatorio su cumplimiento.

La empresa venezolana Conferry que proporciona un servicio de ferry a la isla de Margarita también cumple con esta obligación y un cuadro de zafarrancho puede observarse cerca de las salidas de la cabina de pasajeros. En este caso se trata de una tabla o matriz donde cada fila corresponde a un tripulante y las columnas incluyen:

• Un número que identifica al cargo y al tripulante (usualmente el número 1 corresponde al capitán de la embarcación e incluye el personal de limpieza que navega en la nave);

• La denominación del cargo;• Una columna por tipo de emergencia, como por ejemplo “Abandono de buque” y “Hombre al


agua”, entre otros;• El tobogán o vía de evacuación que deberá usar ese tripulante.

Las celdas de la matriz , correspondientes a los tipos de emergencia explicitan las acciones que está obligado a realizar el tripulante correspondiente. Por ejemplo en una emergencia por incendio, entre las acciones que se especifican, el capitán permanece en el puente y se hace cargo de uno de los dispositivos de radiotransmisión (walkie-talkie), mientras que el primer oficial se dirige al foco del incendio con el otro dispositivo e informa al capitán de la gravedad de la situación. Nótese la importancia de especificar el rol y puesto de cada uno, la acción y la comunicación al respecto. En la emergencia por abandono del barco, cada camarera se responsabiliza por revisar uno de los baños de modo de cerceriorarse que todos los pasajeros efectivamente abandonen la nave.

Explique, brevemente, qué relación encuentra usted entre la gestión de zafarranchos y la gestión de continuidad.Busque, o elabore, el equivalente de un cuadro de zafarrancho para un centro de computación. ¿Cuáles serían los tipos de emergencias que deben preverse? Para este punto puede encontrar útil la siguiente traducción de una porción de las regulaciones de la guardia costera estadounidense:

169.813 – Cuadros de zafarrancho.

(a) El capitán de la nave debe preparar y firmar un cuadro de zafarrancho. El capitán de la nave debe cerciorarse que el cuadro esté colocado en ubicaciones conspicuas en la nave antes que zarpe la nave.

(b) El cuadro de zafarrancho debe indicar los deberes especiales y el puesto del que se hará responsable cada uno de los miembros de la tripulación para las distintas emergencias. Estos deberes deben, en tanto sea posible, ser comparables con la labor encomendada normalmente a cada tripulante. Los deberes deben incluir al menos las que se listan a continuación así como cualquier otra que sea necesaria para afrontar correctamente una emergencia particular:

(1) Cerras las compuertas, tragaluces, ventanas, desagües y llaves que controlen descargas debajo de la línea de flotación de la nave, apagar los sistemas de ventiladores y operar los equipos de seguridad.

(2) Preparar, soltar y poner a flote los botes y balsas salvavidas.

(3) Extinguir incendios.

(4) Reunir los huéspedes y pasajeros, lo que incluye:

(i) Advertir a los huéspedes y pasajeros.

(ii) Revisar que estén apropiadamente vestidos y que tengan puestos correctamente sus dispositivos personales de flotación;

(iii) Reunir los huéspedes y pasajeros y dirigirlos a sus puntos de evacuación;

(iv) Mantener el orden en los pasadizos y escaleras y, en general, controlar los movimientos de los huéspedes y pasajeros.

[...]. http://cfr.vlex.com/vid/169-813-station-bills-19859802

6. Emergencias en la informática[A desarrollar]

Revisar un manual para emergencias informáticas, por ejemplo cómo se realiza un shutdown en caso de incendio, sobrecarga eléctrica o inundación.

http://cfr.vlex.com/vid/169-813-station-bills-19859802


¿Cómo apagaría un incendio en un centro de cómputo? ¿Con qué?

Referencias básicasJan Van Bon, Mike Pieper, Annelies van der Veen (editores): Foundations of IT Service Management, based on ITIL. ITSMF-NL, 2005.

Rich Schiesser: IT Systems Management: Designing, implementing, and managing world-class infrastructures. Prentice-Hall, 2002.

