Temario

1. Apoyo de la Dirección y Administración del Proyecto.

2. Evaluación y Análisis de Riesgos.
3. Análisis de Impacto al Negocio.
4. Desarrollo de Estrategias BC/DR.
5. Preparación y Respuesta de Emergencia.
6. Comunicación de Crisis.
7. Coordinación con Autoridades Externas.
8. Activación del Plan.
9. Desarrollo del Plan.
10. Programas de Concientización y Capacitación.
11. Programas de Pruebas y Ejercicios.
12. Mantenimiento y Actualización de Planes
A la terminación del curso los participantes:
- Tendrán conocimiento de todos los componentes de las Mejores prácticas
profesionales para profesionales en la Continuidad del Negocio.
- Aclararán dudas y conceptos claves relacionados con la gestión de la Continuidad del Negocio y sus
componentes.
Objetivos de las sesiones.

1. Comprender la importancia para las organizaciones de poseer un Plan de Continuidad del

Negocio.
2. Conocer la metodología para el desarrollo profesional de un plan de continuidad del
negocio.
3. Aprender a elaborar y desarrollar un Análisis de Impacto al Negocio (BIA).
4. Aprender como se identifican los requerimientos mínimos para la recuperación ante
desastres.
5. Entender los fundamentos para seleccionar una estrategia de recuperación eficiente.
6. Aprender a construir los planes de continuidad del negocio.
7. Comprender la importancia del mantenimiento de los planes.
8. Identificar los aspectos funcionales que deben tener las herramientas informáticas de apoyo
en la construcción y mantenimiento de los planes de continuidad.
Sumario de la Lección.

1. Revisión de la Administración de Continuidad del

Negocio BCM (Business Continuity Management).
2. Continuidad del Negocio: ¿De quién es la
Responsabilidad?
3. Mejores Prácticas.
4. Tendencias y Directrices.
5. Retos.
 ¿Por qué está usted aquí hoy día?

De Arriba hacia Abajo

• Política Ejecutiva.
• Reacción al Desastre.
• Requerimientos regulatorios.
• Mandado por la auditoría.
• Gerencia Media.
• Buenas prácticas del negocio.
• Planificador.
• Reconocimiento del Negocio.
• Reconocimiento Personal.
• Se motivó personalmente.

De Abajo hacia Arriba.

Administración de la Continuidad del Negocio.

 Elementos Básicos:
• ¿Qué debo hacer para reducir los riesgos.
• ¿Cómo responder ante un evento?
• ¿Qué debo recuperar después del evento.
Fases de la Continuidad del Negocio.
 Prevención/Reducción/Mitigación.
• Pasos a tomar para identificar y mitigar los riesgos.
 Respuesta y Administración.
• Reacción planificada y administración de un evento adverso.
 Recuperación.
• Reasunción planificada y recuperación de operaciones y
sistemas luego de una interrupción.
 Restauración.
• La restauración o reemplazo de un activo a su sitio
«permanente» después de una interrupción.
 Procesos Asociados.

CONST INVOLUCRA
ANALIZAR DISEÑAR ADMIN
INTGR R

•Iniciación y administración BCP.

Evaluación de Riesgo y Análisis.

•Análisis de Impacto al Negocio.

•Desarrollar las Estrategias de

Continuidad y Recuperación.

Documentando e Implementando los

BCP y DRP

Plan de Entrenamiento y
Comunicación.

•Pruebas y programas de Simulatión.

Ejercitando el Plan – Mantenimiento,

Actualización, Mejoramiento.

7
BCP/DRP Marco de Trabajo.
Programa de Continuidad del Negocio.

 Es un programa holístico conducido por los requerimientos del

negocio.
• Liderado por un equipo de gerentes empoderados para
responder a las interrupciones.
• Modifica las consecuencias de una interrupción a niveles
aceptables por la gerencia.
• Provee un vía probada para enfrentar la crisis.
 Declaración Programa de Continuidad del Negocio.

 Eventos externos o internos interrumpen uno o más de sus

procesos de negocio.
 Tiempo –longitud de la interrupción- que causa una situación que
deviene en desastre.

¿Qué es importante para su Negocio?

Tiempo permitido de interrupción.
 Propósito Programa de Continuidad del Negocio.

 Proteger su:
• Gente.
• Información.
• Operaciones.
• Organización.
 Objetivos Programa de Continuidad del
Negocio.

