Índice de contenido

BITÁCORA DE MODIFICACIONES..........................................................................................................................3
CAPÍTULO I. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO..........................................................................4
I.1 Antecedentes.....................................................................................................................................................4
I.2 Objetivo del Documento...................................................................................................................................4
I.3 Alcance.............................................................................................................................................................4
I.4 Base Legal........................................................................................................................................................5
I.5 Marco Referencial Interno................................................................................................................................5
I.6 Responsables.....................................................................................................................................................5
I.6.1 Responsables de Cumplimiento....................................................................................................................5
I.6.2 Responsables de Revisión y Periodicidad de Actualización.........................................................................6

CAPÍTULO II. PLAN DE CONTINGENCIAS TECNOLÓGICAS.............................................................................7

II.a Objetivo...........................................................................................................................................................7
II.b Metodología.....................................................................................................................................................7
II.cPROCEDIMIENTOS DE RECUPERACIÓN DE OPERACIONES CRÍTICAS PARA CADA EVENTO
IDENTIFICADO............................................................................................................................................10
II.d Funciones y Responsabilidades.....................................................................................................................11
II.e Medidas de Prevención.................................................................................................................................12
II.f Recursos Mínimos asignados para la recuperación de los servicios y sistemas.............................................13
II.g Convenios realizados para la recuperación de los servicios y sistemas........................................................13
II.h Revisión y evaluación del Plan de Contingencias Tecnológicas..................................................................13
II.i Pruebas al Plan de Contingencias Tecnológicas.............................................................................................13
II.j Situaciones no cubiertas y supuestos..............................................................................................................14

CAPÍTULO III. PLAN DE CONTINUIDAD DEL NEGOCIO..................................................................................15

III.a Inicio del Proyecto.......................................................................................................................................15
III.b Análisis de impacto al negocio (BIA – Business Impact Analysis).............................................................15
III.c Análisis y evaluación de riesgos de seguridad de la información (SI).........................................................16
III.d Medidas de Prevención................................................................................................................................18
III.e Desarrollo de estrategias para el Plan de Continuidad del Negocio............................................................19
III.fPlan de emergencias para la gestión de incidentes........................................................................................20
III.g Plan de Recuperación de Desastres..............................................................................................................21
III.h Desarrollo e implementación del BCP.........................................................................................................22
III.iPrograma de concientización y capacitación.................................................................................................22
III.jMantenimiento y ejercicios del BCP.............................................................................................................22
III.k Comunicación y Gestión de la Crisis...........................................................................................................23
Anexo 1: Reporte de Eventos de Interrupción.....................................................................................................24
CAPÍTULO I. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

I.1 Antecedentes
La norma internacional ISO 27002 define de manera general en su punto 14.1 que “un proceso de
gestión de la continuidad del negocio debe ser implementado para minimizar el impacto y la
recuperación por la pérdida de los recursos de la información en la organización (…), hasta un nivel
aceptable a través de una combinación de controles preventivos y de recuperación.” En ese sentido, el
punto 14.1.3 define que “Los planes de continuidad del negocio deben ser desarrollados e
implementados para mantener o restaurar operaciones y asegurar la disponibilidad de la información a
los niveles y escala de tiempo requeridos después de la interrupción o falla de procesos críticos del
negocio.”.

El Plan de Continuidad del Negocio de Pacific Credit Rating (PCR) expone las estrategias de respuesta al
riesgo, los procedimientos a seguir, y los recursos humanos, financieros y tecnológicos que se debe
emplear para dar soporte a la continuidad de las operaciones de la empresa, ante eventos adversos.

I.2 Objetivo del Documento

Definir las directrices básicas y los procedimientos para dar soporte tecnológico y logístico a la
continuidad de las operaciones de PCR ante eventos adversos en el menor tiempo y costo posible,
velando por la protección de la información indispensable para sus procesos críticos.

I.2.1 Objetivo de Continuidad del Negocio

Reanudar las actividades que forman parte de los procesos críticos de PCR en un máximo de 3 horas y 59
minutos.

I.3 Alcance

El presente Plan debe aplicarse a nivel corporativo, en todas las Oficinas en las que PCR presta servicios.

El BCP (Business Continuity Plan, por sus siglas en inglés) incluye al Plan de Contingencias Tecnológicas
como uno de sus componentes. El alcance de ambos planes comprende los siguientes puntos:

PLAN DE CONTINUIDAD DEL NEGOCIO

PLAN DE CONTINGENCIAS TECNOLÓGICAS
(BCP – Business Continuity Plan)
a. Objetivo a. Inicio del proyecto
b. Metodología que incluye lo siguiente: b. Análisis y evaluación de riesgos de
i. Análisis y evaluación del riesgo tecnológico seguridad de la información
ii. Definición de eventos que afecten la
operación de los sistemas de
información.
iii. Definición de procesos críticos relacionados
a los sistemas de información.
c. Procedimientos de recuperación de operaciones c. Análisis de impacto al negocio (BIA)
críticas para cada evento identificado
d. Descripción de responsabilidades, funciones e d. Medidas de prevención
identificación del personal que ejecutará el plan
e. Medidas de prevención e. Desarrollo de estrategias para el BCP
 PLAN DE CONTINUIDAD DEL NEGOCIO
PLAN DE CONTINGENCIAS TECNOLÓGICAS
(BCP – Business Continuity Plan)
f. Recursos mínimos asignados para la f. Plan de emergencias para la gestión de
recuperación de los servicios y sistemas incidentes
g. Convenios realizados para la recuperación de los g. Plan de recuperación de desastres
servicios y sistemas
h. Revisión anual y evaluaciones frecuentes del h. Desarrollo e implementación del BCP
plan de contingencias tecnológicas de acuerdo con
el análisis y evaluación de riesgo tecnológico
efectuado y/o los incidentes de seguridad de la
información acontecidos
i. Pruebas al Plan de Contingencias Tecnológicas i. Programa de concientización y capacitación
j. Situaciones no cubiertas y supuestos. j. Mantenimiento y ejercicio del BCP
- k. Comunicación y gestión de la crisis