Referencias complementariasAlejandro Hinds: Una catástrofe natural ocurre cada 18 meses en el páis. El Nacional, sección Ciudadanos, Viernes 1° de octubre de 2010.Ramón Alberch Fugueras y José Ramón Cruz Mundet: La Aventura de la Información: De los manuscritos del Mar Muerto al imperio Gates. Alianza Editorial 2004. Ameno libro escrito desde el punto de vista de la Archivística; en particular recomiendo los capítulos titulados Perder los papeles: el oscuro placer de eliminar documentos y ¡Sálvese quien pueda!: algunos desastres informáticos.William Easterly: Planners versus Searchers in Foreign Aid. Asian Development Review, Vol 23-2 2006.http://www.adb.org/Documents/Periodicals/ADR/ADR-Vol23-2.pdfConsultado 30/09/2010. [Pendiente por revisar con mayor cuidado]Office of Government Commerce: Best Practice for Service Delivery. ITIL: The Key to Managing IT Services. The Stationery Office [2001]

Quint Wellington Redwood: Fundamentos de ITIL. Versión 06B, 2005.Mordecai Lee y Susan C. Paddock: Strange but true tales from Hollywood: The Bureaucrat as Movie Hero. Public Administration & Management: 6, 4, 2001.http://www.spaef.com/file.php?id=294Consultado 30/09/2010

Defensa CivilWikipedia. Protección civil.http://es.wikipedia.org/wiki/Protecci%C3%B3n_CivilConsultado 27/09/2010

Wikipedia. Defensa Civil.http://es.wikipedia.org/wiki/Defensa_CivilConsultado 27/09/2010. Menos completo que el artículo sobre Protección Civil

Cómo comunicar malas noticiasCharles Foster: There´s something I have to tell you: How to communicate difficult news in tough situations.Harmony Books,1997

http://es.wikipedia.org/wiki/Defensa_Civil

http://es.wikipedia.org/wiki/Protecci%C3%B3n_Civil

http://www.spaef.com/file.php?id=294

http://www.adb.org/Documents/Periodicals/ADR/ADR-Vol23-2.pdf


Robert Buckman: How to break bad news: A guide for health-care professionals. The John Hopkins University Press, 1992.http://books.google.co.ve/books?id=5rO_lay4MhMC&printsec=frontcover&dq=robert+buckman&source=bl&ots=gNSaaN-a_z&sig=MzgEXZCABwvIJ9ZUQPuTzgKqZfc&hl=es&ei=BJ-jTKbDFYKclgfKs9CqBA&sa=X&oi=book_result&ct=result&resnum=9&ved=0CEQQ6AEwCA#v=onepage&q=robert%20buckman&f=falseConsultado 29/09/2010. La dirección electrónica contiene parte del libro. Muy orientado a la medicina.

Douglas Stone, Bruce Patton, Sheila Heen, Roger Fisher: Difficult Conversations. Penguin Books, 2000.Libro muy recomendado en la literatura del tema cuyos autores incluyen reconocidos especialistas en el arte de la negociación. . Proponen que al comunicar una mala noticia debemos estar conscientes que se están dando al menos tres niveles de conversación: el qué ocurrió enfocado sobre hechos, responsabilidades e intenciones, el nivel emocional enfocado sobre las emociones que sienten las partes y el nivel perceptual enfocado sobre cómo el conflicto resultante afecta cómo cada parte se percibe a si misma y a la otra. Recomiendo el siguiente video (con subtítulos en Castellano) donde uno de los autores del libro resume algunas de sus recomendaciones sobre cómo escuchar en una situación difícil:http://www.youtube.com/watch?v=YWt8ZcKNwFwConsultado el 29/09/2010

Manuel Marin. Cómo dar malas noticias en la emergencia extrahospitalaria. Sin fecha.http://reanimovil.com/dochumanizacion/Como%20dar%20malas%20noticias.pptConsultado 29/09/2010. Una presentación en Powerpoint con un excelente resumen del proceso propuesto por R. Buckman, en el contexto médico.

