MEDIDAS DE SEGURIDAD EN EL HARDWARE, SOFTWARE Y DEL PERSONAL
· Participar en el proceso de planificación.
· Revisar los planes de desarrollo del software de aplicación
· Revisar los procedimientos de planificación del software de base
· Comprobar la ejecución de plan en cualquiera de sus niveles
HARDWARE:
· Determinar si el hardware se utiliza eficientemente
· Revisar los informes de la direccion sobre el uso del hardware
· Revisar si el equipo se utiliza para el personal autorizado
· Examinar los estudios de adquisición, selección y evolucion del hardware
· Comprobar las condiciones ambientales
· Revisar el inventario del hardware
· Verificar los procedimientos de seguridad fisica
· Examinar los controles de acceso fisico
· Revisar la seguridad física de los componentes de la red de teleproceso
· Revisar los controles sobre la transmisión de los datos entre los periférciso y el ordenador
· Comprobar los procedimientos de prevención/detección/corrección frente a cualquier tipo de desastre
· Colaborar en la confección de un plan de contingencias y desastres
SOFTWARE:
Ä Revisar la seguridad física de los componentes de la red de teleproceso
Ä Revisar los controles sobre la transmisión de los datos entre los periférciso y el ordenador
Ä Comprobar los procedimientos de prevención/detección/corrección frente a cualquier tipo de desastre
Ä Colaborar en la confección de un plan de contingencias y desastres
Ä Revisar los procedimientos de planificación, adecuación y mantenimiento del software del sistema
Ä Revisar la documentación sobre sw base
Ä Revisar los controles sobre programas producto
Ä Examinar la utilización de estos paquetes
Ä Verificar periódicamente el contenido de los ficheros de usuario
Ä Determinar que el proceso para usuarios está sujeto a los controles adecuados
Ä Examinar los cálculos críticos
Ä Supervisar el uso de las herramientas potentes al servicio de los usuarios
Ä Comprobar la seguridad e integridad de las bases de datos
PARA EL PERSONAL:
Ä Funciones y obligaciones del personal
Ä Registro de incidencias
Ä Identificación y autenticación:
inventario de usuarios
Ä Procedimiento de distribución y almacenamiento de contraseñas
Ä Control de acceso
Ä Basado en autorizaciones de usuarios, según autorización del responsable del fichero
Ä Gestión de soportes
Ä Control de almacenamiento y distribución
Ä Copias de respaldo y recuperación
Ä Copias de forma semanal
Ä Documento de seguridad
Ä Funciones y obligaciones del personal
Ä Responsable de seguridad
Ä Auditoría obligatoria de forma bi-anual
Ä Registro de incidencias
Ä Anotar restauraciones con pérdidas de datos
Ä Obligatoriedad de la autorización por escrito del responsable
Ä Identificación y autenticación:
Ä Inventario de usuarios
Ä Procedimiento de distribución y almacenamiento de contraseñas
Ä Detección de intrusiones y bloqueo de contraseñas
Ä Control de acceso
Ä Basado en autorizaciones de usuarios, según autorización del responsable del fichero
Ä Control de acceso físico
Ä Gestión de soportes
Ä Control de almacenamiento y distribución
Ä Registro de entrada y salida
Ä Inutilización de soportes obsoletos
Ä Copias de respaldo y recuperación
Ä copias de forma semanal
Ä Pruebas con datos reales
Ä Documento de seguridad
Ä Funciones y obligaciones del personal
Ä Responsable de seguridad
Ä Auditoría obligatoria de forma bi-anual
Ä Registro de incidencias
Ä Anotar restauraciones con pérdidas de datos
Ä Obligatoriedad de la autorización por escrito del responsable
Ä Identificación y autenticación:
Ä Inventario de usuarios
Ä Procedimiento de distribución y almacenamiento de contraseñas
Ä Detección de intrusiones y bloqueo de contraseñas
Ä Control de acceso
Ä Basado en autorizaciones de usuarios, según autorización del responsable del fichero
Ä Control de acceso físico
Ä Registro de accesos
Ä Gestión de soportes
Ä Control de almacenamiento y distribución
Ä Registro de entrada y salida
Ä Iinutilización de soportes obsoletos
Ä Cifrado de soportes
Ä Copias de respaldo y recuperación
Ä Copias de forma semanal
Ä Almacenamiento en distinta ubicación
Ä Pruebas con datos reales
Ä Cifrado de las comunicaciones
Ä Documento de seguridad
PLANES DE CONTINGENCIAS DE HARDWARE, SOFTWARE Y DEL PERSONAL ANTE CATASTROFES NATURALES
I.