I.4 Base Legal

El presente documento se elaboró en función a lo señalado en las siguientes normas:

Oficina País Título de la Norma Descripción

Bolivia Recopilación de Normas para el
Mercado de Valores (ASFI)
El Salvador Normas Técnicas para la Gestión
Integral de Riesgos de las Entidades
de los Mercados Bursátiles
Perú Reglamento de Gestión del Riesgo
Operacional
Resto de los Sin normativa específica.
países
Libro 11°, Título I, Capítulo I, Sección 10,
Artículos 1° y 2°
Plan de Continuidad del Negocio –
Artículo 26°
Título IV: Gestión de la Continuidad del
Negocio
En el resto de países no se cuenta con
normativa específica obligatoria sobre
gestión de continuidad del negocio para
empresas Calificadoras de Riesgo.

I.5 Marco Referencial Interno

Los siguientes documentos normativos internos mantienen relación directa con el Plan de Continuidad
del Negocio de PCR:

- Política de Seguridad de la Información

- Manual de Gestión Integral de Riesgos

I.6 Responsables

I.6.1 Responsables de Cumplimiento

Son responsables de cumplir y hacer cumplir el presente documento:

- Gerentes / Coordinadores País

- Personal designado como “Oficial de Cumplimiento” de cada Oficina de PCR
- Oficial de Gestión Integral de Riesgos
- Analista de TI
I.6.2 Responsables de Revisión y Periodicidad de Actualización

El Oficial de Gestión Integral de Riesgos es el responsable de revisar y consecuentemente actualizar o

ratificar el presente Plan de Continuidad del Negocio al menos una vez al año, o cuando las condiciones
del negocio y del entorno lo ameriten.
CAPÍTULO II. PLAN DE CONTINGENCIAS TECNOLÓGICAS

II.a Objetivo

Definir los lineamientos, procedimientos y responsabilidades que permitan dar soporte tecnológico
oportuno a las operaciones de PCR en caso de ocurrencia de un evento de riesgo tecnológico que pueda
afectar el normal desarrollo de los procesos críticos de la empresa, en el menor tiempo y costo posibles.

II.b Metodología

La metodología empleada para la identificación y medición de riesgos tecnológicos se fundamenta en el

Estándar Australiano de Administración del Riesgo AS/NZ 4360, y basa su análisis en la relación que
existe entre los riesgos identificados y la efectividad de sus controles.

Debido a que PCR aún no cuenta con una base de datos histórica representativa de eventos de riesgo
tecnológico (con información de al menos cinco años), se aplicará un análisis semi-cuantitativo para
medir el nivel de exposición de los riesgos identificados, en función al criterio de experto provisto por los
dueños de los procesos:

 Medición de la efectividad de los controles. Se adopta la siguiente escala:

NIVELES DE EFECTIVIDAD DE LOS CONTROLES

Nivel Descripción Indicador de efectividad
1 Excelente El control no presentó ni una falla en los últimos 12 meses
2 Bueno El control podría fallar o falló ocasionalmente (1 vez al año)
3 Regular El control podría fallar o falló periódicamente (2 veces al año)
El control no se ejecuta o falla frecuentemente (más de 2 veces al
4 Deficiente
año)

 Frecuencia o Probabilidad de Ocurrencia. La probabilidad de los riesgos identificados se mide

en concordancia con la efectividad de sus controles asociados:

PROBABILIDAD DE OCURRENCIA
Nivel Descripción Indicador de frecuencia*
1 Raro El control asociado al riesgo es “Excelente”
2 Improbable El control asociado al riesgo es “Bueno”
3 Posible El control asociado al riesgo es “Regular”
4 Probable El control asociado al riesgo es “Deficiente”
El riesgo se materializó al menos 1 vez en los últimos 12
5 Frecuente
meses
(*): Por criterio de prudencia, cuando 1 riesgo cuente con más de 1 control asociado, se asignará la
probabilidad de ocurrencia asociada al control de menor efectividad. Por ejemplo, si existen 1 riesgo
asociado a 3 controles, entre los cuales 2 son controles excelentes y 1 es deficiente, el riesgo adopta la
frecuencia asociada al control deficiente: “Probable”