Liliana Moya: ¿Cómo dar malas noticias a nuestro equipo? Sin fecha.http://www.materiabiz.com/mbz/capitalhumano/nota.vsp?nid=43546Consultado 29/09/2010. Breve artículo en el contexto gerencial.

Verónica Dussel y Gabriela Medin: Cómo dar malas noticias: Un protocolo de seis pasos. Hospital Nacional de Pediatría Juan P. Garrahan, Buenos Aires Argentina.http://www.zonapediatrica.com/escritorio/como-dar-malas-noticias.htmlConsultado 29/09/2010. Un resumen del protocolo de R. Buckman adaptado a la pediatría.

Psicología de las emergenciasDon Norman: The Design of Everyday Things. Doubleday, 1988.Humberto Marín Uribe: Psicología de la Emergencia: Comportamiento Humano Antes, Durante y Después de una Emergencia. II Congreso Nacional de Salud Mental y Asistencia Mental en Catástrofes, Hospital Central de la Defensa “Gómez Ulla”, Madrid. 4-5 de Marzo 2005.http://www.sld.cu/galerias/pdf/sitios/desastres/introduccion_psicologia_emergencia_hmarin.pdfConsultado 31/10/2011Manuel Fidalgo Vega: La Conducta Humana ante Situaciones de Emergencia: Análisis de Proceso en la Conducta Individual. Nota Técnica de Prevención, Instituto Nacional de Seguridad e Higiene en el Trabajo (España). 1996.

http://www.sld.cu/galerias/pdf/sitios/desastres/introduccion_psicologia_emergencia_hmarin.pdf

http://www.zonapediatrica.com/escritorio/como-dar-malas-noticias.html

http://www.materiabiz.com/mbz/capitalhumano/nota.vsp?nid=43546

http://reanimovil.com/dochumanizacion/Como%20dar%20malas%20noticias.ppt

http://www.youtube.com/watch?v=YWt8ZcKNwFw

http://books.google.co.ve/books?id=5rO_lay4MhMC&printsec=frontcover&dq=robert+buckman&source=bl&ots=gNSaaN-a_z&sig=MzgEXZCABwvIJ9ZUQPuTzgKqZfc&hl=es&ei=BJ-jTKbDFYKclgfKs9CqBA&sa=X&oi=book_result&ct=result&resnum=9&ved=0CEQQ6AEwCA#v=onepage&q=robert%20buckman&f=false





http://fete.ugt.org/PRL/p_preventivo/pdf_ntp/ntp_390.pdf Consultado el 31/10/2011.Las notas técnicas preventivas “...son documentos breves, que tratan un tema preventivo concreto con una orientación, eminentemente, práctica. Van destinadas a los prevencionistas cuya función es resolver los problemas preventivos en el día a día de la empresa. En la colección se tratan todas las áreas preventivas: seguridad, higiene, medicina, toxicología, psicología, formación, etc.”.

Planificación inefectiva

Benedict F. Malele: The contribution of ineffective urban planning practices to disaster and disaster risks accumulation in urban areas: the case of former Kunduchi quarry site in Dar es Salaam, Tanzania. JÀMBÁ: Journal of Disaster Risk Studies, Vol. 2, No.1, March 2009http://acds.co.za/uploads/jamba/vol2n01/malele.pdfConsultado 30/09/2010.

Bobby Rivenbank: Symptoms of Ineffective Planning. Rx Today, August 2010.http://www.lce.com/Symptoms_of_Ineffective_Planning_346-item.htmlConsultado 30/09/2010

Tim Kister: Avoid the Misguided Application of the Maintenance Planner Scheduler. Plant Engineering, September 2006.http://www.lce.com/Avoid_the_Misguided_Application_of_the_Maintenance_Planner_Scheduler_38-item.htmlConsultado 30/09/2010.

