2017 Caro Guia Implementacion BIA ITIL ISO20000 IQOutsourcing

GUIA PARA LA IMPLEMENTACIÓN DEL ANALISIS DE IMPACTO AL
NEGOCIO (BIA) BASADO EN LA APLICACACIÓN DE BUENAS PRACTICAS

ITIL Y LA NORMA ISO/EIC 20000-1:2011 EN LA EMPRESA IQ OUTSOURCING
S.A.S DE BOGOTA.
PRESENTADO POR:
BRIAN DAVID CARO MARTINEZ
SEMINARIO:
PROYECTOS DE GESTION TECNOLOGICA PGTI
UNIVERSIDAD COOPERATIVA DE COLOMBIA

FACULTAD DE INGENIERIAS
PROGRAMA INGENIERIA INDUSTRIAL
BOGOTA
2017
GUIA PARA LA IMPLEMENTACIÓN DEL ANALISIS DE IMPACTO AL
NEGOCIO (BIA) BASADO EN LA APLICACACIÓN DE BUENAS PRACTICAS
ITIL Y LA NORMA ISO/EIC 20000-1:2011 EN LA EMPRESA IQ OUTSOURCING
S.A.S DE BOGOTA.
PRESENTADO POR:
BRIAN DAVID CARO MARTINEZ
Modalidad de grado Seminario de perfeccionamiento

Trabajo de grado para optar el título de Ingeniero Industrial
DIRECTOR
CARLOS PAEZ
Ingeniero de Sistemas MS.c
UNIVERSIDAD COOPERATIVA DE COLOMBIA (UCC)

FACULTAD DE INGENIERIAS
PROGRAMA INGENIERIA INDUSTRIAL
BOGOTA
2017
Tabla de contenido
NOTA DE ACEPTACIÓN ......................................................................................... 7

AGRADECIMIENTOS .............................................................................................. 8
GLOSARIO .............................................................................................................. 9
RESUMEN ............................................................................................................. 14
ABSTRACT ............................................................................................................ 15
INTRODUCCIÓN ................................................................................................... 16
1. TITULO DELTRABAJO ................................................................................... 17
2. DESCRIPCIÓN DEL PROBLEMA ................................................................... 17
2.1 Formulación del problema ........................................................................ 17
2.2 Justificación del problema......................................................................... 18
3. OBJETIVOS .................................................................................................... 19
3.1 Objetivo general ........................................................................................ 19
3.2 Objetivos específicos ................................................................................ 19
4. CAPITULO 1. MARCOS DE REFERENCIA .................................................... 19
4.1 Marco teórico ........................................................................................... 19
4.1.1 Sistema de Gestión ............................................................................ 19
4.1.2 ITIL ..................................................................................................... 21
4.1.3 Sistema de gestión de servicio ISO/EIC 20000 .................................. 25
4.1.4 Análisis de Impacto del Negocio (BIA) ............................................... 26
5. CAPITULO 2. MARCO INSTITUCIONAL ........................................................ 28
5.1.1 Plataforma estratégica de la empresa iQ Outsourcing S.A.S. ............ 28
5.1.2 Políticas y principios de iQ Outsourcing S.A.S. .................................. 29
5.1.3 Líneas de servicios y/o productos ...................................................... 29
6. CAPITULO 3. METODOLOGÍA ....................................................................... 32
6.1.1 Metodología del análisis de impacto del negocio ............................... 32
6.1.2 Métodos para la obtención de información ......................................... 33
6.1.3 Mapa de Calor .................................................................................... 34
6.1.4 Análisis y evaluación de impacto de operaciones y servicios ............ 35
6.1.5 Diseño de Ingeniería .......................................................................... 36
6.1.6 Análisis BIA de servicio GIPO ............................................................ 38
7. CAPITULO 4. HALLAZGOS ............................................................................ 39
CONCLUSIONES .................................................................................................. 56
RECOMENDACIONES .......................................................................................... 57
BIBLIOGRAFIA ................................................................................................... 58
Tabla de Ilustraciones
ILUSTRACIÓN 1 ADMINISTRACIÓN DE SERVICIOS DE TI: INTEGRANDO GENTE, PROCESOS

Y TECNOLOGÍA....................................................................................................................... 21
ILUSTRACIÓN 2 SOLUCIONES, SERVICIOS Y PROCESOS SECTOR SALUD IQ
OUTSOURCING S.A.S. ........................................................................................................... 30
ILUSTRACIÓN 3 SOLUCIONES, SERVICIOS Y PROCESOS SECTOR FINANCIERO IQ
OUTSOURCING S.A.S. ........................................................................................................... 30
ILUSTRACIÓN 4 SOLUCIONES, SERVICIOS Y PROCESOS SECTOR DERIVADOS IQ
OUTSOURCING S.A.S. ........................................................................................................... 31
ILUSTRACIÓN 5 SOLUCIONES, SERVICIOS Y PROCESOS SECTOR FONDOS DE PENSIONES
IQ OUTSOURCING S.A.S. ...................................................................................................... 31
ILUSTRACIÓN 6 SOLUCIONES, SERVICIOS Y PROCESOS SECTOR TELECOMUNICACIONES
IQ OUTSOURCING S.A.S. ...................................................................................................... 31
ILUSTRACIÓN 7 SOLUCIONES, SERVICIOS Y PROCESOS SECTOR ASEGURADORAS IQ
OUTSOURCING S.A.S. ........................................................................................................... 32
ILUSTRACIÓN 8 SOLUCIONES, SERVICIOS Y PROCESOS SECTOR BPO IQ OUTSOURCING
S.A.S. ....................................................................................................................................... 32
ILUSTRACIÓN 9 PASOS PARA ANÁLISIS DE IMPACTO DEL NEGOCIO. ................................... 33
ILUSTRACIÓN 10 MAPA DE CALOR. ............................................................................................. 35
ILUSTRACIÓN 11 VALORACIÓN OPERACIONAL Y SERVICIOS POR NIVELES DE CRITICIDAD.
.................................................................................................................................................. 36
ILUSTRACIÓN 12 DIAGRAMA TÉCNICO DE SERVICIO GIPO. .................................................... 37
Tabla de matrices
TABLA 1 COMPONENTES DE INFRAESTRUCTURA DEL SERVICIO. ........................................ 38

TABLA 2 TIPO DE RIESGO / EVENTO. .......................................................................................... 40
TABLA 3 FACTOR DE RIESGO ....................................................................................................... 41
TABLA 4 CLASIFICACIÓN DEL RIESGO. ....................................................................................... 41
TABLA 5 CATEGORÍA DEL RIESGO. ............................................................................................. 42
TABLA 6 PROBABILIDAD DE OCURRENCIA DEL RIESGO.......................................................... 42
TABLA 7 IMPACTO QUE GENERA LA MATERIALIZACIÓN DEL RIESGO. .................................. 43
TABLA 8 ANÁLISIS DE RIESGOS DE SERVICIO. .......................................................................... 45
TABLA 9 VALORACIÓN DE RIESGO INHERENTE. ....................................................................... 46
TABLA 10 RESULTADO RIESGO INHERENTES. .......................................................................... 47
TABLA 11 CATEGORÍA DEL CONTROL. ........................................................................................ 48
TABLA 12 TIPO DE CONTROL. ....................................................................................................... 48
TABLA 13 PERIODICIDAD EN LA QUE SE EVALÚA EL CONTROL. ............................................ 49
TABLA 14 DISEÑO DEL CONTROL PARA MITIGAR EL RIESGO. ................................................ 49
TABLA 15 CALIFICACIÓN DE LA EJECUCIÓN DEL CONTROL. .................................................. 50
TABLA 16 EFECTIVIDAD DEL CONTROL IMPLEMENTADO. ....................................................... 50
TABLA 17 VALORACIÓN DEL CONTROL IMPLEMENTADO. ....................................................... 51
TABLA 18 ANÁLISIS DE ESTRATEGIAS DE CONTINGENCIA Y CONTROLES. ......................... 51
TABLA 19 VALORACIÓN DEL CONTROL QUE MITIGA EL RIESGO. .......................................... 54
TABLA 20 RESULTADO RIESGOS RESIDUALES ......................................................................... 55
Tabla de Gráficos
GRAFICA 1 CANTIDAD DE ESCENARIOS DE FALLA IDENTIFICADOS. ..................................... 40

GRAFICA 2 VALORACIÓN DE RIESGO INHERENTE. .................................................................. 47
GRAFICA 3 % CRITICIDAD DEL PROCESO - RIESGO INHERENTE. .......................................... 48
GRAFICA 4 NIVEL DE CRITICIDAD EN PORCENTAJE. ................................................................ 55
NOTA DE ACEPTACIÓN
____________________________________
____________________________________
____________________________________
____________________________________
____________________________________
_______________________
PRIMER JURADO
_______________________
SEGUNDO JURADO
Bogotá, Junio, 2017

AGRADECIMIENTOS
Quiero principalmente agradecer a Dios por permitir llegar hasta esta etapa de mi
vida, a mi familia, amigos y compañeros que apoyaron el proceso, al ingeniero
Carlos Páez por guiar la construcción y esquema de este proyecto, a la empresa
iQ Outsourcing S.A.S en la cual laboro que permitió realizar este proyecto
aplicable a su estructura y manejo en el área de TI y a la Universidad Cooperativa
de Colombia por hacer parte del crecimiento académico y laboral que he obtenido.
GLOSARIO
Acción correctiva
Acción para eliminar la causa o reducir la probabilidad de recurrencia de una no
conformidad detectada o de otra situación indeseada. (ISO/9000:2005)
Acción preventiva
Acción para evitar o eliminar las causas o reducir la probabilidad de ocurrencia de
una no conformidad potencial o de otra situación potencial no deseada.
(ISO/9000:2005)
Activo
En relación con la seguridad de la información se refiere a cualquier información o
elemento relacionado con el tratamiento de la misma (sistemas, soportes,
edificios, personas) que tenga valor para la organización. (ISO/IEC 27000).
Acuerdo de nivel de servicio

Acuerdo documentado entre un prestador de servicios y un cliente, el cual
identifica los servicios y los objetivos del servicio. (ISO/IEC 20000)
Alta dirección
Persona o grupo de personas que dirigen y controlan al prestador del servicio al
más alto nivel. (ISO/IEC 20000)
Amenazas
Causa potencial de un incidente no deseado, que puede provocar daños a un
sistema o a la organización. (ISO/IEC 27000).
Análisis de riesgo
Proceso en el cual se identifican eventos de riesgo, teniendo en cuenta variables
de frecuencia e impacto, que afectan las funciones críticas del negocio e impiden
la continuidad de la operación. (ISO/IEC 20000)
Análisis del impacto del negocio (BIA)

Proceso del análisis de actividades y el efecto que una interrupción del negocio
podría tener sobre ellas. (ISO 22301)
Auditoría
Proceso sistemático, independiente y documentado para obtener evidencias de
auditoria y obviamente para determinar el grado en el que se cumplen los criterios
de auditoria. (ISO/IEC 27000).
Base de datos de gestión de la configuración
Base de datos utilizada para registrar los atributos de los elementos de
configuración, y las relaciones entre los elementos de configuración durante todo
su ciclo de vida. (ISO/IEC 20000)
Ciberespacio
Ámbito o espacio hipotético o imaginario de quienes se encuentran inmersos en la
civilización electrónica, la informática y la cibernética. (CONPES 3701, Tomado de
la Academia de la lengua Española).
Ciberseguridad
Capacidad del Estado para minimizar el nivel de riesgo al que están expuestos sus
ciudadanos, ante amenazas o incidentes de naturaleza cibernética. (CONPES
3701)
Cliente
Organización o parte de una organización que recibe el servicio o los servicios. Un
cliente puede ser interno o externo a la organización del prestador del servicio.
(ISO/IEC 20000)
Comité de crisis
Organismo integrado por el comité de Directores en pleno para tomar decisiones
de alto impacto, en la recuperación de los procesos y funciones críticas de negocio
y/o para salvaguardar la vida de los colaboradores, visitantes, etc. (ISO/IEC
20000)
Componente del servicio

