análisis de riesgos y el bcp - universidad virtual …type text] [type text] [type text] 21 taller...

[Type text] [Type text] [Type text]

19

Taller de Análisis de Riesgos

Para fines de continuidad de negocios, utilizaremos los pasos de identificar y analizar el riesgo.

Se decide utilizar esta metodología, ya que el contexto de la organización está establecido desde el análisis de impacto al negocio; y la parte de evaluación y tratamiento de riesgos queda a consideración de que la empresa decida llevarla a cabo o no. Recuerde que en términos de un plan de continuidad, lo más importante es conocer los eventos que pueden causar una interrupción a nuestro negocio.

No olvide, que con la información recopilada, la organización queda en posibilidad de determinar las salvaguardas a implementar lo apropiado. Recuerde que todo es cuestión de evaluar el costo beneficio.

Para lograr el análisis de riesgos requerido por el BCP, utilizaremos los siguientes pasos:

Análisis de riesgos y el BCP


20


Recuerde que un riesgo se compone de:

Identificar amenazas

Identificar Vulnerabilidades

Identificar impactos

Determinar la probabilidad de ocurrencia

Determinar el nivel de daño

Determinar el riesgo

Iden

tific

ar ri

esgo

s

ries

gos

Anal

izar

ries

gos

ries

gos

Elaborar el mapa de riesgos y reporte ejecutivo.


21


Amenazas Vulnerabilidades Probabilidad de ocurrencia El riesgo Los impactos y el nivel de daño que conlleva la materialización de un

riesgo

Como verá, estamos respetando los componentes de un riesgo y los identificaremos siguiendo una sencilla metodología.

Comenzaremos recordando que una amenaza, es un evento que puede desencadenar un incidente en la organización, produciendo daños materiales o pérdidas intangibles en sus activos.

Las amenazas son elementos fortuitos y que no están bajo el control de la organización, como son los desastres naturales, accidentes industriales o situaciones sociales y políticas, tales como huelgas, inestabilidad gubernamental, o crisis financiera.

Las amenazas tienen diversos orígenes o fuentes que dan origen a una serie de clasificaciones. Una manera sencilla de conocer las amenazas a las que una organización está expuesta, es mediante un catálogo estándar que incluye las mencionadas clasificaciones, el cual se irá ampliando de acuerdo con la práctica y experiencia.

De origen natural: Estos eventos ocurren sin la intervención de los seres humanos, como causa directa o indirecta. Su origen es natural y accidental. En este apartado se consideran lo eventos naturales tales como terremotos, inundaciones, fenómenos meteorológicos y geológicos, pandemias, entre otros

De origen industrial o de entorno: Estos eventos ocurren de forma accidental y son derivados de la actividad humana, de tipo industrial. Estos pueden darse gracias a la intervención humana ya sea accidental o deliberada. Algunos ejemplos son: la contaminación, fallos eléctricos, desastres industriales como contaminación química o

nuclear, explosiones, entre otros.

Identificando amenazas

Una clasificación típica de amenazas, se basa en el origen de las mismas:


22


De origen humano y accidental: Estos eventos tienen como causan el error u omisión en los procedimientos y políticas de la organización. Un ejemplo son los errores de operación, de administración, entre otros.

De origen humano y deliberado: estos eventos tiene como causa, el ánimo de beneficiarse indebidamente o causar daños y prejuicios a la organización, algunos ejemplos son: terrorismo, sabotaje, vandalismo, extorciones, actividad gerencial fraudulenta, negligencia, entre otros.

Estas dos últimas clasificaciones, pueden ser causadas por personas internas o externas a la organización, factor que amplifica el abanico de amenazas.

Otras amenazas de origen humano son:

Circunstancias políticas Circunstancias económicas y financieras Relaciones comerciales y legales Por mencionar algunos

Adjunto encontrará un archivo que contiene un catálogo amplio de amenazas. No olvide que usted puede hacer su propio catálogo de acuerdo a las condiciones de su organización. Recuerde que debe considerar: el giro en el que opera, el tipo de productos y servicios que ofrece, su ubicación geográfica, las condiciones socioculturales y político económicas que predominan, no olvide el aspecto industrial y de salubridad que rodean a su organización. Recuerde que una amenaza es un evento que la organización no puede controlar pero, puede tener diversas fuentes que la organización debe identificar.

