Documentos de Académico
Documentos de Profesional
Documentos de Cultura
BITÁCORA DE MODIFICACIONES..........................................................................................................................3
CAPÍTULO I. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO..........................................................................4
I.1 Antecedentes.....................................................................................................................................................4
I.2 Objetivo del Documento...................................................................................................................................4
I.3 Alcance.............................................................................................................................................................4
I.4 Base Legal........................................................................................................................................................5
I.5 Marco Referencial Interno................................................................................................................................5
I.6 Responsables.....................................................................................................................................................5
I.6.1 Responsables de Cumplimiento....................................................................................................................5
I.6.2 Responsables de Revisión y Periodicidad de Actualización.........................................................................6
I.1 Antecedentes
La norma internacional ISO 27002 define de manera general en su punto 14.1 que “un proceso de
gestión de la continuidad del negocio debe ser implementado para minimizar el impacto y la
recuperación por la pérdida de los recursos de la información en la organización (…), hasta un nivel
aceptable a través de una combinación de controles preventivos y de recuperación.” En ese sentido, el
punto 14.1.3 define que “Los planes de continuidad del negocio deben ser desarrollados e
implementados para mantener o restaurar operaciones y asegurar la disponibilidad de la información a
los niveles y escala de tiempo requeridos después de la interrupción o falla de procesos críticos del
negocio.”.
El Plan de Continuidad del Negocio de Pacific Credit Rating (PCR) expone las estrategias de respuesta al
riesgo, los procedimientos a seguir, y los recursos humanos, financieros y tecnológicos que se debe
emplear para dar soporte a la continuidad de las operaciones de la empresa, ante eventos adversos.
Reanudar las actividades que forman parte de los procesos críticos de PCR en un máximo de 3 horas y 59
minutos.
I.3 Alcance
El presente Plan debe aplicarse a nivel corporativo, en todas las Oficinas en las que PCR presta servicios.
El BCP (Business Continuity Plan, por sus siglas en inglés) incluye al Plan de Contingencias Tecnológicas
como uno de sus componentes. El alcance de ambos planes comprende los siguientes puntos:
Los siguientes documentos normativos internos mantienen relación directa con el Plan de Continuidad
del Negocio de PCR:
I.6 Responsables
II.a Objetivo
Definir los lineamientos, procedimientos y responsabilidades que permitan dar soporte tecnológico
oportuno a las operaciones de PCR en caso de ocurrencia de un evento de riesgo tecnológico que pueda
afectar el normal desarrollo de los procesos críticos de la empresa, en el menor tiempo y costo posibles.
II.b Metodología
Debido a que PCR aún no cuenta con una base de datos histórica representativa de eventos de riesgo
tecnológico (con información de al menos cinco años), se aplicará un análisis semi-cuantitativo para
medir el nivel de exposición de los riesgos identificados, en función al criterio de experto provisto por los
dueños de los procesos:
PROBABILIDAD DE OCURRENCIA
Nivel Descripción Indicador de frecuencia*
1 Raro El control asociado al riesgo es “Excelente”
2 Improbable El control asociado al riesgo es “Bueno”
3 Posible El control asociado al riesgo es “Regular”
4 Probable El control asociado al riesgo es “Deficiente”
El riesgo se materializó al menos 1 vez en los últimos 12
5 Frecuente
meses
(*): Por criterio de prudencia, cuando 1 riesgo cuente con más de 1 control asociado, se asignará la
probabilidad de ocurrencia asociada al control de menor efectividad. Por ejemplo, si existen 1 riesgo
asociado a 3 controles, entre los cuales 2 son controles excelentes y 1 es deficiente, el riesgo adopta la
frecuencia asociada al control deficiente: “Probable”
Impacto. El impacto de los riesgos identificados se puede clasificar según las siguientes escalas y
dimensiones asociadas al apetito de riesgo de la empresa:
TIPO DE IMPACTO
Nivel Tipo de dimensión TECNOLÓGICO
Descripción
Límites Interrupción de las operaciones*
1 Insignificante Apetito de riesgo
Interrupción igual o menor a 30 minutos
2 Bajo Apetito de riesgo
Interrupción mayor a 30 minutos y menor a 2 horas
Interrupción igual o mayor a 2 horas y menor a 4
3 Moderado Tolerancia al Riesgo
horas
Interrupción igual o mayor a 4 horas y menor a 24
4 Alto Tolerancia al Riesgo
horas
5 Extremo Capacidad de Riesgo Interrupción mayor a 24 horas
*Procesos críticos
De este modo, se define que los niveles de riesgo serán resultado de la multiplicación de la frecuencia por
el impacto, que a su vez resultará en un mapa de calor:
FRECUENCIA
5 5 10 15 20 25
4 4 8 12 16 20
3 3 6 9 12 15
2 2 4 6 8 10
1 1 2 3 4 5
1 2 3 4 5
IMPACTO
Nivel de
Estrategia de respuesta al riesgo
Exposición al riesgo
Tipo A 1-4 = Bajo Aceptar el riesgo No adoptar ninguna acción para controlar / mitigar el riesgo
Monitorear periódicamente las actividades que pueden
5-10 =
Tipo B Monitorear el riesgo generar el riesgo, a efecto de adoptar acciones correctivas
Moderado
oportunas.
