2018

UNIVERSIDAD DE LAS FUERZAS

ARMADAS – ESPE
MAESTRÍA EN GERENCIA DE
SISTEMAS

CASO PRACTICO PETI RIESGO

PLANIFICACION ESTRATEGICA DE TIC

VICTOR HUGO BAYAS FREIRE

CRISTIAN SANTIAGO BUSTOS SANCHEZ

FAUSTO ORLANDO CARCHI PAREDES

CARLA YOLANDA PEREZ GUEVARA

YESENIA CECIBEL GUAMAN OÑA

Sangolquí, 15 de marzo del 2018

CASO PRÁCTICO PETI RIESGO
Su empresa ha realizado el Plan Estratégico de TI y ha determinado los siguientes
riesgos inherentes al desarrollo de dicho Plan:

 Alta probabilidad de desactualización tecnológica del equipamiento para el

presente año con un impacto significativo en los proyectos de TI.
(Mitigación $30.000 USD)
 Probabilidad moderada de rotación interna de personal en las empresas
contratadas como servicios externos de TI, con un impacto catastrófico en
el cumplimiento de los objetivos de TI (mitigación $25.000 USD)
 Probabilidad alta de fallas en la continuidad de los servicios de TI, con un
alto impacto en los procesos de negocios de la empresa (mitigación $10.000
USD).
 Alta probabilidad de cambios en la política laboral nacional, con un impacto
significativo en los procesos de negocio de la empresa (mitigación $25.000
USD).

La empresa ha determinado que el nivel de riesgo mínimo aceptable es de

probabilidad moderada e impacto moderado en los procesos de negocio de la
empresa y cuenta con una disponibilidad de $65.000 USD, para los planes de
mitigación de riesgos.

Usted deberá determinar lo siguiente:

 Los rangos y categorías para la calificación tanto del impacto como de la

probabilidad, tomando en cuenta las categorías mencionadas en los riesgos
de la empresa antes enunciados.
 Trazar el nivel mínimo de riesgo aceptable en un mapa de calor de riesgo.
 Determinar la ubicación de cada uno de los riesgos en el mapa de calor de
riesgos.
 Establecer los riesgos que deben ser mitigados y la razón de su decisión.
 Seleccionar los riesgos que entrarán en un Plan de mitigación de riesgos y
explicar esa selección.
 Establecer las estrategias y acciones de mitigación de los riesgos
seleccionados.
 1. Los rangos y categorías para la calificación tanto del impacto como de
la probabilidad, tomando en cuenta las categorías mencionadas en los
riesgos de la empresa antes enunciados.

PROBABILIDAD DEL RIESGO IMPACTO DEL RIESGO

RANGO CATEGORÍA RANGO CATEGORÍA
1 Baja Probabilidad 1 Significativo/Moderado
2 Probabilidad Moderada 2 Alto
3 Alta Probabilidad 3 Catastrófico

2. Trazar el nivel mínimo de riesgo aceptable en un mapa de calor de

riesgo.
CATASTRÓFICO

3
IMPACTO

ALTO

2
MODERADO

1 2 3
BAJA MODERADA ALTA
PROBABILIDAD

DEFINICIÓN DE CATEGORÍA DEL

RIESGO

NOMENCLATURA CATEGORÍA DESCRIPCIÓN

Riesgos de Amenazan los
RF Equipamiento proyectos TI
Riesgos Amenazan los servicios
RT Tecnológicos TI
Riesgos de Amenazan los objetivos
RP Personal TI
Amenazan la
RL Riesgos Laboral continuidad laboral

Por cada riesgo determinar la probabilidad y el impacto

 DEFINICIÓN DE RIESGO
P
CATEGORIZA PROBABILI IMPAC X
ID RIESGO CIÓN DAD TO I
Desactualización tecnológica del equipamiento para el presente
R1 año RF 3 1 3
Rotación interna de personal en las empresas contratadas como
6
R2 servicios externos de TI RP 2 3
6
R3 Fallas en la continuidad de los servicios de TI. RT 3 2

R4 Cambios en la política laboral nacional RL 3 1 3

3. Determinar la ubicación de cada uno de los riesgos en el mapa de calor

de riesgos.
MODERADO ALTO CATASTRÓFICO

3 R2
IMPACTO

2 R3

1 R1,R4

1 2 3
BAJA MODERADA ALTA
PROBABILIDAD

4. Establecer los riesgos que deben ser mitigados y la razón de su

decisión.

COSTO DE
ID RIESGO PRIORIDAD COSTO FINAL
MITIGACIÓN

R1 Desactualización tecnológica del equipamiento para el presente año X $ 30.000,00 $ 30.000,00

R2
Rotación interna de personal en las empresas contratadas como servicios externos de TI X $ 25.000,00 $ 25.000,00
R3
Fallas en la continuidad de los servicios de TI. X $ 10.000,00 $ 10.000,00
R4 Cambios en la política laboral nacional $ 25.000,00 $ -
TOTAL $ 90.000,00 $ 65.000,00
PRESUPUESTO
$ 65.000,00 $ -

Se consideró el R2 por su mayor resultado entre probabilidad e Impacto, ya que es

muy necesario la estabilidad del personal, ya que a veces necesidad institucional
sin considerar el impacto negativo a los proyectos, mueven o rotan personal sin
considerar su nivel de aportación en los procesos actuales. Y esto puede ocasionar
un impacto catastrófico en el cumplimiento de los objetivos de TI.