 Asegurar la operatividad y la supervivencia de la organización.

 Proveer protección de los activos.
 Mitigar los riesgos y la exposición a ellos.
 Proveer medidas preventivas.
 Tomar control de cualquier interrupción.
 Porqué es importante un Programa de
Continuidad del Negocio.
 Asegurar la vida humana.
 Minimiza la confusión y habilita decisiones efectivas en tiempo
de crisis.
 Reduce la dependencia de personal específico.
 Minimiza la pérdida de datos, ingresos y clientes.
 Facilita la recuperación de las funciones del negocio a tiempo.
 Mantiene la imagen y la reputación.
 Un Programa de Continuidad del Negocio
responderá.
 ¿Qué es un desastre?
 ¿Cuándo comienza su impacto?
 ¿Cuánta pérdida puedo tolerar?
 ¿Cuáles son las opciones?
 ¿Cómo restablecer las funciones de negocio?
 ¿Cuánto costará el plan de recuperación?
 ¿Cuánto es demasiado?
 Continuidad del Negocio: ¿Quién es
Antes: responsable? Ahora:

 Centro de datos.  El lado corporativo de la

organización
 Departamento de TI. • Vínculo con la tecnología.
• Manejo de Crisis.
• Unidades de negocio.
• Procesos de negocios y
funciones.
• Áreas de trabajo.
 Continuidad del Negocio: ¿Quién es
responsable?
 Imperativos de los ejecutivos:
• Ligado a las consecuencias de
o Interrupción de negocios.
o Pérdida de información crítica.
o Adecuada protección de los datos según la ley.
 Gerencia por áreas de responsabilidad.
 Todos los empleados deben participar.
 Mejores Prácticas.
 El cuerpo de directores revise el programa anualmente.
 Gerencia sénior/ejecutiva responsable por el BCM.
 El staff de BC debe tener presupuesto.
 Mejores Prácticas.
 La función de BCM abarca todos los aspectos de la organización.
 El BCM es un proceso continuo.
 Una política completa de back-up de los archivos vitales.
 Mejores Prácticas.
 Estrategias de recuperación en sitio basadas en prioridades,
tiempos e impacto en la organización (BIA).
 Que haya conciencia, entrenamiento, pruebas y ejercitación del
programa.
 Que el plan esté al corriente y disponible.
 Mejores Prácticas.
 Un Programa de Continuidad del Negocio:
• NO es un proyecto con un comienzo y un final.
• NO es un producto específico, tecnología o servicio.
• NO es sólo recuperación de desastre y/o alta disponibilidad.
 Mejores Prácticas.
 Un Programa de Continuidad del Negocio:
• ES una forma de hacer negocios y continuar permaneciendo
en el negocio.
• ES un plan para asegurar procesos de negocio —incluyendo
los de proveedores de servicio— estén siempre disponibles
para responder a las necesidades críticas.
 Los 10 Mandamientos de un BCM.

I. Recuperarás lo que eres VI. Distinguirás entre estrategias y

dueño. recomendaciones.
II. Deberás tener alternativas. VII.No permitirás que el plan
III. Te concentrarás en sobrevivir. envejezca.
IV. No le asignarás papeles a las VIII.No codiciarás la rigidez de tu
personas. prójimo.
V. Ejercitarás y probarás. IX. No te harás complaciente.
X. Evitarás que se escurra el alcance.
 Tendencias y Directrices.
Antes: Ahora:

 Proteger el Centro de datos.  ¡Proteger los procesos de negocio!

 Tendencias y Directrices.
 Las causas de la interrupción del negocio son multifacéticas.
• Operacionales.
o Errores Humanos.
o Error de los proveedores de servicio.
 Técnicos.
• Caídas de energía. Factores Ambientales
Desconocidos
Fallas de
• Fallas de Software (Naturales)
7% Sistemas de
8% Software
Causas de Caídas
No Programadas
27%
Fallas de
Transmisión en 17%
Redes

23%
18%
Fallas en
Sistemas de
Error Hardware
Humano
Source: Dataquest
Tendencias y Directrices.
 Tecnologías Emergentes.
• Alta Disponibilidad.
• Tiempo de caída reducidos.
• Más dependientes de múltiples vendedores externos.
 La tecnología esta embebida en todos los procedimientos de la
organización.
Tendencias y Directrices.
 Incremento de la Interrupciones debido a:
• Facilidades móviles.
• Ataques por negación del servicio.
• Virus computacionales y gusanos, etc.
• Ataques terroristas electrónicos.
• Wikileaks.
Tendencias y Directrices.