Parte de un servicio que cuando se combina con otras partes prestara un servicio
completo.
Contingencia
Se entiende como el evento menor, que interrumpe el normal desarrollo de la
operación, sin que implique la imposibilidad de proceso de manera definitiva.
(ISO/IEC 20000)
Controles
Medidas o actividades diseñadas para reducir la exposición al riesgo de la
interrupción del negocio. (ISO/IEC 20000)
Desastre
Evento repentino, no planeado y devastador que causa un gran fallo o pérdida; en
el ambiente de negocios, cualquier evento que provoque una inhabilidad a una
parte de la empresa para ofrecer sus funciones críticas de negocio por un período
predeterminado de tiempo.
Disponibilidad
Capacidad de un servicio o de un componente del servicio para llevar a cabo una
función requerida en un instante determinado o durante un periodo de tiempo que
ha sido acordado.
Eficacia
Extensión en la que se realizan las actividades planificadas y se alcanzan los
resultados planificados.
Elemento de configuración
Elemento que es necesario controlar con el fin de prestar uno o varios servicios.
Escala de comunicaciones
Es un procedimiento que garantiza el flujo de comunicación entre los diferentes
niveles de la organización y de los clientes, de tal manera que permite evaluar y
reaccionar oportunamente ante la contingencia.
Funciones críticas
Es una actividad indispensable del proceso para cumplir los ADS y que debe ser
restaurada en caso de una interrupción, con el propósito de garantizar la
continuidad del negocio.
Gestión del servicio

Conjunto de capacidades y procesos para dirigir y controlar actividades y los
recursos del prestador del servicio para el diseño, la transición, la prestación y la
mejora de los servicios, con el fin de cumplir los requisitos de servicio.
Incidente
Interrupción no planificada de un servicio, reducción en la calidad del servicio o un
evento que aún no ha tenido impacto en el servicio para el cliente.
Mejora continua
Actividad recurrente para aumentar la capacidad para cumplir los requisitos de
servicio.
Plan de Continuidad de Negocio

Procedimientos documentados que guían a las organizaciones para responder,
recuperar, reanudar y restaurar a un nivel pre-definido de operación debido a la
interrupción. (ISO 22301).
Plan de recuperación operativa (PRO) o (BCP)

Descripción de todas las actividades a realizar para responder a una contingencia.
Plan de recuperación tecnológica (PRT) o (DRP)
Descripción de todas las actividades a realizar por parte del área de soporte
tecnológico para responder a una contingencia y/o interrupción de servicios (IDS).
Problema
Causa raíz de uno o más incidentes.
Proceso
Conjunto de actividades mutuamente interrelacionada o que interactúan, la cuales
transforman elementos de entrada en resultados.
Proveedor externo
Organización o parte de una organización que es externa a la organización
prestadora del servicio y participa en el contrato con el prestador del servicio con
el fin de contribuir al diseño, la transición, la prestación y la mejora del servicio los
servicios o procesos.
Punto objetivo de recuperación (RPO - Recovery Point Objetive)

Punto en el tiempo en el que los datos deben ser restaurados con el fin de
reanudar el procesamiento de las transacciones, se establece un RPO de 4 horas.
Riesgo
Potencial de exposición de pérdida. Los riesgos, ya sean naturales o provocados
por el hombre, son constantes a lo largo de nuestra vida diaria. El potencial es
medido normalmente por su probabilidad de ocurrencia anualmente.
Resiliencia
Resiliencia es la capacidad de proteger y sostener la operación de una empresa
apoyando el cumplimiento de sus objetivos competitivos y misionales con la
presencia y realización del riesgo.
En RESILIT una empresa puede estar sujeta a riesgos generados por condiciones
particulares de negocio y/o de tecnología: Resiliencia de Negocio (RNE),
y Resiliencia de Tecnologías de Información (RTI).
Seguridad de la información
Preservación de la confidencialidad, integridad, y disponibilidad de la información.
(ISO/IEC 27000).
Servicio
Medio para entregar valor para el cliente facilitando los resultados que el cliente
quiere alcanzar.
Sistema de Gestión de Seguridad de la Información SGSI

Conjunto de elementos interrelacionados o interactuantes (estructura organizativa,
políticas, planificación de actividades, responsabilidades, procesos,
procedimientos y recursos) que utiliza una organización para establecer una
política y unos objetivos de seguridad de la información y alcanzar dichos
objetivos, basándose en un enfoque de gestión y de mejora continua. (ISO/IEC
27000).
Sistema de Gestión del servicio SGS

Sistema de gestión para dirigir y controlar las actividades para la gestión del
servicio del prestador de servicios. El SGS incluye todas las políticas, objetivos,
planes, procesos, documentación y recursos de la gestión del servicio requeridos
para el diseño, la transición, la prestación y la mejora de los servicios.
Tiempo objetivo de recuperación (RTO — Recovery Time Objetive)

Tiempo empleado en el restablecimiento del servicio. Tiempo máximo aceptable
que una función de negocios puede estar sin ofrecer sus servicios antes de que
impacte severamente al negocio.
Trazabilidad
Cualidad que permite que todas las acciones realizadas sobre la información o un
sistema de tratamiento de la información sean asociadas de modo inequívoco a un
individuo o entidad. (ISO/IEC 27000).
Vulnerabilidad
Debilidad de un activo o control que puede ser explotada por una o más
amenazas. (ISO/IEC 27000).
RESUMEN
El siguiente proyecto propone una guía para la implementación del análisis de

impacto al negocio de la empresa iQ Outsourcing S.A.S en la ciudad de Bogotá
basado en la aplicación de buenas prácticas ITIL (Information Technology
Infrastructure Library) y requisitos de la norma ISO/IEC 20000-1:2011. El propósito
de la guía es estructurar el paso a paso del BIA con el fin de identificar los
procesos críticos de la compañía basados en la disponibilidad y continuidad de los
servicios prestado; para dicho análisis el proyecto se divide en 4 Capítulos:
Capítulo 1. Marcos de referencia
En este capítulo se traen a colación todos aquellos marcos normativos, sobre los
cuales se basa el proyecto (teorías, buenas prácticas, normas) con el fin de
soportar la guía de implementación en requisitos que hoy en día son aplicables en
las compañías prestadoras de servicios de TI.
Capítulo 2. Marco institucional
En este capítulo se hace referencia a todos los aspectos de la compañía como

misión, visión, sector de industria, servicios y procesos prestados, enfoque laboral
y ámbito del desarrollo económico en el país, todos estos aspectos son punto de
referencia para dimensionar como llevar a cabo la implementación de la guía.
Capítulo 3. Metodología
En este capítulo se en marcan los métodos de obtención de información para el

análisis BIA de la compañía, paso a paso de un análisis de impacto ala negocio,
esquema y desarrollo de mapas de calor, análisis de riesgos en servicio o
proceso. El diseño de ingeniería en el cual se establece la propuesta de cómo
realizar un análisis BIA en cada uno se los servicios o procesos de la compañía.
Capítulo 4. Hallazgos
En esta parte del proyecto se muestran los resultados obtenidos una vez realizado
el análisis BIA del servicio tomado como referencia o ejemplo. Estos resultados se
basan a partir de análisis de matices de riesgo y a la formulación de controles o
estrategias que permiten mitigar los riesgos identificados que comprometan la
disponibilidad y continuidad de los servicios.
ABSTRACT
The following project proposes a guide for the implementation of the business
impact analysis of the company iQ Outsourcing S.A.S in the city of Bogotá based
on the application of good practices ITIL (Information Technology Infrastructure
Library) and requirements of the ISO / IEC 20000- 1: 2011. The purpose of the
guide is to structure the BIA step-by-step in order to identify critical company
processes based on the availability and continuity of the services provided; For this
analysis the project is divided into 4 Chapters:
Chapter 1. Reference frames
In this chapter, all the normative frameworks on which the project is based
(theories, good practices, norms) are presented in order to support the
implementation guide in requirements that today are applicable in companies that
provide services of you.
Chapter 2. Institutional framework
This chapter refers to all aspects of the company such as mission, vision, industry
sector, services and processes provided, labor focus and scope of economic
development in the country, all these aspects are a reference point for
dimensioning how to lead to Implementation of the guide.
Chapter 3. Methodology
This chapter outlines the methods of obtaining information for the company's BIA
analysis, step-by-step analysis of business impact, schema and development of
heat maps, in-service or process risk analysis. The engineering design in which the
proposal of how to carry out a BIA analysis in each one is established the services
or processes of the company.
Chapter 4. Findings
This part of the project shows the results obtained after the BIA analysis of the
service taken as reference or example. These results are based on analysis of
nuances of risk and the formulation of controls or strategies that allow mitigating
identified risks that compromise the availability and continuity of services.
INTRODUCCIÓN
La gestión del plan de impacto del negocio en las entidades prestadoras de

servicios de TI debe responder a una variedad de políticas de restablecimiento de
actividades y servicios que apoyen y aseguren el normal funcionamiento de las
infraestructuras de tecnología, físicas y recurso humano que minimicen al máximo
las interrupciones o fallas presentadas dentro de la organización.
Las compañías deben monitorear permanentemente e identificar las amenazas

más importantes de incidentes que afecten la normal operatividad de los servicios,
los sistemas y operaciones, garantizando el buen funcionamiento del negocio a
través de mecanismos de recuperación previamente establecidos probados,
ajustados y que respondan en el menor tiempo posible a las soluciones de los
problemas de interrupción generados.
La implementación del plan de continuidad de TI, se enfoca en establecer

estrategias de protección y recuperación de los servicios críticos que se vean
afectados por desastres naturales, interrupciones del servicio ocasionadas fallas
en los sistemas de información, componente de comunicación e incidentes que
sean ocasionados por el hombre involuntariamente o para su beneficio propio.
Así mismo, el análisis de impacto de negocios (BIA) debe convertirse en una

herramienta para minimizar los riesgos de indisponibilidad de los servicios e
infraestructuras de TI, que afectan las operaciones regulares de las
organizaciones, por lo consiguiente debe formar parte de un sistema de gestión de
riesgos, sistema de gestión de servicios y buenas prácticas de ITIL que sea
utilizado como mecanismo de control para ejecutar tareas de monitoreo de crisis,
planes de contingencia, capacidad de marcha atrás y prevención y atención de
emergencias.
Para la compañía iQ Outsourcing S.A.S es de vital importancia llevar acabo el

análisis y la identificación de los riesgos asociados a la indisponibilidad de
servicios y continuidad de procesos, por tal motivo el objetivo de esta guía para la
implementación de análisis de impacto al negocio para procesos de gestión como
los son la disponibilidad y continuidad de servicios, temas contemplados dentro de
la norma ISO/IEC 20000 y las buenas prácticas para la gestión de servicios de
tecnologías de la información ITIL.
1. TITULO DELTRABAJO
GUIA PARA LA IMPLEMENTACIÓN DEL ANALISIS DE IMPACTO AL NEGOCIO

(BIA) BASADO EL LA APLICACACIÓN DE BUENAS PRACTICAS ITIL Y LA
NORMA ISO/EIC 20000-1:2011 EN LA EMPRESA IQ OUTSOURCING S.A.S DE
BOGOTA.
2. DESCRIPCIÓN DEL PROBLEMA
La compañía cuenta con un plan de contingencia y continuidad de negocio

establecido basado en los diferentes componentes de infraestructura de TI,
instalaciones físicas y recurso humano necesarios para el flujo normal de los
procesos, pero en este esquema y/o estrategia no se establecen cuáles son los
servicios y procesos críticos a recuperar en primera instancia al momento de
presentarse un evento o incidente que afecte la continuidad de los servicios y
procesos.
A partir de esta premisa surge la idea de diseñar una guía para la construcción del
BIA para la compañía iQ Outsourcing S.A.S. donde se establezca una escala de
recuperación del mas critico al menos crítico, basado en (cantidad, configuración,
esquema, diseño) de componentes de tecnología, infraestructura física y recurso
humano que soportan los servicios y procesos.
2.1 FORMULACIÓN DEL PROBLEMA
iQ Outsourcing S.A.S es una compañía líder en el sector del BPO (Business

Process Outsourcing) a nivel Nacional en Colombia para sectores financiero,
salud, aseguradoras y telecomunicaciones incorporado en cada una de las
soluciones una combinación perfecta entre tecnología de punta, información
inteligente y una selección acertada de talento humano.
La compañía presta 63 servicios a 31 clientes1, servicios y procesos que tienen

inmerso componentes de tecnología vitales para el correcto funcionamiento de la
compañía pero no cuenta con un BIA (Análisis de impacto al negocio) establecido
impidiendo que en escenarios de falla real de componentes de infraestructura TI,
física o recurso humano pueda actuar de la mejor manera teniendo una resiliencia
óptima para reducir los impactos de dichos eventos.
La realización de la guía de implementación de este trabajo está contemplada y

enfocada a un cliente servicio como referencia para que la compañía lo
implemente en los procesos-servicios faltantes.
1 Dato de documento iQ Outsourcing S.A.S de facturación Clientes-Servicios.

