Guia para El Desarrollo de Un Plan de Continuidad de Negocio - Bia - 2 Corte

50
(TEMATICA 2º CORTE)
7. ANALISIS DEL IMPACTO AL NEGOCIO (Requisito 7: OPERACIÓN)
El análisis del impacto al negocio (BIA), se define como el proceso de análisis de funciones
organizacionales y el efecto de una interrupción en ellas.
El BIA es esencial para establecer una estrategia de recuperación, que en principio dará
continuidad a las actividades críticas y posteriormente al resto, si es posible; asimismo, permite
identificar, de todas las actividades de la empresa, cuáles son las críticas para la operación, a
cuáles se les debería dar prioridad de recuperación si son interrumpidas por un desastre y qué
recursos se necesitan para mantener en operación a estas actividades; definiendo los tiempos de
recuperación, los cuales son medidos por las consecuencias de no poder ejecutarlos (impactos).
Cada proceso de la empresa debe ser evaluado, listando las actividades desarrolladas para
determinar el propósito de las mismas y analizándolas en cuatro aspectos: Riesgo financiero de no
ejecutar la actividad.; riesgo regulatorio o legal por no dar cumplimiento a las exigencias de los
entes vigilantes y contratos con clientes; el riesgo Reputacional con el cliente por no llenar sus
requerimientos y el riesgo con su entorno interno y externo por no satisfacer el cumplimiento de las
metas trazadas.
7.1. PRIORIZACIÓN DE PROCESOS, ACTIVIDADES Y RECURSOS
7.1.1. Priorización de los Procesos del Negocio
Basado en la premisa de que existen procesos del negocio que son más críticos que otros, debido
a que tienen una mayor influencia en la consecución de los objetivos estratégicos, se los debe
priorizar para determinar que procesos se consideraran en el plan de continuidad de negocio. Para
realizar la priorización, se identifica el nivel de participación que tiene cada uno de ellos en el logro
de los objetivos estratégicos, igual que el valor agregado que da el proceso al cliente.
Para determinar el impacto que los procesos tienen sobre los objetivos organizacionales y del valor
agregado con respecto al cliente, se utiliza la escala de valoración que se encuentra en la Tabla 1:
Tabla 1: Escala de Valoraciòn de los Procesos del Negocio
ESCALA VALOR
Muy Alto 5
Alto 4
Medio 3
Bajo 2
Muy Bajo 1
Una vez establecido el impacto total de cada proceso en la estrategia del negocio y analizado
el valor agregado respecto al cliente, se procede a multiplicar estos valores. El total obtenido,
establece el nivel de criticidad de los procesos.
Los niveles de prioridad a considerarse son Crítico, Alto, Medio y Bajo. Para establecer los
intervalos de valores que van a determinar el nivel de prioridad, se tiene en cuenta lo
siguiente:
1. El proceso más crítico, es decir aquel que tiene un impacto muy alto en cada uno de
los objetivos estratégicos y un muy alto valor agregado con respecto al cliente.
2. El proceso menos crítico, es decir aquel que tiene un impacto muy bajo en cada uno
de los objetivos estratégicos y un muy bajo valor agregado con respecto al cliente.
3. El rango entre el proceso más crítico y el menos crítico, es decir la diferencia entre
sus puntos totales.
4. El ancho de cada intervalo se calcula dividiendo el rango calculado en el punto
anterior por el número de niveles de criticidad a considerar.
5. Los intervalos resultantes para cada nivel de prioridad, se deben calcular como sigue:
a. Intervalo 1:
51
i. Límite inferior 1 = valor mínimo
ii. Límite superior 1= Límite inferior 1 + ancho del intervalo -1
b. Intervalo 2:
i. Límite inferior 2 = límite superior 1 + 1
ii. Límite superior 2 = límite inferior 2 + ancho del intervalo -1
c. Intervalo 3:
d. Intervalo 4:
ii. Límite superior 2 = valor máximo
La priorización se realiza en la matriz presentada en la Tabla 2.
Tabla 2: Matriz de Priorización de Procesos del Negocio
Objetivos estratégicos Total

por Análisis
Objetivo n
Objetivo 1
Objetivo 2
Objetivo 3
Impacto del
Lista de
del Valor TOTA
Procesos … … …
Proceso Agrega L
en la do
estrateg respect
ia del o al
Negocio Cliente
Proceso 1
Proceso 2
Proceso 3
…
…
…
Proceso n
7.1.2. Identificación de Activos Críticos

7.1.2.1. Sistemas de Información
En esta sección se van a identificar los activos involucrados en cada proceso con prioridad
crítica y alta. Para esto, será necesario realizar entrevistas con los responsables de cada
uno de los procesos objeto de evaluación. Para cada activo se va a detallar la siguiente
información:
 ID Activo: número único con el que se va a identificar a cada activo dentro del
inventario.
 Nombre del activo: nombre con el que se conoce al activo dentro de la
empresa.
 Tipo de activo: se identifica si el activo pertenece a uno de los siguientes
grupos:
o Información: toda fuente de información física o electrónica (bases de
datos, documentación del sistema, etc.).
o Aplicación: todos los componentes de software de los sistemas de
información, software del sistema, herramientas de software y utilidades.
o Infraestructura: todas las instalaciones y dispositivos físicos (equipos de
52
computación, de comunicaciones, discos duros removibles y otros
dispositivos) requeridos para la ejecución de un proceso.
o Persona: personas naturales que, por su conocimiento, habilidades
experiencia y criticidad para el proceso, son considerados activos de
información. Se incluye personal de la organización, personal
subcontratado, clientes y usuarios
o Servicio: todo servicio propio o suministrado por terceros (agua, energía
eléctrica, telecomunicaciones, sistemas de extinción de incendios, aire
acondicionado, mantenimiento de hardware, software e infraestructura).
 Descripción: detalles importantes del activo.
Durante la identificación de activos se debe llenar la matriz que se muestra en la Tabla 3.
Tabla 3 – Matriz de inventario de activos
TIPO ACTIVO
Aplicación
Persona
Información
Infraestructura
Servicio
ID NOMBRE DESCRIPCI
ACTIVO ACTIVO ÓN
VALORACIÓN DE ACTIVOS
Una vez identificados los activos involucrados en cada proceso con prioridad crítica y alta,
se debe identificar que tan significativo es el aporte de cada activo a los atributos de la
información que representan y que se definen a continuación:
Confidencialidad: se debe evaluar el impacto que tendría si el activo fuera accedido por
personas, procesos o entidades no autorizadas. Para valorar la confidencialidad se debe
considerar los criterios establecidos en la Tabla 4.
Tabla 4 – Valoración de la Confidencialidad
Escala Val Criter

or io
El conocimiento o divulgación no autorizada de la
Muy 5 información que gestiona el activo impacta negativamente
Alto a toda la organización.
información que gestiona el activo impacta negativamente
Alto 4
de manera leve a la organización. Además, impacta al
proceso evaluado y a los otros procesos de la
organización.
Medio 3 información que gestiona el activo impacta negativamente
al proceso evaluado.
El conocimiento o divulgación no autorizada de
Bajo 2 la información que gestiona el activo impacta
negativamente de manera leve al proceso evaluado.
53
Muy 1 información que gestiona el activo no impacta
Bajo negativamente al proceso.
El impacto que tendría la pérdida de confidencialidad sobre el activo de información, de

acuerdo a su tipo se especifica en la Tabla 5 que se muestra a continuación .
Tabla 5 – Impacto por pérdida de Confidencialidad de acuerdo al tipo de activo
Tipo de Impacto
activo
Individuo, entidad o proceso no autorizado que accede al
Información
activo de información.
Individuo, entidad o proceso no autorizado que conoce
Aplicación
la existencia o parametrización del activo.
Alguien que conoce que existe el elemento, su configuración
Infraestructura
o accede al activo sin autorización.
Persona Se hace uso inadecuado de la información privilegiada a
la cual tiene acceso por el cargo o función que desempeña.
Alguien que conoce su existencia, configuración o hace uso
Servicio
no autorizado del activo.
Integridad: se debe evaluar el impacto que tendría si la precisión, calidad, veracidad,

imparcialidad y completitud de la información fuera alterada. Para valorar la integridad se
debe considerar los criterios establecidos en la Tabla 6.
Tabla 6 – Valoración de la Integridad
Escala Val Criter

or io
La pérdida de exactitud, precisión y completitud del activo
Muy 5
impacta negativamente a la organización.
Alto
impacta negativamente de manera leve a la organización.
Alto 4
Además, impacta al proceso evaluado y a los otros
procesos de la organización.
Medio 3
impacta negativamente al proceso evaluado.
Bajo 2
impacta negativamente de manera leve al proceso
evaluado.
Muy 1
no impacta negativamente al proceso.
Bajo
El impacto que tendría la pérdida de la integridad sobre el activo de información, de acuerdo

a su tipo se especifica en la Tabla 7 que se muestra a continuación.
Tabla 7 – Impacto por pérdida de Integridad de acuerdo al tipo de activo
Tipo de Impacto
activo
54
Información Se pierde la completitud, exactitud o precisión del activo de
información.
Aplicación Se valora la completitud, exactitud o precisión de
la parametrización del activo.
El activo no efectúa las actividades de procesamiento o su
Infraestructura función correctamente; o es alterada su configuración
indebidamente.
La persona produce datos errados o incompletos; o de acuerdo
Persona con su rol toma decisiones equivocadas, por capacidades o
aptitudes inadecuadas para desempañar el rol o función.
Servicio Se valora la completitud, exactitud o precisión del servicio.
Disponibilidad: se debe evaluar el impacto que tendría si los usuarios autorizados no
tuvieran acceso a los activos de información en el momento que lo requieran. Para valorar
la disponibilidad se debe considerar los criterios establecidos en la Tabla 8.
Tabla 8 – Valoración de la Disponibilidad

Escala Val Criter
or io
Muy 5 La falta o no disponibilidad del activo impacta negativamente a
Alto la organización.
La falta o no disponibilidad del activo impacta negativamente de
Alto 4 manera leve a la organización. Además, impacta al proceso
evaluado y a los otros procesos de la organización.
Medio 3 La falta o no disponibilidad del activo impacta negativamente al
proceso evaluado.
Bajo 2 La falta o no disponibilidad del activo impacta negativamente de
manera leve al proceso evaluado.
Muy 1 La falta o no d activ n impac
Bajo disponibilidad el o o ta
negativamente al proceso.
El impacto que tendría la pérdida de la disponibilidad sobre el activo de información, de

acuerdo a su tipo se especifica en la Tabla 9 que se muestra a continuación.
Tabla 9 – Impacto por pérdida de Disponibilidad de acuerdo al tipo de activo

Tipo de Impacto
activo
Información El activo de información no puede ser accedido o utilizado cuando
se requiere y por el personal que está autorizado.
Aplicación El activo de información no puede ser accedido o utilizado cuando
Infraestructura El activo de información no puede ser accedido o utilizado cuando
Persona La persona no se encuentra disponible para el proceso.
Servicio El activo de información no puede ser accedido o utilizado cuando
Para valorar los activos listados en el inventario resultado de la Identificación de activos, se

debe llenar una matriz como la que se muestra a continuación en la Tabla 10.
Tabla 10 – Matriz de valoración de activos
Proceso Proceso Proceso

