Professional Documents
Culture Documents
(TEMATICA 2º CORTE)
7. ANALISIS DEL IMPACTO AL NEGOCIO (Requisito 7: OPERACIÓN)
El análisis del impacto al negocio (BIA), se define como el proceso de análisis de funciones
organizacionales y el efecto de una interrupción en ellas.
El BIA es esencial para establecer una estrategia de recuperación, que en principio dará
continuidad a las actividades críticas y posteriormente al resto, si es posible; asimismo, permite
identificar, de todas las actividades de la empresa, cuáles son las críticas para la operación, a
cuáles se les debería dar prioridad de recuperación si son interrumpidas por un desastre y qué
recursos se necesitan para mantener en operación a estas actividades; definiendo los tiempos de
recuperación, los cuales son medidos por las consecuencias de no poder ejecutarlos (impactos).
Cada proceso de la empresa debe ser evaluado, listando las actividades desarrolladas para
determinar el propósito de las mismas y analizándolas en cuatro aspectos: Riesgo financiero de no
ejecutar la actividad.; riesgo regulatorio o legal por no dar cumplimiento a las exigencias de los
entes vigilantes y contratos con clientes; el riesgo Reputacional con el cliente por no llenar sus
requerimientos y el riesgo con su entorno interno y externo por no satisfacer el cumplimiento de las
metas trazadas.
Basado en la premisa de que existen procesos del negocio que son más críticos que otros, debido
a que tienen una mayor influencia en la consecución de los objetivos estratégicos, se los debe
priorizar para determinar que procesos se consideraran en el plan de continuidad de negocio. Para
realizar la priorización, se identifica el nivel de participación que tiene cada uno de ellos en el logro
de los objetivos estratégicos, igual que el valor agregado que da el proceso al cliente.
Para determinar el impacto que los procesos tienen sobre los objetivos organizacionales y del valor
agregado con respecto al cliente, se utiliza la escala de valoración que se encuentra en la Tabla 1:
ESCALA VALOR
Muy Alto 5
Alto 4
Medio 3
Bajo 2
Muy Bajo 1
Una vez establecido el impacto total de cada proceso en la estrategia del negocio y analizado
el valor agregado respecto al cliente, se procede a multiplicar estos valores. El total obtenido,
establece el nivel de criticidad de los procesos.
Los niveles de prioridad a considerarse son Crítico, Alto, Medio y Bajo. Para establecer los
intervalos de valores que van a determinar el nivel de prioridad, se tiene en cuenta lo
siguiente:
1. El proceso más crítico, es decir aquel que tiene un impacto muy alto en cada uno de
los objetivos estratégicos y un muy alto valor agregado con respecto al cliente.
2. El proceso menos crítico, es decir aquel que tiene un impacto muy bajo en cada uno
de los objetivos estratégicos y un muy bajo valor agregado con respecto al cliente.
3. El rango entre el proceso más crítico y el menos crítico, es decir la diferencia entre
sus puntos totales.
4. El ancho de cada intervalo se calcula dividiendo el rango calculado en el punto
anterior por el número de niveles de criticidad a considerar.
5. Los intervalos resultantes para cada nivel de prioridad, se deben calcular como sigue:
a. Intervalo 1:
51
i. Límite inferior 1 = valor mínimo
ii. Límite superior 1= Límite inferior 1 + ancho del intervalo -1
b. Intervalo 2:
i. Límite inferior 2 = límite superior 1 + 1
ii. Límite superior 2 = límite inferior 2 + ancho del intervalo -1
c. Intervalo 3:
i. Límite inferior 3 = límite superior 2 + 1
ii. Límite superior 3 = límite inferior 3 + ancho del intervalo -1
d. Intervalo 4:
i. Límite inferior 2 = límite superior 3 + 1
ii. Límite superior 2 = valor máximo
Objetivo 2
Objetivo 3
Impacto del
Lista de
del Valor TOTA
Procesos … … …
Proceso Agrega L
en la do
estrateg respect
ia del o al
Negocio Cliente
Proceso 1
Proceso 2
Proceso 3
…
…
…
Proceso n
TIPO ACTIVO
Aplicación
Persona
Información
Infraestructura
Servicio
ID NOMBRE DESCRIPCI
ACTIVO ACTIVO ÓN
VALORACIÓN DE ACTIVOS
Una vez identificados los activos involucrados en cada proceso con prioridad crítica y alta,
se debe identificar que tan significativo es el aporte de cada activo a los atributos de la
información que representan y que se definen a continuación:
Confidencialidad: se debe evaluar el impacto que tendría si el activo fuera accedido por
personas, procesos o entidades no autorizadas. Para valorar la confidencialidad se debe
considerar los criterios establecidos en la Tabla 4.
Tipo de Impacto
activo
Individuo, entidad o proceso no autorizado que accede al
Información
activo de información.
Individuo, entidad o proceso no autorizado que conoce
Aplicación
la existencia o parametrización del activo.
Alguien que conoce que existe el elemento, su configuración
Infraestructura
o accede al activo sin autorización.
Persona Se hace uso inadecuado de la información privilegiada a
la cual tiene acceso por el cargo o función que desempeña.
Alguien que conoce su existencia, configuración o hace uso
Servicio
no autorizado del activo.
Tipo de Impacto
activo
54
Información Se pierde la completitud, exactitud o precisión del activo de
información.
Aplicación Se valora la completitud, exactitud o precisión de
la parametrización del activo.