 Impacto. El impacto de los riesgos identificados se puede clasificar según las siguientes escalas y
dimensiones asociadas al apetito de riesgo de la empresa:
 TIPO DE IMPACTO
Nivel Tipo de dimensión TECNOLÓGICO
Descripción
Límites Interrupción de las operaciones*
1 Insignificante Apetito de riesgo
Interrupción igual o menor a 30 minutos
2 Bajo Apetito de riesgo
Interrupción mayor a 30 minutos y menor a 2 horas
Interrupción igual o mayor a 2 horas y menor a 4
3 Moderado Tolerancia al Riesgo
horas
Interrupción igual o mayor a 4 horas y menor a 24
4 Alto Tolerancia al Riesgo
horas
5 Extremo Capacidad de Riesgo Interrupción mayor a 24 horas
*Procesos críticos

De este modo, se define que los niveles de riesgo serán resultado de la multiplicación de la frecuencia por
el impacto, que a su vez resultará en un mapa de calor:

Nivel de Exposición al Riesgo = (Frecuencia) * (Impacto)

Mapa de Calor para la Identificación y Medición de Riesgos

FRECUENCIA
5 5 10 15 20 25
4 4 8 12 16 20
3 3 6 9 12 15
2 2 4 6 8 10
1 1 2 3 4 5
1 2 3 4 5
IMPACTO

Donde cada riesgo se clasificará según su nivel de exposición:

Nivel de
Estrategia de respuesta al riesgo
Exposición al riesgo
Tipo A 1-4 = Bajo Aceptar el riesgo No adoptar ninguna acción para controlar / mitigar el riesgo
Monitorear periódicamente las actividades que pueden
5-10 =
Tipo B Monitorear el riesgo generar el riesgo, a efecto de adoptar acciones correctivas
Moderado
oportunas.
Transferir: Tomar acciones a efectos de reducir el impacto o
la probabilidad de ocurrencia al transferir o compartir una
Tipo C 12-16 = Alto Transferir, compartir
porción del riesgo;
o reducir el riesgo
Reducir: Tomar acciones a efectos de reducir o minimizar el
impacto, la probabilidad de ocurrencia del riesgo o ambos;
Tomar acciones a efectos de discontinuar las actividades que
Tipo D 20-25 = Extremo Evitar el riesgo
generan riesgo
 II.b.1 Identificación y medición de riesgos

Los procesos críticos de PCR son el proceso de “Calificación de Riesgo”, “Realización de copias de
seguridad” y “Envío de información a entes reguladores y a la Bolsa de Valores”, cuyo soporte
tecnológico está dado por los siguientes recursos de software:

 Microsoft Office 365 (Outlook, Word, Excel, Power Point, SharePoint y Teams), para el análisis
de la información que envían los clientes y para la elaboración/envío y almacenamiento de
Informes de Calificación en formato digital.
 Bitdefender Antivirus
 Sistema de Backup Next Cloud
 Zoho Project, para seguimiento del estado de las tareas de Calificación de Riesgos por caso, y
para el almacenamiento de Informes de Calificación.
 Skype Empresarial, para las sesiones de teleconferencia de los Comités de Calificación.

Los riesgos tecnológicos identificados que podrían generar una interrupción de las operaciones se
exponen a continuación:
Matriz de Riesgos Tecnológicos
Efectividad
Posibles Descripción Nivel de
Cód. Consecuencia Factor Controles de los Frecuencia Impacto
Causas Riesgo Riesgo
controles
*Virus C1: Antivirus actualizado a
Informático nivel corporativo Excelente

C2: El Analista de TI ofrece

*Falta de
soporte técnico a los equipos
mantenimient
de computación de los Bueno
o a equipos de Riesgo Interno
funcionarios de PCR, cuando
computación éstos se lo solicitan.
Falla técnica en
C3: Existe un software que
el computador realiza copias diarias de
de un seguridad de toda la
*Incumplimiento Excelente
funcionario, información de los equipos de
Normativo
R1 que derive en PCR automáticamente.
la interrupción Sistemas Posible Bajo Moderado
*Pérdidas C4: El Analista de TI mantiene
de sus tareas
*Hardware económicas un inventario de los equipos de
de y en pérdida
obsoleto software y hardware que Excelente
de información.
utilizan los funcionarios de
PCR.
C5: Disponibilidad de equipos
de computación alternativos Excelente
para continuar con el proceso.
*Tormenta
Eléctrica u otros C6: Contrato con el proveedor
que ocasionen de servicio de internet, que
la suspensión garantice la continuidad del
del servicio de Riesgo Externo Excelente
*Incumplimiento servicio.
internet
Normativo
R2 *Insuficiente Caída del C7: Se cuenta con proveedores
soporte técnico servicio de Externo de soporte técnico para atender Frecuente Bajo Moderado
*Pérdidas
in situ para internet económicas requerimientos no habituales de Regular
configuración mantenimiento o reparación de
de router hardware de la Oficina.
 Mapa de Calor de Riesgos Tecnológicos

FRECUENCIA
5 R2
4
3 R1
2
1
1 2 3 4 5
IMPACTO

II.c Procedimientos de recuperación de operaciones críticas para cada evento

identificado

II.c.1 Evento R1 - Falla técnica en el computador de un Analista, que derive en la interrupción de sus
tareas de análisis y en pérdida de información.

Nro. Actividades Responsable

Reporta la falla técnica identificada en su computador al Analista de TI
1 Funcionario
vía correo electrónico, Skype Empresarial o por teléfono.
Se comunica con el funcionario vía Skype Empresarial y realiza una
2 Analista de TI
revisión de la falla de manera remota, determinando el problema.
¿Se puede solucionar el problema inmediatamente?