…
Crítico 1 Crítico 2 crítico N
Disponibilidad
Disponibilidad
Disponibilidad
Confidencialidad
Integridad
Disponibilidad
Confidencialidad
Integridad
Integridad
Confidencialidad
Integridad
Confidencialidad
ID NOMB VALO
ACTIV RE R
O ACTIV ACTIV
O O
Una vez completa la Matriz de valoración de activos, se debe proceder a calcular el valor
total de cada activo, para lo cual se debe sumar los valores asignados para la
confidencialidad, integridad y disponibilidad por cada proceso crítico, los cuales se
determinaron durante la fase de priorización de los procesos del negocio.
Debido a que el número de activos involucrados en los procesos críticos puede ser muy alto,
se sugiere continuar la evaluación de riesgos con los activos de mayor valor. Basado en el
valor total se establece el nivel de criticidad de los activos.
Los niveles de prioridad a considerarse son Crítico, Alto, Medio y Bajo. Para establecer los
intervalos de valores que van a determinar el nivel de prioridad se va a considerar lo
siguiente:
1. El activo más crítico, es decir aquel que tiene un valor muy alto para la
confidencialidad, integridad y disponibilidad por cada proceso crítico.
2. El activo menos crítico, es decir aquel que tiene valor muy bajo para la
confidencialidad, integridad y disponibilidad por cada proceso crítico.
3. El rango entre el proceso más crítico y el menos crítico, es la diferencia entre
sus valores totales.
anterior dividido para el número de niveles de criticidad a considerar.
5. Los intervalos resultantes para cada nivel de prioridad, se deben calcular como
sigue:
a. Intervalo 1:
i. Límite inferior 1 = valor mínimo
ii. Límite superior 1= Límite inferior 1 + ancho del intervalo -1
b. Intervalo 2:
c. Intervalo 3:
d. Intervalo 4:
ii. Límite superior 2 = valor máximo
7.2. EVALUACION EN EL TIEMPO E IMPACTOS POR INACTIVIDAD
En términos económicos, la determinación de la criticidad de un proceso, actividad o recurso,

responde a la pregunta de cuánto perdería la organización si no estuvieran en operación,
información que ayuda a la obtención de los tiempos relacionados con la máxima interrupción que
puede tener una actividad / proceso que puede ser soportado por la organización hasta que las
pérdidas no sean asumibles y el de recuperación objetivo, que establece la urgencia que las
diferentes unidades de negocio precisan para volver a su funcionamiento habitual, asimismo,
también involucra el punto de recuperación objetivo, que se refiere al punto más reciente en el
tiempo en el que los sistemas pueden ser recuperados.
El conocimiento de estos tiempos, facilitan la reanudación de las actividades a un nivel mínimo

aceptable, tomando en consideración los impactos que tendría la inactividad; el conocimiento de
estos impactos define la gravedad de la situación que enfrentaría una organización ante el efecto
de un incidente.
7.2.1. Determinación del Impacto de una Interrupción
En esta sección se va a determinar el impacto que tendría una interrupción en cada uno de
los procesos críticos del negocio. La determinación del impacto de una interrupción se debe
valorar basado en las siguientes categorías:
 Impacto al cliente, en la Tabla 13 se muestran los criterios a considerar en esta

categoría.
Tabla 13 – Valoración del Impacto al Cliente

Escala Val Criter
or io
La interrupción puede ocasionar que el nivel de servicio
Severo 3 se vea completamente comprometido, haciendo que
el cliente opte por contratar a otra empresa.
Modera 2
se vea altamente comprometido.
do
Mínimo 1
se vea levemente comprometido.
 Impacto Financiero, en la Tabla 14 se muestran los criterios a considerar en

esta categoría.
Tabla 14 – Valoración del Impacto Financiero

Escala Val Criter
or io
La interrupción puede ocasionar que se vean
Severo 3
comprometidas las ventas futuras.
La interrupción puede ocasionar que se tengan pérdidas
Modera 2
de ingresos.
do
La interrupción puede ocasionar que se tenga que
Mínimo 1
p a g a r multas o sanciones por incumplimiento de
contrato.
 Impacto Operacional, en la Tabla 15 se muestran los criterios a considerar en

esta categoría.
Tabla 15 – Valoración del Impacto Operacional

Escala Val Criter
or io
La interrupción puede ocasionar que no se puedan
Severo 3
cumplir con los plazos establecidos.
La interrupción puede ocasionar que se reduzca el nivel
Modera 2
de servicio ofrecido.
do
La interrupción puede ocasionar que se vea interrumpido
Mínimo 1
el flujo de trabajo de la organización.
 Impacto Reputacional, en la Tabla 16 se muestran los criterios a considerar en

esta categoría.
Tabla 16 – Valoración del Impacto Reputacional

Escala Val Criter
or io
La interrupción puede ocasionar que se tenga atención
Severo 3
negativa de los medios de comunicación.
La interrupción puede ocasionar que se pierda la
Modera 2
confianza de los accionistas.
do
La interrupción puede ocasionar que el competidor tome
Mínimo 1
ventaja de la atención negativa que tiene la empresa.
Para determinar el impacto en la organización si las operaciones de los procesos

críticos del negocio se vieran interrumpidas, se debe considerar la Tabla 17.
Tabla 17 – Matriz de impacto de una interrupción en los procesos críticos del negocio
Proceso Impacto Tot

del Al Financie Operacion Reputacion al
(Sum
Negocio Cliente ro al al a de
impa
ctos)
7.2.2. Determinación de los Parámetros de Recuperación

En esta sección se deben especificar el máximo tiempo de inactividad, el tiempo
objetivo de recuperación y el punto objetivo de recuperación de cada uno de los
procesos del negocio, basado en la secuencia cronológica de los acontecimientos
perjudiciales y la cantidad de daño a esperar.
 Tiempo Máximo de Inactividad (MTD, por sus siglas en inglés): representa

la cantidad total de tiempo que un proceso crítico del negocio puede estar
inactivo (interrumpido) antes de que haya efectos perjudiciales para la
organización. La determinación de MTD es importante porque ayuda en la
selección de un método de recuperación apropiada, y permite determinar la
profundidad del detalle que se requiere en el desarrollo de los procedimientos de
recuperación.
 Tiempo Objetivo de Recuperación (RTO, por sus siglas en inglés): define la

cantidad máxima de tiempo en el que un recurso debe reanudar su operación
antes de que haya un impacto inaceptable en otros recursos del sistema,
procesos del negocio soportados y el MTD. La determinación del RTO de los
recursos del sistema de información es importante para la selección de las
tecnologías que son los más adecuadas para el cumplimiento de los MTD.
 Puntos Objetivos de Recuperación (RPO, por sus siglas en inglés):

representa el punto en el tiempo a partir del cual se va a iniciar la recuperación
de los datos del proceso del negocio (por ejemplo: una hora antes, un día antes,
una semana antes de que se produzca la interrupción). A diferencia del RTO,
RPO no se considera como parte del MTD. Más bien, es un factor de la cantidad
de datos perdidos que el proceso del negocio puede tolerar durante el proceso
de recuperación.
El RTO debe asegurarse de que no se exceda el MTD, por lo que el RTO debe
normalmente ser más corto que el MTD. Por ejemplo, una interrupción del sistema
puede impedir que un determinado proceso se complete, y porque se necesita tiempo
para volver a procesar los datos, el tiempo de procesamiento adicional se debe agregar
a la RTO para mantenerse dentro del límite de tiempo establecido por el MTD.
El MTPD será definido por el tiempo más pequeño de todas las respuestas dadas para los
diferentes tipos de impacto de los umbrales no tolerables y siempre será estimado
considerando el "peor escenario" que en realidad es el más estresante para lo organización y
no necesariamente el de mayor daño a la comunidad. Lo que busca la continuidad es
proteger a la organización ante el peor escenario, no contra el más probable.
GRÁFICO 2
Matriz de estimación de MTPDs
¿En cuánto tiempo se alcanzan los

Proceso o Actividad
umbrales no tolerables?
Estac Esce Client Lega Segu
Descripción io na- Econ es o lo Am ri-
nalid rio ó- usuar regul - dad
ad más mic ios a- bient de
crític estre- o torio al perso
a sante - nas
Proceso 1
...
Actividad 1
...
Con el MTPD definido, se estima entonces un Tiempo Deseado de Recuperación (RTO por
sus siglas en inglés), el cual es un valor expresado en tiempo, entre cero y el MTPD. Cuanto
más cerca de cero esté, la opción estratégica para continuar operando será muy costosa; en
cambio, cuanto más cerca del MTPD esté, será sumamente riesgosa. El mejor balance entre
el costo y el riesgo será el RTO más apropiado.
Las dependencias entre servicios / instalaciones / unidades de negocio / procesos /

actividades debe también analizarse para identificar o corregir MTPDs y RTOs de aquellos
de los que se dependen considerando que deben ser menores que los MTPDs y RTOs de los
dependientes.
Este proceso de estimar MTPDs y RTOs se puede realizar a diferentes niveles, en un nivel
estratégico podrá ser por servicio (o planta, o unidad funcional) y en un nivel operativo será
por actividad (o proceso). Estimar MTPDs y RTOs deberá ser una labor permanente en la
organización debido a los cambios que ésta pueda tener, la aparición de nuevos servicios (o
nuevas instalaciones o plantas, o nuevas unidades funcionales) y nuevas actividades (o
procesos) hará necesario que las prioridades de urgencias de recuperación sean revaluadas;
lo mismo podría pasar si un servicio (o planta o unidad funcional) toma mayor relevancia que
otro. Si no se actualizan las prioridades de recuperación en un tiempo prudente puede pasar
un incidente disruptivo donde la toma de decisiones será incorrecta debido a la información
desactualizada con la que se cuenta. Una vez definidos los RTOs, los servicios (o plantas o
unidades funcionales) o las actividades (o procesos) se agrupan según los RTOs, creando
ventanas de recuperación en el tiempo, es decir servicios o actividades que se recuperan en
tiempo cero (si existen), los que se recuperan en horas (si existen), los que se recuperan en
días (puede ser un día, dos días, tres días o simplemente días), los que se recuperan en
semanas (puede ser una semana, dos semanas o simplemente semanas) y los que se
recuperan en un mes o más.
En la Tabla 4-22 se deben identificar el MTD, RTO y RPO para los procesos críticos del
negocio. Los valores que se asignen al MTD, RTO y RPO deben ser intervalos de
tiempo específicos, identificados en incrementos de una hora (por ejemplo, 8 horas, 36
horas, 97 horas, etc.).
Tabla 18 – Matriz de parámetros de recuperación de los procesos del negocio
Procesos del MTD RTO RPO

negocio
Propuestas de Tiempo Máximo de Interrupción, especificando cuántos días puede permanecer
el proceso sin incurrir en pérdidas económicas graves:
 Día 0: Recuperación inmediata
 Día 1-7: El proceso debe ser recuperado entre el primer y el quinto día después de un
incidente.
 Día 7–30: El proceso debe ser recuperado después de la primera semana y antes de un
mes.
 Más 30 días: El proceso pude esperar más de 30 días a ser recuperado
Propuesta de escala de Tiempos de Recuperación Objetivos (RTO), según clasificación por

categorías:
Categoría 1: Procesos Misionales y/o Críticos (0 a 12 horas)

