PLAN DE MITIGACIÓN Y

CONTINGENCIA DE RIESGOS
TALLER DE PROYECTO DE INFRAESTRUCTURA
¿POR QUÉ REALIZAR UNA EVALUACIÓN DE RIESGOS?

Una evaluación de riesgos puede ayudar a identificar eventos que podrían afectar
negativamente la organización. Esto incluye los posibles daños, el tiempo necesario para
recuperar o restaurar las operaciones y las medidas preventivas o los controles que pueden
mitigar la probabilidad de que ocurra un evento. Una evaluación de riesgos también ayuda a
determinar qué pasos, si se implementan correctamente, podrían reducir la gravedad de un
evento.
Para realizar con una evaluación de riesgos, se comienza identificando los procesos de
negocio más críticos. A continuación, se debe recopilar información sobre posibles amenazas
para la organización.
¿POR QUÉ REALIZAR UNA EVALUACIÓN DE RIESGOS?

Existen numerosas fuentes disponibles para ayudar a juntar información sobre amenazas, como por ejemplo:
•Registros de la compañía sobre eventos disruptivos.
•Recolección de datos de los empleados de los eventos disruptivos.
•Registros de medios locales y nacionales.
•Bibliotecas locales.
•Organizaciones de primeros auxilios.
•Datos históricos del Servicio Meteorológico Nacional.
•Mapas del Servicio Geológico de tu país.
•Agencias gubernamentales.
Estas fuentes pueden ayudarlo a determinar la probabilidad de que ocurran eventos específicos, así como la gravedad de los que
ocurren. Puedes descartar aquellos que no tienen probabilidad de ocurrencia. Por ejemplo, no es necesario planificar los terremotos si
los mapas del servicio geológico indican que tu sitio no se encuentra en una zona de movimientos sísmicos o cerca de ella.
TIPOS DE RESPUESTAS DEFENSIVAS

Después de identificar los riesgos y las vulnerabilidades, se pueden considerar respuestas defensivas.
Medidas de protección
•Son actividades diseñadas para reducir las posibilidades de que ocurra un evento perturbador. Un
ejemplo es el uso de cámaras de seguridad para identificar a visitantes no autorizados y alertar a las
autoridades antes de que un atacante pueda causar algún daño.
Medidas de mitigación
•Estas actividades están diseñadas para minimizar la gravedad del evento después de que ocurre. Los
ejemplos de medidas de mitigación incluyen supresores de sobretensiones para reducir el impacto de un
rayo y sistemas de energía ininterrumpida para limitar las posibilidades de una detención estricta de los
sistemas críticos debido a un apagón o caída de voltaje.
TIPOS DE RESPUESTAS DEFENSIVAS

Actividades de recuperación
•Estas actividades sirven para restablecer los sistemas y la infraestructura alterados a un nivel que pueda respaldar
las operaciones de negocio. Por ejemplo, los datos críticos almacenados fuera del sitio se pueden usar para
reiniciar las operaciones en un punto apropiado en el tiempo.
Planes de contingencia
•Estos documentos a nivel de proceso describen lo que una organización puede hacer después de un evento
perturbador. Por lo general, se activan en función de los aportes del equipo de gestión de emergencias.
La secuencia en la que se implementan estas medidas depende en gran medida de los resultados de la evaluación de
riesgos. Después de identificar una amenaza específica y su vulnerabilidad asociada, puedes planificar la estrategia
defensiva más efectiva. Recuerda que los planes de contingencia deben hacer frente a los efectos,
independientemente de las causas.
AGRUPACIÓN DE IMPACTOS

Después de identificar los riesgos, querrás identificar los posibles efectos,

síntomas y consecuencias resultantes del evento.
Efectos básicos
Hay cinco efectos básicos que pueden tener consecuencias desastrosas:
•Denegación de acceso.
•Pérdida de datos.
•Pérdida de personal.
•Pérdida de función.
•Falta de información.
AGRUPACIÓN DE IMPACTOS

Después de identificar los riesgos, querrás identificar los posibles efectos, síntomas y consecuencias resultantes
del evento.
Síntomas
Los síntomas percibidos pueden ser una pérdida (o falta de):
•Acceso o disponibilidad.
•Datos.
•Confidencialidad.
•Integridad de los datos.
•Ambiente.
•Personal (pérdida temporal).
•Función del sistema.
•Controlar.
•Comunicación.
AGRUPACIÓN DE IMPACTOS

Después de identificar los riesgos, querrás identificar los posibles efectos, síntomas y consecuencias resultantes del
evento.
Consecuencias
Los efectos secundarios o las consecuencias pueden incluir:
•Flujo de caja interrumpido.
•Pérdida de imagen.
•Daño de marca.
•Pérdida de cuota de mercado.
•Reducir la moral de los empleados.
•Mayor rotación de personal.
•Altos costos de reparación.
•Altos costos de recuperación.
•Tasas de penalidad.
•Honorarios legales.
ENTENDER LAS AMENAZAS Y VULNERABILIDADES