Sí: Realiza las gestiones de configuración, reparación, restauración del

equipo del funcionario y reenvía el caso al Oficial de Gestión Integral de
Riesgos para su conocimiento. Fin.
3 Analista de TI
No: Comunica al funcionario que deberá utilizar otro computador de
PCR para continuar con el proceso de Calificación de Riesgo, mientras
procura restaurar las funcionalidades del equipo que tiene el problema.
El proceso continúa en la actividad 4.
Inicia sesión de Office 365 y de Zoho Project en otro equipo de
4 computación según disponibilidad, y continúa el proceso Calificación de Funcionario
Riesgo. Fin

II.c.2 Evento R2 - Caída del servicio de internet

Nro. Actividades Responsable

Ante una caída del servicio de internet, reporta la falla técnica al
1 Gerente Funcionario
/ Coordinador País
Instruye al Oficial de Cumplimiento designado de la Oficina,
comunicarse con el proveedor del servicio de internet para confirmar si Gerente /
2 la falla se puede solucionar en el instante, o si requiere de una visita de Coordinador País
soporte técnico por parte del proveedor.
 Nro. Actividades Responsable
¿La falla se puede solucionar de manera inmediata sin necesidad de
recibir una visita del proveedor?

3.1) Sí: Solicita que se reestablezca el servicio a la brevedad posible y

comunica al funcionario del área de Análisis para que pueda continuar Oficial de
3 Cumplimiento
con el proceso de “Calificación de Riesgo”. El proceso continúa en la
actividad 5.

3.2) No: Informa al Gerente / Coordinador País. El proceso continúa en

la actividad 4.

¿La falla afecta la continuidad de una sesión del Comité de Calificación

de Riesgo?

4.1) Sí: Instruye al Oficial de Cumplimiento realizar la compra de datos

para su celular personal con recibo o factura a nombre de la empresa,
por un monto de hasta USD 15, a fin de retomar la sesión del Comité de
Calificación vía Skype Empresarial, e informar al Analista de TI y al Gerente /
4
Oficial de Gestión Integral de Riesgos sobre la contingencia (a este Coordinador País
último sólo se le informa para seguimiento de la Contingencia, cuando
ésta no se suscite en Bolivia). Fin

4.2) No: Instruye a todo el equipo de colaboradores de la Oficina

esperar a que el proveedor restituya el servicio, y hasta entonces se
trabaja offline. El proceso continúa en la actividad 5.

Una vez restituido el servicio de internet, comunica al Analista de TI vía

5 Oficial de
correo electrónico sobre el evento de caída del servicio, señalando
Cumplimiento
hora de inicio, hora de finalización y medidas adoptadas para su
solución. Fin

II.d Funciones y Responsabilidades

II.d.1 Gerente País / Coordinador País.

Es la instancia encargada de instruir la activación del Plan de Contingencias Tecnológicas. El Gerente País
/ Coordinador País podrá delegar las tareas que considere pertinentes a las áreas dependientes de su
cargo, a fin de facilitar la ejecución exitosa del Plan, sin que esto implique delegación de su
responsabilidad.

II.d.2 Oficial de Gestión Integral de Riesgos

En PCR Bolivia, es la instancia encargada de activar el Plan de Contingencias Tecnológicas. Para tal fin, el
Oficial de Gestión Integral de Riesgos notificará al Analista de TI y a los colaboradores de la Oficina sobre
la activación del Plan, para que cada instancia ejecute las tareas que están a su cargo según
procedimiento.

En las Oficinas de PCR que no están ubicadas en Bolivia, su responsabilidad consiste en monitorear las
acciones adoptadas por el Gerente País/Coordinador País, el Analista de TI, y demás colaboradores para
cumplimiento del Plan de Contingencias Tecnológicas.
II.d.3 Analista de TI

Es la instancia responsable de gestionar la restauración de los sistemas de información que son críticos
para PCR, y de configurar el software que sirve para realizar copias de seguridad de la información
esencial de los procesos críticos de la empresa.

En ese sentido, también es la instancia encargada de registrar los eventos de riesgo tecnológico que se
susciten, según los campos expuestos en el Anexo 1 “Reporte de Eventos de Interrupción”.

II.d.4 Oficial de Cumplimiento

Es responsable de dar apoyo logístico para la restauración de los sistemas y recursos de comunicación
que dan soporte a los procesos críticos de PCR, y de coordinar con las tareas designadas por el Gerente /
Coordinador país, para la resolución de la contingencia.

II.e Medidas de Prevención

Para permitir un adecuado proceso de recuperación del servicio que otorga PCR a sus clientes, se debe
capacitar al menos una vez al año, a todo el personal sobre el presente Plan de Contingencias.

A nivel específico se listan las siguientes acciones preventivas para los riesgos identificados:

II.e.1 R1 - Falla técnica en el computador de un Analista, que derive en la interrupción de sus tareas de
análisis y en pérdida de información.

Se debe aplicar las siguientes medidas de prevención para el riesgo R1:

 Mantenimiento preventivo (mínimamente anual) y correctivo (a requerimiento), del software de

los computadores de todos los colaboradores de PCR.