El desarrollo de este trabajo está enfocado al diseño de una guía de
implementación del análisis BIA de la compañía iQ Outsourcing S.A.S que implica
desde el levantamiento de inventarios de activos TI por cliente-servicio, hasta el
análisis de la infraestructura de TI, física y recurso humano de la compañía que
permitan obtener e identificar los procesos y servicios críticos de la compañía para
así dar una correcta e idónea respuesta al momento de tener una crisis que afecte
la prestación de los mismos minimizando la afectación e impacto en factores
reputacionales, económicos y legales a la organización
2.2 JUSTIFICACIÓN DEL PROBLEMA
Actualmente la compañía maneja un esquema de disponibilidad de servicios y

continuidad de negocio basado en los estándares NTC-ISO 22301 y BS 25999,
con el diseño de un PCN Base (Plan de continuidad de negocio base 2) documento
en el que se establecen las estrategias de contingencia y continuidad de negocio
enfocadas a los componentes de infraestructura TI, física y recurso humano de
manera transversal a todos los procesos y servicios de la compañía (Anexo 1) y
un PCN especifico (Plan de continuidad de negocio específico por cliente servicio-
proceso), por tal motivo surge la idea del desarrollo de una guía de
implementación del análisis BIA con el objetivo de identificar los servicios y
procesos críticos por cliente y así determinar e identificar cuales se deben
recuperar principalmente y evaluar el impacto que genera a la compañía en un
escenario real de contingencia.
El desarrollo de este trabajo está enfocado al diseño de una guía de

implementación del análisis BIA de la compañía iQ Outsourcing S.A.S que implica
desde el levantamiento de inventarios de activos TI por cliente-servicio, hasta el
análisis de la infraestructura de TI, física y recurso humano de la compañía que
permitan obtener e identificar los procesos y servicios críticos de la compañía para
así dar una correcta e idónea respuesta al momento de tener una crisis que afecte
la prestación de los mismos minimizando la afectación e impacto en factores
reputacionales, económicos y legales a la organización.
De esta manera se manejaran y trabajaran los conceptos manejados en ITIL en

cuanto al proceso de Diseño del servicio (Gestión de disponibilidad y gestión de
continuidad de servicios TI), y con la norma ISO/EIC 20000 en los numerales 6.3
GESTION DE LA CONTINUIDAD Y LA DISPONBILIDAD DEL SRVICIO, 6.3.1
Requisitos de continuidad y disponibilidad del servicio, 6.3.2 Planes de continuidad
y disponibilidad del servicio, 6.3.3 Monitoreo y ensayo de la continuidad y las
disponibilidad del servicio, para la solución y mejora del proceso de continuidad de
negocio en la compañía iQ Outsourcing S.A.S.
2 Documento de estrategia de continuidad de negocio iQ Outsourcing S.A.S. (Anexo 1).

3. OBJETIVOS
3.1 OBJETIVO GENERAL
Realizar una guía para la implementación del análisis de impacto al negocio (BIA)
basado en la aplicación de buenas prácticas ITIL y la norma ISO/EIC 20000-
1:2011 en la empresa IQ OUTSOURCING S.A.S de Bogotá.
3.2 OBJETIVOS ESPECÍFICOS
 Analizar las condiciones actuales de la estrategia de continuidad de negocio

de la compañía iQ Outsourcing S.A.S. mediante la revisión del numeral 6.3
Gestión de la continuidad y disponibilidad del servicio de la norma ISO/IEC
20000.
 Identificar los componentes de infraestructura TI por cliente-servicio-
proceso de la compañía iQ Outsourcing S.A.S. (se realizara la guía con un
cliente-servicio-proceso para tomar como referencia para los faltantes).
Basado en los procesos de gestión de disponibilidad y gestión de
continuidad de servicios TI de las buenas practicas ITIL.
 Diseñar el análisis BIA del cliente-servicio-proceso seleccionado, basado en
las buenas prácticas del módulo de Diseño del servicio en los procesos de
gestión de disponibilidad y continuidad de los servicios de TI.
4. CAPITULO 1. MARCOS DE REFERENCIA
4.1 MARCO TEÓRICO
4.1.1 Sistema de Gestión
(SG) no es más que una serie de actividades coordinadas que se llevan a cabo
sobre un conjunto de elementos para lograr la calidad de los productos o servicios
que se ofrecen al cliente, es decir, es planear, controlar y mejorar aquellos
elementos de una organización que influyen en el cumplimiento de los requisitos
del cliente y en el logro de la satisfacción del mismo.
Otra manera de definir un Sistema de Gestión de la Calidad, es descomponiendo

cada una de sus palabras y definirlas por separado:
Sistema: Conjunto de elementos que relacionados entre sí ordenadamente
contribuyen a determinado objetos (Real Academia Española, 2001).
Como ejemplo podemos citar los ecosistemas, los cuales están compuesto de
varios elementos relacionados entre sí, tales como: Agua, clima, tierra y aire.
Gestión: Es la acción o efecto de hacer actividades para el logro de un negocio o

un deseo cualquiera (Real Academia Española, 2001).
De estas dos definiciones podemos concluir que un Sistema de Gestión de la
Calidad son actividades empresariales, planificadas y controladas, que se realizan
sobre un conjunto de elementos para lograr la calidad.
Entre los elementos de un Sistema de Gestión de la Calidad y se cualquier otro
sistema de gestión, se encuentran los siguientes:
 Estructura Organizacional
 Planificación (Estrategia)
 Recursos
 Procesos
 Procedimientos
La Estructura Organizacional es la jerarquía de funciones y responsabilidades que

define una organización para lograr sus objetivos. Es la manera en que la
organización organiza a su personal, de acuerdo a sus funciones y tareas,
definiendo así el papel que ellos juegan en la misma.
La Planificación constituye al conjunto de actividades que permiten a la

organización trazar un mapa para llegar al logro de los objetivos que se ha
planteado. Una correcta planificación permite responder las siguientes preguntas
en una organización:
 ¿A dónde queremos llegar?

 ¿Qué vamos hacer para lograrlo?
 ¿Cómo lo vamos hacer?
 ¿Qué vamos a necesitar?
El Recurso es todo aquello que vamos a necesitar para poder alcanzar el logro de
los objetivos de la organización (personas, equipos, infraestructura, dinero, etc).
Los Procesos son el conjunto de actividades que transforman elementos de

entradas en producto o servicio. Todas las organizaciones tienen procesos, pero
no siempre se encuentran identificados. Los procesos requieren de recursos,
procedimientos, planificación y las actividades así como sus responsables.
Los Procedimientos son la forma de llevar a cabo un proceso. Es el conjunto de
pasos detallados que se deben de realizar para poder transformar los elementos
de entradas del proceso en producto o servicio. Dependiendo de la complejidad, la
organización decide si documentar o no los procedimientos.
Todos estos elementos descritos anteriormente, están relacionados entre sí (de

ahí a que es un SISTEMA) y su vez son gestionados a partir de 4 procesos de
gestión y denominados en el ciclo PHVA (Planear, Hacer, Verificar, Actuar). 3
4.1.2 ITIL
Concepto de ITIL (IT Infrastructure Library, biblioteca de infraestructura de TI).

Marco de referencia que describe un conjunto de mejores prácticas y
recomendaciones para la administración de servicios de TI, con un enfoque de
administración de procesos.
ITIL es un conjunto de mejores prácticas y recomendaciones para la

administración de servicios de TI, con un enfoque de administración de procesos.
ITIL lista una serie de procesos y funciones de libre elección para su implantación
con el objetivo de tener una mejor prestación de los servicios que las áreas de TI
proporcionan a sus usuarios internos y externos.
Ilustración 1 Administración de servicios de TI: integrando gente, procesos y tecnología.
(Juárez, 2014)
3 Sistemas De Gestión De La Calidad – Un Camino Hacia La Satisfacción Del Cliente – Parte I.;
http://qualitytrends.squalitas.com
Historia
En 1987 la CCTA, un organismo del gobierno británico (ahora llamado la OGC)

inició un proyecto llamado GITIMM (Government IT Infrastructure Management
Method), en el cual involucraron a varias firmas de consultoría para investigar y
documentar las mejores prácticas para planear y operar la infraestructura de TI.
Poco después, conforme el proyecto evolucionaba de administración de
infraestructura a administración de servicios de TI, se le cambió el nombre a ITIL.
Como marco de referencia, ITIL se creó como un modelo para la administración de

servicios de TI e incluye información sobre las metas, las actividades generales,
las entradas y las salidas de los procesos que se pueden incorporar a las áreas de
TI.
Desde sus inicios ITIL fue puesta a disposición del público en forma de un
conjunto de libros, de ahí su nombre, para que las organizaciones de todo el
mundo pudieran adoptarlo.
A continuación se hace referencia a los enfoques en los cuales está basada esta
guía de implementación según los ciclos de vida de un servicio.
Fase del Ciclo de Vida: Diseño del Servicio
El diseño del servicio, que sigue a la estrategia del servicio en el ciclo de vida, se
ocupa del diseño y desarrollo de servicios y sus procesos relacionados. No afecta
sólo a los nuevos servicios, sino también a los que han sido modificados. Según
ITIL, el objetivo principal del diseño del servicio es:
El diseño de servicios nuevos o modificados para su paso a un entorno de

producción.
Los objetivos del diseño del servicio incluyen, entre otros:
 Contribuir a los objetivos de negocio.

 Contribuir (en la medida de lo posible) a ahorrar tiempo y dinero.
 Minimizar o prevenir riesgos.
 Contribuir a satisfacer las necesidades presentes y futuras del mercado.
 Evaluar y mejorar la eficacia y la eficiencia de los servicios de TI.
 Apoyar el desarrollo de políticas y estándares para servicios de TI.
Contribuir a mejorar la calidad de los servicios de TI. Para garantizar que los
servicios desarrollados satisfacen las expectativas del cliente es necesario
emprender las siguientes acciones:
 El nuevo servicio se debe añadir desde la fase de concepto de la cartera de
servicios y se debe mantener actualizado durante todo el proceso.
 Los requisitos de nivel de servicio (SLRS) deben quedar claros antes de la
entrega del servicio.
 Tomando como base los SLRS, el equipo de gestión de la capacidad puede
modelar los requisitos dentro de la infraestructura existente.
 La gestión financiera debe participar si se necesita una nueva
infraestructura o se desea un mayor nivel de soporte.
 Antes de iniciar la fase de implementación se debe realizar un Análisis de
Impacto sobre el Negocio (BIA) y una evaluación de riesgo para obtener
información importante sobre Gestión de la Continuidad del Servicio de TI
(ITSCM). Gestión de la disponibilidad: gestión de la capacidad.
 El centro de servicio al usuario debe contribuir a acelerar la entrega de
nuevos servicios antes de su prestación.
 La transición del servicio puede elaborar un plan para la implementación del
servicio.
 Si se van a realizar adquisiciones, debe participar también la gestión de
proveedores.
El diseño de servicios de TI eficaces y eficientes es un proceso que busca el

equilibrio de funcionalidad, recursos disponibles (humanos, técnicos y financieros)
y tiempo disponible con el fin de satisfacer las necesidades y demandas del
negocio. Se trata de un proceso continuo en todas las fases del ciclo de vida de
los servicios de TI.
La fase de diseño del servicio en el ciclo de vida se inicia con la demanda de