Para identificar las amenazas repase el catálogo y pregúntese:

¿Qué puede suceder con lo que no puedo controlar, y en qué me puede afectar?

Recuerde que una vulnerabilidad, es la relación que existe entre la organización y una amenaza. En otras palabras son elementos cuya presencia potencializan el daño que una organización puede sufrir.

Identificación de vulnerabilidades


23


Una vez que se materializa una amenaza, ésta encuentra ciertos elementos que le ayudan a potenciar el daño sobre un activo específico. Las vulnerabilidades se encuentran bajo el control de la organización.

Identificar las vulnerabilidades representa una actividad delicada, ya que involucra mirar detalladamente a la organización, buscando todos los puntos débiles. Esta actividad aporta especial valor, ya que pone de sobre aviso, y da pie a tomar medidas pertinentes para evitar el mayor daño o reducir el impacto de un evento.

Para identificar vulnerabilidades, para cada amenaza identificada pregúntese:

Si este evento se materializa ¿Qué, cómo o porqué se puede potencializar el daño en mi organización?

Ejemplo:

Para la amenaza de sismo ¿Qué puede potencializar el daño?

Como sabemos un sismo, es una evento natural impredecible, sin embargo existen numerosas recomendaciones y buenas prácticas que al seguirlas aseguran la protección de instalaciones, activos y personas.

El mal estado de las instalaciones como la presencia de cuarteaduras, tuberías de gas viejas, ventanales con cristales, salidas de emergencias bloqueadas, la ausencia de brigadas de evacuación, por mencionar algunos representa vulnerabilidades. ¿Por qué?

Bien, recuerde que las vulnerabilidades, a diferencia de las amenazas, están bajo el control directo de la organización, por lo tanto pregúntese: Las cuarteaduras ¿puedo hacer algo por arreglarlas? La respuesta es sí, el ¿Cómo? Lo resolverá en las fases de evaluar y tratar riesgos, las cuáles no es objeto de este taller.

Tenga en mente que mientras usted responda: “Si puedo arreglar esta situación”, el elemento identificado se trata de una vulnerabilidad. Adjunto encontrará un catálogo con algunas amenazas enlazadas a las vulnerabilidades más comunes. Recuerde que una amenaza puede estar enlazada a más de una vulnerabilidad.

Determinar el riesgo.


24


Una vez que tenemos listadas las amenazas y enlazadas con las vulnerabilidades que afectan a la organización, es tiempo de determinar el riesgo.

Vamos a hacer un ejercicio práctico que recopile lo que llevamos aprendido hasta el momento.

Supongamos que nuestras oficinas corporativas se encuentran en una ciudad ubicada en una zona sísmica media. Los temblores más fuertes que ha llegado a sufrir a lo largo de los últimos diez años han sido de hasta 7.7 grados en escala Mercalli, causando desde la interrupción en el suministro eléctrico en varias colonias por más de cinco horas; tome en cuenta que solo hay un proveedor de energía eléctrica, caída de bardas, caída de cristales en algunos edificios, caídas de anuncios espectaculares, daños leves en la infraestructura del sistema metro y daños menores en edificios y escuelas. Afortunadamente en la ciudad no se han dado caso de fallecimientos, solo heridos leves y crisis nerviosas.

La ciudad a su vez está dividida en tres zonas sísmicas, la zona I, comprende terrenos firmes y rocosos, la zona II, es considerada la zona de transición y se sitúa entre las zonas I y III. La zona III, cuenta con suelo consistente en depósitos lacustres muy blandos que favorecen la amplificación de las ondas sísmicas. Su edificio se sitúa en la zona II.

Gracias a que la ciudad se ve frecuentemente afectada por sismos de mediana y alta magnitud, los pobladores cuentan con una cultura de prevención aceptable y el gobierno cuenta con protocolos de respuesta adecuados.

Basados en el caso presentado, sabemos que la amenaza a identificar es la de sismos.

¿Puede identificar el resto de las amenazas?