 Mantener un inventario de hardware y software de todos los equipos de computación, a fin de

reemplazar aquellos que sean obsoletos.

 Contar con un Directorio Telefónico actualizado en la nube, donde se incluya el teléfono al que
se puede llamar para solicitar soporte técnico de hardware.

 Comprar únicamente equipos originales que cuenten con garantía por parte del proveedor.

 Se deben realizar copias de respaldo diarias de manera automática, de toda la información

resguardada en los equipos del personal de PCR.

 Los colaboradores deben precautelar que su información más crítica (archivos de trabajo,
información de clientes, etc.), esté debidamente cargada en la nube, ya sea en el Office Teams o
en el Sharepoint.

II.e.2 R2 - Caída del servicio de internet

Se debe aplicar las siguientes medidas de prevención para el riesgo R1:

 Contar con un Acuerdo de Nivel de Servicio (SLA - Service Level Agreement por sus siglas en
inglés), firmado entre el proveedor y PCR, es decir, un Contrato en el que se estipulen las
 condiciones del servicio de internet en función a parámetros objetivos (ancho de banda, precio,
velocidad, continuidad del servicio, etc.), donde además se incluya la obligación del proveedor
de dar asistencia técnica a PCR según lo requiera.

 Contar con un Directorio Telefónico actualizado en la nube para poder contactar al proveedor
del servicio de internet, cuando se requiera asistencia técnica.

 Contar con un monto de hasta USD 15 en Caja Chica para la compra de datos o minutos,
recargables en el celular personal de cualquiera de los colaboradores de la Oficina, sólo en caso
de contingencia. Ante la no disponibilidad inmediata del monto citado, se puede usar los datos o
minutos de cualquiera de los colaboradores, con posterior reposición de fondos mediante Caja
Chica, de hasta USD 15.

II.f Recursos Mínimos asignados para la recuperación de los servicios y sistemas

 Recursos de hardware: Computadoras de escritorio y portátiles, impresoras, scanners,

necesarios para dar soporte a los procesos críticos de PCR.

 Recursos de software: Aplicativo Office 365 y sistema Zoho Project, que permiten el cargado de
información en la nube, con las medidas de seguridad de la información necesarias para
precautelar la disponibilidad, integridad y confidencialidad de la información.

 Recursos humanos: Analista de TI, Oficial de Gestión Integral de Riesgos, Gerente / Coordinador
País.

 Recursos financieros: Hasta USD 15 para realizar llamadas vía Skype Empresarial o, en su
defecto, para llamadas de larga distancia.

II.g Convenios realizados para la recuperación de los servicios y sistemas

PCR cuenta con los siguientes convenios para garantizar la recuperación de sus servicios y sistemas:

 Contrato de Nivel de Servicio para Servicios Online de Microsoft (uno solo a nivel corporativo)

 Contrato de Servicio de Telecomunicaciones / Internet (uno por cada Oficina País)

II.h Revisión y evaluación del Plan de Contingencias Tecnológicas

El presente Plan de Contingencias se debe revisar y evaluar al menos una vez al año con un enfoque de
gestión de riesgos tecnológicos y empleando como insumo los incidentes de seguridad de la información
que se hayan materializado.

II.i Pruebas al Plan de Contingencias Tecnológicas

Se debe realizar al menos una prueba anual al Plan de Contingencias Tecnológicas de PCR, considerando
y registrando lo siguiente:

- Realización de copias de seguridad de la información almacenada del(los) funcionario(s) del área

de Análisis seleccionados aleatoriamente para el efecto.
 - Solicitudes de Asistencia Técnica al proveedor de telecomunicaciones / internet, para verificar si
el proveedor tiene la capacidad de atender reclamos de manera oportuna.

- Realización de Comités de Calificación empleando alguno de los celulares de los colaboradores

como enrutador de salida de Internet.

II.j Situaciones no cubiertas y supuestos

El presente Plan de Contingencias Tecnológicas no incluye situaciones de riesgo de convulsión social o de

manifestaciones, en virtud de que éstas son cubiertas por el Plan de Continuidad del Negocio.

Los Informes de Pruebas al Plan de Contingencias Tecnológicas siempre deben incluir los supuestos que
se tomará en cuenta para cada escenario simulado.
CAPÍTULO III. PLAN DE CONTINUIDAD DEL NEGOCIO

III.a Inicio del Proyecto

El presente proyecto ha sido desarrollado por el área de Gestión Integral de Riesgos de PCR con la
colaboración de las áreas de TI, Comunicaciones, Desarrollo Organizacional y Administración, en
coordinación con los Gerentes / Coordinadores País.

III.b Análisis de impacto al negocio (BIA – Business Impact Analysis)

La norma ISO 22301 señala que el BIA debe incluir al menos una evaluación del impacto que una
interrupción del negocio podría generar en la entrega de productos y servicios de una organización.

En tal sentido, PCR determina que el BIA debe componerse de al menos tres partes:

1. Identificación de los procesos críticos, tanto de negocio como de soporte que están sujetos a
cumplimiento regulatorio, por Oficina.

2. Evaluación del impacto que la interrupción de los procesos críticos puede generar en la
empresa y en sus principales stakeholders (clientes, proveedores, entes reguladores y bolsas de
valores).

