Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PRESENTADO POR:
BRIAN DAVID CARO MARTINEZ
SEMINARIO:
PROYECTOS DE GESTION TECNOLOGICA PGTI
PRESENTADO POR:
BRIAN DAVID CARO MARTINEZ
DIRECTOR
CARLOS PAEZ
Ingeniero de Sistemas MS.c
Tabla de Gráficos
____________________________________
____________________________________
____________________________________
____________________________________
____________________________________
_______________________
PRIMER JURADO
_______________________
SEGUNDO JURADO
Quiero principalmente agradecer a Dios por permitir llegar hasta esta etapa de mi
vida, a mi familia, amigos y compañeros que apoyaron el proceso, al ingeniero
Carlos Páez por guiar la construcción y esquema de este proyecto, a la empresa
iQ Outsourcing S.A.S en la cual laboro que permitió realizar este proyecto
aplicable a su estructura y manejo en el área de TI y a la Universidad Cooperativa
de Colombia por hacer parte del crecimiento académico y laboral que he obtenido.
GLOSARIO
Acción correctiva
Acción para eliminar la causa o reducir la probabilidad de recurrencia de una no
conformidad detectada o de otra situación indeseada. (ISO/9000:2005)
Acción preventiva
Acción para evitar o eliminar las causas o reducir la probabilidad de ocurrencia de
una no conformidad potencial o de otra situación potencial no deseada.
(ISO/9000:2005)
Activo
En relación con la seguridad de la información se refiere a cualquier información o
elemento relacionado con el tratamiento de la misma (sistemas, soportes,
edificios, personas) que tenga valor para la organización. (ISO/IEC 27000).
Alta dirección
Persona o grupo de personas que dirigen y controlan al prestador del servicio al
más alto nivel. (ISO/IEC 20000)
Amenazas
Causa potencial de un incidente no deseado, que puede provocar daños a un
sistema o a la organización. (ISO/IEC 27000).
Análisis de riesgo
Proceso en el cual se identifican eventos de riesgo, teniendo en cuenta variables
de frecuencia e impacto, que afectan las funciones críticas del negocio e impiden
la continuidad de la operación. (ISO/IEC 20000)
Auditoría
Proceso sistemático, independiente y documentado para obtener evidencias de
auditoria y obviamente para determinar el grado en el que se cumplen los criterios
de auditoria. (ISO/IEC 27000).
Base de datos de gestión de la configuración
Base de datos utilizada para registrar los atributos de los elementos de
configuración, y las relaciones entre los elementos de configuración durante todo
su ciclo de vida. (ISO/IEC 20000)
Ciberespacio
Ámbito o espacio hipotético o imaginario de quienes se encuentran inmersos en la
civilización electrónica, la informática y la cibernética. (CONPES 3701, Tomado de
la Academia de la lengua Española).
Ciberseguridad
Capacidad del Estado para minimizar el nivel de riesgo al que están expuestos sus
ciudadanos, ante amenazas o incidentes de naturaleza cibernética. (CONPES
3701)
Cliente
Organización o parte de una organización que recibe el servicio o los servicios. Un
cliente puede ser interno o externo a la organización del prestador del servicio.
(ISO/IEC 20000)
Comité de crisis
Organismo integrado por el comité de Directores en pleno para tomar decisiones
de alto impacto, en la recuperación de los procesos y funciones críticas de negocio
y/o para salvaguardar la vida de los colaboradores, visitantes, etc. (ISO/IEC
20000)
Contingencia
Se entiende como el evento menor, que interrumpe el normal desarrollo de la
operación, sin que implique la imposibilidad de proceso de manera definitiva.
(ISO/IEC 20000)
Controles
Medidas o actividades diseñadas para reducir la exposición al riesgo de la
interrupción del negocio. (ISO/IEC 20000)
Desastre
Evento repentino, no planeado y devastador que causa un gran fallo o pérdida; en
el ambiente de negocios, cualquier evento que provoque una inhabilidad a una
parte de la empresa para ofrecer sus funciones críticas de negocio por un período
predeterminado de tiempo.