requisitos nuevos o modificados por parte del cliente. El proceso de diseño debe
terminar con una solución que satisfaga los requisitos antes de incluir el servicio
en el proceso de transición. Una buena preparación y un uso eficaz y eficiente de
personal, procesos, productos (servicios, tecnología y herramientas) y partners
(las cuatro "p" de ITIL) son fundamentales para el éxito de los proyectos y planes
de diseño.
Los departamentos dependen unos de otros, lo que significa que los servicios de
TI no pueden entrar por separado en las fases de diseño, transición o
implementación. Todos los miembros de la organización deben estar informados
de los componentes subyacentes y de las relaciones existentes en la provisión de
servicios de TI (y los distintos departamentos implicados). Este proceso exige un
planteamiento integral, una buena comunicación y el acceso de todo el mundo a
planes de TI correctos, precisos y actualizados, ya la información apropiada.
Aspectos de diseño de servicio
Para conseguir la máxima calidad posible con un enfoque de mejora continua, la

organización necesita un planteamiento estructurado y orientado a resultados en
cada uno de los cinco aspectos de diseño. En este caso, la orientación a
resultados implica satisfacer los deseos de los clientes/usuarios. Los cinco
aspectos de diseño son los siguientes:
1. Solución del servicio (incluyendo requisitos funcionales, recursos y

capacidades).
2. Cartera de Servicios (herramientas y sistemas de apoyo).
3. Arquitectura (tecnológica y de gestión).
4. Procesos.
5. Métricas y sistemas de medición.
Procesos de ITIL dentro del Diseño del Servicio
Esta sección describe los procesos y actividades del Diseño del Servicio que
proporcionan información importante para el desarrollo de una solución del
servicio nueva o modificada. Un enfoque estructurado, orientado a resultados y
que tenga en cuenta los cinco aspectos de diseño mencionados anteriormente
garantiza la máxima calidad y coherencia en la provisión del servicio en toda la
organización.
Todas las actividades de diseño en esta fase del Ciclo de Vida parten de las
necesidades y demandas del cliente y son un reflejo de la estructura, la
planificación y la política desarrolladas en la Estrategia del Servicio. Cada fase del
Ciclo de Vida produce resultados que se utilizan en la fase siguiente. La Estrategia
del Servicio genera información importante para el Diseño del Servicio, que a su
vez sirve de entrada a la fase de Transición y forma, de hecho, la columna
vertebral del Ciclo de vida del Servicio. Para desarrollar servicios eficaces y
eficientes que satisfagan las necesidades de los clientes es fundamental
incorporar al proceso de Diseño del Servicio los resultados de las demás áreas y
procesos. Los siete procesos fuertemente conectados presentes en la fase de
Diseño del Servicio son:
 Gestión del Catálogo de Servicios.

 Gestión del Nivel de Servicio.
 Gestión de la Capacidad.
 Gestión de la Disponibilidad.
 Gestión de la Continuidad del Servicio deTI (ITSCM).
 Gestión de la Seguridad de la Información.
 Gestión de Suministradores.
A continuación se hace referencia a los procesos de gestión de profundización

para este trabajo:
Gestión de la Disponibilidad
La disponibilidad y la fiabilidad de los servicios de TI tienen una influencia directa

sobre la satisfacción del cliente y la reputación del proveedor de servicios. La
Gestión de la Disponibilidad es por tanto un proceso básico que se debe iniciar lo
antes posible en el Ciclo de vida, al igual que ocurre con la Gestión de la
Capacidad. La Gestión de la Disponibilidad comprende todo el proceso de diseño,
implementación, evaluación, gestión y mejora de los servicios de TI y de sus
componentes. El objetivo de este proceso es garantizar que los niveles de
disponibilidad de los servicios nuevos y modificados corresponden a los niveles
acordados con el cliente. Para ello se pueden utilizar actividades proactivas y
reactivas, como la monitorización y comunicación de las métricas de
disponibilidad. También es necesario mantener el sistema de información de
Gestión de la Disponibilidad, que incluye toda la información necesaria y es la
base del plan de disponibilidad.
Gestión de la Continuidad del Servicio de TI (ITSCM).
La Gestión de la Continuidad del Servicio de TI (ITSCM) desempeña un papel

importante en el soporte de los procesos de planificación de la continuidad del
negocio. Las organizaciones pueden utilizar este proceso como un medio para
llamarla atención sobre los requisitos de continuidad y recuperación, así como
para justificar la decisión de implementar un plan de continuidad del negocio. El
objetivo último de ITSCM es facilitar la continuidad del negocio garantizando la
recuperación de las instalaciones de TI necesarias en el tiempo acordado. El
proceso se centra en situaciones que se pueden considerar desastrosas
(catástrofes), especialmente en asuntos que afectan a los procesos de negocio.
En el caso de catástrofes de menor importancia se utiliza el proceso de Gestión de
Incidencias.4
4.1.3 Sistema de gestión de servicio ISO/EIC 20000
Comparando la gestión habitual de las tecnologías de la información con otras

áreas de la empresa, podremos encontrar que, en las más avanzadas, existen
modelos de gestión firmemente establecidos que las hacen parecerse al modelo
de una orquesta sinfónica en la que, si bien cada músico es un excelente
4Fundamentos de la gestión de servicios de TI basada en ITIL V3, Fase del ciclo de vida: Diseño
del servicio.
especialista en su instrumento, es en la interpretación del concierto cuando la
orquesta demuestra su auténtico valor actuando como un todo. En cambio, las
áreas que gestionan sistemas tecnológicos han puesto tradicionalmente el foco en
el conocimiento y dominio de la tecnología. Es esencial y obvio que se necesitan
buenos técnicos para el diseño, la construcción y el mantenimiento del hardware y
del software. Sin embargo, la situación actual refleja que el control de la técnica,
aunque totalmente imprescindible, no es suficiente para satisfacer todo lo que la
empresa demanda de las áreas de TI. Queda una importante asignatura pendiente
que, por más que se invierta en tecnología y en técnicos, no se consigue resolver:
actuar perfectamente engranados, todos juntos y bien coordinados para conseguir
un fin común: ser cada vez más eficientes en costes y capaces de evolucionar con
la agilidad típica del “ecosistema” Internet (objeto de deseo de todos los negocios
para sus áreas de TI). Los responsables de los departamentos de TI deben
responder a importantes desafíos: la eficiencia en costes, la calidad, el
cumplimiento de plazos, la agilidad y la satisfacción de los clientes y usuarios
están entre ellos. La gestión de las TI debe evolucionar desde los modelos
artesanales hacia formas de hacer más industrializadas. Implementar formas de
trabajo repetibles, mejorando la calidad de lo construido, la fiabilidad de los
servicios o aumentando la capacidad de “producción” de la organización, todo ello,
dentro de un nuevo entorno más fluido en las relaciones y que genere menos
estrés en las personas. En esta evolución, las buenas prácticas sectoriales
recogidas en las Normas ISO/IEC 20000, en los libros ITIL, en otras normas y
marcos de referencia, marcan el camino a recorrer para alcanzar la excelencia en
la gestión de las TI.5
4.1.4 Análisis de Impacto del Negocio (BIA)
La fase de Análisis de Impacto del Negocio BIA (Bussiness Impact Analysis) Por
sus siglas en inglés), permite identificar con claridad los procesos misionales de
cada entidad y analizar el nivel de impacto con relación a la gestión del negocio.
Como se ha venido mencionando, cada entidad debe disponer de un documento
que permita identificar todas las áreas críticas del negocio y sea un instrumento
para garantizar la medición de la magnitud del impacto operacional y financiero de
la entidad, al momento de presentarse una interrupción. El análisis de impacto del
negocio, debe poder clarificar los siguientes requerimientos:
 Identificar las funciones y procesos importantes para la supervivencia de la

entidad al momento de la interrupción, esto es tener en cuenta cuales de
los procesos son claves para que entren en operación rápidamente
asignándoles la mayor prioridad posible, frente a los de menor prioridad;
5 ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la
información, AENOR Asociación Española de Normalización y Certificación.
debe quedar claro que para los procesos identificados como no tan
prioritarios se deben preparar también planes de recuperación.
 Revisar las consecuencias tanto operacionales como financieras, que una
interrupción tendrá en los procesos considerados de alta prioridad.
 Estimar los tiempos de recuperación, en razón a las posibles alteraciones
de los procesos considerados de alta prioridad para el funcionamiento de
las infraestructuras de TI. Al final el entregable de esta fase es un informe
con el detalle de las funciones y procesos críticos del negocio. Este
documento debe contener la información básica de los recursos requeridos
y los tiempos de recuperación para que las entidades puedan poner en
funcionamiento los servicios y por ende la continuidad del negocio.6
Requerimientos de tiempo de recuperación en un servicio
Como parte del plan de continuidad del negocio de una organización, es

importante poder definir y entender los requerimientos de tiempo necesarios para
recuperar a las entidades de servicios que han sido interrumpidos por diferentes
motivos dentro de la organización; estos requerimientos obedecen a varios
componentes que hacen referencia concreta al tiempo disponible en la cual una
organización puede recuperarse oportuna y ordenadamente a las interrupciones
en los servicios e infraestructuras de TI. Los componentes se describen a
continuación:7
 MTD (Maximun Tolerable Downtime): o Tiempo Máximo de Inactividad

Tolerable. Espacio de tiempo durante el cual un proceso puede estar
inoperante hasta que la empresa empiece a tener pérdidas y colapse.
 RTO (Recovery Time Objective): o Tiempo de Recuperación Objetivo. Es el
tiempo transcurrido entre una interrupción y la recuperación del servicio.
Indica el tiempo disponible para recuperar sistemas y recursos
interrumpidos.
 RPO (Recovery Point Objective): o Punto de Recuperación Objetivo. Es el
rango de tolerancia que la entidad puede tener sobre la pérdida de datos y
el evento de desastre.
 WRT (Work Recovery Time): Es el tiempo invertido en buscar datos
perdidos y la realización de reparaciones. Se calcula como el tiempo entre
la recuperación del sistema y la normalización de los procesos.
6https://www.mintic.gov.co/gestionti/615/articles-5482_G11_Analisis_Impacto.pdf
7Alexander, Alberto. 2007., Diseño de un Sistema de Gestión de Seguridad de Información, pág.
74.
5. CAPITULO 2. MARCO INSTITUCIONAL
5.1.1 Plataforma estratégica de la empresa iQ Outsourcing S.A.S.
Somos una compañía con 18 años de experiencia en la implementación de

soluciones integrales para la gestión efectiva y segura de procesos
transaccionales de información de grandes organizaciones pertenecientes a los
sectores, financiero, salud, asegurador y telecomunicaciones.
Durante los últimos años nos hemos posicionado como un equipo clave dentro de
la evolución de la industria del BPO gracias a que nuestra propuesta va más allá
de ofrecer un servicio para operar procesos tercerizables. En iQ entendemos que
la complejidad de los procesos es directamente correlacionada al crecimiento de la
organización, es por esto que nos enfocamos a implementar soluciones de
principio a fin donde hacemos una gestión, transformación y análisis de la
información del proceso para su uso acertado en temas relevantes del negocio.
Esto se convierte en la mejor propuesta para lograr desarrollar y potencializar
junto a nuestros clientes un entorno de procesos EFICAZ, SEGURO, OPORTUNO
y CONFIABLE. Hemos incorporado en cada una de nuestras soluciones lo que
consideramos una combinación perfecta entre tecnología de punta, información
inteligente y una selección acertada de talento humano, que permite forjar
relaciones a largo plazo con cada uno de nuestros clientes y encontrar con ellos
mejores formas de hacer las cosas.
Hechos que crean valor:
 El margen de riesgo materializado en nuestras soluciones es menor a 1%

