Manual de Procedimientos para La Gestion de Prevencion de Riesgos PDF 21 MB

14/08/2015
Escuela Superior
Politécnica del Litoral
Auditoria de la
Planificación de la
Continuidad del
Negocio y
Recuperación de
Desastres
Informáticos
Agosto, 2015
1
Visión Integral del Universo de Riesgos
Planificar Identificar Evaluar Decidir Implementar Monitorear
Riesgo Estratégico
Riesgos Inherentes Riesgo de Riesgo de Riesgo de

de Seguros Crédito Mercado Liquidez
Riesgo Operacional Riesgo Legal Riesgos en Proyectos
Riesgo Reputacional
Riesgos Inherentes del Negocio (Seguros): suscripción, desviación, tarifación, políticas de

venta, concentración y hechos catastróficos, insuficiencia de reservas técnicas, reaseguro.
Jorge E.Olaya T. / jolaya@espol.edu.ec / 0997195398
1
14/08/2015
Enfoque Metodológico esperado para Riesgo Integral
Identificar Medir Controlar Monitorear
LIQUIDEZ
CREDITO
MERCADO
OPERACIONAL
LEGAL
LAVADO DE ACTIVOS
Sistemas de Gestión
relacionados
SAROp -Sistema de Administración
de Riesgo Operativo
SACN - Sistema de Administración de
la Continuidad del Negocio
SGSI - Sistema de Gestión de la
SACN
Seguridad de la Información
SGTI – Sistema de Gestión de
Tecnología de la Información
SGC- Sistema de Gestión de Calidad
SGSI SAROp SGC
SGTI
2
14/08/2015
Sistemas de Gestión
Gobierno Corporativo / Gestión de Riesgos / Proceso de Administración Estratégica
relacionados Desempeño Económico Financiero /
Cumplimiento
Plan Estratégico Corporativo
Plan Estratégico de Sistemas
SAROp -Sistema de Administración

de Riesgo Operativo
SACN - Sistema de Administración de
la Continuidad del Negocio
SGSI - Sistema de Gestión de la SACN
Seguridad de la Información
SGTI – Sistema de Gestión de PCRDI SAC
Tecnología de la Información
SGC- Sistema de Gestión de Calidad
LIQUIDEZ CREDITO SGSI SAROp SGC

MERCADO
OPERACIONAL LEGAL
SI SGP
SGTI
SI – Seguridad Informática
SGP – Sistema de Gestión de Procesos
SAC - Sistema de Administración de
Cambios
PCRDI –Plan de Contingencias para la
Recuperación de Desastres Informaticos
Las empresas enfrentan muchos riesgos

diferentes en el mundo complejo de hoy
Frecuencia de Relaciones con

Ocurrencias
Por Año Virus
Datos
Corrupción de Datos
Gusanos Fallas de Discos Relacionados con el

frecuente
1,000
Caídas de Aplicaciones
Negocio
100 Fallas de Disponibilidad de Sistemas Fallas de Administración
Problemas de Redes /Operación Relacionados
10
Fallas por incumplir con Eventos
1 Incumplimiento con estandares de industria
Disposiciones
Terrorismo/ Huelgas Civiles
1/10 Regulatorias
Desastres
No frecuente
1/100 Dificultad de acceso al sitio de trabajo Naturales

Fallas de Energía Regionales
1/1,000
Pandemias
1/10,000 Fuego en Edificio
1/100,000 $1 $10 $100 $1,000 $10k $100k $1M $10M $100M
bajo Consecuencias (Unica Ocurrencias) Perdidas en Dólares por Ocurrencia alto
3
14/08/2015
Riesgo Operativo: resolución 834
Seguridad de la información.- Son los