3. Definición del Tiempo Máximo Aceptable de Interrupción (TMAI) del negocio, durante el cual
se deberá realizar las acciones para la recuperación del servicio.

III.b.1 Identificación de los procesos críticos de negocio y de soporte

Los procesos de PCR están clasificados por nivel de criticidad según criterio de experto. De ese modo, se
establece a los siguientes procesos críticos:

Tipo de Nivel de
Proceso Nivel de Descentralización
Proceso Criticidad
Realización de copias de seguridad Todas las Oficinas de PCR Soporte Crítico
Calificación de Riesgo Todas las Oficinas de PCR Negocio Crítico
Envío de información a entes
Todas las Oficinas de PCR Soporte Crítico
reguladores y a la Bolsa de Valores

En ese sentido, los procesos “Calificación de Riesgo” (proceso crítico de negocio) y “Envío de
información a entes reguladores y a la Bolsa de Valores” y “Realización de copias de seguridad”
(procesos críticos de soporte), se constituyen en aquellos a los que la gestión de la continuidad del
negocio debe dar prioridad para su restablecimiento oportuno ante eventos adversos.

III.b.2 Evaluación del impacto de la interrupción del negocio en los stakeholders

Se estima que el impacto de un evento de interrupción del negocio se verá reflejado de la siguiente
manera en los stakeholders de PCR, según el tiempo que dure la interrupción:
 TIPO DE IMPACTO EN PCR IMPACTO EN STAKEHOLDERS
Nivel
Interrupción de las Entes Bolsas de
Clientes Proveedores
operaciones* Reguladores Valores
Interrupción igual o menor a
1 Insignificante Insignificante Insignificante Insignificante
30 minutos
Interrupción mayor a 30
2 Bajo Insignificante Bajo Bajo
minutos y menor a 2 horas
Interrupción igual o mayor a
3 Moderado Insignificante Alto Moderado
2 horas y menor a 4 horas
Interrupción igual o mayor a
4 Alto Insignificante Alto Alto
4 horas y menor a 24 horas
Interrupción igual o mayor a
5 Extremo Alto Extremo Extremo
24 horas
*Procesos Críticos

Donde cada nivel de impacto en los stakeholders representa lo siguiente:

 Insignificante. - La interrupción no afecta a los procesos del stakeholder.

 Bajo. - La interrupción puede ocasionar leves retrasos en los procesos del stakeholder.
 Moderado. - La interrupción puede ocasionar retrasos significativos en los procesos del
stakeholder.
 Alto. - La interrupción puede ocasionar desconfianza por parte del stakeholder.
 Extremo. - La interrupción puede ocasionar una crisis sistémica (Bolsas de Valores y Clientes),
y/o puede derivar en una sanción pecuniaria para PCR (Entes Reguladores).

III.b.3 Tiempo Máximo Aceptable de Interrupción (TMAI)

Según la evaluación expuesta en el punto III.b.2, se establece que el tiempo máximo aceptable de
interrupción de las operaciones de PCR es de 3 horas y 59 minutos, periodo máximo en el que se prevé
reanudar los procesos críticos de la compañía.

III.c Análisis y evaluación de riesgos de seguridad de la información (SI)

La metodología empleada para la identificación y medición de riesgos de SI es la misma que la empleada

en el punto II.c del Plan de Contingencias Tecnológicas.

III.c.1 Identificación de riesgos de SI

Los principales procesos críticos de PCR son el proceso de “Calificación de Riesgo” (proceso de negocio),
y el proceso de “Envío de información a entes reguladores y bolsas de valores” (proceso de soporte).

Si uno o ambos procesos se interrumpen, dependiendo del periodo que dure dicha interrupción, esto
puede conllevar a consecuencias catastróficas para la empresa.

A continuación, se identifica los riesgos que podrían generar severas interrupciones del negocio de PCR:
 Matriz de Riesgos en Seguridad de la Información

Efectividad Nivel
Cód. Descripción Impact
Posibles Causas Consecuencia Factor Controles de los Frecuencia de
Riesgo Riesgo o
controles Riesgo
C1: Mantenimiento
*Cables en mal estado, de las conexiones de
enchufes estropeados la Oficina Regular
(conexiones seguras)

C2: Se realiza al
Riesgo Externo menos una
*Saturación de
cortapicos / tijeretas / capacitación anual
Regular
extensores de corriente Incendio que para el uso de
implique la *Incumplimien extintores
destrucción de to normativo
*Papeles C3: Se cuenta con un
los activos fijos y
R1 desordenados, material Externo directorio telefónico Probable
los activos de
inflamable no *Pérdidas que incluye
información Excelente Extremo Extremo
debidamente económicas bomberos y
críticos de la
resguardado ambulancias.
Oficina (pérdida
de información) C4: Toda la
*Sobrecalentamiento información esencial
de los equipos de para los procesos
cómputo o de críticos se encuentra Bueno
comunicaciones cargada en la nube
de Microsoft Office
365
C5: Se cuenta con
personal de
seguridad física
*Problemas socio - (guardias o personal Regular
políticos varios de vigilancia) en
todos los Edificios
donde PCR opera.
Riesgo Externo
Convulsión e C6: Cámaras de
inestabilidad seguridad y
*Promulgación de social cerradura electrónica
Leyes o Decretos que (manifestaciones en la puerta de
priven de sus derechos violentas, ingreso de la Oficina, Bueno
a varios sectores vandalismo), que *Incumplimien impidiendo el acceso
atenten contra la to normativo de terceros sin
infraestructura autorización
R2 Externo Frecuente
de PCR, y que *Pérdidas Extremo Extremo
C7: Las instalaciones
además sean económicas de la Oficina
una amenaza
permiten una
para la Excelente
*Medidas de política evacuación efectiva
integridad física
económica que de los colaboradores.
de los
generen algún shock a
colaboradores
la economía del país C4: Toda la
(ej. Gasolinazo; información esencial
Devaluación/Revaluació para los procesos
n de la moneda local, críticos se encuentra Bueno
etc.) cargada en la nube
de Microsoft Office
365
 Mapa de Calor de Riesgos en Seguridad de la Información