En el marco de las amenazas, podemos detectar que la interrupción del suministro eléctrico es por parte de la compañía estatal, ¿Por qué? Porque como tal, nosotros no podemos controlar lo que sucede con la infraestructura de los proveedores, y en este caso solo contamos con uno. Recuerde: Las amenazas son elementos o eventos que escapan de su control.

Otra amenaza, es la interrupción en el servicio de transporte público. Aunque la experiencia nos dice que el sistema


25


metro solo sufrió daños leves, éstos llevan algún tiempo para ser reparados, sobre todo si hablamos de vías afectadas, También, dada la pérdida del suministro, el sistema deja de funcionar, así como todo transporte que depende de la electricidad. Ahora bien, el transporte no depende de la electricidad, pero los señalamientos viales como los semáforos, si, por lo tanto también se ve afectado en su funcionamiento normal. Recuerde que la continuidad del transporte tampoco la puede controlar.

Ahora una pregunta para usted. ¿La caída de anuncios espectaculares es una amenaza para usted? ¿En qué casos lo sería? Responda mediante un mail a su asesor educativo explicando su respuesta.

Ahora bien ¿Cómo se relaciona esto con su organización?

Comencemos a detectar las vulnerabilidades, para esto tiene que ver detalladamente al interior de su organización.

Para facilitar el trabajo, divida la identificación en los siguientes grupos:

Vulnerabilidades relacionadas con las instalaciones Vulnerabilidades relacionadas a la gente Vulnerabilidades relacionadas a la naturaleza del negocio Vulnerabilidades relacionadas a la tecnología

Las vulnerabilidades relacionadas con las instalaciones, incluyen todo lo que tiene que ver con el edificio o instalación que es objeto del análisis de riesgos. Por ejemplo, las tuberías, los accesos y salidas de emergencia, el estado de las ventanas, el cableado, las condiciones de las diferentes áreas que componen la sede, y en general las condiciones del edificio. También, considere los sistemas de incendios, de ventilación y aire acondicionado, anti robos, en general, considere todos los sistemas que soportan el funcionamiento diario de las actividades diarias, excluyendo los sistemas de tecnología y comunicaciones, pues ellos tienen un apartado especial.

Las vulnerabilidades relacionadas con la gente, se refieren a las enfermedades, la ética de sus colaboradores, las cadenas de sustitución que tiene implementadas, el conocimiento de los procedimientos, la capacidad que tienen para desempeñar sus

funciones, entre otros.


26


Vulnerabilidades relacionadas a la naturaleza del negocio. Todas aquellas relacionadas con el giro en el que opera, debe considerar la normativa que lo regula, las buenas prácticas del ámbito, entre otros.

Las vulnerabilidades relacionadas con la tecnología. Todas aquellas relacionadas con sus sistemas de tecnologías de información y comunicaciones. Para ellas, contamos con un análisis de riesgo especial.

Supongamos que usted está haciendo el análisis de riesgos de un despacho contable, que es parte de una red de seis despachos más, este despacho es el más grande, en él laboran 22 personas entre administrativos, ejecutivos de cuenta, supervisores y gente de TeI. Este despacho se encuentra en el segundo piso del edificio, y solo abarca la mitad del piso.

Los administrativos, que son cuatro personas, cuentan con computadoras de escritorio y los ejecutivos de cuenta que son 12, cuentan con lap tops, lo mismo que los supervisores que son tres. La gente de TeI, que son tres, cuenta con dos computadoras

de escritorio y una laptop. Todo el personal tiene un cubículo asignado y trabajan de 9:00 de la mañana a las18:00 horas.

Considere que algunas veces, los ejecutivos de cuenta salen a visitar a sus clientes por lo que la oficina, normalmente, no está a su máxima capacidad. Usted cuenta con un UPS con toma regulada, que tienen una capacidad para 40

minutos y soportan hasta seis elementos entre CPUs, monitores y teléfonos. Para los servidores se cuenta con un UPS con una duración máxima de 15 minutos, soportando los dos servidores existentes sin considerar monitores. Considere que estos servidores dan servicio a las seis sedes que conforman el grupo.

Los UPS tienen dos años de antigüedad y no se les ha dado mantenimiento, únicamente han sido sometidos a pruebas, según lo consideran oportuno los encargados de TI.