El activo no efectúa las actividades de procesamiento o su
Infraestructura función correctamente; o es alterada su configuración
indebidamente.
La persona produce datos errados o incompletos; o de acuerdo
Persona con su rol toma decisiones equivocadas, por capacidades o
aptitudes inadecuadas para desempañar el rol o función.
Servicio Se valora la completitud, exactitud o precisión del servicio.
Disponibilidad: se debe evaluar el impacto que tendría si los usuarios autorizados no
tuvieran acceso a los activos de información en el momento que lo requieran. Para valorar
la disponibilidad se debe considerar los criterios establecidos en la Tabla 8.
Disponibilidad
Confidencialidad
Integridad
Disponibilidad
Confidencialidad
Integridad
Integridad
Confidencialidad
Integridad
Confidencialidad
ID NOMB VALO
ACTIV RE R
O ACTIV ACTIV
O O
Una vez completa la Matriz de valoración de activos, se debe proceder a calcular el valor
total de cada activo, para lo cual se debe sumar los valores asignados para la
confidencialidad, integridad y disponibilidad por cada proceso crítico, los cuales se
determinaron durante la fase de priorización de los procesos del negocio.
Debido a que el número de activos involucrados en los procesos críticos puede ser muy alto,
se sugiere continuar la evaluación de riesgos con los activos de mayor valor. Basado en el
valor total se establece el nivel de criticidad de los activos.
Los niveles de prioridad a considerarse son Crítico, Alto, Medio y Bajo. Para establecer los
intervalos de valores que van a determinar el nivel de prioridad se va a considerar lo
siguiente:
1. El activo más crítico, es decir aquel que tiene un valor muy alto para la
confidencialidad, integridad y disponibilidad por cada proceso crítico.
2. El activo menos crítico, es decir aquel que tiene valor muy bajo para la
confidencialidad, integridad y disponibilidad por cada proceso crítico.
3. El rango entre el proceso más crítico y el menos crítico, es la diferencia entre
sus valores totales.
4. El ancho de cada intervalo se calcula dividiendo el rango calculado en el punto
anterior dividido para el número de niveles de criticidad a considerar.
5. Los intervalos resultantes para cada nivel de prioridad, se deben calcular como
sigue:
a. Intervalo 1:
i. Límite inferior 1 = valor mínimo
ii. Límite superior 1= Límite inferior 1 + ancho del intervalo -1
b. Intervalo 2:
i. Límite inferior 2 = límite superior 1 + 1
ii. Límite superior 2 = límite inferior 2 + ancho del intervalo -1
c. Intervalo 3:
i. Límite inferior 3 = límite superior 2 + 1
ii. Límite superior 3 = límite inferior 3 + ancho del intervalo -1
d. Intervalo 4:
i. Límite inferior 2 = límite superior 3 + 1
ii. Límite superior 2 = valor máximo
En esta sección se va a determinar el impacto que tendría una interrupción en cada uno de
los procesos críticos del negocio. La determinación del impacto de una interrupción se debe
valorar basado en las siguientes categorías:
Tabla 17 – Matriz de impacto de una interrupción en los procesos críticos del negocio
El RTO debe asegurarse de que no se exceda el MTD, por lo que el RTO debe
normalmente ser más corto que el MTD. Por ejemplo, una interrupción del sistema
puede impedir que un determinado proceso se complete, y porque se necesita tiempo
para volver a procesar los datos, el tiempo de procesamiento adicional se debe agregar
a la RTO para mantenerse dentro del límite de tiempo establecido por el MTD.
El MTPD será definido por el tiempo más pequeño de todas las respuestas dadas para los
diferentes tipos de impacto de los umbrales no tolerables y siempre será estimado
considerando el "peor escenario" que en realidad es el más estresante para lo organización y
no necesariamente el de mayor daño a la comunidad. Lo que busca la continuidad es
proteger a la organización ante el peor escenario, no contra el más probable.
GRÁFICO 2
Matriz de estimación de MTPDs
Con el MTPD definido, se estima entonces un Tiempo Deseado de Recuperación (RTO por
sus siglas en inglés), el cual es un valor expresado en tiempo, entre cero y el MTPD. Cuanto
más cerca de cero esté, la opción estratégica para continuar operando será muy costosa; en
cambio, cuanto más cerca del MTPD esté, será sumamente riesgosa. El mejor balance entre
el costo y el riesgo será el RTO más apropiado.
Este proceso de estimar MTPDs y RTOs se puede realizar a diferentes niveles, en un nivel
estratégico podrá ser por servicio (o planta, o unidad funcional) y en un nivel operativo será
por actividad (o proceso). Estimar MTPDs y RTOs deberá ser una labor permanente en la
organización debido a los cambios que ésta pueda tener, la aparición de nuevos servicios (o
nuevas instalaciones o plantas, o nuevas unidades funcionales) y nuevas actividades (o
procesos) hará necesario que las prioridades de urgencias de recuperación sean revaluadas;
lo mismo podría pasar si un servicio (o planta o unidad funcional) toma mayor relevancia que
otro. Si no se actualizan las prioridades de recuperación en un tiempo prudente puede pasar
un incidente disruptivo donde la toma de decisiones será incorrecta debido a la información
desactualizada con la que se cuenta. Una vez definidos los RTOs, los servicios (o plantas o
unidades funcionales) o las actividades (o procesos) se agrupan según los RTOs, creando
ventanas de recuperación en el tiempo, es decir servicios o actividades que se recuperan en
tiempo cero (si existen), los que se recuperan en horas (si existen), los que se recuperan en
días (puede ser un día, dos días, tres días o simplemente días), los que se recuperan en
semanas (puede ser una semana, dos semanas o simplemente semanas) y los que se
recuperan en un mes o más.