mecanismos implantados que garantizan
la confidencialidad, integridad y
disponibilidad de la información y los
recursos relacionados con ella.
Aseguramiento de la Información
 Confidencialidad
– La información que se intercambia entre individuos y empresas no siempre
deberá ser conocida por todo el mundo. Mucha de la información generada por
las personas se destina a un grupo específico de individuos, y muchas veces a
una única persona. Eso significa que estos datos deberán ser conocidos sólo
por un grupo controlado de personas.
 Integridad
– Una información íntegra es una información que no ha sido alterada de forma
indebida o no autorizada.
– Para que la información se pueda utilizar, deberá estar íntegra. Cuando ocurre
una alteración no autorizada de la información, quiere decir que la información
ha perdido su integridad.
 Disponibilidad
– Para que una información se pueda utilizar,
deberá estar disponible. Se refiere a la
disponibilidad de la información y de toda la
estructura física y tecnológica que permite el
acceso, tránsito y almacenamiento.
– La disponibilidad de la información permite que:
• Se utilice cuando sea necesario.
• Que esté al alcance de sus usuarios y destinatarios.
• Se pueda accederla en el momento en que necesitan utilizarla.
4
14/08/2015
Eventos externos.- En la administración del riesgo

operativo, las instituciones controladas deben considerar
la posibilidad de pérdidas derivadas de la ocurrencia de
eventos ajenos a su control, tales como: fallas en los
servicios públicos, ocurrencia de desastres naturales,
atentados y otros actos delictivos, los cuales pudieran
alterar el desarrollo normal de sus actividades. Para el
efecto, deben contar con planes de contingencia y de
continuidad del negocio.
5
14/08/2015
Porqué nos preocupan las interrupciones generadas

de los desastres?
 Los desastres se incrementan en frecuencia y

severidad.
 Muchos desastres internos no se han reportado.
 Vivimos en un mundo cada vez mas peligroso.
Que es un desastre?
Los criterios que permiten definir una situación como un desastre son, entre otros:
a. Una interrupción no planificada que interrumpe la disponibilidad de los procesos
o de la operacion del negocio causando danos o perdida.
b. Una interrupción planificada prolongada.
c. Una interrupción que no puede ser manejada o corregida a través de los
procedimientos normales pensados por la administración para resolver
problemas típicos.
Los escenarios amenazantes…
Extremos Catastróficos
Fuego
Explosiones
Inundaciones
Sabotajes
Huelgas
Regulares Mayores
6
14/08/2015
Porqué nos preocupan las interrupciones?
7
14/08/2015
Algunas consecuencias posibles
•Capacidad de Procesamiento perdida

• Retrasos en cobranzas, pérdida de
Servidores no operativos o perdidos
control sobre los deudores.
Perdida de los datos y/o sus respaldos
•Acceso imposibilitado • Pérdida de intereses en el flujo de
Al piso, oficinas, edificio o sector. caja perdido.
A las redes y computadoras.
• Diferimiento de beneficios posibles
•Red imposibilitada
de nuevos productos o servicios.
Físicamente.
Técnicamente. • Pérdida de nuevas oportunidades de
•Personal clave no disponible negocios o nuevos clientes.
Imposibilitado de acceder a las oficinas.
• Costo del reemplazo de nuevos
Lastimado (o peor).
equipos.
La Familia es primero.
• Pago de servicios laborales extras.
• Pérdida de registros vitales.
• Costos extras para la recuperación
• Habilitación de ambiente propicio a de datos perdidos.
fraudes.
• Costos adicionales de publicidad.
Efecto de las interrupciones en la cadena de

suministros
49%
experimentaron perdida
de productividad
32% 17%
experimentaron perdida
como resultado de reportaron experimentar
de ingresos
los incidentes en daño a la reputación
la cadena
38% 11%
experimentaron
19% Reportaron experimentar
reportaron preocupación incrementado
costo de trabajo
de los accionistas escrutinio de la entidad
incrementado
de control
8
14/08/2015
9
14/08/2015
Consecuencias reales que afectarían a

su Negocio
Incapacidad para seguir operando en los días, semanas, meses

siguientes. Servicio al cliente, emisiones, pagos, reclamos.
Pérdida de Ventaja Competitiva en su Sector de Negocios.
Pérdida de Clientes y de la Participación en el Mercado.
Sanciones y Multas, Litigios y reclamo de indemnizaciones.
Disminución de Ingresos / afectación al Flujo de Fondos /