 Amplia variedad de amenazas potenciales.

• Activación de centros de datos de recuperación.

• Recuperación de la Red.
• Pasos para la recuperación de los datos/almacenamiento.
• Dependencia del negocio a los datos y la información continua
creciendo.
• Necesidad de dirigir la base de crecimiento de la información.
Tendencias y Directrices.
 La ventana de recuperación continua descendiendo.
• 80% reportan RTO de menos de 24 horas.
La brecha entre los objetivos de las compañías y las estrategias de
recuperación actuales.
 Tendencias y Directrices.

 BCM continuará siendo involucrado en un rol más estratégico

incorporando administración de emergencias, seguridad,
instalaciones, salud y seguros, y factores humanos.
 Incremento de la conciencia de necesitar, requerir y valorar el
BCM a través de la organización en general.
 Retos de BCM.

 Se requiere documentar a alto nivel el retorno sobre la inversión

(ROI).
 Se requiere ejemplos de dónde un BC ha sido hecho y bien.
 Aún sigue siendo visto como un ejercicio del plan de
recuperación ante desastres.
 Retos de BCM.

 Debe demostrar vulnerabilidades potenciales – cuáles riesgos hay.

 Necesita ser comunicado más en una base financiera/inversión.
 Necesita mercadear el «caso de negocio».
 Retos de BCM.

 Necesidad de presionar por legislación y regulaciones.

• Necesita regulaciones claras con penalidades.
 Necesita conducir más estudios para mostrar valor monetario del
BCM
 Crear la conciencia en los ejecutivos de los riesgos de NO tener
un programa BCM.
 Retos de BCM.

 Promover estándares en la industria.

• Porcentaje apropiado de presupuesto asignado para el BCM.
 El BCM necesita compartirse con el resto de la organización.
 Necesidad de herramientas objetivas para evaluar la efectividad y
madurez del programa.
 Retos de BCM.

 Crear un mensaje irresistible.

 Desarrollar una terminología común en la industria.
 Integrar «silos» de planificación.
 Sumario de la Lección.

 El Programa BCM debe ser lo más completo posible y cumplir

las necesidades de la organización.
 El Programa BCM debe proteger a la gente, los activos y la
operación.
 El soporte de la gerencia es invaluable para el éxito del programa.
Revisión de la Lección.

1. Desarrollo del Programa del BCM

2. Roles y Responsabilidades.
3. Términos y Definiciones.
4. Administrando cada proyecto.
5. Administrando el cambio.
6. Presentación a la gerencia sénior.
Prácticas profesionales para
Business Continuity Professionals.

1. Apoyo de la Dirección y Administración del Proyecto.

2. Evaluación y Análisis de Riesgos.
3. Análisis de Impacto al Negocio.
4. Desarrollo de Estrategias BC/DR.
5. Respuesta de Emergencia y Operaciones.
6. Desarrollo e Implementación de Planes de Continuidad de Negocios.
7. Programas de Concientización y Capacitación.
8. Mantenimiento y Ejercicios de Planes de Continuidad de Negocio.
9. Comunicación de Crisis.
10.Coordinación con las agencias externas.
 Principios de Gerencia de Proyectos.

 Propósito:

• Proveer un entendimiento sobre cómo establecer la necesidad

y obtener soporte en la Administración del Programa de
Continuidad del Negocio (BCM) en su organización y
organizar y administrar el programa.
 Roles del Gerente de Proyectos de BCM.

 Desarrollar un Comité de Dirección (Steering Comittee) que es la

representación de la organización entera.
 Obtener el compromiso de la gerencia sénior y políticas en sitio.
 Establecer el alcance del proyecto y su duración (timeline).
 Obtener la aprobación de la gerencia y su presupuesto.
 Objetivos del Gerente de Proyectos de BCM.

 Entender el rol del planificador de continuidad de negocio.

 Obtener soporte de la gerencia.
 Construir equipos para soportar el desarrollo del programa de la
administración de la continuidad del negocio.
 Desarrollar y administrar el Programa BCM.
El Proceso de Planificación.

