Um plano de contingência, também chamado de planeamento de riscos, plano de continuidade de negócios ou plano de recuperação de desastres, tem o objectivo de descrever as medidas a serem tomadas por uma empresa, incluindo a activação de processos manuais, para fazer com que seus processos vitais voltem a funcionar plenamente, ou num estado minimamente aceitável, o mais rápido possível, evitando assim uma paralisação prolongada que possa gerar maiores prejuízos a corporação, como:
• a fuga de accionistas,
• grandes perdas de receita;
• sanções governamentais;
• problemas jurídicos para os dirigentes;
• abordagens maliciosas da imprensa;
• fuga de funcionários para os concorrentes e
•em casos extremos, o fechamento da empresa.
Dada a grande importância deste processo seu custo deve estar incluído no escopo de novos projectos. O Plano de Contingência é um documento onde estão definidas as responsabilidades estabelecidas em uma organização, para atender a uma emergência e também contêm informações detalhadas sobre as características da área ou sistemas envolvidos. É um documento desenvolvido com o intuito de treinar, organizar, orientar, facilitar, agilizar e uniformizar as acções necessárias às respostas de controle e combate às ocorrências anormais.
Os incidentes mais comuns que causam a contingência na área de sistemas são enchentes, incêndios, rebeliões, greves, terramotos, tsunamis, furacões, falta de energia, ataques de hackers internos (funcionários ou consultores mal intencionados) ou externos, vírus de computador, vazamento químico, sabotagem, atentados terroristas, acidentes e erros humanos.
Os planos de contingência devem se concentrar nos incidentes de maior probabilidade e não nos catastróficos que, normalmente, são menos prováveis de acontecer. Paralelamente, determinados tipos de falhas com alta probabilidade de ocorrência podem, pelo tipo e duração de seus efeitos, não justificar qualquer
medida de contingência.
O plano deve ser desenvolvido envolvendo todas as áreas sujeitas a catástrofes, tanto as de sistema de informática quanto as de negócio e não deve ser de exclusiva responsabilidade da área de Tecnologia da Informação da organização.