Afectación a los indicadores del negocio.
Pérdida del valor del negocio.
Disminución de la motivación de los empleados.
Pérdida del prestigio y confianza en los administradores.
10
14/08/2015
Causas mas comunes

En Reyno Unido, según SunGard
Availability Services (2007):
Hardware / Software 67%
Fallas de Energía 16%
Infraestructura/Comunicaciones 5%
Terrorismo 3%
Ambiente 3%
Fuego 3%
Robo/Vandalismo 2%
Acceso al sitio 1%
En Ecuador:
1.Fallas de energía.
2.Inundaciones y Filtraciones.
3.Fallas de hardware/software.
4.Fuego.
5.Fallas en telecomunicaciones.
6.Errores humanos.
Estadísticas recientes
© 2013 Deloitte Touche Tohmatsu Jaiyos Co. Ltd

Business Continuity Report, Chartered Management Institute in association with: BSI, Cabinet Office, BCI, Marzo 2013
11
14/08/2015
Estadísticas recientes
© 2013 Deloitte Touche Tohmatsu Jaiyos Co. Ltd

Business Continuity Report, Chartered Management Institute in association with: BSI, Cabinet Office, BCI, Marzo 2013
Servicios de log
inexistentes o no
AMENAZAS Acceso clandestino
a redes
chequeados Sabotaje Incendios
Falsificación de información
Ingeniería Destrucción de equipamiento
para terceros
Social Espionaje Empleados
Crackers Penetración en los sistemas
Puertos deshonestos
Robo de equipos Desactualización
vulnerables
Hackers
abiertos Accesos no autorizados Instalaciones Escalamiento
Acceso Vandalismo default de privilegios
indebido a Agujeros de seguridad Hacking de Centrales
documentos de redes conectadas Telefónicas
impresos Robo de
Inundaciones
Interrupción del servicio información
Destrucción de Intercepción de
Captura de PC comunicaciones, voz y
soportes
desde el exterior wireless
documentales
Spamming Intercepción, modificación Backups
Keylogging y violación de e-mails inexistentes
Programas “bomba, Violación de
Fraude asistido por computadora
troyanos” contraseñas
Virus Indisponibilidad de información clave
Incumplimiento de leyes y regulaciones Violación de la privacidad
Jorge E.Olaya T. / jolaya@espol.edu.ec / 0997195398 Software ilegal de los empleados
12
14/08/2015
Administración de Incidentes
CONTINUIDAD DEL NEGOCIO.- Las instituciones controladas

deben implementar planes de contingencia y de continuidad, a fin
de garantizar su capacidad para operar en forma continua y
minimizar las pérdidas en caso de una interrupción severa del
negocio.
Para el efecto, deberán efectuar adecuados estudios de riesgos y

balancear el costo de la implementación de un plan de continuidad
con el riesgo de no tenerlo, esto dependerá de la criticidad de cada
proceso de la entidad; para aquellos de muy alta criticidad se deberá
implementar un plan de continuidad, para otros, bastará con un plan
de contingencia.
13
14/08/2015
Plan de Continuidad del Negocio o