 Objetivo:
• Definir y organizar los parámetros de planificación del proyecto e
identificar los recursos necesarios para desarrollar el Plan BCM.
 Algunas tareas relevantes.
• Examinar y justificar la necesidad del BCM a la gerencia.
• Delinear los principales pasos para la recuperación ante un
desastre.
• Delinear los principales pasos que deriven en el Plan BCM.
 Algunos de los entregables principales.
• Estructura del equipo de planificación.
• Propuesta de BCM a la gerencia.
• Un RFP para BCM.
• Los hitos del proyecto.
• Steering Comittee.
Pasos básicos para desarrollar un programa
1. Desarrollar un equipo y un plan de proyectos.
2. Investigar y recudir los riesgos y amenazas.
3. Investigar el impacto al negocio.
4. Priorizar funciones críticas.
5. Desarrollar estrategias.
6. Establecer equipos y tareas.
7. Escribir los planes.
8. Entrenar y ejercitar a la gente.
9. Actualizar y mantener el plan.
Propósito de la Planificación.
 Protección de activos.
• Empleados.
• Información.
• Locaciones físicas.
 Plan de acción estructurado, viable, para reducir la exposición a
pérdidas.
 Que dirija las operaciones críticas.
 Que cumpla con los requerimientos regulatorios y legales.
El Rol del Planificador.
 Dirige a los patrocinadores a definir:
• Alcance y objetivos.
• Políticas.
• Asunciones del proyecto.
• Factores críticos de éxito.
o Considerando la organización completa en un alcance inicial.
o Cumplir objetivos.
o Confirmar asunciones.
o Evaluación comparativa – historia de casos.
El Rol del Planificador.
 Asegurar que todos los componentes del programa estén presentes.
 Asegurar que se acometa la planificación apropiada, preparación, y
entrenamiento a las áreas específicas.
 Asegurar que se designen los equipos adecuados.
 Identificar y documentar las omisiones del programa.
 Asegurar que el programa esté presupuestado apropiadamente.
 Organizar y administrar los esfuerzos de recolección de datos.
Estructurar el Programa del BCM.
 Crear el proyecto.
• Definir tareas, duración, dependencias y recursos.
 Administrar el proyecto.
• Seguir y ajustar los cambios hasta que el proyecto esté completo.
 Reportar sobre el progreso del proyecto.
• Presentaciones a la gerencia.
• Ajuste que comprometan a la dirección.
Desarrollo del Programa del BCM.
 Desarrollo del plan de proyecto BCM.
• Steering Committee.
• Project task force.
o Identificar los equipos de trabajo y sus responsabilidades.
• Definición de términos.
Rol de la Gerencia Ejecutiva.
 Proteger y preservar los activos de la organización y los recursos.
 Asigna funciones claves al personal que ejecutará la recuperación.
Rol de los Equipos.
 Desarrolla la organización del equipo y su estructura.
 Utiliza la experiencia de los miembros del equipo.
 Define los objetivos del equipo.
 El equipo debe internalizar el plan e instilar un sentido de propiedad.
 Los beneficios de la creación de un team a largo plazo.
• Asegura que personal experto esté disponible para ser asignado a
tarea críticas.
Equipos Sugeridos.
 Planificación/Mitigación/Reducción.
• BCM Steering Committee (Equipo Administración de la Crisis).
• Equipo para el Desarrollo de la Continuidad del Negocio.
 Respuesta.
• Equipo de Respuesta a la Emergencia.
• Equipo de Evaluación de Daños.
• Equipo (s) de Respuesta Funcional (es).
• Equipo de Comunicación de Crisis.
 Recuperación.
• Equipo (s) de Recuperación Funcional.
• Equipos de Soporte Asociados.
Cómo crear Equipos Ganadores.
 La clave para el éxito de un gerente de proyectos:
• Escoger a las personas y al equipo correcto.
• Fomentar y administrar la efectividad.
 Reclutar a la genta más calificada.
• No tomar un cuerpo para llenar una posición.
 Involucrar a la gerencia de primer nivel en el proyecto.
• Estos involucrarán a su staff.
 El líder del equipo debe tener experiencia gerencial dentro de la
unidad de negocio.
Definición de Terminología.
 Business Continuity Management.
 Business Continuity (planificación).
 Recuperación ante desastre (planificación).
¿Qué es un
Desastre?
Un evento súbito, no
planificado y
calamitoso que causa
un gran daño o
pérdida.
Definición de Terminología.
 Critico.