Un análisis de riesgo implica identificarlos, evaluar la probabilidad de que ocurra un evento

y definir la gravedad de las consecuencias del mismo. También puede ser útil llevar a cabo
una evaluación de vulnerabilidad, que puede ayudar a identificar situaciones en las que la
organización puede estar arriesgándose al no realizar ciertas actividades. Un ejemplo puede
ser el mayor riesgo de virus al no usar el software antivirus más reciente.
Finalmente, los resultados del análisis de riesgos deben resumirse en un informe, con
actividades de mitigación recomendadas. Puede ser útil buscar vulnerabilidades al realizar
un análisis de riesgos.
¿QUÉ ES UN PLAN DE MITIGACIÓN DE RIESGOS?

Se denomina Plan de Mitigación a las estrategias definidas por tu empresa que tratan de reducir la probabilidad de
ocurrencia del riesgo o reducir el impacto que pueda causar.
Es importante entender que el objetivo de mitigación de riesgos es reducir la exposición al riesgo con la intención de
llevarlo a los límites de los umbrales aceptables para cada organización.
La exposición al riesgo es la función de la probabilidad de ocurrencia del riesgo y el impacto de este riesgo en el
proyecto.
La estrategia de mitigación está referida a todas las acciones que se toman por adelantado o acciones proactivas.
La probabilidad de ocurrencia del riesgo y su impacto se identifica y se calcula en una fase temprana a fin de evitar el
daño previsto en el proyecto.
Esta estrategia de respuesta se documenta en el Registro de Riesgo
¿QUÉ ES UN PLAN DE CONTINGENCIA DE RIESGOS?
Son las respuestas estratégicas que se utilizan solamente si el riesgo ocurre.

Para algunos riesgos resulta más apropiado elaborar un plan de contingencia (no una respuesta o mitigación) que solamente se utilizará cuando
existan señales de advertencia que indiquen que el riesgo puede ocurrir. Con esto quiere decir, que esta estrategia se diseña para ser usada
únicamente si se produce determinado evento

Por lo tanto, se puede decir que el plan de contingencia es un plan reactivo que se ocupa de los eventos que pueden o no ocurrir. A menudo se
observa que algunos consideran estos dos planes de riesgo como mutuamente excluyentes, y sin embargo no es el caso.

A veces, es necesario que se tenga que planificar tanto la respuesta al riesgo de mitigación y la respuesta de contingencia al lado. En este tipo de
situaciones, se suele preparar un plan proactivo de acciones para reducir la probabilidad y el impacto de los riesgos y también un plan de
contingencia.

Es importante controlar los factores desencadenantes o señales de advertencia en caso de que el riesgo sea inevitable. Ambos planes se realizan
para todos los riesgos identificados y conocidos.

La diferencia es que los planes de contingencia se hacen para los riegos que se encuentran por debajo de un umbral determinado.
DIFERENCIAS ENTRE PLANES DE
MITIGACIÓN Y PLANES DE RIESGOS
Planes de mitigación de riesgos Planes de contingencia de riesgos
• Las acciones se definen antes de que ocurra o • Se planifican ciertas acciones que se ponen en
no ocurra el riesgo. marcha sólo si las señales de advertencia se
• Se asignan recursos por adelantado debido a la disparan.
situación de riesgo identificada. • No se gastan recursos por adelantado
• Se mitigan los riesgos que están por encima del • No tratamos de cambiar la probabilidad e
umbral establecido, aplicando planes de impacto de un riesgo, pero planificamos como
respuesta para reducir probabilidad e impacto. controlarlo en caso de que ocurra.
• Trabaja como un plan proactivo. • Trabaja como un plan reactivo.
¿CUANDO EJECUTAR UN PLAN DE MITIGACIÓN O CONTINGENCIA?

El Plan de Contingencias, solo se ejecutará cuando exista o se dispare alguna señal de advertencia.
El Plan de Mitigación es conveniente hacerlo al principio del proyecto durante la planificación y
continuarlo durante toda la ejecución del mismo.
En la matriz de riesgos que utilizamos en Calidad para Pymes tenemos la casilla correspondiente
para documentar estos planes de mitigación.
Este plan se puede presentar como un informe, estudio, lista de acciones, etc.
Si se realiza durante la fase de planificación del proyecto, el coste y tiempo de las estrategias y
respuestas formaran parte del presupuesto del proyecto.
TALLER DE PROYECTO DE INFRAESTRUCTURA