FRECUENCIA
5 R2
4 R1
3
2
1
1 2 3 4 5
IMPACTO

III.d Medidas de Prevención

Para permitir un adecuado proceso de reanudación del servicio que otorga PCR a sus clientes y a las
obligaciones que tiene con sus principales stakeholders, se debe capacitar al menos una vez al año, a
todo el personal sobre el presente Plan de Continuidad del Negocio.

A nivel específico se listan las siguientes acciones preventivas para los riesgos identificados:

III.d.1 R1 - Incendio que implique la destrucción de los activos fijos y los activos de información críticos
de la Oficina (pérdida de información)

Se debe aplicar las siguientes medidas de prevención para el riesgo R1:

 Mantenimiento preventivo (mínimamente anual) y correctivo (a requerimiento), de los cables

que conectan todo el hardware y los equipos de comunicación (teléfonos) de la Oficina, a fin de
que éstos no estén en mal estado o que existan conexiones saturadas.
 Capacitación (mínimamente anual), a todo el personal de la Oficina, sobre la utilización de
extintores en caso de incendio.

 Contar con un Directorio Telefónico actualizado en formato impreso, de fácil acceso para todos
los funcionarios, donde se incluya el teléfono al que se puede llamar a los Bomberos y/o a
Ambulancias.

 Se deben realizar copias de respaldo diarias de manera automática, en especial de los activos de
información críticos de la empresa.

 Todo activo de información crítico que se resguarde en formato impreso (boletas de pago,
estatutos, Actas de Directorio, etc.), debe estar escaneado en la nube, ya sea en Office Teams o
en el Sharepoint.

 Todos los colaboradores deben precautelar que su información más crítica (archivos de trabajo,
información de clientes, etc.), esté debidamente cargada en la nube, ya sea en el Office Teams o
en el Sharepoint.

III.d.2 R2 - Convulsión e inestabilidad social (manifestaciones violentas, vandalismo), que atenten

contra la infraestructura de PCR, y que además sean una amenaza para la integridad física de los
colaboradores
Se debe aplicar las siguientes medidas de prevención para el riesgo R2:

 Se deben realizar copias de respaldo diarias de manera automática, en especial de los activos de
información críticos de la empresa.

 Todo activo de información crítico que se resguarde en formato impreso (boletas de pago,
estatutos, Actas de Directorio, etc.), debe estar escaneado en la nube, ya sea en Office Teams o
en el Sharepoint.

 Todos los colaboradores deben precautelar que su información más crítica (archivos de trabajo,
información de clientes, etc.), esté debidamente cargada en la nube, ya sea en el Office Teams o
en el Sharepoint.

III.e Desarrollo de estrategias para el Plan de Continuidad del Negocio

 Ante todo, se debe precautelar la integridad física de las personas que trabajan en PCR.

 Ante la falta de medios de transporte para que se movilicen los colaboradores, se podrá realizar
teletrabajo desde casa, sujeto a la aprobación del Gerente / Coordinador País.

 Los Comités de Calificación que se tengan programados en el día del evento de riesgo podrán
reprogramarse hasta 3 horas y 59 minutos después como máximo, y deberán realizarse vía
Skype Empresarial.

En caso de excederse ese plazo, se debe informar al Gerente / Coordinador País para que analice
si corresponde reportar la interrupción de las operaciones por 4 ó más horas a los entes
reguladores y demás stakeholders.

 Los Informes de Calificación que se deba enviar en formato impreso a entes reguladores,
clientes y/o bolsas de valores deberán remitirse al día siguiente del evento de riesgo, incluyendo
en la nota de envío la explicación/salvedad por el retraso. Para esa tarea, el(los) Analista(s)
responsable(s) deberán coordinar con el personal administrativo (Asistente Administrativo,
Gerente / Coordinador País), dicho envío oportunamente.

 Se debe hacer todos los esfuerzos por cumplir con las obligaciones de la empresa para con entes
reguladores (envío de informes, pago de impuestos, pago de aportes a cajas de salud, seguro
social, etc.). En caso de no poder cumplir con alguna de dichas obligaciones, se debe
reprogramar su realización para el día hábil siguiente.

 Todo activo de información crítico que se resguarde en formato impreso (boletas de pago,
estatutos, Actas de Directorio, etc.), debe estar escaneado en la nube, ya sea en Office Teams o
en el Sharepoint.