anual.
 Nuestras soluciones están soportadas por la eficiencia de más 10 software
desarrollados por iQ, certificados y calificados por Colciencias como
productos de innovación tecnológica con un alto contenido nacional.
 Contamos con cobertura nacional completa gracias a nuestros 13 centros
de procesamiento distribuidos a lo largo del territorio colombiano.
Equipo Humano
Contar con un equipo creativo, especializado y que le encantan los retos es uno
de nuestros más grandes atributos del cual nos sentimos completamente
orgullosos.
Saber cómo potencializar esa capacidad en la relación con cada uno de nuestros
clientes sólo se logra con un equipo de líderes de primera:
Santiago Aldana: Presidente
Yesid Upegui: Gerente BPO & CTO
Consuelo Albornoz: Gerente Vertical Salud
Claudia Martin: Gerente Vertical Financiera8
5.1.2 Políticas y principios de iQ Outsourcing S.A.S.
Misión
Gerenciar procesos transformando transacciones y documentos en bases de
datos inteligentes con lo último en tecnología y seguridad.
Visión
Ser líder en Latinoamérica al 2017 en la gestión del procesamiento de
transacciones y documentos.9
5.1.3 Líneas de servicios y/o productos
En iQ diseñamos e implementamos soluciones inteligentes y a la medida para

entidades que pertenecen principalmente a los sectores, financiero, salud y
telecomunicaciones, a través de la prestación de servicios especializados de
gestión y administración de procesos que requieren integrar múltiples jugadores,
contienen grandes volúmenes de transacciones e involucran el manejo de
información sensible.
Hemos incorporado en cada una de nuestras soluciones lo que consideramos una

combinación perfecta entre tecnología de punta, información inteligente y una
selección acertada de talento humano, que permite forjar relaciones a largo plazo
con cada uno de nuestros clientes y encontrar con ellos mejores formas de hacer
las cosas.
8 http://www.iq-online.com/acerca-de-iq/
9
http://intranet/areas/sistemadegestion/Registros/Gestin%20Humana%20A1/Forms/GestionHumana
.aspx
Ilustración 2 Soluciones, servicios y procesos sector salud iQ Outsourcing S.A.S.
10
www.iq-online.com
Ilustración 3 Soluciones, servicios y procesos sector financiero iQ Outsourcing S.A.S.
www.iq-online.com
10 http://www.iq-online.com/soluciones/
Ilustración 4 Soluciones, servicios y procesos sector Derivados iQ Outsourcing S.A.S.
www.iq-online.com
Ilustración 5 Soluciones, servicios y procesos sector Fondos de Pensiones iQ Outsourcing S.A.S.
www.iq-online.com
Ilustración 6 Soluciones, servicios y procesos sector Telecomunicaciones iQ Outsourcing S.A.S.
www.iq-online.com
Ilustración 7 Soluciones, servicios y procesos sector Aseguradoras iQ Outsourcing S.A.S.
www.iq-online.com
Ilustración 8 Soluciones, servicios y procesos sector BPO iQ Outsourcing S.A.S.
www.iq-online.com
6. CAPITULO 3. METODOLOGÍA
6.1.1 Metodología del análisis de impacto del negocio
La metodología del Análisis de Impacto del Negocio, consiste en definir una serie
de pasos interactivos con el objeto de identificar claramente los impactos de las
interrupciones y tomar decisiones respecto a aquellos procesos que se consideran
críticos para la organización y que afectan directamente el negocio ante la
ocurrencia de un desastre, estos pasos se muestran en esta ilustración.
Ilustración 9 Pasos para Análisis de Impacto del Negocio.
Hiles, Andrew. 2004, Bussines Continuity: Best Practices, Connecticut: Rothstein Associates, Inc
6.1.2 Métodos para la obtención de información
Es recomendable que las entidades posean un método estructurado que facilite la

obtención de la información requerida, según (Hiles, 200411), se debe disponer de
encuestas, entrevistas y talleres.
Encuesta: Conjunto de preguntas que se envían a las distintas entidades de la

organización.
11 Hiles, Andrew. 2004, Bussines Continuity: Best Practices, Connecticut: Rothstein Associates, Inc.
Entrevistas: La información del Análisis de Impacto del Negocio (BIA), se obtiene
personalmente, entrevistando a una o más personas. La información detallada
puede obtenerse creando preguntas para cada entrevista, de acuerdo a las
necesidades de la organización que hace las preguntas.
6.1.3 Mapa de Calor
El mapa de calor es una herramienta útil, eficaz y amigable en la gestión de

riesgos. Quizá por eso, es una de las más populares y conocidas en la práctica del
Risk Management. En primer lugar, permite visualizar de una manera rápida la
probabilidad de los riesgos y su intensidad, en caso de que estos se materialicen.
Mediante su creación podremos tener una información rápida, intuitiva y eficaz de

la realidad de los riesgos.
Su enorme capacidad como herramienta de comunicación es una de sus grandes

ventajas. Por este motivo, puede servir como incentivador para que las personas
implicadas actúen en el tratamiento de un determinado riesgo.
Otra de sus ventajas, es la de facilitar el seguimiento del desempeño en la gestión

de riesgos. Mediante la comparación de mapas creados en diferentes etapas
podremos ver la evolución de los riesgos.
El nivel de detalle dependerá del uso que se vaya a dar. Para comunicar, quizá
sea suficiente con que diferentes familias de riesgos se agrupen para transmitir de
una manera clara el volumen total. En otras ocasiones, y cuando se realizan para
la planificación o diseño estratégico del tratamiento de los riesgos, es necesario ir
al detalle; incluso separando uno por uno.
Se representa en formato de matriz con dos ejes. En las ordenadas, la

probabilidad de ocurrencia y, en el de las abcisas, el impacto que un riesgo tendría
a la hora de materializarse. Cuanto mayor sea tanto la intensidad, como la
probabilidad de ocurrencia, tendrá un mayor importancia y debería eliminarse,
tratarse o aceptarse en función del apetito de riesgo.
No debemos olvidar que el mapa solo sirve para darnos una imagen
correspondiente a un determinado momento y bajo unas determinadas
circunstancias; por tanto, es una herramienta para la gestión y su creación no es
un fin en sí mismo. Una vez creado debemos tratar y trabajar los diferentes
riesgos que sobre el mapa se han plasmado.12
12 https://gerenciaderiesgos.es/el-mapa-de-calor-en-la-gerencia-de-riesgos/
Ilustración 10 Mapa de Calor.
6.1.4 Análisis y evaluación de impacto de operaciones y servicios
Teniendo en cuenta los elementos operacionales de la organización, se requiere

evaluar el nivel de impacto de una interrupción dentro de la Entidad. El impacto
operacional permite evaluar el nivel negativo de una interrupción en varios
aspectos de las operaciones del negocio; el impacto se puede medir utilizando un
esquema de valoración, con los siguientes niveles: A, B o C.
Nivel A: La operación es crítica para el negocio. Una operación es crítica cuando

al no contar con ésta, la función del negocio no puede realizarse.
Nivel B: La operación es una parte integral del negocio, sin ésta el negocio no
podría operar normalmente, pero la función no es crítica.
Nivel C: La operación no es una parte integral del negocio.

La tabla siguiente muestra un ejemplo con los niveles de criticidad en una Entidad,
que contempla un sistema de tolerancia a fallas por horas, cuya propiedad permite
que un sistema pueda seguir operando normalmente a pesar de que una falla
haya ocurrido en alguno de los componentes del sistema; por lo tanto la tolerancia
a fallas es muy importante en aquellos sistemas que deben funcionar todo el
tiempo.13
13 https://www.mintic.gov.co/gestionti/615/articles-5482_G11_Analisis_Impacto.pdf
Ilustración 11 Valoración operacional y servicios por niveles de criticidad.
6.1.5 Diseño de Ingeniería
GUIA PARA LA IMPLEMENTACIÓN DEL ANALISIS DE IMPACTO AL NEGOCIO

(BIA) BASADO EL LA APLICACACIÓN DE BUENAS PRACTICAS ITIL Y LA
NORMA ISO/EIC 20000-1:2011 EN LA EMPRESA IQ OUTSOURCING S.A.S DE
BOGOTA. En consecuencia de los objetivos planteados y el diagnostico obtenido
se estructurara la guía de implementación sobre uno de los servicios prestados
por la compañía de tal manera que este sirva como punto de referencia de análisis
BIA para los servicios y procesos faltantes.
En primera instancia se realiza un levantamiento de información de infraestructura

TI que soporta el servicio, para esta guía servicio GIPO, cada proceso o servicio
debe contar con un diagrama técnico y un diagrama de procesos.
Para dar claridad sobre este servicio se hace una breve descripción:
GIPO es una solución WEB que permite gestionar procesos operativos y

administrativos de los diferentes canales de oficinas, ejecutivos y/o centros
operativos del banco. Esta herramienta permite el diligenciamiento y cuadre del
formato DOE (Declaración de Operaciones en Efectivo) y el formato IDO (Informe
Diario de Operaciones), Acuse de Recibo Token persona natural para clientes
nuevos, arqueos de efectivo y acta de entrega de sellos Portal GIPO, TRF (tarjeta
de registro de firmas) y Hoja de Vida a través del portal GIPO (Gestión Integral de
Procesos Operativos) de forma automática.
Ilustración 12 Diagrama técnico de servicio GIPO.
www.iq-online.com
Una vez se tiene el diagrama técnico se realiza un listado de activos por

componente, servicio y características de los mismos, esto con el fin de tener
identificados los posibles escenarios de falla y así identificar cual es el impacto
que genera al negocio y el orden de recuperación en caso de que la afectación
sea en 2 o más elementos.
Es de tener en cuenta que el análisis BIA realizado abarca únicamente

infraestructura de la compañía, si hay servicios que dependen de infraestructura
del cliente al cual se le presta el servicio la compañía no tiene responsabilidad
sobre las estrategias de contingencia, recuperación y la afectación que esta pueda
generar.
A continuación se listan los componentes TI que soportan el servicio:
Tabla 1 Componentes de infraestructura del servicio.
Componente Servicio Características

AZURE
Servidor Portales 2 servidores en balanceo
Balanceador Portales
Cache Portales Cache en Redis
Autenticación Directorio
Directorio Activo Activo Federación
Servidor BD Bases de Datos 2 Servidores en balanceo
App Fabric 1 Servidor

Integrador
Generador de imágenes
Bus de Azure - mensajes de colas y relay
Relay Integrador Relay Imágenes
Relay Integrador Relay IQDOC
IQ
Davinos BD
DOE Imágenes
SIAF BD, Imágenes
Cliente
Internet Canal de Internet
Autenticación Directorio
Directorio Activo Activo Federación
Mozilla Firefox Versión
Estación cliente Navegador portable
6.1.6 Análisis BIA de servicio GIPO
Una vez identificados los componentes de infraestructura se realiza un análisis de

riesgos con el fin de identificar la cantidad y posibles escenarios de falla que se
pueden presentar y afectar la continuidad del servicio, obtener la calificación del
riesgo (extremo, alto, moderado y bajo) este primer análisis es el riesgo inherente
(riesgo identificado sin ningún tratamiento para su mitigación), posteriormente se
establecen los controles o estrategias de contingencia con los que cuenta cada
uno de los componentes de infraestructura del servicio el resultado de estos es el
riesgo residual.
7. CAPITULO 4. HALLAZGOS
Escenarios de falla
Los siguientes escenarios de falla son los identificados a partir del diagrama de
infraestructura que soporta el proceso y el funcionamiento de cada uno de estos.
Fallas en infraestructura interna administrada por la compañía
No disponibilidad de la infraestructura tecnológica de AZURE

No disponibilidad de la infraestructura tecnológica de Bogotá Palma Real
Falla en servicios de autenticación en aplicaciones SSO (Proceso interno
iQ)
Falla en controladores de dominio (Proceso interno iQ)
Falla en canal de internet iQ
Falla en servidores Imágenes y Bases de datos que soportan el proceso en
iQ (Davinos, DOE, SIAF)
Fallas en plataforma Azure Microsoft (Proveedor)
Falla en servidor del portal