Ahora veamos, el edificio donde se encuentra su oficina tiene 30 años de antigüedad, por lo que realmente no está apegado a los códigos de construcción que se establecieron después de un terremoto de 8 grados que tuvo lugar hace casi 30 años. En dicho sismo, la infraestructura de la ciudad se vio seriamente dañada y muchos edificios cayeron o tuvieron que ser demolidos. Los que quedaron en pie debieron ser sometidos a trabajos de apuntalamiento y reforzamiento. Pese a esto, su edificio muestra algunos inicios de cuarteaduras que protección civil no ha declarado como


27


graves. Otra característica es que su fachada es de cristales, los cuales están en buenas condiciones, pero no se ha revisado la calidad de su soporte. Por la edad del edificio se le dan mantenimientos frecuentes a las tuberías de agua y rutinariamente se hace una revisión general para detectar anomalías.

Considere que en la planta baja, hay un restaurante de comida china, según los dueños realizan revisiones rutinarias de sus instalaciones, sin embargo usted no puede corroborar esta información.

Al estar en una ciudad propensa a sismos, usted cuenta con un plan de protección civil, cuenta con salidas de emergencia tal como lo marca el programa, con extintores y ha

formado brigadas de evacuación y primeros auxilios que reciben capacitación cada año. Sin embargo, no todos sus colaboradores conocen los protocolos de seguridad y rutas de evacuación en caso de sismo o incendio. Los simulacros realizados, se han llevado a cabo en horarios, donde la oficina se encuentra casi vacía.

Por otro lado, usted tiene un pequeño cuarto de archivo, el cual no cuenta con ventilación, y solo tiene un acceso, a lado de este, hay un extintor. Este cuarto es un archivo temporal, donde se almacenan los documentos con los que se están trabajando, y otros que se encuentran listos para almacenarse en la bodega destinada a dicha actividad, y el cual se ubica en otra sede. Dicho archivo está indicado en la puerta de acceso.

Otra área con la que cuenta su oficina, es el comedor, el cual solo tiene un frigorífico pequeño, una tarja, un horno de microondas y una cafetera eléctrica.

Ahora bien, al ser una oficina pequeña, cada persona tiene una labor muy específica, y es muy raro que conozcan las labores de los demás, para el caso de los administrativos. En el caso de los ejecutivos, están ordenados por grupos de trabajo y cada uno cuenta con un supervisor y con sus respectivas cuentas. Algunas veces los ejecutivos tienen que visitar a sus clientes, por lo que es muy probable que se lleven sus computadoras portátiles, cuando así lo amerite la situación.

¿Puede identificar las vulnerabilidades a las que se encuentra expuesto? recuerde preguntarse ¿Qué puedo solucionar?

Cada vulnerabilidad detectada, asígnela a una amenaza.


28


¿Puedo identificar las vulnerabilidades?

Veamos.

Comencemos, para el caso de los sismos, analizaremos el bloque de las vulnerabilidades de instalación.

¿Qué elementos de sus instalaciones pueden potenciar un daño, si se materializa un sismo?

Bien, comencemos por las cuarteaduras leves que tiene su edificio, pese a que usted solo ocupa medio piso, puede participar activamente con el resto de los locatarios del edificio para solventar esta situación.

Otro elemento con el que cuenta es la fachada con cristales, se menciona que están en buenas condiciones pero sus soportes no han sido revisados, por lo tanto, también puede tomar medidas para atacar esta vulnerabilidad.

Se menciona la presencia de tuberías de agua, las cuales son sometidas a revisiones rutinarias por lo tanto podemos omitir este elemento. Si se supiera que no han sido revisadas en un buen

tiempo o que han presentado fugas, entonces tendríamos que considerarla como una vulnerabilidad.

Siguiendo con las vulnerabilidades relativas a la gente. Si ocurre un sismo, ¿Qué elementos o situaciones pueden dañar a la gente? Pues bien, como se expuso, usted cuenta con planes de protección civil, salidas de emergencia y cuenta con brigadas capacitadas, pero no todos sus colaboradores han participado en los simulacros realizados, por lo tanto no puede garantizar que conozcan el plan, o al menos como actuar en caso de sismo. ¿Ésta es una situación que puede resolver? Por supuesto, por lo tanto, una vulnerabilidad es el desconocimiento de los programas y planes de protección civil internos.

