1. ¿Qué significa la sigla BIA? y ¿Que la sigla RA? o BIA: Análisis del impacto del negocio o RA: Análisis del riesgo 2. ¿Que define BIA Y RA? o BIA: Define el proceso sistemático que determina y evalúa los efectos de cualquier imprevisto que pueda afectar la continuidad del negocio. o RA: Define las directrices y principios para poner en marcha los sistemas de gestión de riesgos con actividades para determinar, seguir y controlar los negocios. 3. ¿Cuáles son los componentes de BIA y que propone RA? o BIA: ▪ Exploratorio: Explora cualquier vulnerabilidad. ▪ Planificación: Se desarrollan estrategias para minimizar el riesgo. o RA: Propone la cuantificación del riesgo desde dos frentes: ▪ Probabilidad: Posibilidad de que el evento suceda. ▪ Consecuencia: Cuando el evento no permite que el objetivo se cumpla. 4. ¿Cuáles son los resultados esperados por cada uno? o BIA: Un informe sobre los riesgos potenciales y específicos de la organización. o RA: Un informe sobre los riesgos y sus impactos, que pueden ser potenciales o específicos para la organización. 5. ¿Cuáles son las reglas básicas que supone BIA? o Cada elemento que forma parte de la organización depende del funcionamiento continuo de los demás componentes. o Algunos elementos son más vulnerables que otros. 6. Tipos de BIA y de RA o BIA: ▪ Estratégico: Análisis del ambiente interno y externo. ▪ De procesos. ▪ Tecnológico: Analizar el impacto por discontinuidad de las operaciones, dependencias tecnológicas y de los sistemas de información causados por algún riesgo. o RA: ▪ Según la actividad: Sistemático y no sistemático. ▪ Según la naturaleza: Financiero, económico, político y legal. 7. ¿Cuáles son las herramientas de identificación de impactos usados por las dos normas? • Cuantitativas: Análisis de probabilidad, análisis de coincidencias, simulación computacional, análisis del árbol de efectos y método de valoración del riesgo. • Cualitativas: Cuestionarios y entrevistas estructuradas, evaluación de grupos multidisciplinarios, análisis Delphi, check list y análisis del árbol de fallas. 8. ¿Que nos identifica BIA? • Tiempo objetivo de recuperación RTO: Es el tiempo que transcurre desde que se cae la actividad o servicio hasta que se recupera a un nivel aceptable y que se pueda prestar el servicio o actividad. • RTO relacionado con las copias de seguridad: Es la cantidad de información que se puede perder antes de que ocurra un daño significativo al negocio. • Periodo máximo tolerable de interrupción MTPD: Es el tiempo desde que se cae la actividad o servicio hasta que se recupera al 100%. 9. Enumere y explique los puntos del proceso de gestión de riesgo según la norma ISO 31000. • Establecer el contexto: Estratégico, organizacional y el de gestión de riesgos. • Identificar los riesgos: Que puedan suceder y como pueden suceder. Básicamente se identifican los riesgos principales y secundarios que puedan generar desajustes a la empresa y objetivos propuestos. • Análisis de los riesgos: Se determina cuales son los riesgos y la efectividad de los controles existentes. Se analizan los riesgos y el impacto que causaran. Se determina probabilidad y consecuencias. Se calcula el nivel de riesgo y se identifica el impacto y la frecuencia. • Se evalúan los riesgos: Se comparan contra criterios establecidos, se establecen prioridades, se evalúa el plan de gestión de riesgos actual y se determina lo positivo y lo que hay que mejorar. • Tratamiento del riesgo: Se identifican las opciones de tratamiento, se evalúan las opciones de tratamiento, se seleccionan las opciones de tratamiento, se preparan y se implementan. TRADUCCION A. What does the acronym BIA stand for and what does the acronym RA stand for? • BIA: Business Impact Analysis • RA: Risk Analysis B. What does BIA and RA define? • BIA: Defines the systematic process that determines and evaluates the effects of any unforeseen event that may affect business continuity. • RA: Defines the guidelines and principles for implementing risk management systems with activities to determine, monitor and control the business. C. What are the components of BIA and what does RA propose? • BIA: o Exploratory: Explores any vulnerabilities. o Planning: Strategies are developed to minimize risk. • RA: Proposes risk quantification from two fronts: o Probability: Possibility of the event happening. o Consequence: When the event does not allow the objective to be met. D. What are the expected results for each? • BIA: A report on the potential and specific risks to the organization. • RA: A report on the risks and their impacts, which may be potential or specific to the organization. E. What are the basic rules involved in BIA? • Each element that is part of the organization depends on the continuous functioning of the other components. • Some elements are more vulnerable than others. F. Types of BIA and RA • BIA: o Strategic: Analysis of the internal and external environment. o Processes. o Technological: Analyze the impact of discontinuity of operations, technological dependencies and information systems caused by some risk. • RA: o According to activity: Systematic and non-systematic. o By nature: Financial, economic, political and legal. G. What are the impact identification tools used by the two standards? • Quantitative: Probability analysis, coincidence analysis, computer simulation, effects tree analysis and risk assessment method. • Qualitative: Questionnaires and structured interviews, multidisciplinary group evaluation, Delphi analysis, check list and fault tree analysis. H. What does BIA identify us? • Recovery Time Objective RTO: It is the time elapsed from the time the activity or service is down until it is recovered to an acceptable level and the service or activity can be provided. • RTO related to backups: The amount of information that can be lost before significant damage to the business occurs. • Maximum Tolerable Period of Disruption MTPD: The time from when the activity or service is down until it is 100% recovered. I. List and explain the points of the risk management process according to ISO 31000. • Establish the context: Strategic, organizational and the risk management context. • Identify the risks: What can happen and how they can happen. Basically, the main and secondary risks that can generate misalignments to the company and proposed objectives are identified. • Risk analysis: It determines which are the risks and the effectiveness of existing controls. Risks and the impact they will cause are analyzed. Probability and consequences are determined. The risk level is calculated and the impact and frequency are identified. • Risks are evaluated: They are compared against established criteria, priorities are established, the current risk management plan is evaluated and what is positive and what needs to be improved is determined. • Risk treatment: Treatment options are identified, treatment options are evaluated, treatment options are selected, prepared and implemented.