Falla en balanceador
Falla de directorio activo en AZURE (Agente Federación)
Falla en base de datos en AZURE
Falla en APP Fabric – integrator – Generador de imágenes
Falla en servicio de relay imágenes
Falla en servicio de relay IQDoc
Falla en canal de internet de Davivienda
Grafica 1 Cantidad de escenarios de falla identificados.
Escenarios de falla en la
infraestuctura
10 8
8 6
6
4
2
0
Fallas en infraestructura Fallas en plataforma Azure
interna administrada por la Microsoft (Proveedor)
compañía
# de Fallas
Realizado por Brian Caro.
Parámetros del análisis BIA y matriz de Riesgos
 Parámetros del Riesgo
Tabla 2 Tipo de Riesgo / Evento.
Tipo de Riesgo / Evento Descripción

Son aquellos actos que de forma intencionada buscan defraudar o apropiarse
Fraude Interno indebidamente de activos de la compañía o incumplir normas o leyes, en los que
está implicado, al menos, un empleado o administrador de la compañía
Actos realizados por una persona externa a la compañía, que buscan defraudar,
Fraude Externo
apropiarse indebidamente de activos de la misma o incumplir normas o leyes
Actos que son incompatibles con la legislación laboral, con los acuerdos internos de
Relaciones Laborales
trabajo y, en general, la legislación vigente sobre la materia
Fallas negligentes o involuntarias de las obligaciones frente a los clientes y que
Clientes
impiden satisfacer una obligación profesional frente a éstos
Daños a activos físicos Pérdidas derivadas de daños o perjuicios a activos físicos de la compañía
Interrupción del negocio por fallas en la tecnología de información; Pérdidas
Fallas tecnológicas
derivadas de incidentes por fallas tecnológicas
Deficiencias en la ejecución de procesos, en el procesamiento de operaciones y en
Ejecución y administración de
las relaciones con proveedores y terceros; pérdidas derivadas de errores en la
procesos
ejecución y administración de los procesos
Tabla 3 Factor de Riesgo
Factor de Riesgo Descripción

Son eventos asociados a la fuerza de la naturaleza u ocasionados por terceros, que
se escapan en cuanto a su causa y origen al control de la entidad. Existen factores
de riesgo en eventos externos cuando hay fallas relacionadas con:
Eventos Externos - Fallas en los servicios públicos.
- Ocurrencia de desastres naturales.
- Atentados.
- Otros actos delictivos.
Es el conjunto de elementos de apoyo para el funcionamiento de una organización.

Infraestructura
Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y transporte
Existen factores de riesgo en los procesos cuando hay fallas en:

- Definición de políticas y procedimientos.
- Estandarización, formalización, actualización y divulgación de
procesos.
Procesos
- Definición de objetivos , límite y alcance de los procesos.
- Segregación de funciones.
- Definición de indicadores de gestión.
- Actividades de mejoramiento y su seguimiento.
Existen factores de riesgo en el recurso humano cuando hay fallas tales como:
- Falta de personal adecuado.
Recursos Humanos - Error Humano.
- Inapropiadas relaciones interpersonales y ambiente laboral desfavorable.
- Falta de especificaciones claras en los términos de contratación de personal.
Es el conjunto de herramientas empleadas para soportar los

procesos de la entidad. Incluye: hardware, software y telecomunicaciones.
Existen factores de riesgo en la tecnología cuando hay fallas relacionadas con:
- Operaciones de Tecnología de Información.
Tecnología - Servicios y recursos provistos por terceros.
- Administración de la seguridad de información.
- Continuidad de las operaciones.
- Adquisición, desarrollo e implementación de las aplicaciones.
- Infraestructura tecnológica.
Tabla 4 Clasificación del Riesgo.
Clasificación del Riesgo Descripción

La posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en la
Proyecto
gerencia de los proyectos
Estratégico
planeación estratégica o en la gestión de los clientes
Financiero
gestión financiera
La posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el
Información
manejo adecuado de la información
La posibilidad de incurrir en pérdidas por eventos de personas, procesos y
Continuidad del Negocio tecnología que puedan afectar la disponibilidad de los procesos, impactando el
cumplimiento de ADSs o deteniendo dichos procesos
La posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el
Operativo recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia
de acontecimientos externos
Tipo de riesgo donde cabe la posibilidad de incurrir en pérdidas por sanciones o por
Legal obligación a indemnizar daños como resultado del incumplimiento de normas o
regulaciones y obligaciones contractuales
Tipo de riesgo donde existe la posibilidad de incurrir en pérdidas por desprestigio,
mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus
Reputacional
prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o
procesos
Tabla 5 Categoría del Riesgo.
Categoría del Riesgo Descripción

General El riesgo es inherente a la operación de más de uno de los procesos de la compañía
El riesgo se genera únicamente en la ejecución de un proceso particular de la
Específico
compañía
 Parámetros de Probabilidad del riesgo
Tabla 6 Probabilidad de ocurrencia del riesgo.
Probabilidad Descripción procesos operativos Descripción proyectos %
- Puede ocurrir más de una vez al mes

Se espera que ocurra más de una vez
Muy Alta - Se espera la ocurrencia del evento en >= 90%
en el proyecto
más del 15% de los casos
- Se presenta al menos una vez cada

trimestre Podría ocurrir en el proyecto al menos
Alta >=75% y < 90%
- Se espera la ocurrencia del evento una vez
entre el 10% y 15% de los casos
- Se presenta al menos una vez cada

año
Moderada Podría ocurrir en algún momento >= 35% y < 75%
- Se espera la ocurrencia del evento
- Se presenta en los procesos de

manera esporádica Ocurrirá sólo en circunstancias
Baja >=5% y < 35%
- Se espera la ocurrencia del evento excepcionales
- Se ha presentado en alguna ocasión

en los últimos 3 años
Muy Baja No se espera que ocurra en el proyecto < 5%
- Se espera la ocurrencia del evento en
menos del 2% de los casos
 Parámetros de impacto del riesgo
Tabla 7 Impacto que genera la materialización del riesgo.
Impacto Personas Económico Procesos e Riesgo Reputacional / Socio - Ambiental

Información Legal
Insignificante - Indisponibilidad de - No hay pérdidas - Afecta el - No afecta la imagen - Ningún impacto
menos del 10% de económicas desarrollo de los de la entidad ante social o
personal no crítico - No se generan procesos, sin clientes y/o entes de medioambiental
- Lesiones sin sobrecostos en la incumplir ADS control
incapacidad pero operación internos ni externos - Difusión interna sólo
que requieren -Error u omisión a nivel de proceso o
atención de menor equipo de trabajo
primeros auxilios o - Genera reprocesos - Inquietudes por
tratamiento médico insignificantes parte de
fácilmente colaboradores que no
absorbidos por la afectan el clima
operación del día a laboral
día - No hay
- No afecta la incumplimiento
seguridad de la contractual o legal
información
- La indisponibilidad
o tiempos de
inactividad no
afectan la operación
Menor - Indisponibilidad de - Las pérdidas - Afecta ADS - Afecta mínimamente - Contaminación
entre el 10% y el económicas no internos pero no la imagen de la puntual sin
20% de personal no afectan la externos entidad ante clientes consecuencias para
crítico rentabilidad -Error u omisión y/o entes de control el ambiente
- Lesiones con general del servicio moderado - Difusión interna a - Impacto social
incapacidad parcial / cliente o la - Genera reprocesos nivel general en la menor
temporal (trabajo afectan en menos menores empresa
restringido) del 10% del EBITDA - Podría causar un - Inquietudes por
- Los sobrecostos impacto menor y parte de
de la operación son fácilmente colaboradores o
absorbidos con el reparable en la proveedores que
personal y la seguridad de la afectan el clima
infraestructura información laboral de la
existente en el - La indisponibilidad organización
proceso afecta la operación, - No hay
pero se continúa el incumplimiento
proceso contractual o legal,
pero se generan
quejas del cliente
Moderado - Indisponibilidad de - Las pérdidas - Afecta el ADS del - Afecta - Daño ambiental
menos del 10% de económicas se cliente pero las medianamente la leve recuperable en
cargos críticos o encuentran dentro consecuencias son imagen de la entidad el corto plazo
entre el 20% y el de los límites de absorbidas por la ante clientes y/o - Impacto social
40% de personal no riesgo operación entes de control moderado
crítico materializado para -Error u omisión - Cobertura adversa
- Lesiones con el proceso o sensible puntual en medios a
incapacidad total afectan el EBITDA - Genera reprocesos nivel local
temporal entre un 10% a un moderados - Inquietudes por
20% - Genera impacto en parte de los grupos de
- Los sobrecostos la seguridad de la interés
en la operación información, pero - Pueden existir no
requieren de se puede reparar conformidades y/u
personal o internamente observaciones
infraestructura - La indisponibilidad contractuales o
existente en otros afecta la operación legales, pero no se
procesos y se requiere el generan sanciones o
apoyo de otros multas
procesos
Mayor - Indisponibilidad - Las pérdidas - Afecta el ADS del - Afecta altamente la Daño ambiental
entre el 10% y el económicas se cliente, con imagen de la entidad significativo
20% de cargos encuentran por impactos legales ante clientes y/o recuperable a
críticos o de entre el fuera de los límites -Error u omisión entes de control mediano plazo
40% y 60% de de riesgo grave - Cobertura adversa - Impacto social
personal no crítico materializado o o - Genera reprocesos de amplia difusión en mayor
- Lesiones con afectan el EBITDA mayores medios a nivel
incapacidad parcial entre un 20% a un - Pérdida de regional o local en el
o total permanente 50% información crítica país y en redes
- Los sobrecostos que no se puede sociales
en la operación recuperar - Pérdida grave o
requieren recursos - Acceso indebido a disminución sensible
adicionales a los la información del del apoyo o
existentes en la negocio, credibilidad de
compañía incumpliendo algunos de los grupos
acuerdos de interés
contractuales - Sanción o Multa
-Interrupción del incumplimientos
proceso que contractuales /
requiere la normativos
ejecución de planes (confidencialidad,
de continuidad fraudes, calidad).
Superior - Indisponibilidad de - Las pérdidas - Afecta - Afecta gravemente Daño ambiental
más del 20% de económicas por severamente el la imagen de la grave no
cargos críticos o de cualquier motivo acceso y la entidad ante clientes recuperable, o
más del 60% de deben ser seguridad de la y/o entes de control recuperable a largo
personal no crítico cubiertas mediante información - Cobertura adversa plazo
- Lesiones fatales transferencia a - Error u omisión de amplia difusión en - Impacto social
pólizas o o afectan severo medios a nivel grave
el EBITDA en más - Genera alto nivel nacional,
de un 50% de reprocesos internacional y redes
- Exposición externa sociales
o interna de la - Pérdida grave del
información del apoyo o credibilidad
negocio, de todos los grupos
incumpliendo de interés
acuerdos - Intervención o
contractuales y cierre parcial o total
normativos por parte de entes de
- Interrupción del control que impida la
proceso que no operación
puede ser asumida - Incumplimientos
por la operación y contractuales o
debe ser transferida normativos que lleven
mediante pólizas a tribunales de
arbitramento
Análisis de los escenarios de falla a partir de parámetros de riesgo.
Tabla 8 Análisis de Riesgos de servicio.
Id Actividad / Descripción del Riesgo / Tipo de Riesgo / Factor de Clasificación del Categoría
Riesgo Componente Evento Evento (1) Riesgo (1) Riesgo del Riesgo
La actividad / El … puede generar el riesgo … que se … y es
componente / El … cataloga como generado por
elemento… un riesgo de …
R1 Infraestructura Azure No disponibilidad de la Fallas Tecnología Continuidad del General
infraestructura tecnológicas Negocio
tecnológica de AZURE
R2 Data center iQ No disponibilidad de la Fallas Tecnología Continuidad del General
infraestructura tecnológicas Negocio
tecnológica de Bogotá
Palma Real
R3 Aplicación SSO Falla en servicios de Fallas Tecnología Continuidad del General
autenticación en tecnológicas Negocio
aplicaciones SSO (Proceso
interno iQ)
R4 controladoras de Falla en controladores de Fallas Tecnología Continuidad del General
dominio dominio (Proceso interno tecnológicas Negocio
iQ)
R5 Canales de Falla en canal de internet Fallas Tecnología Continuidad del General
comunicación Iq tecnológicas Negocio
R6 Servidores de Falla en servidores Fallas Tecnología Continuidad del Específico
imágenes y bases de Imágenes y Bases de tecnológicas Negocio
datos datos que soportan el
proceso en iQ (Davinos,
DOE, SIAF)
R7 Servidores Web Falla en servidor del Fallas Tecnología Continuidad del Específico
portal tecnológicas Negocio
R8 Balanceador de server Falla en balanceador Fallas Tecnología Continuidad del Específico
tecnológicas Negocio
R9 Directorio Activo Falla de directorio activo Fallas Tecnología Continuidad del Específico
en AZURE (Agente tecnológicas Negocio
Federación)
R10 Bases de datos Falla en base de datos en Fallas Tecnología Continuidad del Específico
AZURE tecnológicas Negocio
R11 Repositorio de Falla en APP Fabric – Fallas Tecnología Continuidad del Específico
imágenes integrator – Generador de tecnológicas Negocio
imágenes
R12 Servicios Windows Falla en servicio de relay Fallas Tecnología Continuidad del Específico
imágenes tecnológicas Negocio
R13 Servicios Windows Falla en servicio de relay Fallas Tecnología Continuidad del Específico
IQDoc tecnológicas Negocio
R14 Canales de Falla en canal de internet Clientes Tecnología Continuidad del Específico
comunicación de Davivienda Negocio
Una vez identificados y establecidos los parámetros de riesgos se obtiene la

valoración del riesgo inherente:
Tabla 9 Valoración de riesgo inherente.
Descripción del Riesgo / Evento Valoración del Riesgo Inherente