Transferir: Tomar acciones a efectos de reducir el impacto o
la probabilidad de ocurrencia al transferir o compartir una
Tipo C 12-16 = Alto Transferir, compartir
porción del riesgo;
o reducir el riesgo
Reducir: Tomar acciones a efectos de reducir o minimizar el
impacto, la probabilidad de ocurrencia del riesgo o ambos;
Tomar acciones a efectos de discontinuar las actividades que
Tipo D 20-25 = Extremo Evitar el riesgo
generan riesgo
II.b.1 Identificación y medición de riesgos
Los procesos críticos de PCR son el proceso de “Calificación de Riesgo”, “Realización de copias de
seguridad” y “Envío de información a entes reguladores y a la Bolsa de Valores”, cuyo soporte
tecnológico está dado por los siguientes recursos de software:
Microsoft Office 365 (Outlook, Word, Excel, Power Point, SharePoint y Teams), para el análisis
de la información que envían los clientes y para la elaboración/envío y almacenamiento de
Informes de Calificación en formato digital.
Bitdefender Antivirus
Sistema de Backup Next Cloud
Zoho Project, para seguimiento del estado de las tareas de Calificación de Riesgos por caso, y
para el almacenamiento de Informes de Calificación.
Skype Empresarial, para las sesiones de teleconferencia de los Comités de Calificación.
Los riesgos tecnológicos identificados que podrían generar una interrupción de las operaciones se
exponen a continuación:
Matriz de Riesgos Tecnológicos
Efectividad
Posibles Descripción Nivel de
Cód. Consecuencia Factor Controles de los Frecuencia Impacto
Causas Riesgo Riesgo
controles
*Virus C1: Antivirus actualizado a
Informático nivel corporativo Excelente
FRECUENCIA
5 R2
4
3 R1
2
1
1 2 3 4 5
IMPACTO
II.c.1 Evento R1 - Falla técnica en el computador de un Analista, que derive en la interrupción de sus
tareas de análisis y en pérdida de información.
Es la instancia encargada de instruir la activación del Plan de Contingencias Tecnológicas. El Gerente País
/ Coordinador País podrá delegar las tareas que considere pertinentes a las áreas dependientes de su
cargo, a fin de facilitar la ejecución exitosa del Plan, sin que esto implique delegación de su
responsabilidad.
En PCR Bolivia, es la instancia encargada de activar el Plan de Contingencias Tecnológicas. Para tal fin, el
Oficial de Gestión Integral de Riesgos notificará al Analista de TI y a los colaboradores de la Oficina sobre
la activación del Plan, para que cada instancia ejecute las tareas que están a su cargo según
procedimiento.
En las Oficinas de PCR que no están ubicadas en Bolivia, su responsabilidad consiste en monitorear las
acciones adoptadas por el Gerente País/Coordinador País, el Analista de TI, y demás colaboradores para
cumplimiento del Plan de Contingencias Tecnológicas.
II.d.3 Analista de TI
Es la instancia responsable de gestionar la restauración de los sistemas de información que son críticos
para PCR, y de configurar el software que sirve para realizar copias de seguridad de la información
esencial de los procesos críticos de la empresa.
En ese sentido, también es la instancia encargada de registrar los eventos de riesgo tecnológico que se
susciten, según los campos expuestos en el Anexo 1 “Reporte de Eventos de Interrupción”.
Es responsable de dar apoyo logístico para la restauración de los sistemas y recursos de comunicación
que dan soporte a los procesos críticos de PCR, y de coordinar con las tareas designadas por el Gerente /
Coordinador país, para la resolución de la contingencia.
Para permitir un adecuado proceso de recuperación del servicio que otorga PCR a sus clientes, se debe
capacitar al menos una vez al año, a todo el personal sobre el presente Plan de Contingencias.