En la Tabla 4-22 se deben identificar el MTD, RTO y RPO para los procesos críticos del
negocio. Los valores que se asignen al MTD, RTO y RPO deben ser intervalos de
tiempo específicos, identificados en incrementos de una hora (por ejemplo, 8 horas, 36
horas, 97 horas, etc.).
Día 1-7: El proceso debe ser recuperado entre el primer y el quinto día después de un
incidente.
Día 7–30: El proceso debe ser recuperado después de la primera semana y antes de un
mes.
Se identifican los recursos mínimos requeridos para restaurar los procesos críticos del
negocio a la mayor brevedad. En la Tabla 19 se deben listar los recursos mínimos necesarios a
considerar para la operación mínima del proceso crítico. Los tipos de recursos identificados son:
Gente: personas, transporte, comunicaciones; Infraestructura: edificios, servicios públicos;
Equipamiento: ambientes de trabajo, equipamiento, insumos o consumibles; Tecnología de
Información: servicios informáticos, información y datos; Finanzas: viabilidad financiera,
Regulación: aspectos regulatorios a cumplir; Proveedores: socios y proveedores; Partes
interesadas: clientes a contactar, autoridades públicas a contactar y comunidad en general a
contactar. La discriminación de cada recurso se relaciona seguidamente:
Los recursos del tipo Personal se identifican tomando en cuenta los perfiles mínimos
necesarios para continuar operando los servicios / actividades para cada una de las
ventanas de recuperación, e inclusive si el personal que tiene la organización cumple con
los perfiles de manera adecuada.
Los recursos del tipo Transporte se identifican considerando las facilidades de movilidad
con las que la organización cuenta para ser brindadas al personal.
Los recursos del tipo Comunicaciones se identifican considerando las capacidades de
comunicación entre el personal con las que cuenta la organización y que podrían estar
disponibles cuando sea requerido.
Los recursos del tipo Instalaciones o edificaciones se identifican considerando las
alternativas de lugares de trabajo u otras sedes o plantas desde donde se podría continuar
operando durante el incidente disruptivo.
Los recursos del tipo Servicios Públicos se identifican considerando las alternativas de la
provisión de energía eléctrica, agua y alcantarillado, gas y telefonía que puedan utilizarse
durante el incidente disruptivo.
Los recursos del tipo Ambientes de trabajo y equipamiento se identifican considerando las
alternativas de operación en otros ambientes de trabajo o con un equipamiento alternativo
ubicado en otro lugar y que puede utilizarse durante el incidente disruptivo.
Los recursos del tipo Insumos y consumibles se identifican considerando las alternativas
de material (o materia prima), insumos u otros consumibles perecibles o no que son
necesarios considerar en el momento del incidente disruptivo y las ubicaciones donde
actualmente se encuentran.
Los recursos de Tecnología de Información (sistemas, información y datos) se identifican
considerando los servicios de TI que se deberán utilizar en el momento del incidente
disruptivo, así como la información u otros datos necesarios para el servicio o actividad
analizada.
Los recursos de Viabilidad Financiera se identifican considerando las necesidades de
disponibilidad de recursos financieros en efectivo o no para afrontar el incidente disruptivo.
Los recursos de Regulación se identifican considerando las obligaciones legales o
regulatorias que deben continuarse durante el incidente disruptivo y si existen alternativas
en caso de que no se puedan cumplir.
Los proveedores y socios de negocio se identifican considerando a los que soportan los
servicios críticos, sus contactos y otras alternativas de proveedores en caso de que éstos
también se afecten por el incidente disruptivo.
Las otras partes interesadas como clientes, autoridades públicas y comunidad se identifican
considerando los contactos necesarios a realizar en caso de un evento disruptivo. Esta
información obtenida a nivel de recursos es la base para la identificación de opciones de
estrategias de continuidad y recuperación y su correspondiente estimación de presupuesto de
implementación.
Id Nombre Descripci
Recurso Recurso ón
Se debe considerar que los recursos listados en la Tabla 19, son aquellos que soportan los
procesos críticos del negocio.
En esta sección se debe listar el orden en que se van a recuperar los recursos. En la Tabla
20 se deben listar los recursos en orden de prioridad, identificando el tiempo esperado de
recuperación de cada uno de los recursos.
Id Nombre RT
Recurso Recurso O
7.3. Determinación de los Riesgos y Oportunidades que Requieren ser Atendidos
El objetivo del análisis de riesgo en la continuidad del negocio y de las operaciones es identificar
nuevas opciones de prevención o mejorar las medidas de seguridad ya existentes para cada uno
de los eventos de riesgo considerados. El primer paso será identificar aquellas medidas de
prevención y seguridad ya existentes en la organización, las medidas de seguridad serán
relacionadas a aspectos de seguridad del personal, de la infraestructura física, de los ambientes
de trabajo, de los insumos y consumibles, de los sistemas de información, de los proveedores, y
de cada uno de los otros recursos asociados a la continuidad y que resulten relevantes para la
organización.