Disponibilidad
Capacidad de un servicio o de un componente del servicio para llevar a cabo una
función requerida en un instante determinado o durante un periodo de tiempo que
ha sido acordado.
Eficacia
Extensión en la que se realizan las actividades planificadas y se alcanzan los
resultados planificados.
Elemento de configuración
Elemento que es necesario controlar con el fin de prestar uno o varios servicios.
Escala de comunicaciones
Es un procedimiento que garantiza el flujo de comunicación entre los diferentes
niveles de la organización y de los clientes, de tal manera que permite evaluar y
reaccionar oportunamente ante la contingencia.
Funciones críticas
Es una actividad indispensable del proceso para cumplir los ADS y que debe ser
restaurada en caso de una interrupción, con el propósito de garantizar la
continuidad del negocio.
Incidente
Interrupción no planificada de un servicio, reducción en la calidad del servicio o un
evento que aún no ha tenido impacto en el servicio para el cliente.
Mejora continua
Actividad recurrente para aumentar la capacidad para cumplir los requisitos de
servicio.
Problema
Causa raíz de uno o más incidentes.
Proceso
Conjunto de actividades mutuamente interrelacionada o que interactúan, la cuales
transforman elementos de entrada en resultados.
Proveedor externo
Organización o parte de una organización que es externa a la organización
prestadora del servicio y participa en el contrato con el prestador del servicio con
el fin de contribuir al diseño, la transición, la prestación y la mejora del servicio los
servicios o procesos.
Riesgo
Potencial de exposición de pérdida. Los riesgos, ya sean naturales o provocados
por el hombre, son constantes a lo largo de nuestra vida diaria. El potencial es
medido normalmente por su probabilidad de ocurrencia anualmente.
Resiliencia
Resiliencia es la capacidad de proteger y sostener la operación de una empresa
apoyando el cumplimiento de sus objetivos competitivos y misionales con la
presencia y realización del riesgo.
En RESILIT una empresa puede estar sujeta a riesgos generados por condiciones
particulares de negocio y/o de tecnología: Resiliencia de Negocio (RNE),
y Resiliencia de Tecnologías de Información (RTI).
Seguridad de la información
Preservación de la confidencialidad, integridad, y disponibilidad de la información.
(ISO/IEC 27000).
Servicio
Medio para entregar valor para el cliente facilitando los resultados que el cliente
quiere alcanzar.
Trazabilidad
Cualidad que permite que todas las acciones realizadas sobre la información o un
sistema de tratamiento de la información sean asociadas de modo inequívoco a un
individuo o entidad. (ISO/IEC 27000).
Vulnerabilidad
Debilidad de un activo o control que puede ser explotada por una o más
amenazas. (ISO/IEC 27000).
RESUMEN
En este capítulo se traen a colación todos aquellos marcos normativos, sobre los
cuales se basa el proyecto (teorías, buenas prácticas, normas) con el fin de
soportar la guía de implementación en requisitos que hoy en día son aplicables en
las compañías prestadoras de servicios de TI.
Capítulo 3. Metodología
Capítulo 4. Hallazgos
En esta parte del proyecto se muestran los resultados obtenidos una vez realizado
el análisis BIA del servicio tomado como referencia o ejemplo. Estos resultados se
basan a partir de análisis de matices de riesgo y a la formulación de controles o
estrategias que permiten mitigar los riesgos identificados que comprometan la
disponibilidad y continuidad de los servicios.
ABSTRACT
The following project proposes a guide for the implementation of the business
impact analysis of the company iQ Outsourcing S.A.S in the city of Bogotá based
on the application of good practices ITIL (Information Technology Infrastructure
Library) and requirements of the ISO / IEC 20000- 1: 2011. The purpose of the
guide is to structure the BIA step-by-step in order to identify critical company
processes based on the availability and continuity of the services provided; For this
analysis the project is divided into 4 Chapters:
In this chapter, all the normative frameworks on which the project is based
(theories, good practices, norms) are presented in order to support the
implementation guide in requirements that today are applicable in companies that
provide services of you.