Business Continuity Plan (BCP)
 Es un documentado conjunto de procedimientos e información que

es desarrollado, compilado, y mantenido, listo para su uso ante un
incidente para que una organización pueda seguir entregando sus
productos y servicios críticos en un nivel predefinido aceptable.
 Se enfoca en mantener activas / recuperar las funciones definidas

como críticas de una organización (flujo de fondos, cuentas por
cobrar, facturación, ahorros, credito, nómina, retencion de clientes)
durante y después de una interrupción, y mientras las operaciones
y los sistemas se recuperan.
 Cuenta con planes, procesos y procedimientos escritos, diseñados

con claridad y detalle, para asegurar que las funciones vitales
continúen.
 Recrea porciones del negocio perdidas, incluyendo procesos críticos,

datos, infraestructura tecnológica, personal calificado, transferencia
de la carga de trabajo, comunicación con socios, proveedores,
clientes, etc.
 Incluye a la recuperación de desastres (DRP).
Plan de Continuidad del Negocio o

Business Continuity Plan (BCP)
 Un BCP puede ser escrito para un proceso de negocio especifico o

para todos los procesos de negocio claves.
 Determina como la empresa se mantendrá en funcionamiento

(100% disponible) mientras su infraestructura y organización
normales son restauradas después de una interrupción grave.
 Se encarga de los temas no-técnicos que son necesarios para

mantener la atención al cliente y los servicios mínimos operativos.
 Es una responsabilidad de toda la organización.
 Para asegurar la continuidad del nivel mínimo de servicio

necesario para las operaciones criticas busca prevenir la
interrupción de los servicios críticos para la misión, y reestablecer
la funcionalidad rápida y fácilmente.
14
14/08/2015
Que es Business Continuity Management (BCM)
Es un proceso holístico de gestión que identifica los riesgos

potenciales para una organización y su probable impacto sobre su
capacidad para continuar operando y entregando sus productos o
servicios, con aceptables niveles predefinidos, en el evento de una
crisis.
BCM provee un marco, procesos, procedimientos, decisiones y

actividades, proactivas y reactivas, para identificar amenazas
potenciales y construir capacidades organizacionales para
responder efectivamente a dichas amenazas (resilience), con el fin
de proteger los intereses de los involucrados claves, la reputación,
la marca y las actividades de valor agregado.
Gobierna las acciones de una organización desde el momento en

que ocurre el incidente o se identifica un riesgo, hasta la
mitigación o eliminación del peligro.
El desarrollo de BCM, hoy y hacia el futuro, esta soportado por

dos estándares internacionales para la continuidad del negocio:
ISO 22301 e ISO 22313. Estos estándares reemplazan a las
normas británicas BS 25999.
Expectativas de un programa BCP
 Desde el punto de vista financiero:

– Barato, Simple, Flexible.
 Desde el punto de vista de los Directores:
– Barato, confiable, efectivo, minimizar perdidas, maximizar
ganancias.
 Desde el punto de vista del Gerente:
– Rápido, facil, no muy demandante de tiempo, una lista rápida
de que se debe hacer.
 Desde el punto de vista de IT:
– Denme los requerimientos, dígannos exactamente que se
necesita y lo haremos.
 Desde el punto de vista del consultor del BCP y auditores:
– Sigamos el proceso y determinemos las necesidades del
negocio, desarrollemos una estrategia, obtengamos
aprobación y fondos, construyamos planes, probemos y
continuemos.
– Mantenerlo simple, directo, flexible, completo, y amigable.
15
14/08/2015
BCP – Una Historia rápida
 Primero surgio como Disaster Recovery - 1960’s

– En el departamento de sistemas.
– Proceso totalmente reactivo.
– Las organizaciones comprobaron que no era suficiente.
 Extendido a DR Planning para la empresa– 1970’s

– Se incluyeron funciones criticas del negocio.
– Enfocadas en la recuperacion inmediata despues del desastre.
– Minima prevencion sin consideraciones de continuidad.
 DR evoluciono a BCP – 1990’s