Identificación de riesgos
2. Evaluación de riesgos
3. Asignación de prioridades a las aplicaciones
4. Establecimiento de los requerimientos de recuperación
5. Elaboración de la documentación
6. Verificación e implementación del plan
7. Distribución y mantenimiento del plan
La primera fase del plan de contingencia, el análisis de riesgos, nos sitúa en el lugar de un asesor de una compañía de seguros. En esta fase, la preocupación está relacionada con tres simples preguntas: ¿qué está bajo riesgo?, ¿qué puede ir mal? y ¿cuál es la probabilidad de que suceda?
El proceso de determinar el costo para la organización de sufrir un desastre que afecte su actividad. Si una inundación impidiera la actividad comercial durante cinco días, la compañía perdería cinco días de ventas, además del deterioro físico de los edificios e inventario. En el caso de los sistemas informáticos, la preocupación principal es comprender la cantidad de pérdida financiera que puede provocar la interrupción de los servicios, incluyendo los que se basan en las redes.
Los costos de
un desastre pueden clasificarse en las siguientes categorías:
Costos reales de reemplazar el sistema informático
Costos por falta de producción.
Costos por negocio perdido
Costos de reputación.
El costo real
de los equipos y el software es fácil de calcular, y depende de si se dispone de
un buen inventario de todos los componentes de la red necesarios.
Los costos de producción pueden determinarse midiendo la producción generada
asociada a la red. La empresa tiene una correcta valoración de la cantidad de
trabajo realizado diariamente y su valor relativo. La pérdida de producción,
debida a la interrupción de la red, puede ser calculados utilizando esta
información.
Los costos por negocio perdido son los ingresos perdidos por las organizaciones de ventas y marketing cuando la red no está disponible. Si el sistema de solicitud de pedidos no funciona y la empresa sólo es capaz de procesar el 25% del volumen diario habitual de ventas, entonces se ha perdido el 75% de ese volumen de ventas.
Los costos de reputación son más difíciles de evaluar y, sin embargo, es conveniente incluirlos en la evaluación. Estos costos se producen cuando los clientes pierden la confianza en la empresa y se llevan su negocio a otro sitio. Los costos de reputación crecen cuando los retardos en el servicio a los clientes son más prolongados o frecuentes.
Asignación de prioridades en las aplicaciones, después de que acontezca un desastre y se inicie la recuperación de los sistemas, debe conocerse qué aplicaciones recuperar en primer lugar. No hay que perder el tiempo restaurando los datos y sistemas equivocados cuando la actividad empresarial necesita primero sus aplicaciones esenciales.
Esto implica la
necesidad de determinar por anticipado cuáles son las aplicaciones fundamentales
del negocio. Si la empresa es como la mayoría, se tendrán aplicaciones "muy
importantes" dependiendo de a quién se le pregunte. El departamento de recursos
humanos afirmará que el sistema de nóminas es el más importante, el departamento
de ventas dirá que es su sistema de entrada de pedidos, el departamento de
producción insistirá en su control de inventario y el departamento de compras
asignará el papel de más importante a su sistema de facturación.
Desgraciadamente, no todos estos sistemas pueden ser el más importante; por lo
tanto, es fundamental que la dirección ayude a determinar el orden en que los
sistemas serán recuperados.
Es de esperar que esta información sea aceptada de buen grado por todos los
jefes de departamento. Independientemente de ello, el plan de contingencia
debería incluir la lista de los sistemas y su prioridad. Esta sección del plan
debería ser firmada por la dirección para minimizar las desavenencias.
Una vez conocido lo que se va a restaurar, debería disponerse de todo lo
necesario para la disponibilidad de tales aplicaciones. Un sistema de aplicación
en una red está compuesto por los sistemas servidores, donde las aplicaciones
almacenan sus datos, los sistemas de estaciones de trabajo que los procesan, las
impresoras o fax empleados para entrada/salida, la red que interconecta todo, y
el software de las aplicaciones. Las aplicaciones cliente/servidor o
distribuidas añaden un nivel extra de complejidad al requerir que distintas
partes de la aplicación residan en máquinas separadas.