Se debe asegurar la disponibilidad e integridad en los servicios de TI en toda razón

de la empresa, porque es la imagen institucional ante un servicio de calidad, por tal
motivo se consideró el R3. Y a la vez mitigar un alto impacto en los procesos de
negocios de la empresa.

Los avances tecnológicos tienen un gran impacto entre el óptimo aprovechamiento

de los recursos y servicios, además se asegura la disponibilidad de los servicios TI
por tal motivo se consideró el R1.

No se selecciona el R4 por que no alcanza el presupuesto de mitigación, por lo que

va ser tratado posteriormente. Aunque es un riesgo de alta probabilidad, pero
tiene un impacto significativo.

5. Seleccionar los riesgos que entrarán en un Plan de mitigación de

riesgos y explicar esa selección.

1) R2. Rotación interna de personal en las empresas contratadas como servicios externos de TI
2) R3. Fallas en la continuidad de los servicios de TI.
3) R1. Desactualización tecnológica del equipamiento para el presente año

Explicación

Riesgos Explicación

Probabilidad moderada de rotación interna de Desarrollar e implementar un plan de contratación

personal en las empresas contratadas como de personal en todas las áreas de desarrollo y
servicios externos de TI, con un impacto servicios externos de TI, para contar con el
catastrófico en el cumplimiento de los objetivos personal suficiente, y no solo depender de las
de TI (mitigación $25.000 USD) empresas contratadas.

Firmar un contrato donde se establezca el área a

Probabilidad alta de fallas en la continuidad de
los servicios de TI, con un alto impacto en los
procesos de negocios de la empresa (mitigación
$10.000 USD).
laboral, por parte de las empresas contratadas.
Deben asegurar la continuidad de los servicios
externos TI. Con la finalidad de bajar el riesgo a un
impacto moderado
Implementar un presupuesto formal de TI,
incluyendo todos los costes de TI esperados de los
programas habilitados por las TI, servicios de TI y
activos de TI según las indicaciones de la
estrategia, programas y carteras. Con la finalidad
de bajar el riesgo a probabilidad alta e impacto
alto.

Adicional pondría un respaldo con otra empresa

para minimizar la afectación de los servicios a los
clientes, bajando el riesgo a probabilidad
moderada e impacto moderado.
Alta probabilidad de desactualización tecnológica
del equipamiento para el presente año con un
impacto significativo en los proyectos de TI.
(Mitigación $30.000 USD)
Implementar proyecto de renovación de equipos
por obsolescencia, y adquisición de componentes
informáticos, software actualizado (parches,
firmware). Con la finalidad de bajar el riesgo a
probabilidad moderada

6. Establecer las estrategias y acciones de mitigación de los riesgos

seleccionados.

ID R2
PROBABILIDAD MODERADA
IMPACTO CATASTRÓFICO

DESCRIPCIÓN: Rotación interna de personal en las empresas contratadas como servicios externos de TI

ESTRATEGIAS: 1.) Gestionar el Marco de Gestión de TI

2.) Gestionar los Recursos Humanos
3.) Gestionar la Continuidad
1.) Establecer una estructura organizativa interna y extensa que refleje las necesidades del negocio y las
ACCIONES: prioridades de TI. Implementar las estructuras de gestión requeridas
2.) Evaluar las necesidades de personal en forma regular o en cambios importantes en la empresa,
operativos o en los entornos para asegurar que la empresa tiene suficientes recursos humanos para
apoyar las metas y objetivos empresariales. El personal incluye recursos tanto internos como
externos.
3.) Evaluar las opciones de gestión de la continuidad de negocio y escoger una estrategia de continuidad
viable y efectiva del personal.

ID R3
PROBABILIDAD ALTA
IMPACTO ALTA

DESCRIPCIÓN: Fallas en la continuidad de los servicios de TI.

ESTRATEGIAS: 1.) Gestionar la Estrategia

2.) Servicios alojados en nubes, o proveedores externos
3.) Gestionar el Riesgo
1.) Considerar el entorno actual y los procesos de negocio de la empresa, así como la estrategia y los
ACCIONES: objetivos futuros de la compañía.
2.) Identificar proveedores y contratos asociados y categorizarlos por tipo, relevancia y criticidad.
Establecer un criterio de evaluación de contratos y proveedores
3.) Identificar y recopilar datos relevantes para catalizar una identificación, análisis y notificación
efectiva de riesgos relacionados con TI.

ID R1
PROBABILIDAD ALTA
IMPACTO MODERADO

DESCRIPCIÓN: Desactualización tecnológica del equipamiento para el presente año

1.) Gestionar el Presupuesto y los Costes

ESTRATEGIAS: 2.) Gestionar la Disponibilidad y la Capacidad
 3.) Gestionar los Activos

1.) Establecer y mantener un método de contabilización para todos los costes, inversiones y
depreciaciones relacionadas con las TI, como parte integral de los sistemas financieros
ACCIONES: empresariales y el plan de cuentas para administrar las inversiones y los costes de TI.
2.) Evaluar la disponibilidad, el rendimiento y la capacidad de los servicios y recursos para asegurar que
se encuentra disponible una capacidad y un rendimiento justificables en costes
3.) Mantener un registro actualizado y exacto de todos los activos de TI necesarios para la prestación
de servicios y garantizar su alineación con la gestión de la configuración.

Bibliografía

 PETI.pdf
 PETI.ppt
 PETI_Aplicado_al_Instituto_Tecnologico_de_Chancay.pdf