Lugo de su identificación, se evalúan los riesgos que potencialmente podrán afectar a las
actividades que se quieren proteger. La evaluación de riesgos supone imaginarse lo que puede ir
mal y a continuación estimar el impacto que supondría para la organización. Se ha de tener en
cuenta la probabilidad de que sucedan cada uno de los problemas posibles. De esta forma se
pueden priorizar los problemas y su coste potencial desarrollando un plan de acción adecuado.
En este paso se determinan las amenazas que pueden afectar a cada activo con prioridad
crítica y alta que se valoraron en la fase anterior. Para facilitar la identificación de las
amenazas, se presenta un listado de posibles amenazas basadas en el catálogo propuesto
por MAGERIT.
AplicacionesDefecto de las
Criterio
Orig Tipo de Activo
s
(accidental)Humano
(deliberado)Humano
en
(accidental)Entorno
(accidental)Natural
afectado
s
Servicio
Disponibilidad
Aplicación
Información
Persona
Infraestructura
Confidencialidad
Integridad
I Nombre de la Descripci
D Amenaza ón
(accidental)Humano
(deliberado)Humano
(accidental)Entorno
afectado
(accidental)Natural
s
Servicio
I Nombre de la Descripci
Disponibilidad
Aplicación
Persona
Información
Infraestructura
Confidencialidad
Integridad
D Amenaza ón
(accidental)Humano
(deliberado)Humano
(accidental)Entorno
afectado
(accidental)Natural
s
Servicio
I Nombre de la Descripci
Disponibilidad
Aplicación
Persona
Información
Infraestructura
Confidencialidad
Integridad
D Amenaza ón
(accidental)Humano
(deliberado)Humano
(accidental)Entorno
afectado
(accidental)Natural
s
Servicio
I Nombre de la Descripci
Disponibilidad
Aplicación
Persona
Información
Infraestructura
Confidencialidad
Integridad
D Amenaza ón
Destrucción accidental de
2 x x x x x Pérdida accidental de información.
información
2
Propagación inocente o intencionada de
2 Difusión de software x x x x x x
virus, spyware, gusanos, etc.
3 dañino
2 Divulgación de x x x Revelación intencional de información.
4 información
Envío de información a través de rutas
Errores de
2 x x x x x incorrectas que lleve la información a
(re)encaminamiento
5 donde no es debido o a las manos
indebidas.
Introducción de datos de
2 Errores de configuración x x x x x x x x
configuración erróneos.
6
Defectos en los procedimientos de
Errores de
actualización que permite que sigan
2 mantenimiento / x x x
utilizándose los equipos más allá del
7 actualizaciones de
tiempo
equipos (Hardware) nominal de uso.
Defectos en los procedimientos de
Errores de mantenimiento actualización, lo cual permite que
2 / actualizaciones de x x x x sigan utilizándose programas con
8 programas (Software) defectos conocidos y provoca fallas
en el
funcionamiento del software.
Inadecuado registro de actividades, falta
Errores de monitorización
2 x x x x x de registros, registros incompletos,
(log)
9 registros
fechados incorrectamente, etc.
60
AplicacionesDefecto de las
Criterio
Orig Tipo de Activo
s
en
(accidental)Humano
(deliberado)Humano
(accidental)Entorno
afectado
(accidental)Natural
s
Servicio
I Nombre de la Descripci
Disponibilidad
Aplicación
Persona
Información
Infraestructura
Confidencialidad
Integridad
D Amenaza ón
(accidental)Humano
(deliberado)Humano
(accidental)Entorno
afectado
(accidental)Natural
s
Servicio
I Nombre de la Descripci
Disponibilidad
Aplicación
Persona
Información
Infraestructura
Confidencialidad
Integridad
D Amenaza ón
(accidental)Humano
(deliberado)Humano
(accidental)Entorno
afectado
(accidental)Natural
s
Servicio
I Nombre de la Descripci
Disponibilidad
Aplicación
Persona
Información
Infraestructura
Confidencialidad
Integridad
D Amenaza ón
VULNERABILIDAD.
La vulnerabilidad se define como el grado de sensibilidad de un sistema ante un riesgo, medido en cuanto al
impacto que pueda tener sobre su estabilidad. Numéricamente la vulnerabilidad puede expresarse como el
valor relativo (medido en %) de un riesgo respecto al riesgo máximo posible en el sistema (Kolluru et all,
2012).
FACTORES DE VULNERABILIDAD.
Variables que condicionan el impacto que un riesgo pueda generar en un sistema. Cada sistema presenta su
propio “catálogo” de factores de vulnerabilidad. Entre ellos se pueden considerar
Lesiones a las personas.
Pérdidas económicas.
Interrupción de la actividad.
Pérdida de imagen.
Pérdida de información.
Es la empresa adherente la que debe definir cuáles son los factores de vulnerabilidad a considerar en el
análisis de riesgos y vulnerabilidad. Sin embargo, para la metodología desarrollada por el autor de la presente
guía con base a la metodología propuesta por KOLLURU, Rao y BARTELL, Steven. Manual de Evaluación y
Administración de Riesgos. Editorial Mc Graw Hill. México, 1998, ratificada en la edición 2012 y por DUQUE,
Cesar y Asociados. Seminario Cómo Diseñar y Administrar los Planes de Emergencia y Evacuación y la
Brigada Contra Incendios. Barranquilla, 1995, se proponen los siguientes factores de vulnerabilidad, como
resultado de la ejecución de los proyectos de investigación que se han desarrollado desde el 2011 -2015 en el
marco del macro proyecto de investigación “Elaboración del Mapa de Riesgos Tecnológicos y el diseño del
Plan de emergencias y contingencias para las empresas adherentes al Proceso Apell en el Distrito Especial,
Industrial y Portuario de Barranquilla”:
Víctimas.