Puede caerse en la tentación de construir una infraestructura superior a la
necesaria para la aplicación de mayor prioridad. Por ejemplo, si actualmente la
red tiene 50 estaciones de trabajo, se puede comenzar a trabajar inmediatamente
en la reconstrucción de las 50 estaciones de trabajo. Sin embargo, si las
aplicaciones más prioritarias sólo necesitan cinco estaciones de trabajo, se
debería detener la reconstrucción de las estaciones de trabajo una vez alcanzado
el número de cinco y concentrar los esfuerzos en lograr que la aplicación
funcione. Es mucho mejor intentar lograr que un sistema pequeño funcione, que no
uno más grande, y de esta manera se ahorrará gran cantidad de tiempo en el
proceso. De hecho, cuando se está asignando las prioridades a las aplicaciones
junto con la dirección, también es posible beneficiarse de la determinación del
número mínimo de estaciones de trabajo necesarias para tener el sistema
accesible. El tamaño de la red siempre puede incrementarse a posteriori una vez
el sistema esté en funcionamiento.
Una de las ventajas del enfoque basado en el sistema de aplicaciones es la
cantidad de tiempo necesaria para recuperar una aplicación comparada con la
cantidad de tiempo requerida para restaurar un servidor en su totalidad. Si la
aplicación tiene sólo 500 MB de datos y el servidor 4 GB, es obvio que se ahorra
una gran cantidad de tiempo recuperando únicamente la aplicación.
Sin embargo este enfoque requiere un conocimiento algo más detallado sobre los
sistemas que actualmente se tienen. En primer lugar, es necesario saber dónde se
encuentra toda la información que emplean las aplicaciones y qué dependencias
entre sistemas de archivos pueden existir. Si existen archivos del sistema que
contienen información sobre la aplicación, como es el caso de los archivos .ini
de Windows, es necesario asegurarse de que esos archivos también se recuperan
junto a la aplicación. En segundo lugar, es preciso conocer cómo funciona el
sistema de copias de seguridad para realizar este tipo de recuperación
selectiva. Aunque esto no supone necesariamente una dificultad, no obstante esta
operación debería ser familiar.
Establecimiento de requisitos de recuperación, la clave de esta fase del proceso de elaboración del plan de migración es definir un periodo de tiempo aceptable y viable para lograr que la red esté de nuevo activa. Tal y como se ha planteado en la sección anterior, la preocupación básica debería ser disponer de las aplicaciones más importantes en primer lugar. El personal directivo de la organización deseará saber cuándo estarán sus aplicaciones funcionado para planificar las actividades de la compañía.
Es muy importante concederse una cantidad de tiempo adecuada y no realizar estimaciones poco realistas sobre las propias posibilidades. No es el deseo de nadie tener a un montón de gente alrededor esperando la finalización de las operaciones de recuperación; una distracción de este tipo probablemente perturbe las labores. El término para este tiempo es tiempo de recuperación objetivo o en inglés TRO (Recovery Time Objective). El TRO definido debe ser verificado para comprobar que es realista y factible, no sólo por uno mismo, sino por el resto de la organización, que puede ser requerido para realizar el trabajo.
La dirección de la empresa debería colaborar íntimamente con el personal de administración de redes para determinar el TRO de las aplicaciones. Aplicaciones diferentes tendrán TRO diferentes.
Es necesario asegurarse de que se dispone de tiempo para recuperar las cintas localizadas en la instalación de almacenamiento exterior y para adquirir los sistemas necesarios. Por cierto, debería conocerse por anticipado cómo realizar las órdenes de compra de los equipos cuando la empresa se encuentra en un estado de total desorganización.
Es posible que sea necesario actualizar el sistema de copias de seguridad para satisfacer el TRO. Un sistema de cinta que recupera datos a 2 MB por segundo realizará la labor mucho más rápido que uno que lo ejecute a 500 KB por segundo. Hay que ser precavido y no suponer que se pueden hacer muchas cosas al mismo tiempo; uno se puede encontrar cometiendo desafortunados errores que frenan la labor si no se presta atención al trabajo que se tiene entre manos.
Elaboración de
la documentación, crear un documento que mucha gente pueda tener como referencia
es quizás lo más difícil del plan de contingencia. No hay que engañarse:
implicará un esfuerzo significativo para algunas personas, pero ayudará a
aprender cosas sobre el sistema y puede que algún día salve la empresa.