Pasemos a la amenaza de interrupción del suministro eléctrico.

Usted cuenta en total con seis equipos de cómputo de escritorio, y con un UPS con seis tomas. Técnicamente, usted cuenta con soporte para la mitad de los equipos considerando que se conectarán el CPU y el monitor. A menos que esté seguro que


29


esos equipos son los críticos, una vulnerabilidad, es la falta de sistemas de respaldo en caso de interrupción del suministro eléctrico.

Por otro lado, cuenta con otro UPS adecuado para los servidores sin embargo, debe considerar si el tiempo de autonomía que éstos le proporcionan es suficiente para las necesidades del negocio, por lo que otra vulnerabilidad, es la capacidad de los sistemas de respaldo de energía eléctrica.

Finalmente, se menciona que los UPS con los que cuenta tienen dos años de antigüedad y menciona que no se les ha dado mantenimiento, por lo que otra vulnerabilidad es la falta de mantenimiento de sus equipos.

Como verá todo esto es de cara a la infraestructura.

Finalmente, analizaremos la interrupción en el transporte.

Suponiendo que la ciudad está paralizada por una huelga de transporte público no anunciada, entonces sus colaboradores no pueden desplazarse a su centro de trabajo, los únicos que logran llegar son los que tienen vehículo (y lograron sortear el bloqueo de calles), y aquellos que tienen un medio alternativo de transporte, como bicicletas, por ejemplo. ¿Y el resto?, ¿Y si solo logró llegar un administrativo? Recuerde que su oficina es pequeña, y su personal es muy especializado en sus funciones, por lo que una vulnerabilidad es la falta de cadenas de sucesión ó la capacidad de cambiar las funciones. A continuación le presentamos una forma muy sencilla de ordenar toda la información, que hasta este momento hemos deducido:


30


Amenaza Vulnerabilidad Riesgo Sismo Presencia de cuarteaduras leves

Fachada de cristal Desconocimiento de plan de PC interno.

Interrupción del suministro eléctrico

UPS insuficientes. Capacidad de UPS insuficiente Falta de mantenimiento a los UPS

Interrupción del transporte público

Falta de cadenas de sucesión Trabajo especializado.

Observe, que cada vulnerabilidad detectada se enlazó con una amenaza, ahora es tiempo de determinar el riesgo.

Recuerde, que el riesgo es en sí, el evento no deseado, consecuencia de la combinación de la amenaza y la vulnerabilidad que tiene capacidad de dañar negativamente a la organización.

Esta parte puede resultar muy subjetiva. Para ayudarnos, recurriremos a diversas listas y herramientas de deducción.

La primera herramienta es muy sencilla, consta de una sola pregunta que tomará la forma de un escenario:

¿Qué pasaría si una amenaza se materializa, y tengo tal vulnerabilidad?

Por ejemplo: ¿Qué pasaría en mi oficina, si ocurre un sismo de magnitud superior a los 8 grados Mercalli y una pared esta cuarteada?

Siempre piense en el peor escenario, en este caso, un temblor de magnitud alta y las cuarteaduras podrían derivar en que el edificio quede inutilizable. Entonces el riesgo es: daño severo al edificio dejándolo inutilizable.

Y debe continuar preguntándose: ¿Qué más sucedería si se llega a dar esta combinación?

Una forma de plantear los riesgos, es utilizando la lista de palabras claves que lo puedan ir guiando, recuerde que esta lista no es absoluta, usted puede irla moldeando de acuerdo a sus necesidades. Las palabras son:


31


Pérdida. Daño Perjuicio Destrucción Falla Atentado Perturbación Fal

Ya ha trabajado la lista de riesgos, haciendo las combinaciones de las amenazas y las vulnerabilidades que detectamos a lo largo de estas cápsulas ¿Está usted de acuerdo conmigo?

Amenaza Vulnerabilidad Riesgo Sismo Presencia de cuarteaduras

leves Daño severo al edificio dejándolo inutilizable.