Pérdidas económicas.
Daño ambiental: aire, agua, suelo y ecosistemas.
Pérdida de la imagen corporativa de la empresa.
Pérdidas debidas a la suspensión de la operación de la planta.
PROPÓSITO.
El propósito del análisis de vulnerabilidad dentro del plan de emergencia y contingencias es el de conocer la
naturaleza y las características de las diferentes amenazas presentes en el sistema (empresa) y sus posibles
consecuencias sobre el mismo, con el fin de:
Para realizar un Análisis de Vulnerabilidad en una empresa o edificación, con miras a diseñar el Plan de
Emergencia y Contingencias, deberá desarrollarse el siguiente procedimiento:
1 NATURALES SI N OBSERVACIONES
O
1.1 Geológicas:
.
Terremoto X
1.2 Meteorológicas:
.
Inundación X
1.3 Biológicas:
.
Enfermedades pandémicas X
2 CAUSADAS POR EL SI N
HOMBRE O
A. Riesgos Accidentales:
Derrame de material peligroso X
B. Riesgos Intencionales:
Terrorismo X
Sabotaje X
Fuente: Consuegra Gutiérrez Jesús. Plan de Contingencias. Uninorte, Barranquilla, Uninorte 2010.
Santamaría et all, 1994, propone los siguientes métodos para la identificación de peligros y evaluación de
riesgos:
Códigos: ASME (American Society Of Mechanical Engineers); ASTM (American Society for
Testing and Materials); API (American Petroleum Institute); NFPA (National Fire Protection
Association); ACGIH (American Conference of Governmental Industrial Hygienist) y NIOSH
(National Institute for Occupational Safety and Health).
Listas de comprobación (“Checklists”). Su objeto es verificar el riesgo potencial de las
plantas, procesos u operación; para lo cual se requiere el desarrollo o adquisición de una
lista de chequeo apropiada, elaborada por un experto.
Análisis histórico de accidentes. Su objeto es identificar riesgos sobre la base de análisis
de accidentes industriales ocurridos en el pasado. Se refiere a accidentes ya ocurridos, por
lo que los peligros identificados con su uso son indudablemente reales.
II. Índices de riesgo. Estimar el riesgo global asociado a unidades de proceso; es un método
cuantitativo que considera el riesgo intrínseco del material, las cantidades manejadas, condiciones
de operación, etc., y es aplicable al riesgo de explosión.
Índice Dow.
El método recomendado para las empresas adherentes es el análisis de amenazas por procesos (Consuegra,
2010), para lo cual es necesario conocer el diagrama de flujo de todos los procesos involucrados,
identificando materias primas, insumos, productos, subproductos, desechos, servicios, máquinas y equipos.
Ejemplo: ver Tabla 22.
Aunque los estudios sobre Reducción de Riesgos de Desastres están focalizados en evidenciar vulnerabilidades de las
poblaciones, las amenazas identificadas y estudiadas se pueden tomar como referentes para aplicarlas a las
organizaciones privadas o públicas.
Una amenaza está definida como la causa potencial de un incidente no deseado y que de ocurrir puede resultar en
daños a las personas, a una organización o a un sistema. Una empresa u organización no puede tener control sobre la
amenaza, ésta existe por sí sola. Lo que sí puede hacer la organización es establecer medidas de protección para que
en caso ocurrir la amenaza cause la mínima afectación posible.
La continuidad del negocio y de las operaciones tiene como objetivo proteger las actividades críticas o urgentes de
recuperar, y aunque pudieran resultar interrumpidas debido al incidente disruptivo, la organización será capaz de
continuar brindando dichas actividades; de allí la importancia de la continuidad.
1. Amenazas naturales
Podemos entenderlas como aquellas que ocurren sin la intervención del ser humano y atribuible a un fenómeno físico
de origen natural. La National Fire Protection Association (NFPA) lista estas posibles amenazas en su estándar 1600
del año 2010 de la siguiente manera:
a) Geológicas: terremoto, sismo; tsunami; erupción volcánica; deslizamiento de tierras, avalanchas de lodo,
hundimientos; icebergs y glaciares.
b) Meteorológicas: inundación, mareas altas; sequías, hambrunas; incendios; nevadas, heladas, granizadas y
avalanchas; huracanes, tormentas tropicales, tornados, tormentas de arena; temperaturas extremas (calor o frío);
rayos; tormentas geomagnéticas.
c) Biológicas: enfermedades con impacto en los seres humanos o animales (peste, viruela, ántrax, virus del Nilo
Occidental, fiebre aftosa, síndrome respiratorio agudo severo, enfermedades pandémicas, enfermedad de las vacas
locas); infestación o daño por insectos o animales (como el dengue)
Dependiendo de la ubicación geográfica de la organización, dentro de América Latina, alguna de estas amenazas será
más probable de ocurrir. La geografía regional muestra que se tiene muy al sur, tanto en Argentina como en Chile
zonas de mucha nieve y hielo por lo que las avalanchas son posibles, en Chile y Perú existe una extensa franja
desértica y las lluvias torrenciales son un incidente severo. La gran mayoría de los países de Latinoamérica y el Caribe
tienen mares por lo que los tsunamis pueden ocurrir.