 Todos los colaboradores deben precautelar que su información más crítica (archivos de trabajo,
información de clientes, etc.), esté debidamente cargada en la nube, ya sea en el Office Teams o
en el Sharepoint.
III.f Plan de emergencias para la gestión de incidentes

II.f.1 Incidente R1 – Incendio

El presente Plan se activará si se identifica un foco de incendio en las instalaciones de Interbank.

Nro. Actividades Responsable

Cualquier
Ante la detección de un foco de incendio (sitio en el que se origina el
1 funcionario/
incendio), notifica al Asistente Administrativo y a los demás colaboradores
colaborador de
de la Oficina para que se empiece la evacuación.
Interbank

La Brigada contra Incendios (mínimo dos funcionarios), intentará contener

el fuego a través del uso del(los) extintor(es) disponible(s) en la Oficina,
siempre que esta actividad no comprometa su integridad física.

La Brigada de Primeros Auxilios (mínimo dos funcionarios), de manera Brigada contra

paralela, iniciará y guiará a todo el personal para la evacuación del Edificio incendios y Brigada
2 (en todos los casos se debe utilizar las gradas y no el ascensor). de Primeros
Auxilios

¿La Brigada contra Incendios logró contener el fuego?

Cualquier
funcionario/
Sí: El proceso continúa.
3 colaborador de
No: Se procede a llamar y solicitar ayuda a los Bomberos (la lista o
Interbank
Directorio Telefónico actualizado se encuentra en la nube).

4 Realizan labores de sofocación de incendios. Bomberos

Notifica mediante correo electrónico a Presidencia y al Analista de TI, sobre Oficial de

5
los detalles del evento y las gestiones que se realizaron para solucionarlo. Cumplimiento

II.f.1 Incidente R2 – Convulsión e inestabilidad social (manifestaciones violentas, vandalismo)

El presente Plan se activará si luego de un análisis de la situación de riesgo, el Gerente considera

pertinente hacerlo, donde los principales criterios de activación serán una o dos de las siguientes
señales de alerta:

- La posibilidad de no contar con suficiente control policial en la ciudad para contener la situación
de convulsión/inestabilidad social, exponiendo la integridad de los colaboradores.

- La falta de medios de transporte para que los funcionarios se trasladen de la Oficina hasta su
casa, y viceversa.
 Nro. Actividades Responsable

Ante una situación de riesgo, autorizará y divulgará mediante correo

electrónico, la instrucción para realizar teletrabajo desde casa,
funcionarios autorizados y los horarios que se debe cumplir para la
entrega y envío de información a sus jefes inmediatos. Gerente
1

¿Dónde están ubicados los colaboradores al momento de recibir la

instrucción?

- En la Oficina: Proceden a retirarse a sus domicilios según el horario

señalado por el Gerente y terminan de realizar sus labores mediante
teletrabajo.

- Fuera de la Oficina: Si no comprometen su integridad física, asisten

a la Oficina y realizan sus labores hasta el horario definido por el
Colaboradores de
2 Gerente.
Interbank
Nota 1: Todos los colaboradores deben estar atentos a su correo Outlook
(app instalada en el celular), para enterarse oportunamente de la
instrucción enviada por el Gerente.

Nota 2: En caso de que nadie pueda asistir a trabajar a las Oficina de

Interbank, se debe notificar sobre la interrupción del servicio y sus
salvedades a los stakeholders al día hábil siguiente de concluido el evento
de convulsión social.

III.g Plan de Recuperación de Desastres

En caso de haberse suscitado un incendio, o un desastre que implique la destrucción de los activos fijos y
activos de información de Interbank, se debe llevar a cabo las siguientes tareas de recuperación:

1) Contabilizar el valor monetario de las pérdidas incurridas por el evento y notificar al área de
Administración.

2) Realizar un inventario de los activos fijos y de los activos de información que se debe reponer a
causa del evento, y su costo.

3) Gestionar la compra y reposición de los activos fijos y de información.

4) Coordinar con el área de TI la instalación del software en los equipos de cómputo que se haya
repuesto.

5) Gestionar la recuperación de los datos y activos de información digital que están cargados en la
nube, con ayuda del área de TI.
III.h Comunicación y Gestión de la Crisis

A continuación, se expone las pautas necesarias para la comunicación interna y externa de

cualquier evento de interrupción:

 Comunicación Interna

- El Oficial de Cumplimiento designado de cada Oficina es el encargado de comunicar al

Analista de TI y al Jefe de Administración, sobre el inicio de la contingencia o evento de
interrupción del negocio.

- Si el evento tiene duración mayor a 2 horas, el Analista de TI es responsable de enviar un

Comunicado a los colaboradores de Interbank para indicarles está atravesando una
contingencia.

- Todos los colaboradores deben tener instalada la app de Skype Empresarial en sus
celulares, en caso de que se requiera contactarlos para gestionar la solución de la
contingencia o interrupción del negocio.

 Comunicación Externa

- La única instancia autorizada para ofrecer declaraciones a los stakeholders, y a los

medios de prensa sobre la contingencia o interrupción del negocio es el Gerente.

- Si la contingencia es de origen tecnológico (virus informático, ciberataque, etc.), con

duración igual o superior a las 4 horas, el Oficial de Cumplimiento de la Oficina de
Interbank debe notificar sobre el evento a la Coordinadora de Respuesta a Emergencias
en Redes Teleinformáticas de la Administración Pública del Perú.