This chapter refers to all aspects of the company such as mission, vision, industry
sector, services and processes provided, labor focus and scope of economic
development in the country, all these aspects are a reference point for
dimensioning how to lead to Implementation of the guide.
Chapter 3. Methodology
This chapter outlines the methods of obtaining information for the company's BIA
analysis, step-by-step analysis of business impact, schema and development of
heat maps, in-service or process risk analysis. The engineering design in which the
proposal of how to carry out a BIA analysis in each one is established the services
or processes of the company.
Chapter 4. Findings
This part of the project shows the results obtained after the BIA analysis of the
service taken as reference or example. These results are based on analysis of
nuances of risk and the formulation of controls or strategies that allow mitigating
identified risks that compromise the availability and continuity of services.
INTRODUCCIÓN
A partir de esta premisa surge la idea de diseñar una guía para la construcción del
BIA para la compañía iQ Outsourcing S.A.S. donde se establezca una escala de
recuperación del mas critico al menos crítico, basado en (cantidad, configuración,
esquema, diseño) de componentes de tecnología, infraestructura física y recurso
humano que soportan los servicios y procesos.
Realizar una guía para la implementación del análisis de impacto al negocio (BIA)
basado en la aplicación de buenas prácticas ITIL y la norma ISO/EIC 20000-
1:2011 en la empresa IQ OUTSOURCING S.A.S de Bogotá.
(SG) no es más que una serie de actividades coordinadas que se llevan a cabo
sobre un conjunto de elementos para lograr la calidad de los productos o servicios
que se ofrecen al cliente, es decir, es planear, controlar y mejorar aquellos
elementos de una organización que influyen en el cumplimiento de los requisitos
del cliente y en el logro de la satisfacción del mismo.
Estructura Organizacional
Planificación (Estrategia)
Recursos
Procesos
Procedimientos
El Recurso es todo aquello que vamos a necesitar para poder alcanzar el logro de
los objetivos de la organización (personas, equipos, infraestructura, dinero, etc).
4.1.2 ITIL
ITIL lista una serie de procesos y funciones de libre elección para su implantación
con el objetivo de tener una mejor prestación de los servicios que las áreas de TI
proporcionan a sus usuarios internos y externos.
(Juárez, 2014)
3 Sistemas De Gestión De La Calidad – Un Camino Hacia La Satisfacción Del Cliente – Parte I.;
http://qualitytrends.squalitas.com
Historia
Desde sus inicios ITIL fue puesta a disposición del público en forma de un
conjunto de libros, de ahí su nombre, para que las organizaciones de todo el
mundo pudieran adoptarlo.
A continuación se hace referencia a los enfoques en los cuales está basada esta
guía de implementación según los ciclos de vida de un servicio.
El diseño del servicio, que sigue a la estrategia del servicio en el ciclo de vida, se
ocupa del diseño y desarrollo de servicios y sus procesos relacionados. No afecta
sólo a los nuevos servicios, sino también a los que han sido modificados. Según
ITIL, el objetivo principal del diseño del servicio es:
Contribuir a mejorar la calidad de los servicios de TI. Para garantizar que los
servicios desarrollados satisfacen las expectativas del cliente es necesario
emprender las siguientes acciones:
El nuevo servicio se debe añadir desde la fase de concepto de la cartera de
servicios y se debe mantener actualizado durante todo el proceso.
Los requisitos de nivel de servicio (SLRS) deben quedar claros antes de la
entrega del servicio.
Tomando como base los SLRS, el equipo de gestión de la capacidad puede
modelar los requisitos dentro de la infraestructura existente.
La gestión financiera debe participar si se necesita una nueva
infraestructura o se desea un mayor nivel de soporte.