Fachada de cristal Atentado contra la seguridad de las personas.

Desconocimiento de plan de PC interno.

Atentado contra la seguridad de las personas.

Interrupción del suministro eléctrico

UPS insuficientes. Pérdida de datos si el equipo crítico no está conectado.

Capacidad de UPS insuficiente

Interrupción de corta o larga duración del acceso a los datos.

Falta de mantenimiento a los UPS

Falla al momento de presentarse una interrupción.

Interrupción del transporte público

Falta de cadenas de sucesión

Interrupción del funcionamiento de negocio.

Trabajo especializado. Interrupción del funcionamiento de negocio.

Le invito a leer el caso de negocio, que se encuentra más detallado y a elaborar todo el ejercicio que hemos realizado a conciencia.

Al final, usted debe enviar vía correo electrónico a su asesor, la tabla o árbol de riesgos, justificando sus elecciones.

¡Si tiene alguna duda, no dude en contactarnos!


32


Una vez que tenemos nuestra tabla de riesgos, vamos a realizar la recta final: determinar la probabilidad de ocurrencia, los impactos y el nivel de éstos, y finalmente obtendremos la valoración de nuestro riesgo.

Comenzaremos determinando la probabilidad de ocurrencia. Recordemos que la probabilidad, es la posibilidad de que ocurra una amenaza, y al igual que ellas, está fuera del control de la organización.

Para establecer la probabilidad, utilizaremos escalas, la cuál debe ser graduada de acuerdo a sus necesidades, la más común se maneja del 1 al 3:

Nivel Rango Descripción

1 Baja El evento ocurrirá raras veces. No es tan evidente o casi nunca ha ocurrido.

2 Media El evento puede ocurrir en algunas ocasiones. No es tan evidente, pero puede ocurrir.

3 Alta Ocurre siempre o casi siempre. Es evidente que sucederá.

A cada amenaza debe asignarle un grado o nivel de probabilidad. Para esto, tomen en cuenta lo siguiente:

¿Cuántas veces ha ocurrido en el pasado?, ¿En los últimos 10, 20 30 o incluso 50 años?

¿Con qué frecuencia?, por ejemplo, tres veces por año.

Estas dos cuestiones, le ayudarán a determinar el rango en que debe colocar la amenaza.

Para nuestro ejemplo, tenemos las amenazas de sismo, interrupción del suministro eléctrico y del trasporte público.

Para la amenaza de sismo, tenemos la situación de que vivimos en una zona sísmica, donde al menos cada mes hay temblores de menos de 5 grados, y cada año tenemos al menos tres sismos de magnitud mayor a 5.5 grados, por lo que el nivel es alto, es decir, ocurre casi siempre.

Para la interrupción del suministro eléctrico, considere que la colonia donde está ubicada su oficina sufre bajas de tención y pérdida de suministro, pero la mayoría de las

Analizando riesgos.


33


veces es por menos de 10 minutos. La pérdida de suministro por más de 1 hora y hasta días completos se ha dado tres veces en el último año, por lo que podemos decir que el evento puede ocurrir en algunas ocasiones.

Finalmente, la interrupción al transporte público ha ocurrido en al menos tres ocasiones en el último año, por lo que podemos decir que el evento ocurre en algunas ocasiones.

Nuestra tabla de nivel de amenaza queda de la siguiente forma:

Amenaza Nivel: Sismo 3

Interrupción del suministro eléctrico 2 Interrupción del transporte público 2

Una recomendación que le puede ayudar para determinar las escalas de tiempo, es establecer la frecuencia de ocurrencia por cada año, mes o semana, según sea lo más conveniente. La siguiente tabla es un ejemplo:


1 Baja El evento ocurre menos de 6 veces por año

2 Media El evento ocurre entre 7 y 10 veces por año

3 Alta El evento ocurre mas de 10 veces por año.

Una vez calificada el nivel de probabilidad, pasaremos a reconocer los impactos o consecuencias de la materialización del riesgo como tal.

Recuerde que el impacto, o consecuencia, es la medida de los efectos negativos que la materialización del riesgo puede causar a su organización.

Para calificarlo, utilizaremos escalas que pueden adaptarse a sus necesidades.