 Funciones que pueden realizarse sólo si las capacidades se reemplazan por otras
idénticas.
 No pueden reemplazarse por métodos manuales.
 Muy baja tolerancia a interrupciones.
Categoría 2: Vitales (13 a 24 horas)

 Pueden realizarse manualmente por un periodo breve.
 Costo de interrupción un poco más bajos, sólo si son restaurados dentro de un tiempo
determinado (5 o menos días, por ejemplo).
Categoría 3: Importantes (1 a 3 días)

 Funciones que pueden realizarse manualmente por un periodo prolongado a un costo
tolerable.
 El proceso manual puede ser complicado y requeriría de personal adicional.
Categoría 4: Menores (más de 3 días)

 Funciones que pueden interrumpirse por tiempos prolongados a un costo pequeño o nulo.
7.2.3. Identificación de los Recursos Mínimos Requeridos
Se identifican los recursos mínimos requeridos para restaurar los procesos críticos del
negocio a la mayor brevedad. En la Tabla 19 se deben listar los recursos mínimos necesarios a
considerar para la operación mínima del proceso crítico. Los tipos de recursos identificados son:
Gente: personas, transporte, comunicaciones; Infraestructura: edificios, servicios públicos;
Equipamiento: ambientes de trabajo, equipamiento, insumos o consumibles; Tecnología de
Información: servicios informáticos, información y datos; Finanzas: viabilidad financiera,
Regulación: aspectos regulatorios a cumplir; Proveedores: socios y proveedores; Partes
interesadas: clientes a contactar, autoridades públicas a contactar y comunidad en general a
contactar. La discriminación de cada recurso se relaciona seguidamente:
 Los recursos del tipo Personal se identifican tomando en cuenta los perfiles mínimos
necesarios para continuar operando los servicios / actividades para cada una de las
ventanas de recuperación, e inclusive si el personal que tiene la organización cumple con
los perfiles de manera adecuada.
 Los recursos del tipo Transporte se identifican considerando las facilidades de movilidad
con las que la organización cuenta para ser brindadas al personal.
 Los recursos del tipo Comunicaciones se identifican considerando las capacidades de
comunicación entre el personal con las que cuenta la organización y que podrían estar
disponibles cuando sea requerido.
 Los recursos del tipo Instalaciones o edificaciones se identifican considerando las
alternativas de lugares de trabajo u otras sedes o plantas desde donde se podría continuar
operando durante el incidente disruptivo.
 Los recursos del tipo Servicios Públicos se identifican considerando las alternativas de la
provisión de energía eléctrica, agua y alcantarillado, gas y telefonía que puedan utilizarse
durante el incidente disruptivo.
 Los recursos del tipo Ambientes de trabajo y equipamiento se identifican considerando las
alternativas de operación en otros ambientes de trabajo o con un equipamiento alternativo
ubicado en otro lugar y que puede utilizarse durante el incidente disruptivo.
 Los recursos del tipo Insumos y consumibles se identifican considerando las alternativas
de material (o materia prima), insumos u otros consumibles perecibles o no que son
necesarios considerar en el momento del incidente disruptivo y las ubicaciones donde
actualmente se encuentran.
 Los recursos de Tecnología de Información (sistemas, información y datos) se identifican
considerando los servicios de TI que se deberán utilizar en el momento del incidente
disruptivo, así como la información u otros datos necesarios para el servicio o actividad
analizada.
 Los recursos de Viabilidad Financiera se identifican considerando las necesidades de
disponibilidad de recursos financieros en efectivo o no para afrontar el incidente disruptivo.
 Los recursos de Regulación se identifican considerando las obligaciones legales o
regulatorias que deben continuarse durante el incidente disruptivo y si existen alternativas
en caso de que no se puedan cumplir.
 Los proveedores y socios de negocio se identifican considerando a los que soportan los
servicios críticos, sus contactos y otras alternativas de proveedores en caso de que éstos
también se afecten por el incidente disruptivo.
Las otras partes interesadas como clientes, autoridades públicas y comunidad se identifican
considerando los contactos necesarios a realizar en caso de un evento disruptivo. Esta
información obtenida a nivel de recursos es la base para la identificación de opciones de
estrategias de continuidad y recuperación y su correspondiente estimación de presupuesto de
implementación.
Tabla 19 – Inventario de recursos mínimos requeridos
Id Nombre Descripci
Recurso Recurso ón
Se debe considerar que los recursos listados en la Tabla 19, son aquellos que soportan los
procesos críticos del negocio.
7.2.3.1. Identificación de las Prioridades de Recuperación de los Recursos
En esta sección se debe listar el orden en que se van a recuperar los recursos. En la Tabla
20 se deben listar los recursos en orden de prioridad, identificando el tiempo esperado de
recuperación de cada uno de los recursos.
Tabla 20 – Matriz de priorización de recuperación de recursos
Id Nombre RT
Recurso Recurso O
7.3. Determinación de los Riesgos y Oportunidades que Requieren ser Atendidos
El objetivo del análisis de riesgo en la continuidad del negocio y de las operaciones es identificar
nuevas opciones de prevención o mejorar las medidas de seguridad ya existentes para cada uno
de los eventos de riesgo considerados. El primer paso será identificar aquellas medidas de
prevención y seguridad ya existentes en la organización, las medidas de seguridad serán
relacionadas a aspectos de seguridad del personal, de la infraestructura física, de los ambientes
de trabajo, de los insumos y consumibles, de los sistemas de información, de los proveedores, y
de cada uno de los otros recursos asociados a la continuidad y que resulten relevantes para la
organización.
Lugo de su identificación, se evalúan los riesgos que potencialmente podrán afectar a las
actividades que se quieren proteger. La evaluación de riesgos supone imaginarse lo que puede ir
mal y a continuación estimar el impacto que supondría para la organización. Se ha de tener en
cuenta la probabilidad de que sucedan cada uno de los problemas posibles. De esta forma se
pueden priorizar los problemas y su coste potencial desarrollando un plan de acción adecuado.
Entre las metodologías de evaluación de riesgos, se encuentran aplicaciones para sistemas de

información y para procesos. A continuación, se relacionan los análisis de riesgo a tener en cuenta
en la presenta guía:
7.3.1. Gestión de Riesgos de Sistemas de Información
En este paso se determinan las amenazas que pueden afectar a cada activo con prioridad
crítica y alta que se valoraron en la fase anterior. Para facilitar la identificación de las
amenazas, se presenta un listado de posibles amenazas basadas en el catálogo propuesto
por MAGERIT.
De cada posible amenaza se detalla la siguiente información:

 ID: número único con el que se va a identificar a cada amenaza dentro del
listado.
 Nombre de la Amenaza: nombre con el que se conoce a la amenaza.
 Origen: se identifican cada uno de los orígenes de las amenazas que pueden
ser los siguientes:
o De origen natural: se incluyen los accidentes naturales como terremotos,
inundaciones, etc.
o Del entorno (de origen industrial): se incluyen los desastres industriales
como contaminación, fallos eléctricos, etc.
o Defectos de las aplicaciones: se incluyen los problemas que nacen
directamente en el equipamiento por defectos en su diseño o
implementación.
o Causadas por las personas de forma accidental: se incluyen
problemas no intencionados causados por personas con acceso al
sistema de información, típicamente por error u omisión.
o Causadas por las personas de forma deliberada: se incluyen
problemas intencionados causados por personas con acceso al sistema
de información, generalmente con el ánimo de beneficiarse o causar
daños y perjuicios a la organización.
 Tipo de Activo: se identifican los tipos de activos que se pueden ver afectados
por la amenaza. Se consideran los tipos previamente definidos en la Sección
4.1.3.1.
 Criterios Afectados: se identifican los atributos de información que se pueden
ver afectados por la amenaza.
 Descripción: se detalla más la amenaza, incluyendo lo que le puede ocurrir al
activo.
En la Tabla 4-11 se encuentra el listado de posibles amenazas:

56
Tabla 4-11 – Listado de posibles amenazas
AplicacionesDefecto de las
Criterio
Orig Tipo de Activo
s
(accidental)Humano
(deliberado)Humano
en
(accidental)Entorno
(accidental)Natural
afectado
s
Servicio
Disponibilidad
Aplicación
Información
Persona
Infraestructura
Confidencialidad
Integridad
I Nombre de la Descripci
D Amenaza ón
Cuando un usuario abusa de su nivel de

Abuso de privilegios de
1 x x x x x x x x privilegios para realizar tareas que no son
acceso
de su competencia.
El atacante consigue acceder a los recursos
del sistema sin tener autorización para ello,
2 Acceso no autorizado x x x x x x x típicamente aprovechando un fallo del
sistema de identificación y autorización.
(Uso ilícito del
hardware)
Alteración accidental o deliberada de
3 Alteración de la x x x x x x
la información.
información
Alteración del orden de los mensajes
transmitidos. Con el objetivo de que el
4 Alteración de secuencia x x x x x nuevo orden altere el significado del
conjunto de mensajes, perjudicando la
integridad de los
datos afectados.
El atacante, sin necesidad de analizar el
contenido de las comunicaciones, es capaz
5 Análisis de tráfico x x x de extraer conclusiones a partir del análisis
del origen, destino, volumen y frecuencia
de los
intercambios.
Criterio
Orig Tipo de Activo
s
en
(accidental)Humano
(deliberado)Humano
(accidental)Entorno
afectado
(accidental)Natural
s
Servicio
Disponibilidad
Aplicación
Persona
Información
Infraestructura
Confidencialidad
Integridad
D Amenaza ón
Destrucción del hardware o de

6 Ataque destructivo x x x
soportes, vandalismo, terrorismo, etc.
Se incluyen fallos en los equipos o en
7 Avería de tipo físico o x x x x x x x
los programas.
lógico
Caída del sistema por carencia de
Caída del sistema por recursos suficientes cuando la carga de
8 x x x
agotamiento de recursos trabajo es desmesurada. (Saturación del
sistema
informático)
Condiciones Fallas en la climatización de los
9 x x x x x
inadecuadas de locales (excesivo calor, frío,
temperatura o humedad humedad, etc.)
Contaminación Se incluyen interferencias de radio, campos
1 x x x x x x x
electromagnética magnéticos, luz ultravioleta, etc.
0
1 Contaminación mecánica x x x x x x x Se incluyen vibraciones, polvo, suciedad,
1 etc.
Degradación intencionada de la
Corrupción de la
1 x x x información,
información
2 con ánimo de obtener un beneficio o
causar un perjuicio.
Corte de suministro Constituye la pérdida del suministro
1 x x x x x
eléctrico de energía.
3
Daños por agua / Posibilidad de que el agua acabe
1 x x x x x x x x
Inundaciones con recursos del sistema.
4
Criterio
Orig Tipo de Activo
s
en
(accidental)Humano
(deliberado)Humano
(accidental)Entorno
afectado
(accidental)Natural
s
Servicio
Disponibilidad
Aplicación
Persona
Información
Infraestructura
Confidencialidad
Integridad
D Amenaza ón
No se tienen claros los roles y