Antes de iniciar la fase de implementación se debe realizar un Análisis de
Impacto sobre el Negocio (BIA) y una evaluación de riesgo para obtener
información importante sobre Gestión de la Continuidad del Servicio de TI
(ITSCM). Gestión de la disponibilidad: gestión de la capacidad.
El centro de servicio al usuario debe contribuir a acelerar la entrega de
nuevos servicios antes de su prestación.
La transición del servicio puede elaborar un plan para la implementación del
servicio.
Si se van a realizar adquisiciones, debe participar también la gestión de
proveedores.
Los departamentos dependen unos de otros, lo que significa que los servicios de
TI no pueden entrar por separado en las fases de diseño, transición o
implementación. Todos los miembros de la organización deben estar informados
de los componentes subyacentes y de las relaciones existentes en la provisión de
servicios de TI (y los distintos departamentos implicados). Este proceso exige un
planteamiento integral, una buena comunicación y el acceso de todo el mundo a
planes de TI correctos, precisos y actualizados, ya la información apropiada.
Aspectos de diseño de servicio
Esta sección describe los procesos y actividades del Diseño del Servicio que
proporcionan información importante para el desarrollo de una solución del
servicio nueva o modificada. Un enfoque estructurado, orientado a resultados y
que tenga en cuenta los cinco aspectos de diseño mencionados anteriormente
garantiza la máxima calidad y coherencia en la provisión del servicio en toda la
organización.
Todas las actividades de diseño en esta fase del Ciclo de Vida parten de las
necesidades y demandas del cliente y son un reflejo de la estructura, la
planificación y la política desarrolladas en la Estrategia del Servicio. Cada fase del
Ciclo de Vida produce resultados que se utilizan en la fase siguiente. La Estrategia
del Servicio genera información importante para el Diseño del Servicio, que a su
vez sirve de entrada a la fase de Transición y forma, de hecho, la columna
vertebral del Ciclo de vida del Servicio. Para desarrollar servicios eficaces y
eficientes que satisfagan las necesidades de los clientes es fundamental
incorporar al proceso de Diseño del Servicio los resultados de las demás áreas y
procesos. Los siete procesos fuertemente conectados presentes en la fase de
Diseño del Servicio son:
Gestión de la Disponibilidad
4Fundamentos de la gestión de servicios de TI basada en ITIL V3, Fase del ciclo de vida: Diseño
del servicio.
especialista en su instrumento, es en la interpretación del concierto cuando la
orquesta demuestra su auténtico valor actuando como un todo. En cambio, las
áreas que gestionan sistemas tecnológicos han puesto tradicionalmente el foco en
el conocimiento y dominio de la tecnología. Es esencial y obvio que se necesitan
buenos técnicos para el diseño, la construcción y el mantenimiento del hardware y
del software. Sin embargo, la situación actual refleja que el control de la técnica,
aunque totalmente imprescindible, no es suficiente para satisfacer todo lo que la
empresa demanda de las áreas de TI. Queda una importante asignatura pendiente
que, por más que se invierta en tecnología y en técnicos, no se consigue resolver:
actuar perfectamente engranados, todos juntos y bien coordinados para conseguir
un fin común: ser cada vez más eficientes en costes y capaces de evolucionar con
la agilidad típica del “ecosistema” Internet (objeto de deseo de todos los negocios
para sus áreas de TI). Los responsables de los departamentos de TI deben
responder a importantes desafíos: la eficiencia en costes, la calidad, el
cumplimiento de plazos, la agilidad y la satisfacción de los clientes y usuarios
están entre ellos. La gestión de las TI debe evolucionar desde los modelos
artesanales hacia formas de hacer más industrializadas. Implementar formas de
trabajo repetibles, mejorando la calidad de lo construido, la fiabilidad de los
servicios o aumentando la capacidad de “producción” de la organización, todo ello,
dentro de un nuevo entorno más fluido en las relaciones y que genere menos
estrés en las personas. En esta evolución, las buenas prácticas sectoriales
recogidas en las Normas ISO/IEC 20000, en los libros ITIL, en otras normas y
marcos de referencia, marcan el camino a recorrer para alcanzar la excelencia en
la gestión de las TI.5
La fase de Análisis de Impacto del Negocio BIA (Bussiness Impact Analysis) Por
sus siglas en inglés), permite identificar con claridad los procesos misionales de
cada entidad y analizar el nivel de impacto con relación a la gestión del negocio.