1 Baja Pérdidas económicas, de operación y/o de imagen nulas o bajas. No hay lesiones o si las hay son menores en el personal. Daño nulo o leve en los activos.

2 Media Pérdidas económicas, de operación y/o de imagen moderadas. Hay lesiones importantes en el personal y daño moderado en los activos.


34


3 Alta Pérdidas económicas, de operación y de imagen severas. Hay daños severos en el personal y los activos.

Al realizar este paso del análisis, podría pensarse en relacionarlo con el análisis de impacto al negocio, sin embargo aquí solo veremos los impactos de forma superficial. Recuerde graduar sus escalas, de acuerdo a sus necesidades considerando: tiempo, pérdida monetaria, daño a las personas, activos, operación, marca y reputación de la organización.

Para esta fase, puede realizar escenarios comenzando por la premisa:

Si este riesgo se materializa ¿Qué me puede suceder? ¿En qué nivel?

Para poder identificar el máximo de impactos, puede revisar una lista de categoría:

Impactos financieros y de flujo de dinero Impactos legales Impactos regulatorios y normativos Impactos sobre la marca, imagen y reputación Impactos sobre la operación y continuidad del negocio

Retomemos nuestro caso de negocio:

¿Qué puede suceder, si se produce un daño severo al edificio, dejándolo inutilizable?

El primer impacto cae dentro de la operación y continuidad del negocio, porque al tener un daño mayor en el inmueble, la operación del negocio se detiene completamente, por lo que nuestro impacto es: interrupción de las actividades del negocio. Este impacto lo podremos calificar como alto, ya que a partir de que el negocio deja de operar, y pasando determinados tiempos, se empezará a ver otro tipo de consecuencias como financieras, legales, regulatorios entre otros.

Continuando:

¿Qué sucedería, si la seguridad de las personas se ve comprometida?

Primeramente, enfrentaríamos un impacto regulatorio al no contar con medidas de seguridad dictadas por la autoridad competente, esto puede derivar, incluso en una


35


clausura, si no del negocio, si de la oficina, por lo tanto lo consideraremos como un impacto alto.

¿Qué sucedería si hay pérdida de datos? El primer impacto, es frente al cliente, al no poder prestarle el servicio, seguido por la imposibilidad de cumplir con las obligaciones legales y contractuales, lo que también derivará en multas y penalizaciones, lo que a su vez derivará en un impacto financiero.

Cuando detectamos más de una impacto con diferentes niveles, siempre tomaremos el nivel más alto para todo el riesgo.

Nuestra tabla de nivel de impacto queda de la siguiente manera:

Riesgo Impacto Nivel Daño severo al edificio dejándolo inutilizable.

Interrupción de las actividades del negocio. 3


Interrupción de las actividades del negocio. 3

Pérdida de datos si el equipo crítico no está conectado.

Pérdida de la confianza del cliente. Incumplimiento de obligaciones legales y contractuales.

3

Una vez que tenemos calificados nuestros impactos, procederemos a calcular su valor, esto se hace mediante una simple operación de multiplicación:

Riesgo = vulnerabilidad x impacto

Nuestra tabla de evaluación, ya analizada queda como sigue:

Riesgo Probabilidad Impacto Nivel Daño severo al edificio dejándolo inutilizable.

3 (Sismo)

3 9


3 (Sismo)

3 9

Pérdida de datos si el equipo crítico no está conectado.

2 (Interrupción del

suministro eléctrico)

3 6

Y al final, solo trasladaremos los riesgos a una gráfica como la siguiente:

Impacto

Probabilidad

1 2 3


36


3

Daño severo al edificio, dejándolo inutilizable.

Atentado contra la seguridad de las

personas.

2

Pérdida de datos, si el equipo crítico no está

conectado.

1

Al llegar a este punto, usted queda en posición de realizar un reporte ejecutivo que incluya el mapa de riesgos resultante. Le invitamos a realizar el ejercicio con el caso de negocio anexo, y enviarlo vía correo electrónico a su asesor educativo.

¡Si tiene alguna duda o comentario, no dude en contactarnos!

análisis de riesgos y el bcp - universidad virtual …type text] [type text] [type text] 21 taller...

Documents