Deficiencias en la
1 x x x responsabilidades del personal, por lo que
organización
5 no
se tiene claro qué hacer y cuándo hacerlo.
Degradación de la
1 x x x Degradación accidental de la información.
información
6
Degradación de los
Se incluye la avería y la falla del
soportes de
1 x x x x x x funcionamiento del hardware
almacenamiento de la
7 como consecuencia del paso del
información
tiempo.
Saturación del sistema informático, la
carencia de recursos suficientes provoca la
1 Denegación de servicio x x x x
caída del sistema cuando la carga de
8
trabajo es
desmesurada.
Se incluyen incidentes como explosiones,
1 Desastres industriales x x x x x x x derrumbes, etc. (Se excluyen los incendios
9 e inundaciones.)
Se incluyen incidentes como rayos,
tormentas eléctricas, terremotos, ciclones,
2 Desastres naturales x x x x x x x x
avalanchas, deslaves, etc. (Se excluyen los
0
incendios e inundaciones.)
Destrucción deliberada de Pérdida intencional de información, con
2 x x x
información ánimo de obtener un beneficio o causar un
1
perjuicio.
Criterio
Orig Tipo de Activo
s
en
(accidental)Humano
(deliberado)Humano
(accidental)Entorno
afectado
(accidental)Natural
s
Servicio
Disponibilidad
Aplicación
Persona
Información
Infraestructura
Confidencialidad
Integridad
D Amenaza ón
Destrucción accidental de
2 x x x x x Pérdida accidental de información.
información
2
Propagación inocente o intencionada de
2 Difusión de software x x x x x x
virus, spyware, gusanos, etc.
3 dañino
2 Divulgación de x x x Revelación intencional de información.
4 información
Envío de información a través de rutas
Errores de
2 x x x x x incorrectas que lleve la información a
(re)encaminamiento
5 donde no es debido o a las manos
indebidas.
Introducción de datos de
2 Errores de configuración x x x x x x x x
configuración erróneos.
6
Defectos en los procedimientos de
Errores de
actualización que permite que sigan
2 mantenimiento / x x x
utilizándose los equipos más allá del
7 actualizaciones de
tiempo
equipos (Hardware) nominal de uso.
Defectos en los procedimientos de
Errores de mantenimiento actualización, lo cual permite que
2 / actualizaciones de x x x x sigan utilizándose programas con
8 programas (Software) defectos conocidos y provoca fallas
en el
funcionamiento del software.
Inadecuado registro de actividades, falta
Errores de monitorización
2 x x x x x de registros, registros incompletos,
(log)
9 registros
fechados incorrectamente, etc.
60
Criterio
Orig Tipo de Activo
s
en
(accidental)Humano
(deliberado)Humano
(accidental)Entorno
afectado
(accidental)Natural
s
Servicio
Disponibilidad
Aplicación
Persona
Información
Infraestructura
Confidencialidad
Integridad
D Amenaza ón
Alteración accidental del orden de

3 Errores de secuencia x x x x
los mensajes transmitidos.
0
3 Errores de usuarios x x x x x x x Errores de uso de servicios, datos, etc.
1
Equivocaciones de personas con
3 Errores del administrador x x x x x x x x responsabilidades de instalación y
2 operación.
Presión mediante amenazas que se ejerce
3 Extorsión x x x x x sobre alguien para obligarle a obrar
3 en determinado sentido.
Pérdida de los medios de telecomunicación
Fallo de servicios de
3 x x x x x y cese de la capacidad de transmitir datos
comunicaciones
4 de un sitio a otro.
Posibilidad de que el fuego acabe
3 Fuego / Incendios x x x x x x x x
con recursos del sistema.
5
Revelación por indiscreción o
3 Fugas de información x x x x x x
incontinencia verbal la información.
6
Indisponibilidad accidental Ausencia del personal por
3 x x x
del personal enfermedad, alteraciones del orden
7
público, etc.
Ausencia del personal por huelgas,
3 Indisponibilidad del x x x
absentismo, bajas no justificadas,
8 personal
etc.
Abuso de la buena fe de las personas
3 Ingeniería social x x x x x para que realicen actividades que
9 interesan a un
61
tercero.
Criterio
Orig Tipo de Activo
s
en
(accidental)Humano
(deliberado)Humano
(accidental)Entorno
afectado
(accidental)Natural
s
Servicio
Disponibilidad
Aplicación
Persona
Información
Infraestructura
Confidencialidad
Integridad
D Amenaza ón
Inserción de información Inserción accidental o deliberada

4 x x x x
incorrecta de información incorrecta.
0
El atacante llega a tener acceso a
4 Intercepción de x x x x información que no le corresponde, sin que
1 información la información
en sí misma se vea alterada.
Interrupción de otros Otros servicios o recursos de los que
4 servicios y suministros x x x x x depende
2 esenciales la operación de los equipos (tóner, papel
para impresiones, etc.)
Alteración intencionada del funcionamiento
de los equipos, persiguiendo un beneficio
4 Manipulación de equipos x x x x
indirecto cuando una persona autorizada lo
3
utiliza. (Sabotaje del hardware)
Manipulación de la Manipulación deliberada de la
4 x x x x x x x x
configuración configuración de los activos (privilegios
4
de acceso, etc.).
Manipulación de los Manipulación deliberada de los registros
4 x x x
registros de actividad de actividad.
5
(log)
Alteración intencionada del funcionamiento
de los programas, persiguiendo un
4 Manipulación de x x x x
beneficio
6 programas
indirecto cuando una persona autorizada
lo utiliza.
Alteración intencional de la información,
Modificación deliberada
4 x x x x x con ánimo de obtener un beneficio o
de la información
7 causar un
perjuicio.
Criterio
Orig Tipo de Activo
s
en
(accidental)Humano
(deliberado)Humano
(accidental)Entorno
afectado
(accidental)Natural
s
Servicio
Disponibilidad
Aplicación
Persona
Información
Infraestructura
Confidencialidad
Integridad
D Amenaza ón
Cuando las instalaciones han sido

4 Ocupación no autorizada x x x x invadidas por personas no autorizadas y
8 se carece de control sobre los medios de
trabajo.
La pérdida de equipos provoca
4 Pérdida de equipos x x x x directamente la carencia de un medio para
9 prestar los servicios.
Negación a posteriori de actuaciones o
5 Repudio x x x x
compromisos adquiridos en el pasado.
0
Robo de soportes o documentos, o del
5 Robo x x x x x x
Hardware.
1
Suplantación de la Cuando un atacante consigue hacerse
5 x x x x x x x
identidad pasar por un usuario autorizado.
2 del usuario
Utilización de recursos del sistema para
5 Uso no previsto x x x x x x x fines no previstos (juegos, programas
3 personales, etc.)
Defectos en el código de los programas
Vulnerabilidades de los que generan operaciones defectuosas que
5 x x x x x x x
programas pueden afectar la integridad de los datos y
4
su capacidad de operar.
63
3.1.1.1 VALORACIÓN DE CONTROLES EXISTENTES

En este paso se busca identificar los controles o salvaguardias que se encuentran
implementadas para mitigar las amenazas previamente identificadas. Una vez
identificados los controles existentes se deben evaluar la eficiencia de los mismos, para
lo cual se debe considerar los criterios que se muestran en la Tabla 4-12.
Tabla 4-12 – Evaluación de la efectividad de los controles existentes

Escala Val Criter
or io
Muy El control existente disminuye casi toda la probabilidad de
5
Adecuad ocurrencia y el impacto de la amenaza.
o
El control existente disminuye en gran medida la
Adecua 4
probabilidad de ocurrencia y el impacto de la amenaza.
do
El control existente disminuye de manera moderada la
Modera 3
probabilidad de ocurrencia y el impacto de la amenaza.
do
El control existente disminuye levemente la probabilidad
Débil 2
de ocurrencia y el impacto de la amenaza.
El control existente no ayuda a disminuir la probabilidad
Muy 1
de ocurrencia y el impacto de la amenaza.
débil
3.1.1.2 VALORACIÓN DE RIESGOS

En este paso se debe determinar, para cada una de las amenazas identificadas para los
activos críticos, la probabilidad de ocurrencia de las amenazas y el impacto que tendrían
en la organización en caso de que lleguen a materializarse.
4.1.5.3.2. Determinación de la Probabilidad

Para determinar la probabilidad de ocurrencia se deben considerar los criterios que se
muestran en la Tabla 4-13.
Tabla 4-13 – Valoración de la Probabilidad

Escala Val Criter
or io
Es casi seguro que la amenaza (error, accidente o acto de
Muy 5
la naturaleza) ocurra.
Alta
Es altamente probable que la amenaza (error, accidente o
Alta 4
acto de la naturaleza) ocurra.
Es algo probable que la amenaza (error, accidente o acto
Media 3
de la naturaleza) ocurra.
Es improbable que la amenaza (error, accidente o acto de
Baja 2
la naturaleza) ocurra.
Escala Val Criter
or io
Es altamente improbable (raro) que la amenaza (error,
Muy 1
accidente o acto de la naturaleza) ocurra.
Baja
4.1.5.3.3. Determinación del Impacto

Para determinar el impacto potencial se deben considerar los criterios que se muestran en
la Tabla 4-14.
Tabla 4-14 – Valoración del Impacto

Escala Val Criter
or io
La amenaza (error, accidente o acto de la naturaleza) puede
Muy 5 ocasionar múltiples efectos adversos graves o catastróficos en
Alto las operaciones, activos o individuos de la organización.
Alto 4 ocasionar un efecto adverso grave o catastrófico en las
operaciones, activos o individuos de la organización.
Medio 3 ocasionar un serio efecto adverso en las operaciones,
activos o individuos de la organización.
Bajo 2 ocasionar un efecto adverso limitado en las operaciones,
activos o individuos de la organización.
Muy 1 ocasionar un efecto adverso insignificante en las
Bajo operaciones, activos o individuos de la organización.
Un efecto adverso grave o catastrófico significa que la amenaza puede:

 Detener las principales funciones de la organización.
 Provocar daños graves a los bienes de la organización.
 Producir un gran perjuicio económico.
 Provocar daños graves o catastróficos para las personas (amenaza la v i d a ).
Un serio efecto adverso significa que la amenaza puede:

 Afectar la eficacia de las principales funciones de la organización.
 Dar lugar a daños significativos a los bienes de la organización.
 Provocar importantes pérdidas económicas.
 Provocar daños significativos a las personas (sin amenazar la vida).
Un efecto adverso limitado significa que la amenaza puede:
 Reducción insignificante de la efectividad de las funciones de la organización.
 Provocar daños menores en los activos de la organización.
 Provocar pérdidas económicas de menor importancia.
 Resultar en un daño menor a los individuos.
4.1.5.3.4. Determinación del Nivel de Riesgo