Como se ha venido mencionando, cada entidad debe disponer de un documento
que permita identificar todas las áreas críticas del negocio y sea un instrumento
para garantizar la medición de la magnitud del impacto operacional y financiero de
la entidad, al momento de presentarse una interrupción. El análisis de impacto del
negocio, debe poder clarificar los siguientes requerimientos:
5 ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la
información, AENOR Asociación Española de Normalización y Certificación.
debe quedar claro que para los procesos identificados como no tan
prioritarios se deben preparar también planes de recuperación.
Revisar las consecuencias tanto operacionales como financieras, que una
interrupción tendrá en los procesos considerados de alta prioridad.
Estimar los tiempos de recuperación, en razón a las posibles alteraciones
de los procesos considerados de alta prioridad para el funcionamiento de
las infraestructuras de TI. Al final el entregable de esta fase es un informe
con el detalle de las funciones y procesos críticos del negocio. Este
documento debe contener la información básica de los recursos requeridos
y los tiempos de recuperación para que las entidades puedan poner en
funcionamiento los servicios y por ende la continuidad del negocio.6
6https://www.mintic.gov.co/gestionti/615/articles-5482_G11_Analisis_Impacto.pdf
7Alexander, Alberto. 2007., Diseño de un Sistema de Gestión de Seguridad de Información, pág.
74.
5. CAPITULO 2. MARCO INSTITUCIONAL
Durante los últimos años nos hemos posicionado como un equipo clave dentro de
la evolución de la industria del BPO gracias a que nuestra propuesta va más allá
de ofrecer un servicio para operar procesos tercerizables. En iQ entendemos que
la complejidad de los procesos es directamente correlacionada al crecimiento de la
organización, es por esto que nos enfocamos a implementar soluciones de
principio a fin donde hacemos una gestión, transformación y análisis de la
información del proceso para su uso acertado en temas relevantes del negocio.
Esto se convierte en la mejor propuesta para lograr desarrollar y potencializar
junto a nuestros clientes un entorno de procesos EFICAZ, SEGURO, OPORTUNO
y CONFIABLE. Hemos incorporado en cada una de nuestras soluciones lo que
consideramos una combinación perfecta entre tecnología de punta, información
inteligente y una selección acertada de talento humano, que permite forjar
relaciones a largo plazo con cada uno de nuestros clientes y encontrar con ellos
mejores formas de hacer las cosas.
Equipo Humano
Contar con un equipo creativo, especializado y que le encantan los retos es uno
de nuestros más grandes atributos del cual nos sentimos completamente
orgullosos.
Saber cómo potencializar esa capacidad en la relación con cada uno de nuestros
clientes sólo se logra con un equipo de líderes de primera:
Santiago Aldana: Presidente
Yesid Upegui: Gerente BPO & CTO
Consuelo Albornoz: Gerente Vertical Salud
Claudia Martin: Gerente Vertical Financiera8
Misión
Gerenciar procesos transformando transacciones y documentos en bases de
datos inteligentes con lo último en tecnología y seguridad.
Visión
Ser líder en Latinoamérica al 2017 en la gestión del procesamiento de
transacciones y documentos.9
8 http://www.iq-online.com/acerca-de-iq/
9
http://intranet/areas/sistemadegestion/Registros/Gestin%20Humana%20A1/Forms/GestionHumana
.aspx
Ilustración 2 Soluciones, servicios y procesos sector salud iQ Outsourcing S.A.S.