Funciones.

Infraestructura.

Registros.
Definición de Terminología.
 Registros Críticos/Vitales.

• Datos e información requerida para soportar funciones de negocio

(v.g. histórico, requerimientos regulatorios)
• Debe ser mantenido fuera del lugar a un proveedor externo y debe
estar disponible.
Administrando los Componentes de un Proyecto
BCM.
 Objetivos.
 Tareas.
 Recursos.
 Agenda de Tiempo.
 Factores críticos de éxito.
 Administración del cambio.
Defina los Objetivos del Proyecto BCM.
 Estado del Problema.
 Plantee objetivos claros y logros concisos.
 Establezca qué está dentro y fuera del alcance.
 Defina asunciones.
 Desarrolle un escenario inicial clave de desastre para enfocar las
actividades del proyecto.
• Escenario del «peor caso».
Evaluación del Riesgo del Proyecto BCM.
 Valide las expectativas de la gerencia.
 Evalúe la viabilidad de los tiempos iniciales, estimados y de los
recursos necesarios contra las metas.
 Evalúe los planes iniciales de trabajo.
 Estime el riesgo del proyecto versus la justificación.
Organice el Marco de Trabajo del Proyecto BCM.
 Obtenga el compromiso de la gerencia sénior para los recursos
necesarios.
 Establezca una organización del proyecto.
• Steering Committee.
• Obtenga que líder/miembros del equipo participe en el trabajo
inicial del plan.
• Oriente y dirija a los miembros del equipo.
• Establezca procedimientos de reportes.
• Acomode las ubicaciones, suplidores y soportes.
• Identifique herramientas de SW para gerencia de proyectos.
Reportes de Seguimiento Progreso del Proyecto
BCM.
 Monitoree y documente la culminación de las tareas.
 Valide los tiempos de culminación y consumo de recursos.
 Valide que el plan de trabajo sea de fácil uso.
 Involucre al personal del equipo en el desarrollo y ajuste del alcance,
estimaciones y horarios (schedules).
Reportes de Seguimiento Progreso del Proyecto
BCM.
 Desarrolle tantos planes alternativos como sean necesitados.
 Asigne recursos adicionales aprobados como necesite.
 Mantenga una base de datos de lecciones aprendidas para referencia.
 Reporte el estatus en tres direcciones.
• Arriba a la gerencia.
• Lateralmente a los clientes internos y externos, usuarios, así como
a otros programas o proyectos.
• Hacia abajo a los miembros del proyecto y a los miembros del
equipo.
Reportes de Seguimiento Progreso del Proyecto
BCM.
 Conduzca revisiones del proyecto y obtenga apoyo al análisis del
proyecto independientes.
• Audite.
 Conduzca reuniones con el steering commitee.
Administración del Cambio del Proyecto BCM.
 Administrar y descubrir el cambio es un factor clave de éxito para un
programa que está en acción.
• ¿Qué constituye un cambio en el alcance?
• ¿Quién documenta y prepara esa revisión?
• ¿Quién tiene la autoridad para aprobarlo?
 Reporte los cambios en el timeline del proyecto a la gerencia sénior.
Administración del Cambio del Proyecto BCM.
 Obtenga (re) dirección y/o instrucciones de la gerencia, del steering
committee, usuarios y actualice el plan adecuadamente.
 Considere los tiempos revisados y los recursos estimados con el
equipo de proyecto y los miembros.
 Valide la capacidad del equipo de proyecto y sus miembros para
cumplir las metas revisadas, timelines y/o recursos objetivos.
Herramientas.
 Software.
 Competencias Internas.
 Experiencias externas.
 Recursos consultivos.
 Aprovechar capacidades.
 Transferencia de conocimiento.
Selección de Herramientas.
 Crear una declaración de requerimientos.
 Use el análisis MoSCOW.
• Must, Should, Could, Won’t (pero Should en el futuro).
 Considere la credibilidad de la herramienta y su vendedor.
 Visite los sitios referenciales.
 Evalué las necesidades de entrenamiento.
 Considere la integración con su ambiente.
Presentación a la gerencia Sénior.
 Establecer la necesidad del BCM.
 Comunicar esa necesidad.
 Involucrar a la gerencia ejecutiva.
 Establecer estructura y estatus de los reportes.
Presentación a la gerencia Sénior.
 Transmitir la importancia del esfuerzo en la planificación.
 Anticipar requerimiento de los recursos.
 Definir resultados esperados por el esfuerzo.
 Proyectar el valor de los resultados.
 Describir las implicaciones de no proceder con el programa.
Presentación a la gerencia Sénior.
 Estándares de la industria y benchmarking.
• ¿Qué está haciendo la competencia?
 Reportes formales y presentaciones.
 Beneficios de BCM.
 Mejores prácticas.
Presentación de Resultados.
 Metodología.
 Agrupación de datos.
 Ítem de acción.
 Próximos pasos.
Presentación a la gerencia Sénior.
 Involucrar a la gerencia ejecutiva.