A nivel específico se listan las siguientes acciones preventivas para los riesgos identificados:
II.e.1 R1 - Falla técnica en el computador de un Analista, que derive en la interrupción de sus tareas de
análisis y en pérdida de información.
Contar con un Directorio Telefónico actualizado en la nube, donde se incluya el teléfono al que
se puede llamar para solicitar soporte técnico de hardware.
Comprar únicamente equipos originales que cuenten con garantía por parte del proveedor.
Los colaboradores deben precautelar que su información más crítica (archivos de trabajo,
información de clientes, etc.), esté debidamente cargada en la nube, ya sea en el Office Teams o
en el Sharepoint.
Contar con un Acuerdo de Nivel de Servicio (SLA - Service Level Agreement por sus siglas en
inglés), firmado entre el proveedor y PCR, es decir, un Contrato en el que se estipulen las
condiciones del servicio de internet en función a parámetros objetivos (ancho de banda, precio,
velocidad, continuidad del servicio, etc.), donde además se incluya la obligación del proveedor
de dar asistencia técnica a PCR según lo requiera.
Contar con un Directorio Telefónico actualizado en la nube para poder contactar al proveedor
del servicio de internet, cuando se requiera asistencia técnica.
Contar con un monto de hasta USD 15 en Caja Chica para la compra de datos o minutos,
recargables en el celular personal de cualquiera de los colaboradores de la Oficina, sólo en caso
de contingencia. Ante la no disponibilidad inmediata del monto citado, se puede usar los datos o
minutos de cualquiera de los colaboradores, con posterior reposición de fondos mediante Caja
Chica, de hasta USD 15.
Recursos de software: Aplicativo Office 365 y sistema Zoho Project, que permiten el cargado de
información en la nube, con las medidas de seguridad de la información necesarias para
precautelar la disponibilidad, integridad y confidencialidad de la información.
Recursos humanos: Analista de TI, Oficial de Gestión Integral de Riesgos, Gerente / Coordinador
País.
Recursos financieros: Hasta USD 15 para realizar llamadas vía Skype Empresarial o, en su
defecto, para llamadas de larga distancia.
PCR cuenta con los siguientes convenios para garantizar la recuperación de sus servicios y sistemas:
Contrato de Nivel de Servicio para Servicios Online de Microsoft (uno solo a nivel corporativo)
El presente Plan de Contingencias se debe revisar y evaluar al menos una vez al año con un enfoque de
gestión de riesgos tecnológicos y empleando como insumo los incidentes de seguridad de la información
que se hayan materializado.
Se debe realizar al menos una prueba anual al Plan de Contingencias Tecnológicas de PCR, considerando
y registrando lo siguiente:
Los Informes de Pruebas al Plan de Contingencias Tecnológicas siempre deben incluir los supuestos que
se tomará en cuenta para cada escenario simulado.
CAPÍTULO III. PLAN DE CONTINUIDAD DEL NEGOCIO
El presente proyecto ha sido desarrollado por el área de Gestión Integral de Riesgos de PCR con la
colaboración de las áreas de TI, Comunicaciones, Desarrollo Organizacional y Administración, en
coordinación con los Gerentes / Coordinadores País.
La norma ISO 22301 señala que el BIA debe incluir al menos una evaluación del impacto que una
interrupción del negocio podría generar en la entrega de productos y servicios de una organización.
En tal sentido, PCR determina que el BIA debe componerse de al menos tres partes:
1. Identificación de los procesos críticos, tanto de negocio como de soporte que están sujetos a
cumplimiento regulatorio, por Oficina.
2. Evaluación del impacto que la interrupción de los procesos críticos puede generar en la
empresa y en sus principales stakeholders (clientes, proveedores, entes reguladores y bolsas de
valores).
3. Definición del Tiempo Máximo Aceptable de Interrupción (TMAI) del negocio, durante el cual
se deberá realizar las acciones para la recuperación del servicio.
Los procesos de PCR están clasificados por nivel de criticidad según criterio de experto. De ese modo, se
establece a los siguientes procesos críticos:
Tipo de Nivel de
Proceso Nivel de Descentralización
Proceso Criticidad
Realización de copias de seguridad Todas las Oficinas de PCR Soporte Crítico
Calificación de Riesgo Todas las Oficinas de PCR Negocio Crítico
Envío de información a entes
Todas las Oficinas de PCR Soporte Crítico
reguladores y a la Bolsa de Valores
En ese sentido, los procesos “Calificación de Riesgo” (proceso crítico de negocio) y “Envío de
información a entes reguladores y a la Bolsa de Valores” y “Realización de copias de seguridad”
(procesos críticos de soporte), se constituyen en aquellos a los que la gestión de la continuidad del
negocio debe dar prioridad para su restablecimiento oportuno ante eventos adversos.