En Centroamérica y el Caribe se tienen temporadas ciclónicas. La Cordillera de los Andes tiene aún volcanes activos; la
extensa selva sudamericana y el clima tropical de muchos países de Centroamérica y El Caribe hacen propensas las
lluvias, inundaciones y deslizamientos de tierra al igual que los fenómenos del niño o de la niña. Hemos sufrido
contagios masivos por la gripe aviar H1N1 llegando inclusive a declarar cuarentena general como ocurrió en el Distrito
Federal de México. En la región existen zonas remotas con enfermedades endémicas; el dengue aún es un problema
no controlado.
Otro factor que hace que la ocurrencia de estas amenazas aumente en la región y por ende aumente la vulnerabilidad
de las organizaciones existentes en ella, es la poca madurez en la prevención, muestra de ello es que el Documento
Técnico elaborado luego de la VI Cumbre de las Américas menciona: "mientras a nivel mundial disminuyen los riesgos
de mortalidad y pérdidas económicas por inundaciones y huracanes, en las Américas continúan aumentando. La
principal oportunidad para reducir el riesgo de desastres se encuentra en reducir la vulnerabilidad de las personas y las
economías ante las diferentes amenazas, para ello es preciso abordar los factores causantes del riesgo, como el
desarrollo urbano mal gestionado, la degradación ambiental y la pobreza, que son precisamente los factores que
generan esa vulnerabilidad".
a) Riesgos accidentales: derrame o escape de materiales peligrosos; explosión, incendio; accidente de transporte;
colapso de edificio o estructura; falla en la red del servicio público de electricidad, gas, agua u otro similar; escasez de
combustibles o de recursos; contaminación de agua o aire; falla en la estructura de contención de un dique o una
presa; depresión económica, inflación, crisis financiera; interrupción en los sistemas de comunicación (voz y datos);
desinformación.
b) Riesgos intencionales: terrorismo (en sus diferentes modalidades: explosión, por sustancias químicas, biológico,
radiológico, nuclear, cibernético); sabotaje; disturbio social, protestas, histeria colectiva, amotinamiento; guerra;
insurrección; desinformación o rumor; actividad criminal (vandalismo, robo, incendio, fraude, malversación, robo de
datos); pulso electromagnético; violación de la seguridad física o de información; violencia en el lugar de trabajo,
universidad, colegio; contaminación o producto defectuoso; acoso; discriminación.
En el caso de los riesgos accidentales, estas amenazas serán más probables según el tipo de sector, industria o
actividad económica de las organizaciones, inclusive podría ser que alguna nueva amenaza para una actividad
económica específica no se encuentre catalogada aún. De acuerdo con el Anuario Estadístico 2012 de CEPAL las
siguientes son las actividades económicas consideradas para Latinoamérica y El Caribe: agricultura, ganadería, caza,
silvicultura y pesca; explotación de minas y canteras; industrias manufactureras; suministro de electricidad, gas y agua;
construcción; comercio al por mayor y al por menor, reparación de bienes, y hoteles y restaurantes; transporte,
almacenamiento y comunicaciones; intermediación financiera, actividades inmobiliarias, empresariales y de alquiler;
administración pública, defensa, seguridad social obligatoria, enseñanza, servicios sociales y de salud, y otros servicios
comunitarios, sociales y personales.
En muchos de los países de la región se presenta contaminación por actividades extractivas ilegales; accidentes de
contaminación en mares y ríos, caída e interrupción de los sistemas públicos de telefonía e Internet, apagones con
cierta frecuencia, problemas serios de inflación, rumores de quiebras de bancos o entidades financieras. Sin embargo,
a pesar de que el estudio se centra en Latinoamérica y El Caribe, estos tipos de amenazas no deben ser vistas
únicamente desde el contexto geográfico regional, sino también desde el aspecto global del propio sector o actividad
económica al cual pertenece la organización, para poder entonces identificar otras amenazas que
posiblemente hoy se están desarrollando en alguna otra parte del mundo y que en poco tiempo podrían tener ya un
alcance local.
En el caso de los riesgos intencionales, estas amenazas tienen una relación más directa con los problemas sociales y
la región tiene mucho de ellos. En el Informe sobre Seguridad en las Américas del Observatorio Hemisférico de
Seguridad de la OEA - Alertamerica.org 7 se dan estadísticas por país sobre los principales factores de violencia social,
entre ellos: homicidios y muertes violentas, tráfico de armas, consumo y comercialización de drogas, delitos de índole
sexual y trata de personas, muchos de ellos asociados a una cada vez creciente red de crimen organizado.
2. ESCENARIOS PROBABLES DE SINIESTROS.
El análisis del impacto y alcance de los siniestros y del manejo de los mismos, requieren definir previamente
unos escenarios posibles para ellos.
Los escenarios de posibles siniestros están determinados por la combinación de áreas y amenazas, para lo
cual se recomienda codificar las áreas y las amenazas, tal como se muestra en el siguiente ejemplo. (Ver
Tablas 23 y 24).
AMENAZAS CÓDIG
O
Incendio A
Explosión B
Escape de sustancias químicas: fugas, C
derrames, rebose de PTAR
Emisiones atmosféricas D
Inundaciones, tornados, vendavales E
Fuente: Consuegra Gutiérrez Jesús. Plan de Contingencias empresarial, Barranquilla, 2011.