Los recursos necesarios para escribir y mantener un plan de contingencia
representan más de lo que puede realizarse en ratos libres y después de horas de
oficina. La dirección de la organización debe apoyar la iniciativa para que sea
un éxito. Uno de los problemas del plan de contingencia en un entorno de
comunicaciones es que la tecnología de redes cambia tan rápidamente que resulta
difícil permanecer al día. Esto incluye nuevos dispositivos, así como nuevos
sistemas de aplicación que introducen su propio nivel de complejidad en este
campo. Como ejemplo, considérese la recuperación de un gran sistema de base de
datos relacional Unix. Este tipo de trabajo requiere un conocimiento mucho más
complejo del que corresponde a la instalación de la base de datos y del que un
administrador de redes es probable que tenga; generalmente es necesario un
administrador de base de datos, para el que también la labor será un desafío.
Dado el hecho de que la tecnología de red evoluciona tan rápidamente, debería planificarse la actualización del plan de contingencia periódicamente, por ejemplo una vez al año. Aunque la redacción del plan inicial supondrá una gran cantidad de trabajo, una vez que se dispone del plan, las actualizaciones son relativamente fáciles.
Contenido del plan de contingencia, el plan de contingencia intentar definir las cinco áreas siguientes:
1. Listas de notificación, números de teléfono, mapas y direcciones
2. Prioridades, responsabilidades, relaciones y procedimientos
3. Información sobre adquisiciones y compras
4. Diagramas de las instalaciones
5. Sistemas, configuraciones y copias de seguridad en cinta
Hay que cerciorarse de que se sabe a quién notificar en primer lugar cuándo ocurre un desastre. Por ejemplo, si hay un incendio, llamar primero a los bomberos y luego al director general. Pueden existir otras personas o organizaciones identificadas con características o conocimientos especiales que puedan ayudar a minimizar el daño. Si no se dispone de números de teléfono o direcciones actualizados, se puede pasar muy mal contactando con las personas afectadas.
Mapas mostrando las ubicaciones del centro de operaciones temporal y la instalación externa pueden ahorrar mucho tiempo. También puede ser útil mostrar itinerarios alternativos de acceso para el caso de que las rutas principales no se encuentren disponibles.
Cuando en primer lugar se comienza a reflexionar sobre cómo responder a un desastre, hay que centrarse en las prioridades establecidas. El tiempo pasa; el trabajo debe empezar por recuperar inmediatamente las aplicaciones de mayor prioridad. Las personas deberían disponer de instrucciones y responsabilidades precisas. La relación entre tareas debería hallarse documentada de manera que pueda identificarse cualquier cuello de botella que pudiera surgir. Por último, deberían incluirse, de manera detallada, las operaciones y tareas que muestren las labores de instalación y recuperación necesarias, debiendo ser fáciles de leer y seguir. También habría que incluir aquí los números de teléfono de las organizaciones de asistencia que pudieran requerirse.
Como se ha mencionado anteriormente, debe saberse cómo expedir una solicitud de
compra y obtener los equipos para el centro de operaciones temporal. Esto
significa proporcionar a los vendedores la dirección y cualquier instrucción
necesaria para el transporte. No hay que suponer que todos los vendedores del
mundo van a enterarse de la difícil situación y venir a nuestro rescate. Es
aconsejable disponer de copias de las facturas, recibos y demás para mostrarlos
como prueba de compra. También viene bien tener a mano una lista de 1os números
de serie de los equipos hardware. No hay que olvidar que, actualmente, gran
parte de los productos para el mercado de comunicaciones de LANs se vende a
través de grandes sistemas de distribución, y que los fabricantes y
desarrolladores de software de los productos utilizados puede que no tengan ni
idea de quién es su cliente. No espere recibir los repuestos de manera gratuita;
en su lugar, debería ser capaz de llegar a acuerdos especiales de compra y
provisión para sustituir los bienes perdidos.
Los diagramas
de red simplifican cu gran medida la labor de construir una red. Un diagrama
detallado de la red, necesaria para las primeras aplicaciones, facilita y
agiliza la reanudación de las actividades. La asignación de etiquetas a los
cables y su almacenamiento en un lugar reservado, probablemente no llevará mucho
tiempo y evitará muchas confusiones con posterioridad. La otra ventaja de un
diagrama de conexiones es la posibilidad de emplear contratistas para realizar
las instalaciones. Alguien experimentado en la instalación del cableado y otros
dispositivos de red, y que se dedica a ello, puede ser capaz de realizarlo mejor
y más eficientemente que uno mismo.