Para determinar el nivel de riesgo se deben multiplicar los valores establecidos por
activo tanto para la probabilidad como para el impacto, de acuerdo a esto se tendría lo
que se muestra en la Tabla 4-15.
Tabla 4-15 – Valoración del Riesgo
Impact Muy Ba Med Al Muy

o Probabilidad Bajo jo io to Alto
1 2 3 4 5
Muy 1 1 2 3 4 5
Bajo
Bajo 2 2 4 6 8 10
Medio 3 3 6 9 12 15
Alto 4 4 8 12 16 20
Muy 5 5 10 15 20 25
Alto
En base a los valores mostrados en la Tabla 4-15 se va a establecer los niveles de

riesgo que son Muy Alto, Alto, Medio, Bajo y Muy Bajo. Para establecer los intervalos de
valores que van a determinar el nivel de riesgo se va a considerar lo siguiente:
1. Un riesgo muy alto, es decir aquel que tiene un impacto muy alto y una
probabilidad muy alta, tendría una valoración de 25.
2. Un riesgo muy bajo, es decir aquel que tiene un impacto muy bajo y una
probabilidad muy baja, tendría una valoración de 1.
3. El rango entre un riesgo muy alto y uno muy bajo, es decir, la diferencia entre
sus puntos totales es 24.
anterior para el número de niveles de criticidad a considerar, es decir 24/5 = 5.
En la Tabla 4-16, se encuentran los intervalos resultantes para cada nivel de riesgo y la descripción de
cada uno de ellos.
Tabla 4-16 – Nivel de Riesgo

Escala Valor Criteri
o
Muy
21 – ocasionar múltiples efectos adversos graves o catastróficos en
Alto
25 las operaciones, activos o individuos de la organización.
Alto 16 – ocasionar un efecto adverso grave o catastrófico en las
20 operaciones, activos o individuos de la organización.
Medio 11 – ocasionar un serio efecto adverso en las operaciones, activos o
15 individuos de la organización.
Bajo 6 – 10 ocasionar un efecto adverso limitado en las operaciones, activos o
individuos de la organización.
Muy ocasionar un efecto adverso insignificante en las
1–5
Bajo operaciones, activos o individuos de la organización.
7.3.2. Gestión de Riesgos de Procesos Críticos
7.3.2.1. Análisis de Riesgos y Vulnerabilidad
El primer paso para el diseño, estructuración y puesta en funcionamiento de un Sistema de Administración de

Riesgos, es conocer y valorar las posibles situaciones de siniestro que puedan presentarse en una
organización empresarial. La evaluación de riesgos y el análisis de vulnerabilidad proporciona una
herramienta racional para tomar decisiones tendientes a la prevención, preparación y respuesta ante
emergencias, dentro de unos criterios de costo – beneficio.
 VULNERABILIDAD.
La vulnerabilidad se define como el grado de sensibilidad de un sistema ante un riesgo, medido en cuanto al
impacto que pueda tener sobre su estabilidad. Numéricamente la vulnerabilidad puede expresarse como el
valor relativo (medido en %) de un riesgo respecto al riesgo máximo posible en el sistema (Kolluru et all,
2012).
V (%) = (VRX / VRMAX) X 100

Dónde:
Vrx: es el valor relativo del riesgo. Vrmax: es
el valor máximo del riesgo.
 FACTORES DE VULNERABILIDAD.
Variables que condicionan el impacto que un riesgo pueda generar en un sistema. Cada sistema presenta su
propio “catálogo” de factores de vulnerabilidad. Entre ellos se pueden considerar
 Lesiones a las personas.
 Pérdidas económicas.
 Interrupción de la actividad.
 Pérdida de imagen.
 Pérdida de información.
Es la empresa adherente la que debe definir cuáles son los factores de vulnerabilidad a considerar en el
análisis de riesgos y vulnerabilidad. Sin embargo, para la metodología desarrollada por el autor de la presente
guía con base a la metodología propuesta por KOLLURU, Rao y BARTELL, Steven. Manual de Evaluación y
Administración de Riesgos. Editorial Mc Graw Hill. México, 1998, ratificada en la edición 2012 y por DUQUE,
Cesar y Asociados. Seminario Cómo Diseñar y Administrar los Planes de Emergencia y Evacuación y la
Brigada Contra Incendios. Barranquilla, 1995, se proponen los siguientes factores de vulnerabilidad, como
resultado de la ejecución de los proyectos de investigación que se han desarrollado desde el 2011 -2015 en el
marco del macro proyecto de investigación “Elaboración del Mapa de Riesgos Tecnológicos y el diseño del
Plan de emergencias y contingencias para las empresas adherentes al Proceso Apell en el Distrito Especial,
Industrial y Portuario de Barranquilla”:
 Víctimas.
 Pérdidas económicas.
 Daño ambiental: aire, agua, suelo y ecosistemas.
 Pérdida de la imagen corporativa de la empresa.
 Pérdidas debidas a la suspensión de la operación de la planta.
 PROPÓSITO.
El propósito del análisis de vulnerabilidad dentro del plan de emergencia y contingencias es el de conocer la
naturaleza y las características de las diferentes amenazas presentes en el sistema (empresa) y sus posibles
consecuencias sobre el mismo, con el fin de:
a) Identificar las amenazas presentes en el sistema.

b) Conocer los escenarios de posibles siniestros.
c) Determinar al valor relativo del riesgo en cada escenario.
d) Conocer el impacto relativo que tendría el siniestro sobre el sistema.
e) Definir criterios de aceptabilidad de los riesgos en el sistema.
f) Definir prioridades para el manejo de los riesgos.
g) Definir los objetivos de desempeño para el plan de emergencias.
h) Determinar los niveles óptimos de inversión o gastos para el control de los riesgos.
i) Definir criterios para la toma de decisiones en el manejo de los riesgos.
 PROCEDIMIENTO PARA EL ANÁLISIS DE VULNERABILIDAD.
Para realizar un Análisis de Vulnerabilidad en una empresa o edificación, con miras a diseñar el Plan de
Emergencia y Contingencias, deberá desarrollarse el siguiente procedimiento:
1. Identificación de las amenazas tecnológicas, naturales y/ sociales.

2. Definición de escenarios para siniestros.
3. Diseño de escalas de valoración relativa de probabilidad y gravedad.
4. Evaluación del riesgo para cada escenario.
5. Construcción de la matriz de riesgos del sistema.
6. Determinación de la “vulnerabilidad” para cada escenario.
7. Definición del perfil de riesgos del sistema.
8. Definición de cuáles escenarios requieren Plan de Emergencias.
1. IDENTIFICACIÓN DE LAS AMENAZAS.

El siguiente cuadro es un ejemplo de cómo identificar las amenazas de posible ocurrencia en un sistema (Ver
Tabla 21). Para llevar a cabo este proceso se recomienda utilizar el método más apropiado (Santamaría et all,
1994).
TABLA 21. IDENTIFICACIÓN DE AMENAZAS
1 NATURALES SI N OBSERVACIONES
O
1.1 Geológicas:
.
Terremoto X
1.2 Meteorológicas:
.
Inundación X
1.3 Biológicas:
.
Enfermedades pandémicas X
2 CAUSADAS POR EL SI N
HOMBRE O
A. Riesgos Accidentales:
Derrame de material peligroso X
B. Riesgos Intencionales:
Terrorismo X
Sabotaje X
Fuente: Consuegra Gutiérrez Jesús. Plan de Contingencias. Uninorte, Barranquilla, Uninorte 2010.
Santamaría et all, 1994, propone los siguientes métodos para la identificación de peligros y evaluación de
riesgos:
I. Métodos comparativos. Su objeto es evaluar la seguridad de una instalación a la luz de la

experiencia adquirida en operaciones previas de la compañía o en organizaciones externas a la
misma, a través de:
 Códigos: ASME (American Society Of Mechanical Engineers); ASTM (American Society for
Testing and Materials); API (American Petroleum Institute); NFPA (National Fire Protection
Association); ACGIH (American Conference of Governmental Industrial Hygienist) y NIOSH
(National Institute for Occupational Safety and Health).
 Listas de comprobación (“Checklists”). Su objeto es verificar el riesgo potencial de las
plantas, procesos u operación; para lo cual se requiere el desarrollo o adquisición de una
lista de chequeo apropiada, elaborada por un experto.
 Análisis histórico de accidentes. Su objeto es identificar riesgos sobre la base de análisis
de accidentes industriales ocurridos en el pasado. Se refiere a accidentes ya ocurridos, por
lo que los peligros identificados con su uso son indudablemente reales.
II. Índices de riesgo. Estimar el riesgo global asociado a unidades de proceso; es un método
cuantitativo que considera el riesgo intrínseco del material, las cantidades manejadas, condiciones
de operación, etc., y es aplicable al riesgo de explosión.
 Índice Dow.
III. Métodos generalizados. Métodos mejor estructurados para el análisis de peligros y

evaluación de riesgos.
 Análisis de Riesgos de Operabilidad (HAZOP).
 Análisis de Árbol de Fallos (FTA).
 Análisis de Árbol de Sucesos (ETA).
 Análisis “WHAT IF”.
 Método LOPA.
El método recomendado para las empresas adherentes es el análisis de amenazas por procesos (Consuegra,
2010), para lo cual es necesario conocer el diagrama de flujo de todos los procesos involucrados,
identificando materias primas, insumos, productos, subproductos, desechos, servicios, máquinas y equipos.
Ejemplo: ver Tabla 22.
TABLA 22. IDENTIFICACIÓN DE AMENAZAS POR PROCESOS
ÁRE PROCESO PRODUCTOS EQUIPAMIENT AMENAZ

A O AS
Centro Almacenamie Residuos Tanques y Incendio
de nto peligrosos estibas ,
acopi explosió
o ny
derrame
Bode Almacenamie Productos Tanques y Incendio,
ga nto químicos estibas explosió
peligrosos ny
derram
e
Cuarto Generación de Gas Caldera, Incendi
de energía y vapor natural generador de oy
máquin y agua energía, explosi
as equipos de ón
enfriamiento,
tuberías
Administrativa Gestión Documentos Escritorios, Incendio
pisos 1,2,3 y administrativa e sillas,
4 informaci computadores,
ón impresoras,
electróni papel
ca
Planta de Servicios Sustancias Planta de Rebose
tratamiento químicas Tratamiento de de
de aguas. para agua aguas
PTAR tratamiento convencional residual
de aguas es
residuale industrial
s es
industrial
es
Fuente: Consuegra Gutiérrez Jesús. Plan de Contingencias empresarial, Barranquilla, 2011.
 CLASIFICACION DE AMENAZAS SEGÚN EL SELA (Sistema Económico Latinoamericano y del