Gestión de Zafarranchos

[Costa Rica 2000] Reglamento para la Emisión de los Certificados de Zafarrancho. Costa Rica, 2000.http://faolex.fao.org/docs/pdf/cos26889.pdf Consultado el 26/07/2011. También puede resultar interesante la disposición uruguaya correspondiente que se encuentra en: http://www.armada.mil.uy/prena/delea/pdf/dismar/disposicion_maritima_63.pdf

Ejemplo de un cuadro de zafarrancho:http://dms.ntsb.gov/public%2F36000-36499%2F36087%2F297659.pdf

Videos relevantes:Nautical media. Conducting Onboard Drills.(En Inglés, sin subtítulos) http://www.facebook.com/video/video.php?v=1846865885993 Consultado 02/08/2011. Enlaza a varios videos de interés. Este en particular, enfatiza la importancia de los simulacros –y de tomarlos en serio....

FishSafeInfo: Beating The Odds: Onboard Emergency Drills -Part 1. (En Inglés, sin suntítulos)http://www.youtube.com/watch?v=XPxXNolHxQo Consultado 02/08/2011. Esta es la primera de cuatro partes.

http://www.youtube.com/watch?v=XPxXNolHxQo

http://www.facebook.com/video/video.php?v=1846865885993

http://dms.ntsb.gov/public%2F36000-36499%2F36087%2F297659.pdf

http://www.armada.mil.uy/prena/delea/pdf/dismar/disposicion_maritima_63.pdf

http://faolex.fao.org/docs/pdf/cos26889.pdf

http://www.lce.com/Avoid_the_Misguided_Application_of_the_Maintenance_Planner_Scheduler_38-item.html

http://www.lce.com/Avoid_the_Misguided_Application_of_the_Maintenance_Planner_Scheduler_38-item.html

http://www.lce.com/Symptoms_of_Ineffective_Planning_346-item.html

http://acds.co.za/uploads/jamba/vol2n01/malele.pdf

http://fete.ugt.org/PRL/p_preventivo/pdf_ntp/ntp_390.pdf


Apéndice A

Información adicional sobre Protección Civil

El símbolo de protección civil El resto de esta sección es una cita textual de Wikipedia.El Emblema Internacional de Protección Civil, tal como se define en la constitución de la Organización Internacional de Protección Civil:

En el año de 1949, justo cuando la Liga de Sociedades de la Cruz Roja y Media Luna Roja (Actualmente Federación Internacional de Sociedades de la Cruz Roja y de la Media Luna Roja), debatía por la implementación de las tareas de Protección Civil, a través de un cuerpo de carácter civil y ya contemplado en el postulado básico de la misma, se lanza una convocatoria para buscar un distintivo que permitiera el reconocimiento de esta disciplina a nivel mundial.

Muchas naciones participan y es la de Israel la que gana con el símbolo de la Estrella de David enmarcada en un círculo de color anaranjado dentro de un cuadrado de color amarillo.,como no cumplía con el requisito de representar a un organismo neutral, apolítico y laico, sufre algunas modificaciones, las que a continuación se detallan:

La Estrella de David se modificó, ya que sólo representaba a un pueblo, y lo más importante, a una religión, cosa que Protección Civil no puede admitir por ser imparcial. Por esta razón es modificada, dejando sólo el triángulo superior.

Los colores y la simbología representan lo siguiente:

Triangulo de Color Azul: simboliza la prevención, ya que el azul es un color que proporciona tranquilidad y protección (de ahí que los cuerpos policiacos lo utilizen), al mismo tiempo el triángulo en todas las religiones representa al ser supremo o energía protectora, por lo que los países con una fuerte influencia religiosa dentro de su vida cotidiana, no opusieron inconveniente alguno en aceptarlo.

Cada lado del triangulo representa a cada fuerza (en el Distrito Federal) que reviene o atiende una emergencia, es decir, el Gobierno, los grupos voluntarios y la población en general, siempre en la base, ya que se rebasará la capacidad de respuesta de cualquier organismo por el simple hecho de estar en el lugar de la contingencia. Por lo que es la principal inquietud de Protección Civil el orientarlos para que


adopten medidas de autoprotección que al mismo tiempo nos ayuden a las instituciones para brindar una mejor atención a la ciudadanía.

Círculo Anaranjado: este color representa la aceleración del metabolismo y mantiene en alerta a la persona, además de proporcionar a quien lo porta visibilidad, impidiendo accidentes por falta de la misma. Este color representa al DURANTE.