CUADRO 24. CODIFICACIÓN DE ÁREAS
ÁREA CÓDIG
S O
Almacén de sustancias químicas 1
Cuarto de máquinas 2
Centro de acopio 3
Administrativa 4
Planta de tratamiento de aguas. PTAR 5
Fuente: Consuegra Gutiérrez Jesús. Plan de Contingencias empresarial, Barranquilla, 2011.
Una vez codificadas las áreas y las amenazas, se puede construir una matriz que permita identificar los ¨”
potenciales escenarios” de situaciones de emergencias en una empresa. Ver Tabla 25.
ÁREA A B C D E
S
1 A B1 C
1 1
2 A B2
2
3 A B3 C
3 3
4 A
4
5 C E4
4
Fuente: Consuegra Gutiérrez Jesús. Plan de Contingencias empresarial, Barranquilla, 2011.
3. ESCALAS DE VALORACIÓN RELATIVA.
La evaluación de las amenazas causadas por el hombre y/o naturales (siniestros) puede definirse como el
proceso de estimar la probabilidad de que ocurra un acontecimiento y la magnitud probable de los
efectos adversos, medidos en términos de víctimas, pérdidas económicas, daños ambientales y pérdida de
prestigio de la empresa (Consuegra, 2015).
I. Probabilidad de los siniestros (P). Para efectos de evaluar los escenarios de posibles
siniestros ellos se clasifican de acuerdo a su probabilidad de ocurrencia, mediante una tabla de
“probabilidad relativa”, como por ejemplo, la propuesta por Kolluru and Bartel, en 1998 y ratificada
en 2012; aplicable a cualesquiera de las organizaciones adherentes al Proceso Apell de la ciudad
de Barranquilla. Sólo se requiere tener información o estadísticas del Histórico de Accidentes de la
empresa objeto de estudio. Ver Tabla 26
VALOR DE
FRECUENCIA CASOS POR AÑO PROBABILIDA
D PROBABILIDA
D
Muy difícil 0.0001 casos /
Imposible 1
que ocurra año (1 x 10-
4)
Muy baja
0.001 caso /año
posibilidad Improbable 2
de (1 x 10-3)
ocurrencia
Limitada 0.01 casos/ año (1
Remoto 3
posibilidad de x 10-2)
ocurrencia
Ha ocurrido pocas 0.1 casos / año (1 x
Ocasional 4
veces 10-1)
Ha ocurrido 1 caso / año (1 x
Moderado 5
varias veces 100)
Alta posibilidad 10 casos / año (1 x
Frecuente 6
de ocurrencia 101)
Fuente: Kolluru and Bartel. Manual de Evaluación y Administración de Riesgos. Editorial Mc Graw
Hill. México, 1998.
II. Gravedad de las consecuencias (C). Se define como la variable a través de la cual se puede
estimar la gravedad de los efectos adversos de un siniestro. Para ello se tiene en cuenta la escala
relativa propuesta por Kolluru and Bartel, en 1998 y ratificada en 2012. A diferencia de la escala de
probabilidad, la escala de gravedad de las consecuencias se debe adaptar a cada empresa
adherente, en razón de que éstas dependen de los activos de cada organización. Por lo tanto, se
debe llegar a un consenso con la empresa objeto de estudio.
Sin embargo, los proyectos que se han desarrollado en el marco del macro proyecto de
investigación citado, ha permito sistematizar una escala que puede aplicarse a cualesquiera de las
empresas adherentes. En la Tabla 27, se describe la propuesta por Kolluru and Bartel.
120
TABLA 27. Escala de Valoración Relativa de la Gravedad de las Consecuencias
120
III. Tablas de gravedad por factor de vulnerabilidad. La “Gravedad relativa” de
un siniestro a considerar se DEBE valorar independientemente para cada “factor de vulnerabilidad”.
A cada nivel de la escala se le asigna un valor relativo, que fue adaptado por el autor de la Guía, de
los valores propuestos por Kolluru and Bartel, en 1998 y ratificada en 2012. Ver Tablas 28 al 32.
121
TABLA 31. VALORACIÓN DE GRAVEDAD PARA LA IMAGEN DE LA EMPRESA
GRAVEDAD DEFINICIÓN VALO
R
Insignificante El incidente es controlado por la empresa 1
Marginal El incidente es controlado por la empresa con la 2
participación de los cuerpos especializados de ayuda
externa
Critica El incidente es potencial de una calamidad pública 3
Las cinco escalas definidas para la gravedad de las consecuencias se pueden combinar y dar
origen a una sola escala relativa de gravedad que involucre los 5 factores de vulnerabilidad
definidos, víctimas, pérdidas económicas, daños ambientales, pérdida de la imagen corporativa
(pérdida de prestigio) y pérdidas debidas a la suspensión temporal de la planta, definida en el año
de 2011 por el autor de la Guía en consenso con las empresas objeto de estudio, en la
Actualización del Plan de Contingencia para la Planta II de Acesco, Acerías de Colombia & CIA
S.C.A (junio de 2011) y la actualización del Plan de Contingencias de Procaps S.A. (agosto de
2011).
Usando las escalas de valoración definidas tanto para la probabilidad como para la gravedad de las
consecuencias, se califica cada escenario respecto al riesgo a cada uno de los “factores de
vulnerabilidad” identificados.
Se construye la matriz de riesgos del sistema evaluando cada escenario definido para cada factor
de vulnerabilidad establecido: víctimas, daños ambientales, pérdidas económicas, pérdidas
debidas a la suspensión de la planta y pérdida de la imagen corporativa (pérdida de prestigio). En
la tabla 33, se describe la escala relativa de la gravedad.