Caribe):
Aunque los estudios sobre Reducción de Riesgos de Desastres están focalizados en evidenciar vulnerabilidades de las
poblaciones, las amenazas identificadas y estudiadas se pueden tomar como referentes para aplicarlas a las
organizaciones privadas o públicas.
Una amenaza está definida como la causa potencial de un incidente no deseado y que de ocurrir puede resultar en
daños a las personas, a una organización o a un sistema. Una empresa u organización no puede tener control sobre la
amenaza, ésta existe por sí sola. Lo que sí puede hacer la organización es establecer medidas de protección para que
en caso ocurrir la amenaza cause la mínima afectación posible.
La continuidad del negocio y de las operaciones tiene como objetivo proteger las actividades críticas o urgentes de
recuperar, y aunque pudieran resultar interrumpidas debido al incidente disruptivo, la organización será capaz de
continuar brindando dichas actividades; de allí la importancia de la continuidad.
1. Amenazas naturales
Podemos entenderlas como aquellas que ocurren sin la intervención del ser humano y atribuible a un fenómeno físico
de origen natural. La National Fire Protection Association (NFPA) lista estas posibles amenazas en su estándar 1600
del año 2010 de la siguiente manera:
a) Geológicas: terremoto, sismo; tsunami; erupción volcánica; deslizamiento de tierras, avalanchas de lodo,
hundimientos; icebergs y glaciares.
b) Meteorológicas: inundación, mareas altas; sequías, hambrunas; incendios; nevadas, heladas, granizadas y
avalanchas; huracanes, tormentas tropicales, tornados, tormentas de arena; temperaturas extremas (calor o frío);
rayos; tormentas geomagnéticas.
c) Biológicas: enfermedades con impacto en los seres humanos o animales (peste, viruela, ántrax, virus del Nilo
Occidental, fiebre aftosa, síndrome respiratorio agudo severo, enfermedades pandémicas, enfermedad de las vacas
locas); infestación o daño por insectos o animales (como el dengue)
Dependiendo de la ubicación geográfica de la organización, dentro de América Latina, alguna de estas amenazas será
más probable de ocurrir. La geografía regional muestra que se tiene muy al sur, tanto en Argentina como en Chile
zonas de mucha nieve y hielo por lo que las avalanchas son posibles, en Chile y Perú existe una extensa franja
desértica y las lluvias torrenciales son un incidente severo. La gran mayoría de los países de Latinoamérica y el Caribe
tienen mares por lo que los tsunamis pueden ocurrir.
En Centroamérica y el Caribe se tienen temporadas ciclónicas. La Cordillera de los Andes tiene aún volcanes activos; la
extensa selva sudamericana y el clima tropical de muchos países de Centroamérica y El Caribe hacen propensas las
lluvias, inundaciones y deslizamientos de tierra al igual que los fenómenos del niño o de la niña. Hemos sufrido
contagios masivos por la gripe aviar H1N1 llegando inclusive a declarar cuarentena general como ocurrió en el Distrito
Federal de México. En la región existen zonas remotas con enfermedades endémicas; el dengue aún es un problema
no controlado.
Otro factor que hace que la ocurrencia de estas amenazas aumente en la región y por ende aumente la vulnerabilidad
de las organizaciones existentes en ella, es la poca madurez en la prevención, muestra de ello es que el Documento
Técnico elaborado luego de la VI Cumbre de las Américas menciona: "mientras a nivel mundial disminuyen los riesgos
de mortalidad y pérdidas económicas por inundaciones y huracanes, en las Américas continúan aumentando. La
principal oportunidad para reducir el riesgo de desastres se encuentra en reducir la vulnerabilidad de las personas y las
economías ante las diferentes amenazas, para ello es preciso abordar los factores causantes del riesgo, como el
desarrollo urbano mal gestionado, la degradación ambiental y la pobreza, que son precisamente los factores que
generan esa vulnerabilidad".
2. Amenazas causadas por el hombre

La National Fire Protection Association (NFPA) cataloga estas posibles amenazas en su estándar 1600 del año 2010 de
la siguiente manera:
a) Riesgos accidentales: derrame o escape de materiales peligrosos; explosión, incendio; accidente de transporte;
colapso de edificio o estructura; falla en la red del servicio público de electricidad, gas, agua u otro similar; escasez de
combustibles o de recursos; contaminación de agua o aire; falla en la estructura de contención de un dique o una
presa; depresión económica, inflación, crisis financiera; interrupción en los sistemas de comunicación (voz y datos);
desinformación.
b) Riesgos intencionales: terrorismo (en sus diferentes modalidades: explosión, por sustancias químicas, biológico,
radiológico, nuclear, cibernético); sabotaje; disturbio social, protestas, histeria colectiva, amotinamiento; guerra;
insurrección; desinformación o rumor; actividad criminal (vandalismo, robo, incendio, fraude, malversación, robo de
datos); pulso electromagnético; violación de la seguridad física o de información; violencia en el lugar de trabajo,
universidad, colegio; contaminación o producto defectuoso; acoso; discriminación.
En el caso de los riesgos accidentales, estas amenazas serán más probables según el tipo de sector, industria o
actividad económica de las organizaciones, inclusive podría ser que alguna nueva amenaza para una actividad
económica específica no se encuentre catalogada aún. De acuerdo con el Anuario Estadístico 2012 de CEPAL las
siguientes son las actividades económicas consideradas para Latinoamérica y El Caribe: agricultura, ganadería, caza,
silvicultura y pesca; explotación de minas y canteras; industrias manufactureras; suministro de electricidad, gas y agua;
construcción; comercio al por mayor y al por menor, reparación de bienes, y hoteles y restaurantes; transporte,
almacenamiento y comunicaciones; intermediación financiera, actividades inmobiliarias, empresariales y de alquiler;
administración pública, defensa, seguridad social obligatoria, enseñanza, servicios sociales y de salud, y otros servicios
comunitarios, sociales y personales.
En muchos de los países de la región se presenta contaminación por actividades extractivas ilegales; accidentes de
contaminación en mares y ríos, caída e interrupción de los sistemas públicos de telefonía e Internet, apagones con
cierta frecuencia, problemas serios de inflación, rumores de quiebras de bancos o entidades financieras. Sin embargo,
a pesar de que el estudio se centra en Latinoamérica y El Caribe, estos tipos de amenazas no deben ser vistas
únicamente desde el contexto geográfico regional, sino también desde el aspecto global del propio sector o actividad
económica al cual pertenece la organización, para poder entonces identificar otras amenazas que
posiblemente hoy se están desarrollando en alguna otra parte del mundo y que en poco tiempo podrían tener ya un
alcance local.
En el caso de los riesgos intencionales, estas amenazas tienen una relación más directa con los problemas sociales y
la región tiene mucho de ellos. En el Informe sobre Seguridad en las Américas del Observatorio Hemisférico de
Seguridad de la OEA - Alertamerica.org 7 se dan estadísticas por país sobre los principales factores de violencia social,
entre ellos: homicidios y muertes violentas, tráfico de armas, consumo y comercialización de drogas, delitos de índole
sexual y trata de personas, muchos de ellos asociados a una cada vez creciente red de crimen organizado.
2. ESCENARIOS PROBABLES DE SINIESTROS.
El análisis del impacto y alcance de los siniestros y del manejo de los mismos, requieren definir previamente
unos escenarios posibles para ellos.
Los escenarios de posibles siniestros están determinados por la combinación de áreas y amenazas, para lo
cual se recomienda codificar las áreas y las amenazas, tal como se muestra en el siguiente ejemplo. (Ver
Tablas 23 y 24).
TABLA 23. CODIFICACIÓN DE AMENAZAS
AMENAZAS CÓDIG
O
Incendio A
Explosión B
Escape de sustancias químicas: fugas, C
derrames, rebose de PTAR
Emisiones atmosféricas D
Inundaciones, tornados, vendavales E
CUADRO 24. CODIFICACIÓN DE ÁREAS
ÁREA CÓDIG
S O
Almacén de sustancias químicas 1
Cuarto de máquinas 2
Centro de acopio 3
Administrativa 4
Planta de tratamiento de aguas. PTAR 5
Una vez codificadas las áreas y las amenazas, se puede construir una matriz que permita identificar los ¨”
potenciales escenarios” de situaciones de emergencias en una empresa. Ver Tabla 25.
TABLA 25. ESCENARIOS DE POTENCIALES SITUACIONES DE EMERGENCIAS
ÁREA A B C D E
S
1 A B1 C
1 1
2 A B2
2
3 A B3 C
3 3
4 A
4
5 C E4
4
3. ESCALAS DE VALORACIÓN RELATIVA.
La evaluación de las amenazas causadas por el hombre y/o naturales (siniestros) puede definirse como el
proceso de estimar la probabilidad de que ocurra un acontecimiento y la magnitud probable de los
efectos adversos, medidos en términos de víctimas, pérdidas económicas, daños ambientales y pérdida de
prestigio de la empresa (Consuegra, 2015).
I. Probabilidad de los siniestros (P). Para efectos de evaluar los escenarios de posibles
siniestros ellos se clasifican de acuerdo a su probabilidad de ocurrencia, mediante una tabla de
“probabilidad relativa”, como por ejemplo, la propuesta por Kolluru and Bartel, en 1998 y ratificada
en 2012; aplicable a cualesquiera de las organizaciones adherentes al Proceso Apell de la ciudad
de Barranquilla. Sólo se requiere tener información o estadísticas del Histórico de Accidentes de la
empresa objeto de estudio. Ver Tabla 26
TABLA 26. ESCALA DE VALORACIÓN RELATIVA DE LA PROBABILIDAD
VALOR DE
FRECUENCIA CASOS POR AÑO PROBABILIDA
D PROBABILIDA
D
Muy difícil 0.0001 casos /
Imposible 1
que ocurra año (1 x 10-
4)
Muy baja
0.001 caso /año
posibilidad Improbable 2
de (1 x 10-3)
ocurrencia
Limitada 0.01 casos/ año (1
Remoto 3
posibilidad de x 10-2)
ocurrencia
Ha ocurrido pocas 0.1 casos / año (1 x
Ocasional 4
veces 10-1)
Ha ocurrido 1 caso / año (1 x
Moderado 5
varias veces 100)
Alta posibilidad 10 casos / año (1 x
Frecuente 6
de ocurrencia 101)
Fuente: Kolluru and Bartel. Manual de Evaluación y Administración de Riesgos. Editorial Mc Graw
Hill. México, 1998.
II. Gravedad de las consecuencias (C). Se define como la variable a través de la cual se puede
estimar la gravedad de los efectos adversos de un siniestro. Para ello se tiene en cuenta la escala
relativa propuesta por Kolluru and Bartel, en 1998 y ratificada en 2012. A diferencia de la escala de
probabilidad, la escala de gravedad de las consecuencias se debe adaptar a cada empresa
adherente, en razón de que éstas dependen de los activos de cada organización. Por lo tanto, se
debe llegar a un consenso con la empresa objeto de estudio.
Sin embargo, los proyectos que se han desarrollado en el marco del macro proyecto de
investigación citado, ha permito sistematizar una escala que puede aplicarse a cualesquiera de las
empresas adherentes. En la Tabla 27, se describe la propuesta por Kolluru and Bartel.
120
TABLA 27. Escala de Valoración Relativa de la Gravedad de las Consecuencias
DESCRIPCIÓN EVALUACIÓ VALORACIÓN DE LAS