Id Riesgo
… puede generar el riesgo …
Probabilidad Impacto Nivel
No disponibilidad de la infraestructura
R1 tecnológica de AZURE Muy Baja Superior Alto
No disponibilidad de la infraestructura
R2 tecnológica de Bogotá Palma Real Baja Superior Extremo
Falla en servicios de autenticación en

R3 aplicaciones SSO (Proceso interno iQ) Moderada Mayor Alto
Falla en controladores de dominio
R4 (Proceso interno iQ) Moderada Moderado Moderado
R5 Falla en canal de internet Iq Moderada Superior Extremo
Falla en servidores Imágenes y Bases de
datos que soportan el proceso en iQ
R6 (Davinos, DOE, SIAF) Baja Moderado Moderado
R7 Falla en servidor del portal Baja Superior Extremo
R8 Falla en balanceador Baja Superior Extremo
Falla de directorio activo en AZURE
R9 (Agente Federación) Baja Mayor Alto
R10 Falla en base de datos en AZURE Alta Mayor Alto
Falla en APP Fabric – integrator –
R11 Generador de imágenes Alta Mayor Alto
R12 Falla en servicio de relay imágenes Muy Baja Menor Bajo
R13 Falla en servicio de relay IQDoc Baja Moderado Moderado
R14 Falla en canal de internet de Davivienda Baja Superior Extremo

Tabla 10 Resultado riesgo Inherentes.
Grafica 2 Valoración de riesgo inherente.
Valoración de riesgo inherente

6
5 5
5
Bajo 1 R12
Cantidad de Riesgos
4
Moderado 3 R4, R6, R13
3
3
Alto 5 R1, R3, R9, R10, R11
2
Extremo 5 R2, R5, R7, R8,
1 R14
1
0
Resultados:
Se identificaron 14 riesgos inherentes que implican y comprometen la

disponibilidad del servicio GIPO.
 5 Extremo
 5 Alto
 3 Moderado
 1 Bajo
Grafica 3 % criticidad del proceso - riesgo inherente.
% de criticidad del proceso Riesgo Inherente
7%
Extremo
21% 36%
Alto
Moderado
Bajo
36%
Realizado por: Brian Caro
 Parámetros de controles del riesgo
Tabla 11 Categoría del control.
Categoría del
Descripción
Control
El control permite mitigar riesgos de más de uno de los
General
procesos de la compañía
El control permite mitigar riesgos en la ejecución de un
Específico
proceso particular de la compañía
Tabla 12 Tipo de control.
Tipo de Control Descripción
Atacan los factores de riesgo para evitar que la amenaza

Preventivo se materialice, es decir, para evitar que el riesgo se
presente
Registran la materialización de la amenaza, es decir, la
Detectivo ocurrencia del riesgo, con el fin de tomar acciones frente
a ello
Actúan directamente en la reducción del impacto y se
Correctivo
complementan con los controles detectivos
Inciden en los factores de riesgo para evitar que la
Disuasivo amenaza se materialice, pero tienen una menor fortaleza
que los preventivos
Tabla 13 Periodicidad en la que se evalúa el control.
Periodicidad del
Descripción
Control
AD-HOC El control se ejecuta cuando se requiere

Diario El control se ejecuta diariamente
Semanal El control se ejecuta semanalmente
Mensual El control se ejecuta mensualmente
Bimestral El control se ejecuta cada 2 meses o seis veces al año
Trimestral El control se ejecuta cada 3 meses o cuatro veces al año
Semestral El control se ejecuta cada 6 meses o dos veces al año
Anual El control se ejecuta una vez al año
Tabla 14 Diseño del control para mitigar el riesgo.
Diseño del Control

Calificación Pertinencia Responsable y forma de ejecución Frecuencia
Adecuado Diseñado para eliminar todas las Quien ejecuta el control posee las La frecuencia del control garantiza
causas o efectos de la situación competencias necesarias para la mitigación oportuna del riesgo y
de impacto. hacerlo de manera adecuada. es razonable teniendo en cuenta la
frecuencia de ejecución de la
Quien ejecuta el control es la actividad.
persona adecuada o es el
responsable principal de la
actividad dentro del proceso
El control es automático.
El control es semiautomático y
durante la ejecución del control se
cuenta con la información
requerida para realizarlo
satisfactoriamente
Parcialmente Diseñado para eliminar algunas Quien ejecuta el control esta Poca frecuencia de ejecución del
Adecuado causas y/o efectos de la medianamente capacitado para control en relación a la frecuencia
situación de impacto. hacerlo. de realización de la actividad que
supone posible materialización de
Quien ejecuta el control no es el eventos o detección inoportuna.
responsable principal de la
actividad controlada, pero Frecuencia de ejecución del control
interviene dentro del proceso e sobredimensionada generando
incide en la actividad cargas operativas innecesarias.
durante la ejecución del control la
información para realizarlo
requiere de intervención de otras
personas
El control es manual y se puede

garantizar o verificar su ejecución
en el momento oportuno
Inadecuado Mal diseñado, no garantiza la La persona que ejecuta el control La frecuencia de ejecución del
mitigación de la situación aun no posee las competencias para control no es suficiente para
cuando este bien realizar esta actividad mitigarlo aun cuando sea
implementado. pertinente y el responsable el
Quien ejecuta el control no es la adecuado.
persona adecuada para ello
durante la ejecución del control
podría no contarse con la
información requerida
El control es manual y no se puede

garantizar o verificar su ejecución
Tabla 15 Calificación de la ejecución del control.
Ejecución del Control

Calificación Resultado del muestreo
Adecuado Más del 80% de las muestras cumplen con los requisitos.
Parcialmente Entre el 60% y el 79 % de las muestras cumplen con los

Adecuado requisitos.
Menos del 60% de las muestras cumplen con los
requisitos.
Inadecuado
El control automático no funciona
Tabla 16 Efectividad del control implementado.
Efectividad del Control

Calificación Eventos materializados
No se presentaron eventos relacionados con las fallas
Adecuado
que el control mitiga.
Parcialmente Se presentaron eventos relacionados con alguna de las

adecuado fallas que el control mitiga
El control presentó eventos por las diferentes fallas que
Inadecuado
el control mitiga
Tabla 17 Valoración del control implementado.
Fortaleza Descripción Valoración
El control o conjunto de controles mitiga de forma Si el diseño, ejecución y efectividad obtienen

Fuerte completa las causas para las cuales fue(ron) calificación de Adecuado, o solo uno de los factores
diseñado(s) obtiene calificación de Parcialmente Adecuado
El control o conjunto de controles mitiga

Si más de uno de los factores obtiene calificación de
Moderado parcialmente las causas para las cuales fue(ron)
Parcialmente Adecuado
diseñado(s)
El control o conjunto de controles no mitiga el Si alguno de los factores obtiene una calificación de
Débil
riesgo Inadecuado
En el punto anterior se realizó toda la identificación de riesgos que pueden generar

una indisponibilidad del servicio, a continuación se realiza el análisis de
estrategias de contingencia y controles que permiten mitigar el impacto de los
riesgos identificados.
Tabla 18 Análisis de estrategias de contingencia y controles.
Caracterización del Control

Id Riesgo/Eve Descripción del Control Categoría del Responsable Tipo de Naturaleza Periodicidad
Control nto Control del control control
Mitigado
C2 R2 El data center principal cuenta General Administrador Disuasivo Semi- Semestral

con componentes redundantes de automático
de hardware y suministro de Infraestructura
energía TI
C3 R3 IQ tiene como método de Específico Administrador Preventivo Semi- Semestral

autenticación una solución SSO de automático
(Single Sign On) la cual es Infraestructura
utilizada en todas las aplicaciones TI
desarrolladas in-house, esta
solución tiene componentes de
Servicios WEB que han sido
organizados por líneas de negocio
y se encuentran distribuidos en
todas las sedes IQ a nivel
nacional, esto permite reutilizar
dichos servicios como
contingencia en caso de tener
fallas en un punto específico,
adicionalmente el segundo
componente corresponde a las
Bases de Datos, se tiene una
principal en la sede Bogotá y a
partir de esta se realiza una
replicación a las demás sedes.
(Pruebas periódicas)
C4 R4 La compañía ha definido una General Administrador Automático Semestral
estrategia distribuida para sus de
controladores de dominio, se Infraestructura
cuenta con 5 servidores a nivel TI
nacional promovidos como
controladores de dominio, la
estrategia de replicación es
automática, las sedes en las
cuales se cuenta con estos
equipos son:
- Bogotá – Servidores principal y

secundario
- Medellín – Servidor secundario
- Cali- Servidor secundario
Con esta configuración cada

controlador está en la capacidad
de autenticar los usuarios del
dominio en una caída total o
parcial de un site.
C5 R5 El servicio de Internet en la General Administrador Preventivo Semi- Semestral
compañía se encuentra de automático
contratado con dos proveedores Infraestructura
independientes (Level 3 - TI
Columbus) y el esquema
manejado es Activo – Activo, sin
embargo en caso de presentarse
algún inconveniente de
disponibilidad en uno de los
enlaces, es requerido realizar un
procedimiento manual que
permite migrar los servicios
afectados al enlace disponible
C6 R6 Los servidores de repositorios de Específico Administrador Preventivo Semi- Diario
imágenes y Bases de datos de automático
cuentan con estrategias de Infraestructura
Backups transaccionales lo que TI
permite tener un
restablecimiento de la operación
en 15 min, de igual manera
cuentan con esquemas cluster en
los server
C7 R7 Para este escenario la Específico Administrador Preventivo Semi- Semestral
infraestructura en Azure cuenta de automático
con un esquema de alta Infraestructura
disponibilidad para el servicio y TI
funcionalidad del portal dado que
esta soportado por dos
servidores en balanceo es decir
que tienen configuraciones
replicadas capaces de realizar el
mismo tipo de trabajo, de modo
que un balanceador se ocupa de
redirigir el tráfico entrante hacia
uno de los servidores disponibles,
si falla uno de los servidores el
servidor disponible recibirá las
peticiones requeridas por los
usuarios en el portal
C8 R8 Para este escenario se realiza Específico Administrador Preventivo Semi- Semestral
validación del componente de la de automático
infraestructura y se procede a Infraestructura
bajar el balanceador y/o TI
modificar DNS
C9 R9 En caso de falla de este Específico Administrador Preventivo Automático AD-HOC

componente de cara al cliente no de
se tendría afectación, ya que el Infraestructura
directorio activo de Azure TI
funciona para la autenticación de
usuarios iQ afectando el acceso al
portal solo a usuarios internos.
Para este escenario se
contemplan dos soluciones para
la falla: 1). El DA en Azure esta
replicado con el DA de Dominio
iQ permitiendo así realizar la
petición de autenticación de
usuarios al DA disponible. 2). Se
realiza reinicio del servicio en DA
en Azure
C10 R10 Para este escenario la Específico Administrador Preventivo Semi- AD-HOC
infraestructura en Azure cuenta de automático
con un esquema de alta Infraestructura
disponibilidad para bases de TI
datos que soportan el portal dado
que esta soportado por dos
servidores de BD en balanceo es
decir que tienen configuraciones
replicadas capaces de realizar el
mismo tipo de trabajo, de modo
que un balanceador se ocupa de
redirigir el tráfico entrante hacia
uno de los servidores disponibles,
si falla uno de los servidores de
BD el servidor disponible recibirá
las peticiones requeridas por los
usuarios en el portal
C11 R11 Se realizan actividades Específico Administrador Correctivo Manual AD-HOC
correctivas en servicio, se reinicia de
servicio y validan configuraciones Infraestructura
TI
C12 R12 Se realizan actividades Específico Administrador Correctivo Manual AD-HOC
correctivas en servicio, se reinicia de
servicio y validan configuraciones Infraestructura
TI
C13 R13 En caso de falla de este servicio el Específico Administrador Correctivo Manual AD-HOC
cual integra la Base de datos de de
Azure a la plataforma de IQ, se Infraestructura
realizara el reinicio de los TI
servicios Relay en Azure y se
validaría su correcto
funcionamiento
C14 R14 El Canal de comunicación es Específico Administrador Preventivo Semi- AD-HOC
administrado por el cliente de automático
Davivienda el cual cuenta con un Infraestructura
canal dedicado por VPN y canal TI
alterno de backup
Tabla 19 Valoración del control que mitiga el riesgo.
Valoración del Control