Se estima que el impacto de un evento de interrupción del negocio se verá reflejado de la siguiente
manera en los stakeholders de PCR, según el tiempo que dure la interrupción:
TIPO DE IMPACTO EN PCR IMPACTO EN STAKEHOLDERS
Nivel
Interrupción de las Entes Bolsas de
Clientes Proveedores
operaciones* Reguladores Valores
Interrupción igual o menor a
1 Insignificante Insignificante Insignificante Insignificante
30 minutos
Interrupción mayor a 30
2 Bajo Insignificante Bajo Bajo
minutos y menor a 2 horas
Interrupción igual o mayor a
3 Moderado Insignificante Alto Moderado
2 horas y menor a 4 horas
Interrupción igual o mayor a
4 Alto Insignificante Alto Alto
4 horas y menor a 24 horas
Interrupción igual o mayor a
5 Extremo Alto Extremo Extremo
24 horas
*Procesos Críticos
Según la evaluación expuesta en el punto III.b.2, se establece que el tiempo máximo aceptable de
interrupción de las operaciones de PCR es de 3 horas y 59 minutos, periodo máximo en el que se prevé
reanudar los procesos críticos de la compañía.
Los principales procesos críticos de PCR son el proceso de “Calificación de Riesgo” (proceso de negocio),
y el proceso de “Envío de información a entes reguladores y bolsas de valores” (proceso de soporte).
Si uno o ambos procesos se interrumpen, dependiendo del periodo que dure dicha interrupción, esto
puede conllevar a consecuencias catastróficas para la empresa.
A continuación, se identifica los riesgos que podrían generar severas interrupciones del negocio de PCR:
Matriz de Riesgos en Seguridad de la Información
Efectividad Nivel
Cód. Descripción Impact
Posibles Causas Consecuencia Factor Controles de los Frecuencia de
Riesgo Riesgo o
controles Riesgo
C1: Mantenimiento
*Cables en mal estado, de las conexiones de
enchufes estropeados la Oficina Regular
(conexiones seguras)
C2: Se realiza al
Riesgo Externo menos una
*Saturación de
cortapicos / tijeretas / capacitación anual
Regular
extensores de corriente Incendio que para el uso de
implique la *Incumplimien extintores
destrucción de to normativo
*Papeles C3: Se cuenta con un
los activos fijos y
R1 desordenados, material Externo directorio telefónico Probable
los activos de
inflamable no *Pérdidas que incluye
información Excelente Extremo Extremo
debidamente económicas bomberos y
críticos de la
resguardado ambulancias.
Oficina (pérdida
de información) C4: Toda la
*Sobrecalentamiento información esencial
de los equipos de para los procesos
cómputo o de críticos se encuentra Bueno
comunicaciones cargada en la nube
de Microsoft Office
365
C5: Se cuenta con
personal de
seguridad física
*Problemas socio - (guardias o personal Regular
políticos varios de vigilancia) en
todos los Edificios
donde PCR opera.
Riesgo Externo
Convulsión e C6: Cámaras de
inestabilidad seguridad y
*Promulgación de social cerradura electrónica
Leyes o Decretos que (manifestaciones en la puerta de
priven de sus derechos violentas, ingreso de la Oficina, Bueno
a varios sectores vandalismo), que *Incumplimien impidiendo el acceso
atenten contra la to normativo de terceros sin
infraestructura autorización
R2 Externo Frecuente
de PCR, y que *Pérdidas Extremo Extremo
C7: Las instalaciones
además sean económicas de la Oficina
una amenaza
permiten una
para la Excelente
*Medidas de política evacuación efectiva
integridad física
económica que de los colaboradores.
de los
generen algún shock a
colaboradores
la economía del país C4: Toda la
(ej. Gasolinazo; información esencial
Devaluación/Revaluació para los procesos
n de la moneda local, críticos se encuentra Bueno
etc.) cargada en la nube
de Microsoft Office
365
Mapa de Calor de Riesgos en Seguridad de la Información
FRECUENCIA
5 R2
4 R1
3
2
1
1 2 3 4 5
IMPACTO
Para permitir un adecuado proceso de reanudación del servicio que otorga PCR a sus clientes y a las
obligaciones que tiene con sus principales stakeholders, se debe capacitar al menos una vez al año, a
todo el personal sobre el presente Plan de Continuidad del Negocio.