N CONSECUENCIAS
CUALITATIV
A
Las consecuencias no
afectan el funcionamiento 1
del sistema; consecuencias Insignificant
despreciables; pérdidas e (Baja)
mínimas o no financieras;
problemas de operación.
Las consecuencias afectan
en forma leve al sistema; Marginal 2
consecuencias moderadas; (Moderad
heridas reportables en el a)
sitio y menos de 1 millón de
dólares en pérdidas.
parcialmente al sistema en
forma 3
Criti
grave; ca
consecuencias (Alta
considerables; daños a la )
propiedad, parada
de planta,
accidente
con pérdida de
tiempo; más de
1 millón de dólares
en pérdidas.
en forma total al sistema,
pudiendo afectar la
estabilidad del mismo;
consecuencias de gran
magnitud; muertes o graves Catastrófica 4
daños a las salud o s
integridad física dentro y (Severas)
fuera del sitio; daños a la
propiedad; daños a
terceros, contaminación
ambiental; más 10 millones
de dólares en pérdidas.
Fuente: Kolluru and Bartel. Manual de Evaluación y Administración de Riesgos. Editorial Mc

Graw Hill. México, 1998.
120
III. Tablas de gravedad por factor de vulnerabilidad. La “Gravedad relativa” de
un siniestro a considerar se DEBE valorar independientemente para cada “factor de vulnerabilidad”.
A cada nivel de la escala se le asigna un valor relativo, que fue adaptado por el autor de la Guía, de
los valores propuestos por Kolluru and Bartel, en 1998 y ratificada en 2012. Ver Tablas 28 al 32.
TABLA 28. VALORACIÓN DE LA GRAVEDAD PARA VÍCTIMAS

GRAVEDAD DESCRICIÓN VALO
R
Insignificante Sin lesiones, o lesiones leves sin incapacidad 1
Marginal Lesiones leves con incapacidad temporal 2
Critica Lesiones graves con incapacidad parcial y/o total 3
permanente
Catastrófica Muertes al interior y/o exterior de la instalación 4
Fuente: Adaptada por el autor de la Guía de Kolluru and Bartel. Plan de contingencia
empresarial, Barranquilla 2011.
TABLA 29. VALORACIÓN DE LA GRAVEDAD PARA DAÑO AMBIENTAL

GRAVEDAD DEFINICIÓN VALO
R
Insignificante No hay contaminación significativa de cuerpos 1
de agua, aire, suelo y/o ecosistemas
Marginal La contaminación de cuerpos de agua, aire, suelo y/o 2
ecosistemas afecta solamente a áreas internas de la
instalación
Critica La contaminación de cuerpos de agua, aire, 3
suelo y/o ecosistemas afecta áreas externas
Catastrófica La contaminación de cuerpos de agua, aire, suelo y/o 4
ecosistemas afecta a la comunidad
empresarial, Barranquilla. 2011.
TABLA 30. VALORACIÓN DE GRAVEDAD PARA PÉRDIDAS ECONÓMICAS

R
Insignificante Menores a US 50.000. 1
Marginal Entre US 50.001 y US 1.000.000. 2
Critica Entre US 1.000.001 y US 5.000.000 3
Catastrófica Más de US 5.000.000 4
Fuente: Adaptada por el autor de la Guía de Kolluru and Bartel. Plan de contingencia empresarial,
Barranquilla, 1998.
121
TABLA 31. VALORACIÓN DE GRAVEDAD PARA LA IMAGEN DE LA EMPRESA
R
Insignificante El incidente es controlado por la empresa 1
Marginal El incidente es controlado por la empresa con la 2
participación de los cuerpos especializados de ayuda
externa
Critica El incidente es potencial de una calamidad pública 3
Catastrófica El incidente es potencial de un desastre 4

empresarial, Barranquilla, 2015.
TABLA 32. VALORACIÓN DE GRAVEDAD PARA LA OPERACIÓN

R
Insignificante Suspensión hasta de tres (3) días 1
Marginal Suspensión entre cuatro (4) y diez (10) días 2
Critica Suspensión de once (11) a veinticinco (25) días 3
Catastrófica Suspensión mayor a veinticinco (25) días 4
Fuente: Cesar Duque y asociados, Barranquilla, 1995.
Las cinco escalas definidas para la gravedad de las consecuencias se pueden combinar y dar
origen a una sola escala relativa de gravedad que involucre los 5 factores de vulnerabilidad
definidos, víctimas, pérdidas económicas, daños ambientales, pérdida de la imagen corporativa
(pérdida de prestigio) y pérdidas debidas a la suspensión temporal de la planta, definida en el año
de 2011 por el autor de la Guía en consenso con las empresas objeto de estudio, en la
Actualización del Plan de Contingencia para la Planta II de Acesco, Acerías de Colombia & CIA
S.C.A (junio de 2011) y la actualización del Plan de Contingencias de Procaps S.A. (agosto de
2011).
4. EVALUACIÓN DEL RIESGO DE CADA ESCENARIO.
Usando las escalas de valoración definidas tanto para la probabilidad como para la gravedad de las
consecuencias, se califica cada escenario respecto al riesgo a cada uno de los “factores de
vulnerabilidad” identificados.
5. CONSTRUCCIÓN DE LAS MATRICES DE RIESGO DEL SISTEMA.
Se construye la matriz de riesgos del sistema evaluando cada escenario definido para cada factor
de vulnerabilidad establecido: víctimas, daños ambientales, pérdidas económicas, pérdidas
debidas a la suspensión de la planta y pérdida de la imagen corporativa (pérdida de prestigio). En
la tabla 33, se describe la escala relativa de la gravedad.
TABLA 33. ESCALA RELATIVA DE LA GRAVEDAD DE LAS CONSECUENCIAS PARA
LOS FACTORES DE VULNERABILIDAD
EVALUACIÓ EVALUACIÓN
DESCRIPCI
N CUANTITATIVA
ÓN CUALITATIVA
Las consecuencias no afectan el funcionamiento del
sistema y la suspensión es inferior a una hora; no hay
lesionados o son leves las lesiones y el área afectada
no excede el perímetro de la empresa; las pérdidas Insignificant 1
económicas son inferiores a e
$96.000.000 (<0.1% patrimonio año); el evento es
controlado internamente; contaminación insignificante
o que el incidente sólo sea de
conocimiento en la empresa.
Los daños son conocidos a nivel local y afectan en

forma leve el sistema; obligan a una suspensión entre
12 y 24 horas y las pérdidas económicas pueden
estar alrededor de $96.000.000 (0.1% patrimonio Marginal 2
año); la afectación ambiental sería sólo de áreas
internas de la empresa; se pueden
presentar heridos con lesiones leves incapacitantes.
Hay afectación parcial grave que obliga una

suspensión del sistema entre 3 y 15 días, con
pérdidas hasta de $479.000.000 (0.5% patrimonio Crítica 3
año) y conocimiento del evento a nivel nacional.
Afectación a áreas externas de la empresa y al
medio ambiente. Afectación grave a las personas.
Hay afectación grave y total del sistema, suspensión
de más de 15 días. Muerte con afectación de la
comunidad o el ambiente. Pérdidas de hasta Catastrófica 4
$958.000.000 (1% patrimonio año). Conocimiento del
evento a nivel
internacional.
6. MATRIZ DE ACEPTABILIDAD DE RIESGOS.
La “Matriz de Aceptabilidad de Riesgos” es la determinación de las zonas de “aceptabilidad” de los

riesgos para el sistema, según una matriz de Gravedad Vs Probabilidad. Se pueden determinar
diversas zonas de “vulnerabilidad”, tal como: Zona aceptable, Zona tolerable y Zona inaceptable
(Cesar Duque y Asociados, 1995).
Niveles de Riesgo (NR): La ubicación de un escenario dentro de la Matriz de Riesgos determinará

la prioridad relativa en su gestión; por ejemplo:
a. ACEPTABLE. Un escenario situado en esta región de la Matriz, significa que la
combinación Probabilidad-Gravedad no representa una amenaza significativa, por lo
que no amerita la inversión inmediata de recursos y no requiere una acción específica
para su gestión. No se hace Plan de emergencia para el factor vulnerabilidad
considerado en el escenario.
b. TOLERABLE. Un escenario situado en esta región de la Matriz, significa que, aunque

deben desarrollarse actividades para la gestión sobre el riesgo, ésta tiene una
prioridad de segundo nivel. Se desarrolla un Plan de Emergencia de tipo “General”.
c. INACEPTABLE. Un escenario situado en esta región de la Matriz, significa que se

requiere siempre desarrollar acciones prioritarias para su gestión, debido al alto
impacto que tendrían sobre el sistema. Requieren un Plan de Emergencia “Detallado”
(Procedimientos Operativos Normalizados, PONS y los Instructivos Operativos
Normalizados, IONS. Jesús Consuegra Gutiérrez. Plan de Contingencias.
Barranquilla, 2015).
Con base en los niveles de vulnerabilidad definidos como Aceptables, Tolerables e Inaceptables, se
construye una “Matriz de aceptabilidad” para el sistema. Para construir la Matriz de Aceptabilidad
del Riesgo del sistema, se definen los “Límites de Aceptabilidad” en función de la vulnerabilidad,
para las empresas adherentes se recomiendan los siguientes Niveles de Riesgo (NR).
 Nivel Aceptable: Hasta una vulnerabilidad menor al 15.00% (color verde).
 Nivel Tolerable: Una vulnerabilidad entre el 15.00% y el 30.00% (color amarillo).
 Nivel Inaceptable: Una vulnerabilidad mayor al 30.00% (color rojo).
Lo anterior implica entonces la construcción de 5 matrices de aceptabilidad del sistema (empresa)

una por cada factor de vulnerabilidad. Ver Cuadros 34, 35, 36, 37 y 38.
TABLA 34. EVALUACIÓN DEL RIESGO DE CADA ESCENARIO PARA VÍCTIMAS
ESCENARI P C RIESG VULNERABILIDAD NR PLAN
O O
A1 1 2 2 2/24 (8,33%) Aceptable No plan
B1 3 4 12 12/24 (50%) Inaceptabl Detallado
e
C1 2 2 4 4/24 (16,7%) Tolerable General
B2 1 3 3 3/24 (12,5%) Aceptable No plan
A3 1 4 4 4/24 (16,7%) Tolerable General
B3 2 4 8 8/24 (33,3%) Inaceptabl Detallado
e
TABLA 35. EVALUACIÓN DEL RIESGO DE CADA ESCENARIO PARA DAÑOS AMBIENTAL
O O
A1 1 1 1 1/24 (4,17 %) Aceptable No plan
B1 2 2 4 4/24 (16,7%) Tolerable General
C1 1 2 2 2/24 (8,33%) Aceptable No plan
A2 3 1 3 3/24 (12,5% Tolerable General
B3 3 4 12 12/24 (50%) Inaceptabl Detallad
e o
TABLA 36. EVALUACIÓN DEL RIESGO DE CADA ESCENARIO PARA PÉRDIDAS