Riesgo/Evento Fortaleza del
Id Control Mitigado Diseño Ejecución Efectividad Control
C1 R1 Parcialmente
Adecuado Adecuado Adecuado Fuerte
C2 R2 Adecuado Adecuado Adecuado Fuerte
C8 R8 Parcialmente Parcialmente
Adecuado Adecuado adecuado Moderado

Adecuado Adecuado Adecuado Moderado


Los controles o estrategias de mitigación de la materialización del riesgo dan como

resultado los riesgos residuales permitiendo así tener una calificación total de la
criticidad del proceso y el impacto que este puede generar en caso de presentarse
una indisponibilidad del servicio.
Tabla 20 Resultado riesgos residuales
Grafica 4 Nivel de criticidad en porcentaje.
% de criticidad del proceso

0%
7%
14% Extremo
Alto
Moderado
Bajo
79%
Para una adecuada gestión de servicios de TI y el cumplimiento de requisitos de la

norma ISO 20000 se deben administrar y regular los riesgos que impliquen la
disponibilidad y continuidad de los servicios, esto indica que los riesgos
identificados que estén en extremo y alto deben tener controles o estrategias
robustas que permitan reducir la probabilidad de ocurrencia.
Para este servicio se evidencia que un riesgo quedo en nivel Alto generando un
porcentaje considerable a tener en cuenta en cuanto al impacto que puede
generar al materializarse el riesgo.
CONCLUSIONES
La implementación de una guía de análisis BIA en la compañía iQ Outsourcing

S.A.S es de vital importancia para obtener y estructurar una resiliencia óptima para
los servicios y procesos que se puedan ver afectados por fallas en TI, recurso
humano e infraestructura física.
 A partir de los requerimientos solicitados en la norma ISO/IEC 20000 en el

numeral 6.3 que hace énfasis en la gestión de la continuidad y
disponibilidad de los servicios el presente proyecto permitió con un ejemplo
real analizar escenarios de falla del servicio GIPO que afectarían de una u
otra manera la disponibilidad y continuidad del servicio; los tiempos de
recuperación que este debe tener y establecer ALS de disponibilidad.
 Se identificaron cada uno de los componentes que se ven involucrados en
un servicio prestado por la compañía como punto base para los servicios y
procesos faltantes, donde se enumeran características como tipo de
componente, sistema operativo y funciones que desempeñan.
 Por medio de los parámetros y lineamientos de las buenas prácticas de ITIL
se evidencio una mala gestión del diseño del servicio en la compañía el
cual involucra temas de administración de TI en miras a establecer
parámetros de disponibilidad que permitan proporcionar y asegurar la
continuidad en los procesos y servicios que presta la compañía; a partir de
la propuesta ingenieril se parametrizo y diseño el paso a paso y puntos
clave para un adecuado análisis de impacto al negocio con la finalidad de
obtener una escala del proceso o servicio del más al menos crítico
permitiendo así tener una prioridad u orden de recuperación de servicios en
escenarios de falla real.
RECOMENDACIONES
 Realizar un levantamiento de información cobre los procesos y servicios

que tiene cada cliente en la compañía.
 Establecer dentro del presupuesto de cada proyecto un rubro para
robustecer los componentes de infraestructura que me permiten reducir el
riesgo inherente.
 Registrar y actualizar todos los CI en la CMDB (Bases de Datos de la
Gestión de Configuración), (Configuration Management Database).
 Actualizar el catálogo de servicios.
 Monitorear y controlar los SLA de cada servicio de cara al análisis BIA de la
compañía.
 Establecer RPO y RTO para cada uno de los servicios y procesos.
 Solicitar a proveedores críticos tener implementado y documentado planes
de contingencia y continuidad de negocio.
 Establecer con proveedores RTO del servicio contratado por la compañía.
 Realizar un análisis BIA a todos los servicios y procesos prestados por la
compañía.
 Establecer SLA con clientes en cuanto a la disponibilidad de los servicios.
 Involucrar a la alta dirección en los temas de continuidad y disponibilidad de
los servicios y procesos de la compañía.
BIBLIOGRAFIA
Alexander, A. (2007). Diseño de un Sistema de Gestión de Seguridad de

Información, pág. 74. Tesis. Bogotá, Colombia.
Fundamentos de la gestión de servicios de TI basada en ITIL V3, Fase del ciclo de

vida: Diseño del servicio. (2011). ITSM Library.
Hiles, A. (2004). Bussines Continuity: Best Practices. Connecticut: Rothstein

Associates, Inc.
ISO. (2012). Norma técnica colombiana NTC-ISO/22301.
ISO/IEC 20000 Guía completa de aplicación para la gestión de los servicios de

tecnologías de la información. (s.f.). AENOR Asociación Española de
Normalización y Certificación.
ISO/IEC. (2011). Norma técnica colombiana NTC-ISO/IEC 20000-1.
ISO/IEC. (2013). Norma técnica colombiana NTC-ISO/IEC 27001.
Juárez, H. A. (2014). ITIL: ¿qué es y para qué sirve? Magazcitum, Parte 1.
Datos de documento iQ Outsourcing S.A.S. (s.f.). Area financiera, facturación

Clientes-Servicios.
Rodrigo Ricardo Coronado. (2017). Plan de contingencia y continuidad iQ

Outosurcing S.A.S. Bogotá, Colombia.
Comunicaciones, M. d. (s.f.). mintic. Obtenido de

https://www.mintic.gov.co/gestionti/615/articles-
5482_G11_Analisis_Impacto.pdf
iQ Outsourcing.com. (s.f.). Obtenido de iq-online.com: http://www.iq-

online.com/acerca-de-iq/
Ruano, S. (s.f.). gerenciaderiesgos.es. Obtenido de

https://gerenciaderiesgos.es/el-mapa-de-calor-en-la-gerencia-de-riesgos/
C., R. J. (s.f.). Sistemas De Gestión De La Calidad – Un Camino Hacia La

Satisfacción Del Cliente – Parte I. Recuperado el 22 de Marzo de 2017, de
http://qualitytrends.squalitas.com

2017 Caro Guia Implementacion BIA ITIL ISO20000 IQOutsourcing

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

2017 Caro Guia Implementacion BIA ITIL ISO20000 IQOutsourcing

Cargado por

Copyright:

Formatos disponibles

GUIA PARA LA IMPLEMENTACIÓN DEL ANALISIS DE IMPACTO AL

NEGOCIO (BIA) BASADO EN LA APLICACACIÓN DE BUENAS PRACTICAS

UNIVERSIDAD COOPERATIVA DE COLOMBIA

Modalidad de grado Seminario de perfeccionamiento

UNIVERSIDAD COOPERATIVA DE COLOMBIA (UCC)

NOTA DE ACEPTACIÓN ......................................................................................... 7

ILUSTRACIÓN 1 ADMINISTRACIÓN DE SERVICIOS DE TI: INTEGRANDO GENTE, PROCESOS

TABLA 1 COMPONENTES DE INFRAESTRUCTURA DEL SERVICIO. ........................................ 38

GRAFICA 1 CANTIDAD DE ESCENARIOS DE FALLA IDENTIFICADOS. ..................................... 40

Bogotá, Junio, 2017

Acuerdo de nivel de servicio

Análisis del impacto del negocio (BIA)

Componente del servicio

Gestión del servicio

Plan de Continuidad de Negocio

Plan de recuperación operativa (PRO) o (BCP)

Punto objetivo de recuperación (RPO - Recovery Point Objetive)

Sistema de Gestión de Seguridad de la Información SGSI

Sistema de Gestión del servicio SGS

Tiempo objetivo de recuperación (RTO — Recovery Time Objetive)

El siguiente proyecto propone una guía para la implementación del análisis de

Capítulo 1. Marcos de referencia

Capítulo 2. Marco institucional

En este capítulo se hace referencia a todos los aspectos de la compañía como

En este capítulo se en marcan los métodos de obtención de información para el

Chapter 1. Reference frames

Chapter 2. Institutional framework

La gestión del plan de impacto del negocio en las entidades prestadoras de

Las compañías deben monitorear permanentemente e identificar las amenazas

La implementación del plan de continuidad de TI, se enfoca en establecer

Así mismo, el análisis de impacto de negocios (BIA) debe convertirse en una

Para la compañía iQ Outsourcing S.A.S es de vital importancia llevar acabo el

GUIA PARA LA IMPLEMENTACIÓN DEL ANALISIS DE IMPACTO AL NEGOCIO

2. DESCRIPCIÓN DEL PROBLEMA

La compañía cuenta con un plan de contingencia y continuidad de negocio

2.1 FORMULACIÓN DEL PROBLEMA

iQ Outsourcing S.A.S es una compañía líder en el sector del BPO (Business

La compañía presta 63 servicios a 31 clientes1, servicios y procesos que tienen

La realización de la guía de implementación de este trabajo está contemplada y

1 Dato de documento iQ Outsourcing S.A.S de facturación Clientes-Servicios.

2.2 JUSTIFICACIÓN DEL PROBLEMA

Actualmente la compañía maneja un esquema de disponibilidad de servicios y

El desarrollo de este trabajo está enfocado al diseño de una guía de

De esta manera se manejaran y trabajaran los conceptos manejados en ITIL en

2 Documento de estrategia de continuidad de negocio iQ Outsourcing S.A.S. (Anexo 1).

3.1 OBJETIVO GENERAL

3.2 OBJETIVOS ESPECÍFICOS

 Analizar las condiciones actuales de la estrategia de continuidad de negocio

4. CAPITULO 1. MARCOS DE REFERENCIA

4.1 MARCO TEÓRICO

4.1.1 Sistema de Gestión

Otra manera de definir un Sistema de Gestión de la Calidad, es descomponiendo

Gestión: Es la acción o efecto de hacer actividades para el logro de un negocio o

La Estructura Organizacional es la jerarquía de funciones y responsabilidades que

La Planificación constituye al conjunto de actividades que permiten a la

 ¿A dónde queremos llegar?

Los Procesos son el conjunto de actividades que transforman elementos de

Todos estos elementos descritos anteriormente, están relacionados entre sí (de

Concepto de ITIL (IT Infrastructure Library, biblioteca de infraestructura de TI).

ITIL es un conjunto de mejores prácticas y recomendaciones para la

Ilustración 1 Administración de servicios de TI: integrando gente, procesos y tecnología.

En 1987 la CCTA, un organismo del gobierno británico (ahora llamado la OGC)

Como marco de referencia, ITIL se creó como un modelo para la administración de