– Enfoque Proactivo.
– Incluyo en el analisis a todo el negocio.
– Nuevo enfoque sobre acciones preventivas.
– Esfuerzos de Continuidad expandidos a un largo plazo.
– Alcance extendido para cubrir muchas interrupciones no planificadas.
 Business Continuity Planning (BCP) considerando a toda la

empresa y al grupo – 1990’s y 2000’s
– Y2K forzo primer Business Impact Analysis (BIA).
– Presiones Competitivas / Regulatorias.
– Los equipos Y2K evolucionaron a unidades BCP.
– Los ataques 9/11 reforzaron la necesidad.
– Las amenazas terroristas constituyen uno de los riesgos con alguna
probabilidad.
Que es Business Continuity Management System (BCMS)
• Proporciona un enfoque sistemático para

asegurar la continuidad del negocio.
• Es parte del sistema de gestión global, basada
en un enfoque de riesgo de negocio, para
establecer, implementar, operar, monitorear,
revisar, mantener y mejorar la continuidad del
negocio.
• Abarca la estructura organizativa, los
empleados, las políticas, actividades de
planificación, procedimientos, procesos y
recursos.
• Incluye todas las buenas prácticas de
continuidad del negocio.
16
14/08/2015
Recuperación de Desastres o Disaster

Recovery Plan (DRP)
 Frecuentemente el DRP se refiere a un plan enfocado en

sistemas, diseñado para restaurar la operatividad del
sistema, tecnología, aplicación o facilidad de cómputo
critica en un sitio alterno después de una emergencia.
 Aplica a eventos importantes, usualmente catastróficos
que niegan el acceso a la facilidad normal durante un
periodo extendido.
 Contempla las acciones a seguir para la restauración de
los servicios de procesamiento de datos y
telecomunicaciones después de que un evento haya
interrumpido estos servicios.
 Se enfoca en soluciones técnicas para restaurar las
operaciones. Asume que se puede mover o encontrar
tecnología alternativa y/o facilidades para continuar
operando.
Recuperación de Desastres o Disaster

Recovery Plan (DRP)
 Se concentra en desarrollar planes escritos claros y

detallados para contrarrestar interrupciones a los
sistemas de información y datos críticos.
 Metodología que define los procedimientos e

infraestructura tecnológica (HARDWARE, SOFTWARE,
SERVICIOS, COMUNICACIONES, PERSONAS) requerido
para asegurar la óptima y ordenada restauración de los
sistemas de información críticos de la organización.
 Disciplina de desarrollo organizado y permanente de la

capacidad de prevención, reacción y recuperación del
servicio informático ante contingencias.
 Dependiendo de las necesidades de la organización,

varios escenarios de DRPs pueden anexarse a un BCP.
17
14/08/2015
ISO 27001-2013
ISO 20000-1:2011
Information
Service Management
Security
Management
System
Management
Systems
ISO 9001:
2015 ISO 31000
Quality Risk
Management Management
System
ISO 22301
Business Continuity
Management
ISO 22301:2012 - Seguridad de la Sociedad -

Sistemas de Gestión de la Continuidad del Negocio
• El nombre completo de este estándar

internacional es: ISO 22301:2012 Seguridad
de la sociedad – Sistemas de Gestión de la
Continuidad del Negocio – Requisitos,
Societal Security -- Business Continuity
Management Systems --- Requirements.
• Esta norma fue redactada por los principales
especialistas en el tema y proporciona el mejor
marco de referencia para gestionar la
continuidad del negocio en una organización.
• Ninguna organización opera en una burbuja.
Operan en el contexto de la sociedad. La
entrega de sus productos y servicios tiene
ramificaciones mas allá de sus cuatro paredes.
• ISO 22301 no es solo sobre negocios, es sobre
sociedad.
18
14/08/2015
ISO 22301:2012 - Seguridad de la Sociedad - Sistema

de Gestión de la Continuidad del Negocio
• Especifica los requisitos para planificar, establecer, implementar,