10
www.iq-online.com
www.iq-online.com
10 http://www.iq-online.com/soluciones/
Ilustración 4 Soluciones, servicios y procesos sector Derivados iQ Outsourcing S.A.S.
www.iq-online.com
www.iq-online.com
www.iq-online.com
Ilustración 7 Soluciones, servicios y procesos sector Aseguradoras iQ Outsourcing S.A.S.
www.iq-online.com
www.iq-online.com
6. CAPITULO 3. METODOLOGÍA
La metodología del Análisis de Impacto del Negocio, consiste en definir una serie
de pasos interactivos con el objeto de identificar claramente los impactos de las
interrupciones y tomar decisiones respecto a aquellos procesos que se consideran
críticos para la organización y que afectan directamente el negocio ante la
ocurrencia de un desastre, estos pasos se muestran en esta ilustración.
Ilustración 9 Pasos para Análisis de Impacto del Negocio.
Hiles, Andrew. 2004, Bussines Continuity: Best Practices, Connecticut: Rothstein Associates, Inc
11 Hiles, Andrew. 2004, Bussines Continuity: Best Practices, Connecticut: Rothstein Associates, Inc.
Entrevistas: La información del Análisis de Impacto del Negocio (BIA), se obtiene
personalmente, entrevistando a una o más personas. La información detallada
puede obtenerse creando preguntas para cada entrevista, de acuerdo a las
necesidades de la organización que hace las preguntas.
El nivel de detalle dependerá del uso que se vaya a dar. Para comunicar, quizá
sea suficiente con que diferentes familias de riesgos se agrupen para transmitir de
una manera clara el volumen total. En otras ocasiones, y cuando se realizan para
la planificación o diseño estratégico del tratamiento de los riesgos, es necesario ir
al detalle; incluso separando uno por uno.
No debemos olvidar que el mapa solo sirve para darnos una imagen
correspondiente a un determinado momento y bajo unas determinadas
circunstancias; por tanto, es una herramienta para la gestión y su creación no es
un fin en sí mismo. Una vez creado debemos tratar y trabajar los diferentes
riesgos que sobre el mapa se han plasmado.12
12 https://gerenciaderiesgos.es/el-mapa-de-calor-en-la-gerencia-de-riesgos/
Ilustración 10 Mapa de Calor.
Nivel B: La operación es una parte integral del negocio, sin ésta el negocio no
podría operar normalmente, pero la función no es crítica.
13 https://www.mintic.gov.co/gestionti/615/articles-5482_G11_Analisis_Impacto.pdf
Ilustración 11 Valoración operacional y servicios por niveles de criticidad.
Para dar claridad sobre este servicio se hace una breve descripción:
www.iq-online.com
Autenticación Directorio
Directorio Activo Activo Federación
Servidor BD Bases de Datos 2 Servidores en balanceo
Escenarios de falla
Los siguientes escenarios de falla son los identificados a partir del diagrama de
infraestructura que soporta el proceso y el funcionamiento de cada uno de estos.
Escenarios de falla en la
infraestuctura
10 8
8 6
6
4
2
0
Fallas en infraestructura Fallas en plataforma Azure
interna administrada por la Microsoft (Proveedor)
compañía
# de Fallas
Actos realizados por una persona externa a la compañía, que buscan defraudar,
Fraude Externo
apropiarse indebidamente de activos de la misma o incumplir normas o leyes
Actos que son incompatibles con la legislación laboral, con los acuerdos internos de
Relaciones Laborales
trabajo y, en general, la legislación vigente sobre la materia
Fallas negligentes o involuntarias de las obligaciones frente a los clientes y que
Clientes
impiden satisfacer una obligación profesional frente a éstos
Daños a activos físicos Pérdidas derivadas de daños o perjuicios a activos físicos de la compañía
Interrupción del negocio por fallas en la tecnología de información; Pérdidas
Fallas tecnológicas
derivadas de incidentes por fallas tecnológicas
Deficiencias en la ejecución de procesos, en el procesamiento de operaciones y en
Ejecución y administración de
las relaciones con proveedores y terceros; pérdidas derivadas de errores en la
procesos
ejecución y administración de los procesos
Tabla 3 Factor de Riesgo
Existen factores de riesgo en el recurso humano cuando hay fallas tales como:
- Falta de personal adecuado.