Es posible ahorrarse horas o incluso días en el proceso de recuperación si
existe la posibilidad de almacenar algunos sistemas de repuesto con la capacidad
de gestionar tareas diferentes. Planifíquese instalar una configuración genérica
que, como mínimo, permita ejecutar las aplicaciones de mayor prioridad sin
problemas. Si se desconoce los productos que la gente tiene en sus PC, un
producto para inventario de LAN puede ayudar en la recopilación de esta
información. Después de que la red alternativa se encuentre funcionando, y se
disponga de un momento de respiro, será posible restaurar los PC con sus
configuraciones anteriores utilizando la información de configuración extraída
de los informes de inventario.
Hay que asegurarse la disponibilidad de un sistema de copias de seguridad de
cinta en funcionamiento. Si es posible, debe mantenerse un sistema de reserva,
incluyendo adaptadores SCSI, cables y software de unidades de dispositivo, en un
sitio alterno. No es inusual encontrarse con que los vendedores locales no
disponen de existencias de los productos necesarios, obligando, por tanto, a
esperar el envío de los repuestos antes de poder empezar la recuperación de los
datos. Si se sigue este consejo, no hay que olvidar actualizar este sistema
cuando se actualicen los sistemas de copias de seguridad de producción; en caso
contrario, uno se puede encontrar con formatos de cinta o bases de datos
incompatibles u otros problemas que impedirán la restauración de la información.
Verificación e implementación del plan, una vez redactado el plan, hay que probarlo. Hay que estar seguro de que el plan va a funcionar. Para ello, se debe ser escéptico sobre el propio trabajo, de manera que pueda uno probarse a sí mismo que funciona. Psicológicamente, esto no es fácil porque con toda probabilidad se ha invertido una gran cantidad de tiempo y energía personal en este proceso, aunque lo mejor sería, si es posible, situarse de manera imparcial ante la confiabilidad del plan. Por consiguiente, han de realizarse las pruebas para encontrar problemas, no para verificar que el plan funciona. Si existen errores en la información, tómese nota de ellos y corríjase el plan.
Comprobación del plan por partes, no se puede tumbar el sistema algún día para ver si se es capaz de recuperarlo. Existen muchas y mejores formas de verificar un plan de contingencia sin causar mayores interrupciones en el trabajo de la organización. Algunas de las cosas en las que habitualmente no se piensa a la hora de comprobar pueden ahorrar mucho tiempo posteriormente. Por ejemplo, llamar a los números telefónicos de los colaboradores incluidos en la listas telefónicas del plan para confirmar si son actuales; llamar a los vendedores y comprobar si disponen de existencias de productos, ya que puede que hayan modificado su política de inventario. Algún día, viajar hasta la instalación alterna para saber dónde está y cómo reconocer el edificio.
Por supuesto, también es necesario verificar los procedimientos que se emplearán para recuperar los datos. Compruébese el software para la realización de las copias de seguridad para confirmar si pueden recuperarse las aplicaciones de mayor prioridad de la manera esperada. Esto debería hacerse en una red aislada para evitar problemas con el servidor de licencias. Por ejemplo, si la idea es unificar dos servidores mediante la recuperación completa de uno de ellos en el servidor de repuesto y a continuación restaurar sólo los archivos de datos de usuario procedentes del otro, finalmente se tendrá dos servidores con la misma licencia de software de servidor en la red, lo que podría dar lugar a la difusión por toda la red de mensajes de aviso sobre la licencia. Incluso aunque se utilice una nueva licencia de sistema operativo de red, todavía existen otros conflictos como nombres de servidores duplicados y cualquier otro problema de duplicación que podría causar problemas en los sistemas de producción.
Una vez
recuperada la información, verifíquese si el usuario puede acceder a ella. Esto
requiere de algunas estaciones de trabajo conectadas a la red para simular
auténticos usuarios finales con cuentas en los servidos originales. En este
punto, puede ser necesario actualizar el plan para incluir información sobre el
establecimiento de cuentas de usuario. Compruébese cada una de las operaciones
del plan individualmente y examínese entonces si, como resultado, se tiene un
sistema de red en funcionamiento. No está de más verificar el plan con otras
personas de la organización que se encuentren tan familiarizadas con los
productos o procedimientos empleados.