operar, monitorear, revisar, mantener y mejorar continuamente un
sistema de gestión documentado para proteger, reducir la
probabilidad de ocurrencia, prepararse, responder y recuperarse de
incidentes perjudiciales cuando surgen.
• Los requisitos especificados en la norma ISO 22301:2012 son
genéricos y se pretende que sean aplicables a todas las
organizaciones o partes de los mismos, sin importar su tipo, tamaño
y naturaleza de la organización. El alcance de la aplicación de estos
requisitos dependen del entorno operativo de la organización y la
complejidad.
• Es además, a nivel mundial, la primera norma internacional para la
gestión de la continuidad de negocio (GCN) y ha sido desarrollada
para ayudar a las organizaciones a minimizar el riesgo de este tipo
de interrupciones.
• También es el formal estándar contra el cual las organizaciones
pueden buscar la certificación independiente de su Business
Continuity Management System (BCMS).
El enfoque de ISO 22301
19
14/08/2015

• ISO 22301 ha adoptado la nueva estructura de alto nivel

definida en la guía 83 de ISO a la que se irán alineando
progresivamente otros estándares ISO. Esto garantizará la
coherencia con todas las normas de sistemas de gestión futuras
o de las revisiones y hará más fácil el uso integrado con, por
ejemplo, ISO 9001, ISO 20000 o ISO 27001.
• ISO 22301 ha sido desarrollado por el comité técnico ISO/TC
223 Societal Security que desarrolla estándares para la
protección de la sociedad y en respuesta a incidentes,
emergencias y desastres provocados por actos intencionados y
actos humanos involuntarios, e incluso fallas técnicos.
• Esta soportado por el acompañante Codigo de Practica ISO
22399.
• Se utiliza una perspectiva todo-desastre para cubrir de forma
adecuada y proactiva, las estrategias reactivas en todas
las fases antes, durante y después de un incidente.
• El grupo de Societal Security es multi-disciplinario e implica
participantes tanto del ámbito público, como de los sectores
privados, e incluso organizaciones sin ánimo de lucro.

• Respecto a su estructura, el estándar está dividido en diez

cláusulas principales y empieza definiendo el alcance,
referencias normativas, términos y definiciones.
• La ISO 22301 pone de relieve la necesidad de una estructura
bien definida para dar respuesta a incidentes, de modo que
cuando se produzcan, se escalen de manera oportuna y que
las personas que tienen el poder de tomar las medidas
necesarias, puedan hacer frente a la situación.
• Es un estándar que puede integrarse fácilmente con sistemas
de gestión de servicios ISO 20000 o sistemas de gestión de la
seguridad ISO 27001 y aprovecha parte del trabajo realizado
para implementar estos otros estándares.
• A continuación se presentan los requisitos de la norma:
• contexto de la organización,
• liderazgo,
• planificación,
• soporte,
• operaciones – donde está el cuerpo principal de la
continuidad del negocio -,
• evaluación del desempeño, y
• mejora.
20
14/08/2015
Evolución de Estándares en Continuidad del