TABLA 33. ESCALA RELATIVA DE LA GRAVEDAD DE LAS CONSECUENCIAS PARA
LOS FACTORES DE VULNERABILIDAD
EVALUACIÓ EVALUACIÓN
DESCRIPCI
N CUANTITATIVA
ÓN CUALITATIVA
Las consecuencias no afectan el funcionamiento del
sistema y la suspensión es inferior a una hora; no hay
lesionados o son leves las lesiones y el área afectada
no excede el perímetro de la empresa; las pérdidas Insignificant 1
económicas son inferiores a e
$96.000.000 (<0.1% patrimonio año); el evento es
controlado internamente; contaminación insignificante
o que el incidente sólo sea de
conocimiento en la empresa.
Con base en los niveles de vulnerabilidad definidos como Aceptables, Tolerables e Inaceptables, se
construye una “Matriz de aceptabilidad” para el sistema. Para construir la Matriz de Aceptabilidad
del Riesgo del sistema, se definen los “Límites de Aceptabilidad” en función de la vulnerabilidad,
para las empresas adherentes se recomiendan los siguientes Niveles de Riesgo (NR).
TABLA 35. EVALUACIÓN DEL RIESGO DE CADA ESCENARIO PARA DAÑOS AMBIENTAL
ESCENARI P C RIESG VULNERABILIDAD NR PLAN
O O
A1 1 1 1 1/24 (4,17 %) Aceptable No plan
B1 2 2 4 4/24 (16,7%) Tolerable General
C1 1 2 2 2/24 (8,33%) Aceptable No plan
A2 3 1 3 3/24 (12,5% Tolerable General
B2 1 3 3 3/24 (12,5%) Aceptable No plan
A3 1 2 4 4/24 (16,7%) Tolerable General
B3 3 4 12 12/24 (50%) Inaceptabl Detallad
e o
Fuente: Consuegra Gutiérrez Jesús. Plan de Contingencias empresarial, Barranquilla, 2011.
TABLA 38. EVALUACIÓN DEL RIESGO DE CADA ESCENARIO PARA PÉRDIDA DE IMAGEN
DE LA EMPRESA (PÉRDIDA DEL PRESTIGIO)
ESCENARI P C RIESG VULNERABILIDAD NR PLAN
O O
A1 1 2 2 2/24 (8,33%) Aceptable No plan
B1 2 4 8 8/24 (33,3%) Inaceptabl Detallad
e o
C1 2 3 6 6/24 (25%) Tolerable General
A2 1 1 1 1/24 (4,17%) Aceptable No plan
B2 2 3 6 6/24 (25%) Tolerable General
A3 1 4 4 4/24 (16,7%) Tolerable General
B3 2 1 2 2/24 (8,33%) Aceptable No plan
P: Probabilidad; C: Consecuencias; NR: Nivel de riesgo
Fuente: Consuegra Gutiérrez Jesús. Plan de Contingencias empresarial, Barranquilla, 2011.
Para la construcción de la matriz de aceptabilidad del sistema, se combinan las cinco matrices de
aceptabilidad elaboradas, una por cada factor de vulnerabilidad (Ver Tablas 34, 35, 36, 37 y 38) y
de cada factor (víctimas, daños ambientales, pérdidas económicas, pérdidas por suspensión de la
operación y pérdida de la imagen corporativa) se toma el máximo valor de vulnerabilidad para cada
escenario. Ver Tabla 39.
TABLA 39. MATRIZ DE ACEPTABILIDAD DEL SISTEMA (EMPRESA)
ESCENARIOS VULNERABILIDA NR PLAN
D MÁXIMA
A1 8,33% Aceptable No plan
B1 50,0% Inaceptable Detallad
o
C1 25,0% Tolerable General
A2 12,5% Aceptable No plan
B2 25,0% Tolerable General
A3 16,7% Tolerable General
B3 50,0% Inaceptable Detallad
o
Fuente: Consuegra Gutiérrez Jesús. Plan de Contingencias empresarial,
Barranquilla, 2011.
Miguel Palacios (2009) de Oracle comenta sobre la importancia que tiene conocer el costo del
Down time (tiempo de inactividad), para definir la estrategia del BCP y que para comenzar el
proceso de cuantificación del impacto financiero se debe hacer una clasificación entre los
impactos tangibles e intangibles.
Tangibles:
o Reducción de la productividad.
o Pérdida en la producción.
o Pérdida de ventas.
o Pérdida de clientes.
o Frustración de los empleados.
o Penalidades de los organismos reguladores.
Intangibles:
o Impacto negativo en la reputación.
o Pérdida de oportunidades.
o Moral de los empleados.
o Impacto en el valor de las acciones.
(P) (A*E*F )
(B*C*D)
La Fórmula anterior es una herramienta que puede apoyar a identificar el costo que genera para
la empresa el que la operación normal se descontinúe. Este tema es de gran importancia para
las organizaciones y que muy pocas veces se estudia, debido a que se considera poco probable
que ocurra (PALACIOS, 2009).
(S) (G*I)
(H)
(2.3)
En la primera fórmula se analizó la pérdida por horas de trabajo pérdidas. En esta segunda
fórmula se analiza la pérdida por ventas, que también es importante tomar en cuenta para el
análisis financiero (PALACIOS, 2009).
Costo de Recuperación de Servicio (R)