Revísese cada día la parte del plan relacionada con las operaciones de copias de
seguridad verificando la finalización correcta de las mismas. Además, supervise
esto asegurándose de que algunas personas de la organización saben realizar
copias de seguridad adecuadamente, y comprobar su finalización.
Distribución y mantenimiento del plan, por último, cuando se disponga de un plan definitiva ya verificado, es necesario distribuirlo a las personas que necesitan tenerlo. Inténtese controlar las versiones del plan, de manera que no exista confusión con múltiples versiones. Así mismo, es necesario asegurar la disponibilidad de copias extra del plan para su depósito en la instalación exterior a en cualquier otro lugar además del lugar de trabajo. Manténgase una lista de todas las personas y ubicaciones que tienen una copia del plan. Cuando se actualice el plan, sustituya todas las copias y recoja las versiones previas.
El
mantenimiento del plan es un proceso sencillo. Se comienza con una revisión del
plan existente y se examina en su totalidad, realizando cambios a cualquier
información que pueda haber variado. En ese instante, se debe volver a evaluar
los sistemas de aplicación y determinar cuáles son los más importantes para la
organización. Las modificaciones a esta parte del plan causarán modificaciones
consecutivas a los procedimientos de recuperación. Sin embargo, esto no debería
verse como un problema porque probablemente la sección de procedimientos tenga
que actualizarse de todas formas debido a otros cambios. Si se han realizado
modificaciones al sistema de copias de seguridad, hay que cerciorarse de incluir
la información sobre el funcionamiento del nuevo o actualizado sistema.
Este proceso llevará tiempo, pero posee algunos valiosos beneficios que se
percibirán aunque nunca tengan que utilizarse. Más gente conocerá la red. Esto
proporcionará a la organización una base técnica más amplia para mantener
correctamente la red. También facilitará el crecimiento de una perspectiva
global sobre la red dentro del núcleo de administradores de sistemas de
información y puede ayudar a identificar las futuras o actuales áreas
conflictivas. Uno de los aspectos más difíciles en cualquier labor distribuida,
como es la gestión y administración de LAN, es dar a conocer la situación
actual. El mantenimiento y verificación de un plan de migración ayudará a que se
produzca dicha comunicación dentro de la organización.
Es muy importante no olvidar las instalaciones físicas y de servicios, que significan un alto grado de riesgo. Para lo cual se debe verificar:
· la continuidad del flujo eléctrico
· efectos del flujo eléctrico sobre el software y hardware
· evaluar las conexiones con los sistemas eléctrico, telefónico, cable, etc.
Es de gran importancia la elaboración del plan considerando el personal, pues se debe llevar a una conciencia para obtener una auto evaluación de su comportamiento con respecto al sistema, que lleve a la persona a:
· Asumir riesgos
· Cumplir promesas
· Innovar
Para apoyar estos objetivos se debe cumplir los siguientes pasos:
· Motivar
· Se debe desarrollar métodos de participación reflexionando sobre lo que significa la seguridad y el riesgo, así como su impacto a nivel empresarial, de cargo y individual.
En un principio a los ejecutivos con el fin de que conozcan y entiendan la relación entre seguridad, riesgo y la información, y su impacto en la empresa. El objetivo de este punto es que se podrán detectar las debilidades y potencialidades de la organización frente al riesgo.
Este proceso incluye como práctica necesaria la implantación la ejecución de planes de contingencia y la simulación de posibles delitos.
Se debe formar técnicos encargados de mantener la seguridad como parte de su trabajo y que esté capacitado para capacitar a otras personas en lo que es la ejecución de medidas preventivas y correctivas.
PLANES DE CONTINGENCIA
Los planes de contingencia son una parte importante de los planes generales de manejo de las operaciones electorales en todos los entornos y circunstancias.
Puesto que el tiempo es crucial en las operaciones de la empresa, es necesario hacer planes de respaldo para posibilitar una rápida reacción ante las fallas de las operaciones o los cambios en el entorno social o físico. La elaboración de los planes de contingencia y de respaldo es de vital necesidad en lugares donde operan los procesos o sistemas por primera vez o en contextos donde existe el riesgo de un trastorno social. Idealmente, los planes de contingencia deberán identificar opciones flexibles adaptables a situaciones específicas; generalmente no es posible anticipar todas las contingencias que pudieran ocurrir.