• Relacionar la misión de la organización, objetivos, operaciones.

• Desarrollar la declaración de la misión, estatutos, política del
programa de BCM.
• Explicar y comunicar los compromisos de rendición de cuentas y
obligaciones.
• Explicar el impacto de riesgo a lo cual la organización es
vulnerable.
Presentación a la gerencia Sénior.
 Definir la cadena de aprobación.

• ¿Quién reporta a quién?

• Establecer un programa de tiempo (schedule) para reportar el
progreso al patrocinador ejecutivo.
Sumario de la Lección.
 En el programa de BCM el planificador es responsable de
administrar múltiples proyectos interdependientes y mantener a la
Gerencia Sénior informada durante el ciclo de vida del proceso.
 Revisión de la Lección:

 Propósito de una evaluación de riesgo.

 Metodología y enfoque.
 Identificación y evaluación de control.
Prácticas profesionales para
Business Continuity Professionals.

1. Apoyo de la Dirección y Administración del Proyecto.

2. Evaluación y Análisis de Riesgos.
3. Análisis de Impacto al Negocio.
4. Desarrollo de Estrategias BC/DR.
5. Respuesta de Emergencia y Operaciones.
6. Desarrollo e Implementación de Planes de Continuidad de Negocios.
7. Programas de Concientización y Capacitación.
8. Mantenimiento y Ejercicios de Planes de Continuidad de Negocio.
9. Comunicación de Crisis.
10.Coordinación con las agencias externas.
 Roles del Profesional de Proyectos
de BCM.
 Identificar los Riesgos Potenciales a la
Organización.
• Probabilidad.
• Consecuencias e Impactos.
 Entender la función de la reducción y
mitigación del riesgo dentro de la organización.
 Identificar experiencia externa requerida.
 Identificar exposiciones.
 Identificar alternativas de mitigación y
reducción del riesgo.
 Confirmar y validar con la gerencia para
determinar los niveles de riesgo aceptables.
 Documentar y presentar los hallazgos.
El Proceso de Planificación.

 Objetivo:
• Identificar los riesgos existentes y las amenazas a las que la a
organización está expuesta y recomendar cómo salvaguardarlas.
 Algunas tareas relevantes.
• Analizar la exposición al riesgo del negocio.
• Ejecutar mitigación del riesgo.
 Algunos de los entregables principales.
• Exposiciones y eventos de alta probabilidad.
• Una lista de controles y salvaguardas.
¿Qué es la Evaluación del Riesgo?
 Proceso de identificación del riesgo en una organización.
 Evaluación de las funciones críticas necesarias para que una
organización continúe sus operaciones de negocio.
 La función de reducción y mitigación del riesgo.
 Define los controles en sitio para reducir la exposición de la
organización.
 Evalúa los costos de estos controles.
 Frecuentemente involucra una evaluación de las probabilidades de
ocurrencias de un evento particular.
¿Por qué conducir la Evaluación del Riesgo?
 El propósito de una evaluación de riesgo es:
• Priorizar la planificación y la asignación de recursos.
• Identificar y mitigar las exposiciones.
• Identificar las amenazas, riesgos y vulnerabilidades en la «cadena
de desastre».
Objetivos de la Evaluación del Riesgo.
 Entender pérdidas potenciales.
• Amenazas.
• Riesgos.
• Probabilidades.
• Vulnerabilidades.
• Impactos.
Objetivos de la Evaluación del Riesgo.
 Determinar la vulnerabilidad a pérdidas potenciales.
• Amenazas primarias.
• Seleccionar las vulnerabilidades con más probabilidad de
ocurrencia.
Objetivos de la Evaluación del Riesgo.
 Identificar los controles existentes y recomendar controles
adicionales.
 Evaluar la efectividad de controles y salvaguarda.
 Identificar posibles exposiciones.
Relación Causa Efecto.