Recursos Humanos - Error Humano.
- Inapropiadas relaciones interpersonales y ambiente laboral desfavorable.
- Falta de especificaciones claras en los términos de contratación de personal.
Mayor - Indisponibilidad - Las pérdidas - Afecta el ADS del - Afecta altamente la Daño ambiental
entre el 10% y el económicas se cliente, con imagen de la entidad significativo
20% de cargos encuentran por impactos legales ante clientes y/o recuperable a
críticos o de entre el fuera de los límites -Error u omisión entes de control mediano plazo
40% y 60% de de riesgo grave - Cobertura adversa - Impacto social
personal no crítico materializado o o - Genera reprocesos de amplia difusión en mayor
- Lesiones con afectan el EBITDA mayores medios a nivel
incapacidad parcial entre un 20% a un - Pérdida de regional o local en el
o total permanente 50% información crítica país y en redes
- Los sobrecostos que no se puede sociales
en la operación recuperar - Pérdida grave o
requieren recursos - Acceso indebido a disminución sensible
adicionales a los la información del del apoyo o
existentes en la negocio, credibilidad de
compañía incumpliendo algunos de los grupos
acuerdos de interés
contractuales - Sanción o Multa
-Interrupción del incumplimientos
proceso que contractuales /
requiere la normativos
ejecución de planes (confidencialidad,
de continuidad fraudes, calidad).
Superior - Indisponibilidad de - Las pérdidas - Afecta - Afecta gravemente Daño ambiental
más del 20% de económicas por severamente el la imagen de la grave no
cargos críticos o de cualquier motivo acceso y la entidad ante clientes recuperable, o
más del 60% de deben ser seguridad de la y/o entes de control recuperable a largo
personal no crítico cubiertas mediante información - Cobertura adversa plazo
- Lesiones fatales transferencia a - Error u omisión de amplia difusión en - Impacto social
pólizas o o afectan severo medios a nivel grave
el EBITDA en más - Genera alto nivel nacional,
de un 50% de reprocesos internacional y redes
- Exposición externa sociales
o interna de la - Pérdida grave del
información del apoyo o credibilidad
negocio, de todos los grupos
incumpliendo de interés
acuerdos - Intervención o
contractuales y cierre parcial o total
normativos por parte de entes de
- Interrupción del control que impida la
proceso que no operación
puede ser asumida - Incumplimientos
por la operación y contractuales o
debe ser transferida normativos que lleven
mediante pólizas a tribunales de
arbitramento
Análisis de los escenarios de falla a partir de parámetros de riesgo.
Id Actividad / Descripción del Riesgo / Tipo de Riesgo / Factor de Clasificación del Categoría
Riesgo Componente Evento Evento (1) Riesgo (1) Riesgo del Riesgo
La actividad / El … puede generar el riesgo … que se … y es
componente / El … cataloga como generado por
elemento… un riesgo de …
R1 Infraestructura Azure No disponibilidad de la Fallas Tecnología Continuidad del General
infraestructura tecnológicas Negocio
tecnológica de AZURE
R2 Data center iQ No disponibilidad de la Fallas Tecnología Continuidad del General
infraestructura tecnológicas Negocio
tecnológica de Bogotá
Palma Real
R3 Aplicación SSO Falla en servicios de Fallas Tecnología Continuidad del General
autenticación en tecnológicas Negocio
aplicaciones SSO (Proceso
interno iQ)
R4 controladoras de Falla en controladores de Fallas Tecnología Continuidad del General
dominio dominio (Proceso interno tecnológicas Negocio
iQ)
R5 Canales de Falla en canal de internet Fallas Tecnología Continuidad del General
comunicación Iq tecnológicas Negocio