Enfoque operativo
La planeación para contingencias debe abordar diversas áreas donde las fallas de los sistemas o de otro tipo o los sucesos sobre los que los administradores operativos no tengan control alguno, podrían afectar la prestación eficaz de los servicios, de acuerdo con el plan establecido.
Estas áreas pueden incluir:
[ DESASTRES NATURALES O ALTERACIONES DEL ORDEN SOCIAL.
Entre ellos se incluyen incendios, inundaciones, terremotos, levantamientos sociales u otros disturbios. Estos fenómenos podrían afectar las operaciones dentro de la empresa. Puesto que podría ser necesario tomar decisiones con respecto al aplazamiento o la suspensión del proceso, en estas circunstancias es imperativo contar con la participación de los administradores de alto rango para dar la respuesta apropiada ante tales casos.
CONTENIDO DEL PLAN DE CONTINGENCIA
· Los planes de contingencia deberán identificar cuestiones clave tales como:
· La naturaleza de la contingencia
· Las repercusiones operativas de la contingencia
· Las respuestas viables
· Las implicaciones financieras de las respuestas
· Cualquier efecto en otro proceso
SOBRE EL PERSONAL RECLUTAMIENTO, EVALUACION, INDUCCIÓN, CONTRATACIÓN, EVALUACION Y DESEMPEÑO Y CAPACITACION.
ADMINISTRACION DE RECURSOS HUMANOS.
La Administración de Recursos Humanos consiste en la planeación, organización, desarrollo y coordinación de la empresa, así como también control de técnicas, capaces de promover el desempeño eficiente del personal, a la vez que la organización representa el medio que permite a las personas que colaboran en ella alcanzar los objetivos individuales relacionados directa o indirectamente con el trabajo.
En la actualidad las técnicas de selección del personal tiene que ser más subjetivas y más afinadas, determinando los requerimientos de los recursos humanos, acrecentando las fuentes más efectivas que permitan allegarse a los candidatos idóneos, evaluando la potencialidad física y mental d los solicitantes, así como su aptitud para el trabajo, utilizando para ello una serie de técnicas, como la entrevista, las pruebas psicosométricas y los exámenes médicos.
El Departamento de Recursos Humanos es esencialmente de servicios. Sus funciones varían; asesora, no dirige a sus gerentes, tiene la facultad de dirigir las operaciones de los departamentos de la empresa.
Entre sus funciones esenciales dentro de la empresa de TASA podemos destacar las siguientes:
[ Ayudar y prestar servicios a la organización, a sus dirigentes, gerentes y empleados.
[ Describe las responsabilidades que definen cada puesto laboral y las cualidades que debe tener la persona que lo ocupe.
[ Evaluar el desempeño del personal, promocionando el desarrollo del liderazgo.
[ Reclutar al personal idóneo para cada puesto.
[ Capacitar y desarrollar programas, cursos y toda actividad que vaya en función del mejoramiento de los conocimientos del personal.
[ Brindar ayuda psicológica a sus empleados en función de mantener la armonía entre éstos, además buscar solución a los problemas que se desatan entre estos.
[ Llevar el control de beneficios de los empleados.
[ Distribuye políticas y procedimientos de recursos humanos, nuevos o revisados, a todos los empleados, mediante boletines, reuniones, memorandums o contactos personales.
[ Supervisar la administración de los programas de prueba.
[ desarrollar un m arco personal basado en competencias.
[ Garantizar la diversidad en el puesto de trabajo, ya que permite a la empresa triunfar en los distintos mercados nacionales y globales
La función de Recursos Humanos de la empresa consiste en las siguientes:
[ Identificación y desarrollo de las competencias claves necesarias para respaldar el negocio. Una vez identificadas, se ponen en marcha estrategias para desarrollar o adquirir las competencias claves. La función empresarial es también responsable de monitorizar el progreso de desarrollo.
[ Desarrollo de talento Ejecutivo. Recursos Humanos de la empresa es responsable de los sistemas que identifican y desarrollan el personal con mayor potencial de toda la organización, preparándolo junto a los directivos presentes, para alcanzar los objetivos empresariales presentes y futuros, incluyendo la planificación de sucesiones.