Negocio
93WTC Y2K 9/11
RECUPERACION REANUDACION CONTINUIDAD RESILIENCIA

Negocio
21
14/08/2015

Negocio
Éxito, recuperación o fracaso ?
BCM efectivo
totalmente
probado
A
Nivel de negocio
Sin BCM –
escape suertudo
C Sin BCM –
www.Continuityforum.org - +44 (0) 208 993 1599
usualmente
fuera del
negocio
Punto de
Recuperación
Tiempo Critico
22
14/08/2015
Continuidad del Negocio por súbita interrupción
RTO –Tiempo de Recuperación Objetivo
Siniestro /
Reacción Recuperación
NIVEL DE OPERACIONES
Definitiva
Normal Normal
Recuperación
inicial a un nivel Tiempo en el cual los impactos
aceptable dentro son inaceptables
de un tiempo
aceptable
2. Interrupción
recortada
Interina CON continuidad del negocio
Este nivel de operaciones también
1.Responder puede ser mínimo nivel aceptable
a, mitigar, y, de supervivencia
administrar
impactos SIN continuidad del negocio
Costo Cierto Costo Eventual
TIEMPO
Continuidad del Negocio por interrupción gradual
RTO –Tiempo de Recuperación Objetivo
Siniestro /
Reacción Recuperación
NIVEL DE OPERACIONES
Definitiva
ALERTA !
Normal Normal
Recuperación
Respuesta
Controlada
inicial a un nivel Tiempo en el cual los impactos
aceptable dentro son inaceptables
de un tiempo
aceptable
2. Interrupción
recortada
Interina CON continuidad del negocio
Este nivel de operaciones también
1.Responder puede ser mínimo nivel aceptable
a, mitigar, y, de supervivencia
administrar
impactos SIN continuidad del negocio
Costo Cierto Costo Eventual
TIEMPO
23
14/08/2015
Porque Planificar? - Inaceptable
The
El event
evento Crunch
Punto Point
de no retorno
Recovery Period
Periodo de
recuperación
Time Line
Tiempo
33horas
hours or
o 33 semanas?
weeks?
Porque Planificar? - Objetivo
The
El event
evento Crunch
Punto Point
de no retorno
PrePlanificación
Pre Planning
Recovery
Periodo de Period
recuperación
Time Line
Tiempo
3 3horas
hoursoor33semanas?
weeks?
24
14/08/2015
Definiendo RTO, RPO y MTPOD
100% Desastre:
Administración de Emergencias Reanudación
/ Administración de Crisis Paso 3
100%
Paso 2 Nuevo Normal?
Reanudación Impactos?
Recuperar y restaurar del Negocio Paso 1
funciones criticas del negocio
Ultimo Respaldo Recuperar y reanudar
consistente Tiempo
Sistemas y aplicaciones críticos
Periodo con perdida
de datos Periodo con aplicaciones aun no disponibles
RTO
RPO
Recovery Time Objective (horas)
Recovery Point Inmediato < 24h < 48h < 72h
Objective (horas)
MTPOD
Maximum Tolerable Period of Downtime (horas)
RPO RTO MTPOD

Es el máximo nivel Se define como el tiempo en el que Se define como la duración después de la cual
aceptable de perdida un proceso de negocio podría estar la viabilidad de una organización será
de datos después de no disponible antes de que la irrevocablemente amenazada si la entrega de
un evento no operación de la unidad del negocio sus productos y servicios no puede
planificado. este significativamente dañado. reanudarse.
MTPOD puede calcularse sobre los siguientes factores:
• El período máximo de tiempo después del inicio de una interrupción dentro de la cual cada actividad
necesita ser reanudada.
• El nivel máximo en el cual cada actividad necesita ser ejecutada después de la reanudación.
• La cantidad de tiempo dentro del cual el nivel normal de operación necesita ser reanudado.
Mitos de la Planificacion de Contingencias
 Podremos recuperarnos cuando ocurra.
 Somos demasiado grandes y complejos.
 Todo lo que realizamos es crítico.
 Cuesta demasiado.
 Nuestros clientes son leales.
 Ya hemos tenido contingencias.
 Ya hemos conversado con otra empresa del grupo.
25
14/08/2015
Lecciones Aprendidas del 11 de

Septiembre
 Mas problemas que soluciones

– Hubo demasiada dependencia de empleados o terceros que
tenían la información en sus cabezas y en registros individuales
privados.
– Restaurar respaldos tomó para la mayoría de las empresas mas
de 3 días.
– Algunos respaldos eran versiones muy antiguas.
 Problemas recurrentes experimentados

– Las organizaciones no sabían donde encontrar a su staff
sobreviviente.
– Algunos sitios de respaldo estaban demasiado cerca y por lo
tanto no utilizables.
– La pérdida de líneas de teléfono creó problemas graves.
– Muchos planes de recuperación estuvieron demasiado
detallados, imprácticos.
26

Manual de Procedimientos para La Gestion de Prevencion de Riesgos PDF 21 MB

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual de Procedimientos para La Gestion de Prevencion de Riesgos PDF 21 MB