ECONÓMICAS
O O
A1 1 2 2 2/24 (8,33%) Aceptabl No
e plan
B1 3 1 3 3/24 (12,5%) Aceptabl No
e plan
C1 2 2 4 4/24 (16,7%) Tolerable Gener
al
A2 1 1 1 1/24 (4,17%) Aceptabl No
e plan
B2 1 3 3 3/24 (12,5%) Aceptabl No
e plan
A3 1 4 4 4/24 (16,7%) Tolerable Gener
al
B3 2 3 6 6/24 (25%) Tolerable Gener
al
TABLA 37. EVALUACIÓN DEL RIESGO DE CADA ESCENARIO PARA LA OPERACIÓN DE LA
PLANTA (PÉRDIDAS POR SUSPENSIÓN DE LA OPERACIÓN)
O O
B1 3 3 9 9/24 (37,5%) Inaceptabl Detallad
e o
C1 2 3 6 6/24 (25%) Tolerable General
B2 2 2 4 4/24 (16,7%) Tolerable General
B3 2 3 6 6/24 (25%) Tolerable General
TABLA 38. EVALUACIÓN DEL RIESGO DE CADA ESCENARIO PARA PÉRDIDA DE IMAGEN
DE LA EMPRESA (PÉRDIDA DEL PRESTIGIO)
O O
B1 2 4 8 8/24 (33,3%) Inaceptabl Detallad
e o
C1 2 3 6 6/24 (25%) Tolerable General
B2 2 3 6 6/24 (25%) Tolerable General
P: Probabilidad; C: Consecuencias; NR: Nivel de riesgo
MATRIZ DE ACEPTABILIDAD DEL SISTEMA (EMPRESA).
Para la construcción de la matriz de aceptabilidad del sistema, se combinan las cinco matrices de
aceptabilidad elaboradas, una por cada factor de vulnerabilidad (Ver Tablas 34, 35, 36, 37 y 38) y
de cada factor (víctimas, daños ambientales, pérdidas económicas, pérdidas por suspensión de la
operación y pérdida de la imagen corporativa) se toma el máximo valor de vulnerabilidad para cada
escenario. Ver Tabla 39.
TABLA 39. MATRIZ DE ACEPTABILIDAD DEL SISTEMA (EMPRESA)
ESCENARIOS VULNERABILIDA NR PLAN
D MÁXIMA
A1 8,33% Aceptable No plan
B1 50,0% Inaceptable Detallad
o
C1 25,0% Tolerable General
A2 12,5% Aceptable No plan
B2 25,0% Tolerable General
A3 16,7% Tolerable General
B3 50,0% Inaceptable Detallad
o
Fuente: Consuegra Gutiérrez Jesús. Plan de Contingencias empresarial,
Barranquilla, 2011.
Con estos resultados se grafica la matriz de aceptabilidad del sistema

(empresa), que permite visualizar la jerarquía de los escenarios que requieren
la elaboración el Plan de Emergencia y Contingencias. El código de colores
establecido para la jerarquización de los escenarios bajo análisis es el
siguiente: Color rojo, para los escenarios que requieren Plan de Contingencias
Detallado (Procedimientos Operativos Normalizados, PONS e Instructivos
Operativos Normalizados); los colores verde y amarillo, para los escenarios
que NO requieren una atención inmediata. Ver Figura 2.
FIGURA 2. MATRIZ DE ACEPTABILIDAD
7. Perfil de Riesgos del Sistema.
Sobre la Matriz de Aceptabilidad de Riesgos establecida, se ubican los

escenarios evaluados, cuyo conjunto configura “El Perfil de los Riegos” para el
sistema. Este perfil se hace para cada “Factor de Vulnerabilidad” y sirve de
base para “administrar” los riesgos en función de costo-beneficio y tomar
decisiones respecto al plan de evacuación. (Ver Figura 3).
8. ANALISIS FINANCIERO PARA LA VIABILIDAD DEL PROGRAMA DE

CONTINUIDAD DE NEGOCIO (REQUISITO 7: OPERACIÓN)
8.1. Propuesta de análisis financiero de ORACLE
Esta metodología es de gran utilidad para identificar la ventaja o desventaja de implementar un

plan. Para el caso del Plan de Continuidad de Negocio es importante tomar en cuenta los
números que facilitan el poder ver si es viable implementar el Plan o no. Oracle ha desarrollado
una teoría con referencia al Análisis Financiero para la Administración de Continuidad del
Negocio.
Miguel Palacios (2009) de Oracle comenta sobre la importancia que tiene conocer el costo del
Down time (tiempo de inactividad), para definir la estrategia del BCP y que para comenzar el
proceso de cuantificación del impacto financiero se debe hacer una clasificación entre los
impactos tangibles e intangibles.
Clasificación de los impactos (PALACIOS, 2009):
 Tangibles:
o Reducción de la productividad.
o Pérdida en la producción.
o Pérdida de ventas.
o Pérdida de clientes.
o Frustración de los empleados.
o Penalidades de los organismos reguladores.
 Intangibles:
o Impacto negativo en la reputación.
o Pérdida de oportunidades.
o Moral de los empleados.
o Impacto en el valor de las acciones.
A continuación se explica en detalle la propuesta de Oracle para la elaboración del Análisis

Financiero.
Costo de pérdida de Productividad (P):
A = Costo anual de empleados.

B = Número de empleados.
C = Promedio de días trabajados por año.
D = Promedio de horas trabajadas por persona por día.
E = Número de horas de Downtime.
F = Número de empleados afectados.
(P) (A*E*F )
(B*C*D)
La Fórmula anterior es una herramienta que puede apoyar a identificar el costo que genera para
la empresa el que la operación normal se descontinúe. Este tema es de gran importancia para
las organizaciones y que muy pocas veces se estudia, debido a que se considera poco probable
que ocurra (PALACIOS, 2009).
Teniendo en cuenta que el Programa de Continuidad de Negocio es un tema proactivo, es

necesario estudiar a fondo las pérdidas que se pueden generar en caso de contar con este
programa. Esto, con la finalidad de conocer los números y prevenir una pérdida financiera grave.
Valor de pérdida por ventas (S)
G = Ingreso por ventas anuales.

H = Número total de ventas por año.
I = Número estimado de pérdidas de ventas por año.
(S) (G*I)
(H)
(2.3)
En la primera fórmula se analizó la pérdida por horas de trabajo pérdidas. En esta segunda
fórmula se analiza la pérdida por ventas, que también es importante tomar en cuenta para el
análisis financiero (PALACIOS, 2009).
Costo de Recuperación de Servicio (R)
J = Trabajo de horas de soporte.

k = Costo hora de personal de soporte.
(R) (J*K) (2.4)
Costo Estimado de Downtime (T)
(T) (P+S+R) (2.5)

)
Para el caso del Plan de Continuidad de Negocios es importante elaborar un estimado de lo que
costará la recuperación de la operación. Esto, con la finalidad de identificar la viabilidad y/o
conveniencia de implementar el Plan de Continuidad de Negocio para la operación analizada.

Guia para El Desarrollo de Un Plan de Continuidad de Negocio - Bia - 2 Corte

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Guia para El Desarrollo de Un Plan de Continuidad de Negocio - Bia - 2 Corte

Uploaded by

Copyright:

Available Formats

50

7.1. PRIORIZACIÓN DE PROCESOS, ACTIVIDADES Y RECURSOS

7.1.1. Priorización de los Procesos del Negocio

Tabla 1: Escala de Valoraciòn de los Procesos del Negocio

La priorización se realiza en la matriz presentada en la Tabla 2.

Tabla 2: Matriz de Priorización de Procesos del Negocio

Objetivos estratégicos Total

7.1.2. Identificación de Activos Críticos

Durante la identificación de activos se debe llenar la matriz que se muestra en la Tabla 3.

Tabla 3 – Matriz de inventario de activos

Tabla 4 – Valoración de la Confidencialidad

Escala Val Criter

El impacto que tendría la pérdida de confidencialidad sobre el activo de información, de

Tabla 5 – Impacto por pérdida de Confidencialidad de acuerdo al tipo de activo

Integridad: se debe evaluar el impacto que tendría si la precisión, calidad, veracidad,

Tabla 6 – Valoración de la Integridad

Escala Val Criter

El impacto que tendría la pérdida de la integridad sobre el activo de información, de acuerdo

Tabla 7 – Impacto por pérdida de Integridad de acuerdo al tipo de activo

Tabla 8 – Valoración de la Disponibilidad

El impacto que tendría la pérdida de la disponibilidad sobre el activo de información, de

Tabla 9 – Impacto por pérdida de Disponibilidad de acuerdo al tipo de activo

Para valorar los activos listados en el inventario resultado de la Identificación de activos, se

Tabla 10 – Matriz de valoración de activos

Proceso Proceso Proceso

7.2. EVALUACION EN EL TIEMPO E IMPACTOS POR INACTIVIDAD

En términos económicos, la determinación de la criticidad de un proceso, actividad o recurso,

El conocimiento de estos tiempos, facilitan la reanudación de las actividades a un nivel mínimo

7.2.1. Determinación del Impacto de una Interrupción

 Impacto al cliente, en la Tabla 13 se muestran los criterios a considerar en esta

Tabla 13 – Valoración del Impacto al Cliente

 Impacto Financiero, en la Tabla 14 se muestran los criterios a considerar en

Tabla 14 – Valoración del Impacto Financiero

 Impacto Operacional, en la Tabla 15 se muestran los criterios a considerar en

Tabla 15 – Valoración del Impacto Operacional

 Impacto Reputacional, en la Tabla 16 se muestran los criterios a considerar en

Tabla 16 – Valoración del Impacto Reputacional

Para determinar el impacto en la organización si las operaciones de los procesos

Proceso Impacto Tot

7.2.2. Determinación de los Parámetros de Recuperación

 Tiempo Máximo de Inactividad (MTD, por sus siglas en inglés): representa

 Tiempo Objetivo de Recuperación (RTO, por sus siglas en inglés): define la

 Puntos Objetivos de Recuperación (RPO, por sus siglas en inglés):

¿En cuánto tiempo se alcanzan los

Las dependencias entre servicios / instalaciones / unidades de negocio / procesos /

Tabla 18 – Matriz de parámetros de recuperación de los procesos del negocio

Procesos del MTD RTO RPO

 Día 0: Recuperación inmediata

 Más 30 días: El proceso pude esperar más de 30 días a ser recuperado

Propuesta de escala de Tiempos de Recuperación Objetivos (RTO), según clasificación por

Categoría 1: Procesos Misionales y/o Críticos (0 a 12 horas)

Categoría 2: Vitales (13 a 24 horas)

Categoría 3: Importantes (1 a 3 días)

Categoría 4: Menores (más de 3 días)

7.2.3. Identificación de los Recursos Mínimos Requeridos

Tabla 19 – Inventario de recursos mínimos requeridos

7.2.3.1. Identificación de las Prioridades de Recuperación de los Recursos

Tabla 20 – Matriz de priorización de recuperación de recursos

Entre las metodologías de evaluación de riesgos, se encuentran aplicaciones para sistemas de

7.3.1. Gestión de Riesgos de Sistemas de Información

De cada posible amenaza se detalla la siguiente información:

En la Tabla 4-11 se encuentra el listado de posibles amenazas:

Tabla 4-11 – Listado de posibles amenazas