A nivel específico se listan las siguientes acciones preventivas para los riesgos identificados:
III.d.1 R1 - Incendio que implique la destrucción de los activos fijos y los activos de información críticos
de la Oficina (pérdida de información)
Contar con un Directorio Telefónico actualizado en formato impreso, de fácil acceso para todos
los funcionarios, donde se incluya el teléfono al que se puede llamar a los Bomberos y/o a
Ambulancias.
Se deben realizar copias de respaldo diarias de manera automática, en especial de los activos de
información críticos de la empresa.
Todo activo de información crítico que se resguarde en formato impreso (boletas de pago,
estatutos, Actas de Directorio, etc.), debe estar escaneado en la nube, ya sea en Office Teams o
en el Sharepoint.
Todos los colaboradores deben precautelar que su información más crítica (archivos de trabajo,
información de clientes, etc.), esté debidamente cargada en la nube, ya sea en el Office Teams o
en el Sharepoint.
Se deben realizar copias de respaldo diarias de manera automática, en especial de los activos de
información críticos de la empresa.
Todo activo de información crítico que se resguarde en formato impreso (boletas de pago,
estatutos, Actas de Directorio, etc.), debe estar escaneado en la nube, ya sea en Office Teams o
en el Sharepoint.
Todos los colaboradores deben precautelar que su información más crítica (archivos de trabajo,
información de clientes, etc.), esté debidamente cargada en la nube, ya sea en el Office Teams o
en el Sharepoint.
Ante todo, se debe precautelar la integridad física de las personas que trabajan en PCR.
Ante la falta de medios de transporte para que se movilicen los colaboradores, se podrá realizar
teletrabajo desde casa, sujeto a la aprobación del Gerente / Coordinador País.
Los Comités de Calificación que se tengan programados en el día del evento de riesgo podrán
reprogramarse hasta 3 horas y 59 minutos después como máximo, y deberán realizarse vía
Skype Empresarial.
En caso de excederse ese plazo, se debe informar al Gerente / Coordinador País para que analice
si corresponde reportar la interrupción de las operaciones por 4 ó más horas a los entes
reguladores y demás stakeholders.
Los Informes de Calificación que se deba enviar en formato impreso a entes reguladores,
clientes y/o bolsas de valores deberán remitirse al día siguiente del evento de riesgo, incluyendo
en la nota de envío la explicación/salvedad por el retraso. Para esa tarea, el(los) Analista(s)
responsable(s) deberán coordinar con el personal administrativo (Asistente Administrativo,
Gerente / Coordinador País), dicho envío oportunamente.
Se debe hacer todos los esfuerzos por cumplir con las obligaciones de la empresa para con entes
reguladores (envío de informes, pago de impuestos, pago de aportes a cajas de salud, seguro
social, etc.). En caso de no poder cumplir con alguna de dichas obligaciones, se debe
reprogramar su realización para el día hábil siguiente.
Todo activo de información crítico que se resguarde en formato impreso (boletas de pago,
estatutos, Actas de Directorio, etc.), debe estar escaneado en la nube, ya sea en Office Teams o
en el Sharepoint.
Todos los colaboradores deben precautelar que su información más crítica (archivos de trabajo,
información de clientes, etc.), esté debidamente cargada en la nube, ya sea en el Office Teams o
en el Sharepoint.
III.f Plan de emergencias para la gestión de incidentes
- La posibilidad de no contar con suficiente control policial en la ciudad para contener la situación
de convulsión/inestabilidad social, exponiendo la integridad de los colaboradores.
- La falta de medios de transporte para que los funcionarios se trasladen de la Oficina hasta su
casa, y viceversa.
Nro. Actividades Responsable
En caso de haberse suscitado un incendio, o un desastre que implique la destrucción de los activos fijos y
activos de información de Interbank, se debe llevar a cabo las siguientes tareas de recuperación:
1) Contabilizar el valor monetario de las pérdidas incurridas por el evento y notificar al área de
Administración.
2) Realizar un inventario de los activos fijos y de los activos de información que se debe reponer a
causa del evento, y su costo.
4) Coordinar con el área de TI la instalación del software en los equipos de cómputo que se haya
repuesto.
5) Gestionar la recuperación de los datos y activos de información digital que están cargados en la
nube, con ayuda del área de TI.
III.h Comunicación y Gestión de la Crisis
Comunicación Interna
- Todos los colaboradores deben tener instalada la app de Skype Empresarial en sus
celulares, en caso de que se requiera contactarlos para gestionar la solución de la
contingencia o interrupción del negocio.
Comunicación Externa