Cargado por

Copyright:

Formatos disponibles

14/08/2015

Visión Integral del Universo de Riesgos

Planificar Identificar Evaluar Decidir Implementar Monitorear

Riesgos Inherentes Riesgo de Riesgo de Riesgo de

Riesgo Operacional Riesgo Legal Riesgos en Proyectos

Riesgos Inherentes del Negocio (Seguros): suscripción, desviación, tarifación, políticas de

Jorge E.Olaya T. / jolaya@espol.edu.ec / 0997195398

Enfoque Metodológico esperado para Riesgo Integral

Identificar Medir Controlar Monitorear

Jorge E.Olaya T. / jolaya@espol.edu.ec / 0997195398

SGSI SAROp SGC

Jorge E.Olaya T. / jolaya@espol.edu.ec / 0997195398

SAROp -Sistema de Administración

LIQUIDEZ CREDITO SGSI SAROp SGC

Jorge E.Olaya T. / jolaya@espol.edu.ec / 0997195398

Las empresas enfrentan muchos riesgos

Frecuencia de Relaciones con

Gusanos Fallas de Discos Relacionados con el

1/100 Dificultad de acceso al sitio de trabajo Naturales

1/100,000 $1 $10 $100 $1,000 $10k $100k $1M $10M $100M

bajo Consecuencias (Unica Ocurrencias) Perdidas en Dólares por Ocurrencia alto

Jorge E.Olaya T. / jolaya@espol.edu.ec / 0997195398

Riesgo Operativo: resolución 834

Seguridad de la información.- Son los

Jorge E.Olaya T. / jolaya@espol.edu.ec / 0997195398

Jorge E.Olaya T. / jolaya@espol.edu.ec / 0997195398

Riesgo Operativo: resolución 834

Eventos externos.- En la administración del riesgo

Jorge E.Olaya T. / jolaya@espol.edu.ec / 0997195398

Jorge E.Olaya T. / jolaya@espol.edu.ec / 0997195398

Porqué nos preocupan las interrupciones generadas

 Los desastres se incrementan en frecuencia y

 Muchos desastres internos no se han reportado.

 Vivimos en un mundo cada vez mas peligroso.

Los escenarios amenazantes…

Jorge E.Olaya T. / jolaya@espol.edu.ec / 0997195398

Porqué nos preocupan las interrupciones?

Jorge E.Olaya T. / jolaya@espol.edu.ec / 0997195398

Porqué nos preocupan las interrupciones?

Jorge E.Olaya T. / jolaya@espol.edu.ec / 0997195398

Algunas consecuencias posibles

•Capacidad de Procesamiento perdida

Jorge E.Olaya T. / jolaya@espol.edu.ec / 0997195398

Efecto de las interrupciones en la cadena de

Jorge E.Olaya T. / jolaya@espol.edu.ec / 0997195398

Porqué nos preocupan las interrupciones?

Jorge E.Olaya T. / jolaya@espol.edu.ec / 0997195398

Porqué nos preocupan las interrupciones?

Jorge E.Olaya T. / jolaya@espol.edu.ec / 0997195398

Porqué nos preocupan las interrupciones?

Jorge E.Olaya T. / jolaya@espol.edu.ec / 0997195398

Consecuencias reales que afectarían a

Incapacidad para seguir operando en los días, semanas, meses

Pérdida de Ventaja Competitiva en su Sector de Negocios.

Pérdida de Clientes y de la Participación en el Mercado.

Sanciones y Multas, Litigios y reclamo de indemnizaciones.

Disminución de Ingresos / afectación al Flujo de Fondos /

Pérdida del valor del negocio.

Disminución de la motivación de los empleados.

Pérdida del prestigio y confianza en los administradores.

Jorge E.Olaya T. / jolaya@espol.edu.ec / 0997195398

Causas mas comunes

© 2013 Deloitte Touche Tohmatsu Jaiyos Co. Ltd