Activos

Amenazas Vulnerabilidades Riesgo

Causa Probabilidad Efecto

Beneficios de la Evaluación del Riesgo.
 Sus resultados sirven de base para la reducción de costos
evitándolos.
 Uso juicioso de recursos finitos para la mitigación del riesgo.
 Permite eliminar los eventos de caída mayores.
 Enfoques para la colección de datos:
Internas:
Externas: Industria.
Continente. Planta.
Ciudad. Edificio.
Región. Piso.
Comunidad. Proceso.
Vecindario. Área de Trabajo.
 Enfoques para la colección de datos:

 Entrevistas, cuestionarios y sesiones de trabajo.

 Revisión de Documentación e Infraestructura.
 Observación.
 Documentos corporativos.
 Información sobre el canal de suministro.
 Repositorio de datos.
Fuentes de Información:
Categoría de las Amenazas.
 Naturales o actos de la naturaleza (de Dios).
 Hechos por el hombre:
• Políticos.
• Tecnológicos.
• Infraestructura.
Análisis del Riesgo.
 Clasificación de Riesgo y Amenazas.
• En control de la organización.
• Fuera del control de la organización.
• Con previo aviso.
• Sin previo aviso
 Declaración de Riesgo: cuantitativo y cualitativo.
 Evaluación del impacto del riesgo y de las amenazas para las
funciones críticas del negocio.
Annualized Loss Exposure (ALE).
 Ventajas.
• Calcula efectos cuantitativos.
• Rápido y directo.
 Desventajas.
• Distribución de beneficios a través de múltiples controles.
• Dificultad para obtener acuerdos en cuanto al uso de los valores
de frecuencia y exposición.
• Dimensionamiento en el tiempo de la duración del problema.
Definición de Control.
 Proceso, dispositivo o procedimiento que:
• Disuade a una amenaza de que ocurra.
• Mitiga el impacto de una amenaza.
• Reduce el efecto, pero no siempre puede prevenir su ocurrencia.
Tipos de Controles.
 Controles Físicos:
• Sistemas supresores de incendio.
• Sistemas de control de acceso.
• Guardias de seguridad.
 Control procedimental:
• Políticas de reclutamiento y terminación.
• Recepción de documentos.
• Políticas de escritorio.
Identificación de Controles.
 Identificar controles y salvaguarda para prevenir y/o mitigar el efecto
de pérdidas potenciales.
• Protección de seguridad.
o Protección física.
o Presencia física.
• Protección Lógica.
o Protección y respaldo de información.
o Seguridad de la información.
• Ubicación de activos.
o Mantenimiento preventivo.
o Procedimientos para personal.
Evaluación de Controles Existentes.
 Identificación y evaluación.
• Controles para disuadir amenazas o reducir pérdidas.
 Habilidad para disuadir o reducir riesgos múltiples.
 Establecimiento y búsqueda de controles para lo externo.
 Evaluar los controles y hacer las recomendaciones necesarias para
reducir el impacto de riesgo y amenazas.
Controles Adicionales Recomendados.
 Evaluar el impacto de riesgo y exposiciones sobre factores esenciales
para conducir las operaciones de negocio.
• Eliminar las amenazas es imposibles.
• Seleccionar controles con el mayor recuperación de inversión.
• Incluir el costo del control y su mantenimiento.
• Preparar un análisis costo/beneficio.
• Presentar los resultados a la gerencia Sénior.
Capas de Protección.
Seguridad Física
Amenazas
Naturales Seguridad Lógica
Emergencia

Continuidad y

Activos de la compañía

Amenazas
Planes de Recuperación
Humanas Procedimientos
 Sumario de la Lección.

 La meta de la evaluación de riesgos es identificar y determinar

los riesgos.
 Es importante reconocer y documentar las amenazas de la
organización.
 Identificando, mejorando y recomendando controles adicionales
reducirían los riesgos de su organización.