[ Desarrollo de iniciativas de formación y desarrollo para respaldar la cultura, los valores y los principios operativos comunes. Utilizando las sesiones de formación y desarrollo como vehículos de comunicación para desarrollar, implementar y sostener este principio.
[ Desarrollo de modelos para la evaluación y retribución de los empleados. Recursos Humanos de la empresa identifica los modelos empresariales para la contratación, el juicio y la evaluación de los empleados.
[ Desarrollo e implementación de políticas y programas de gestión de la actuación y la retribución para utilizarse en todas las compañías operativas.
Los objetivos de la administración de Recursos Humanos se derivan de las metas de la empresa completa, los cuales, en toda organización, son la creación o distribución de algún producto o servicio.
El principal objetivo es mejorar las contribuciones productivas del personal a la organización , de forma que sean responsables desde el punto de vista estratégico, ético y social.
Otros objetivos son:
[ Crear, mantener y desarrollar un contingente de Recursos Humanos con habilidad y motivación para realizar los objetivos de la organización.
[ Desarrollar condiciones organizacionales de aplicación, ejecución satisfacción plena de Recursos Humanos y alcance de objetivos individuales.
[ Alcanzar eficiencia y eficacia con los Recursos Humanos disponibles.
[ Contribuir al éxito de la empresa.
[ Responder ética y socialmente a los desafíos que presenta la sociedad en general y reducir al máximo las tensiones o demandas negativas que la sociedad pueda ejercer sobre la organización.
[ Apoyar las aspiraciones de quienes componen la empresa.
[ Cumplir con las obligaciones legales.
[ Rediseñar la función corporativa de Recursos Humanos para convertirla en una consultaría de la dirección de la empresa sobre contratación, formación, gestión, retribución, conservación y desarrollo de los activos humanos de la organización.
DEFINICIÓN Y FUNCIONES DE LAS PRINCIPALES AREAS QUE COMPONEN EL DEPARTAMENTO DE RECURSOS HUMANOS
1. RECLUTAMIENTO DE PERSONAL
La empresa trata de atraer los individuos y obtener informaciones al respecto de ellos para decidir sobre la necesidad de admitirlos o no.
Es una actividad fundamental del programa de gestión de Recursos Humanos de la empresa. Una vez que se han terminado las necesidades de Recursos Humanos y los requisitos de los puestos de trabajo es cuando puede ponerse en marcha un programa de reclutamiento para generar un conjunto de candidatos potencialmente calificados. Estos candidatos podrán conseguirse a través de fuentes internas o externas.
El reclutamiento es básicamente un proceso de comunicación de mercado: exige información y persuasión. La iniciación del proceso de reclutamiento en la empresa depende de la decisión de línea. Como el reclutamiento es una función de staff, sus actos dependen de una decisión en línea, generalmente denominada requerimientos de empleado o requerimientos de personal.
2. SELECCIÓN
El proceso de selección en la empresa comprende tanto la recopilación de información sobre los candidatos a un puesto de trabajo como la determinación de a quién deberá contratarse.
La tarea de selección es la de escoger entre los candidatos que se han reclutado, aquel que tenga mayores posibilidades de ajustarse al cargo vacante propuesto por la empresa.
Puede definirse la selección de RH como la escogencia del hombre adecuado para el cargo adecuado, o entre los candidatos reclutados, aquellos más adecuados a los cargos existentes en la empresa, con miras a mantener o aumentar la eficiencia y el desempeño del personal.
3. EVALUACIÓN DE DESEMPEÑO
Dentro de la empres el procedimiento para evaluar el personal generalmente, se elabora a partir de programas formales de evaluación, basados en una cantidad razonable de informaciones respecto a los empleados y a su desempeño en el cargo.
Se estimula o busca el valor, la excelencia y las cualidades de alguna persona. Medir el desempeño del individuo en el cargo y de su potencial de desarrollo.
4. ENTRENAMIENTO Y DESARROLLO
Es el área que se encarga de capacitar en un corto plazo a los ocupantes de los puestos de la empresa, así como también se encarga de suministrar a sus empleados los programas que enriquecen su desempeño laboral; obteniendo de esta manera mayor productividad de la empresa.
Su función es que por medio a estos programas se lleve la calidad de los procesos de productividad de la empresa, aumentar el conocimiento y la pericia de un empleado para el desarrollo de determinado cargo o trabajo.
