Electiva I

Cuestionario ISO 22317 y ISO 3100

Lina María Garzón Rincón

Código: 50116

Francisco Javier Nustes Caycedo

Bogotá D. C Colombia Mayo, 7 de 2022

1. ¿Qué significa la sigla BIA? y ¿Que la sigla RA?
o BIA: Análisis del impacto del negocio
o RA: Análisis del riesgo
2. ¿Que define BIA Y RA?
o BIA: Define el proceso sistemático que determina y evalúa los
efectos de cualquier imprevisto que pueda afectar la continuidad del
negocio.
o RA: Define las directrices y principios para poner en marcha los
sistemas de gestión de riesgos con actividades para determinar,
seguir y controlar los negocios.
3. ¿Cuáles son los componentes de BIA y que propone RA?
o BIA:
▪ Exploratorio: Explora cualquier vulnerabilidad.
▪ Planificación: Se desarrollan estrategias para minimizar el riesgo.
o RA: Propone la cuantificación del riesgo desde dos frentes:
▪ Probabilidad: Posibilidad de que el evento suceda.
▪ Consecuencia: Cuando el evento no permite que el objetivo se
cumpla.
4. ¿Cuáles son los resultados esperados por cada uno?
o BIA: Un informe sobre los riesgos potenciales y específicos de la
organización.
o RA: Un informe sobre los riesgos y sus impactos, que pueden ser
potenciales o específicos para la organización.
5. ¿Cuáles son las reglas básicas que supone BIA?
o Cada elemento que forma parte de la organización depende del
funcionamiento continuo de los demás componentes.
o Algunos elementos son más vulnerables que otros.
6. Tipos de BIA y de RA
o BIA:
▪ Estratégico: Análisis del ambiente interno y externo.
▪ De procesos.
▪ Tecnológico: Analizar el impacto por discontinuidad de las
operaciones, dependencias tecnológicas y de los sistemas de
información causados por algún riesgo.
o RA:
▪ Según la actividad: Sistemático y no sistemático.
▪ Según la naturaleza: Financiero, económico, político y legal.
7. ¿Cuáles son las herramientas de identificación de impactos usados
por las dos normas?
• Cuantitativas: Análisis de probabilidad, análisis de coincidencias,
simulación computacional, análisis del árbol de efectos y método de
valoración del riesgo.
 • Cualitativas: Cuestionarios y entrevistas estructuradas, evaluación de
grupos multidisciplinarios, análisis Delphi, check list y análisis del
árbol de fallas.
8. ¿Que nos identifica BIA?
• Tiempo objetivo de recuperación RTO: Es el tiempo que transcurre
desde que se cae la actividad o servicio hasta que se recupera a un
nivel aceptable y que se pueda prestar el servicio o actividad.
• RTO relacionado con las copias de seguridad: Es la cantidad de
información que se puede perder antes de que ocurra un daño
significativo al negocio.
• Periodo máximo tolerable de interrupción MTPD: Es el tiempo desde
que se cae la actividad o servicio hasta que se recupera al 100%.
9. Enumere y explique los puntos del proceso de gestión de riesgo
según la norma ISO 31000.
• Establecer el contexto: Estratégico, organizacional y el de gestión de
riesgos.
• Identificar los riesgos: Que puedan suceder y como pueden suceder.
Básicamente se identifican los riesgos principales y secundarios que
puedan generar desajustes a la empresa y objetivos propuestos.
• Análisis de los riesgos: Se determina cuales son los riesgos y la
efectividad de los controles existentes. Se analizan los riesgos y el
impacto que causaran. Se determina probabilidad y consecuencias.
Se calcula el nivel de riesgo y se identifica el impacto y la frecuencia.
• Se evalúan los riesgos: Se comparan contra criterios establecidos,
se establecen prioridades, se evalúa el plan de gestión de riesgos
actual y se determina lo positivo y lo que hay que mejorar.
• Tratamiento del riesgo: Se identifican las opciones de tratamiento, se
evalúan las opciones de tratamiento, se seleccionan las opciones de
tratamiento, se preparan y se implementan.
TRADUCCION
A. What does the acronym BIA stand for and what does the acronym RA
stand for?
• BIA: Business Impact Analysis
• RA: Risk Analysis
B. What does BIA and RA define?
• BIA: Defines the systematic process that determines and evaluates
the effects of any unforeseen event that may affect business
continuity.
• RA: Defines the guidelines and principles for implementing risk
management systems with activities to determine, monitor and
control the business.
C. What are the components of BIA and what does RA propose?
• BIA:
o Exploratory: Explores any vulnerabilities.
o Planning: Strategies are developed to minimize risk.
• RA: Proposes risk quantification from two fronts:
o Probability: Possibility of the event happening.
o Consequence: When the event does not allow the objective to be
met.
D. What are the expected results for each?
• BIA: A report on the potential and specific risks to the organization.
• RA: A report on the risks and their impacts, which may be potential or
specific to the organization.
E. What are the basic rules involved in BIA?
• Each element that is part of the organization depends on the continuous
functioning of the other components.
• Some elements are more vulnerable than others.
F. Types of BIA and RA
• BIA:
o Strategic: Analysis of the internal and external environment.
o Processes.
o Technological: Analyze the impact of discontinuity of operations,
technological dependencies and information systems caused by
some risk.
• RA:
o According to activity: Systematic and non-systematic.
o By nature: Financial, economic, political and legal.
G. What are the impact identification tools used by the two standards?
• Quantitative: Probability analysis, coincidence analysis, computer
simulation, effects tree analysis and risk assessment method.
• Qualitative: Questionnaires and structured interviews, multidisciplinary
group evaluation, Delphi analysis, check list and fault tree analysis.
H. What does BIA identify us?
• Recovery Time Objective RTO: It is the time elapsed from the time the
activity or service is down until it is recovered to an acceptable level and the
service or activity can be provided.
• RTO related to backups: The amount of information that can be lost before
significant damage to the business occurs.
• Maximum Tolerable Period of Disruption MTPD: The time from when the
activity or service is down until it is 100% recovered.
I. List and explain the points of the risk management process according
to ISO 31000.
• Establish the context: Strategic, organizational and the risk management
context.
• Identify the risks: What can happen and how they can happen. Basically, the
main and secondary risks that can generate misalignments to the company
and proposed objectives are identified.
• Risk analysis: It determines which are the risks and the effectiveness of
existing controls. Risks and the impact they will cause are analyzed.
Probability and consequences are determined. The risk level is calculated
and the impact and frequency are identified.
• Risks are evaluated: They are compared against established criteria,
priorities are established, the current risk management plan is evaluated
and what is positive and what needs to be improved is determined.
• Risk treatment: Treatment options are identified, treatment options are
evaluated, treatment options are selected, prepared and implemented.