R6 Servidores de Falla en servidores Fallas Tecnología Continuidad del Específico
imágenes y bases de Imágenes y Bases de tecnológicas Negocio
datos datos que soportan el
proceso en iQ (Davinos,
DOE, SIAF)
R7 Servidores Web Falla en servidor del Fallas Tecnología Continuidad del Específico
portal tecnológicas Negocio
R8 Balanceador de server Falla en balanceador Fallas Tecnología Continuidad del Específico
tecnológicas Negocio
R9 Directorio Activo Falla de directorio activo Fallas Tecnología Continuidad del Específico
en AZURE (Agente tecnológicas Negocio
Federación)
R10 Bases de datos Falla en base de datos en Fallas Tecnología Continuidad del Específico
AZURE tecnológicas Negocio
R11 Repositorio de Falla en APP Fabric – Fallas Tecnología Continuidad del Específico
imágenes integrator – Generador de tecnológicas Negocio
imágenes
R12 Servicios Windows Falla en servicio de relay Fallas Tecnología Continuidad del Específico
imágenes tecnológicas Negocio
R13 Servicios Windows Falla en servicio de relay Fallas Tecnología Continuidad del Específico
IQDoc tecnológicas Negocio
R14 Canales de Falla en canal de internet Clientes Tecnología Continuidad del Específico
comunicación de Davivienda Negocio
Realizado por Brian Caro.
No disponibilidad de la infraestructura
R2 tecnológica de Bogotá Palma Real Baja Superior Extremo
5 5
5
Bajo 1 R12
Cantidad de Riesgos
4
Moderado 3 R4, R6, R13
3
3
Alto 5 R1, R3, R9, R10, R11
2
Extremo 5 R2, R5, R7, R8,
1 R14
1
0
Realizado por Brian Caro.
Resultados:
5 Extremo
5 Alto
3 Moderado
1 Bajo
7%
Extremo
21% 36%
Alto
Moderado
Bajo
36%
Categoría del
Descripción
Control
El control permite mitigar riesgos de más de uno de los
General
procesos de la compañía
El control permite mitigar riesgos en la ejecución de un
Específico
proceso particular de la compañía
Periodicidad del
Descripción
Control
El control es automático.
El control es semiautomático y
durante la ejecución del control se
cuenta con la información
requerida para realizarlo
satisfactoriamente
Parcialmente Diseñado para eliminar algunas Quien ejecuta el control esta Poca frecuencia de ejecución del
Adecuado causas y/o efectos de la medianamente capacitado para control en relación a la frecuencia
situación de impacto. hacerlo. de realización de la actividad que
supone posible materialización de
Quien ejecuta el control no es el eventos o detección inoportuna.
responsable principal de la
actividad controlada, pero Frecuencia de ejecución del control
interviene dentro del proceso e sobredimensionada generando
incide en la actividad cargas operativas innecesarias.
El control es semiautomático y
durante la ejecución del control la
información para realizarlo
requiere de intervención de otras
personas
El control es semiautomático y
durante la ejecución del control
podría no contarse con la
información requerida
Adecuado Más del 80% de las muestras cumplen con los requisitos.
C1 R1 Parcialmente
Adecuado Adecuado Adecuado Fuerte
C2 R2 Adecuado Adecuado Adecuado Fuerte
C3 R3 Adecuado Adecuado Adecuado Fuerte
C4 R4 Adecuado Adecuado Adecuado Fuerte
C5 R5 Adecuado Adecuado Adecuado Fuerte
C6 R6 Adecuado Adecuado Adecuado Fuerte
C7 R7 Adecuado Adecuado Adecuado Fuerte
C8 R8 Parcialmente Parcialmente
Adecuado Adecuado adecuado Moderado
C9 R9 Adecuado Adecuado Adecuado Fuerte
C10 R10 Adecuado Adecuado Adecuado Fuerte
7%
14% Extremo
Alto
Moderado
Bajo
79%
Para este servicio se evidencia que un riesgo quedo en nivel Alto generando un
porcentaje considerable a tener en cuenta en cuanto al impacto que puede
generar al materializarse el riesgo.
CONCLUSIONES