SEMANA 04

Análisis de Impacto al Negocio

BIA – Análisis de Riesgos - RA

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

 Agenda
Análisis de Impacto al Negocio – BIA
Interdependencias
Registros vitales
Identificación de Proveedores Críticos

Análisis de Riesgos – RA
Metodologías
● ISO 27005
● ISO 31000
● MAGERIT
Tipos de riesgos asociados a la pérdida de continuidad del negocio

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

 ANÁLISIS DE IMPACTO AL NEGOCIO
INTERDEPENDENCIAS - BIA

Richmond House Group reveló que mientras el 93% de las que sufrieron una
pérdida de datos significativa, lo que las llevó a cerrar su negocio en los cinco años
siguientes, también se detectó que el 20% de las pequeñas y medianas empresas
(PyME) sufren un desastre mayor cada cinco años.

La magnitud de estos hechos deja claro el por qué se debe tener un plan de
Continuidad del Negocio (BCP). Pero, ¿cómo empezar? ¿Cuáles son los puntos
clave para entender qué es lo que se necesita y hacia dónde se quiere ir?

Entre los aspectos que se deben tener en cuenta en este sentido, Hitachi Data
Systems señala cinco puntos relevantes a considerar:

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

ANÁLISIS DE IMPACTO AL NEGOCIO
INTERDEPENDENCIAS - BIA

1. Identificar los riesgos

Al realizar un análisis de impacto al negocio (Bussines Impact Analisys, BIA) es
posible darse cuenta de todos los puntos vulnerables del negocio.

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

ANÁLISIS DE IMPACTO AL NEGOCIO
INTERDEPENDENCIAS - BIA

2. Establecer un nivel de continuidad

Aquí es donde se define el objetivo, ya sea mantener una operación mínima
con los sistemas productivos de facturación e inventarios, o ir a un nivel
superior.

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

ANÁLISIS DE IMPACTO AL NEGOCIO
INTERDEPENDENCIAS - BIA

3. Identificar las interdependencias

Este es uno de los puntos de mayor análisis, debido a que se deben encontrar
todas las relaciones entre aplicaciones, ya que en la mayoría de los casos
éstas se encuentran distribuidas en diferentes servidores.

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

ANÁLISIS DE IMPACTO AL NEGOCIO
INTERDEPENDENCIAS - BIA

4. Capital humano
Es relativamente sencillo contar con equipos de réplica, medios de
comunicación, servidores, aplicaciones y bases de datos en todas sus gamas,
pero no es tan fácil encontrar a los administradores, o a los expertos que
conozcan y cubran el espectro de TI necesario para poder llevar a la realidad
un Plan de Continuidad de Negocios (BCP).

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

 ANÁLISIS DE IMPACTO AL NEGOCIO
INTERDEPENDENCIAS - BIA

5. Costos
En realidad no se puede establecer una relación directa entre “costo” y “continuidad del
negocio”, obviamente se prefiere la supervivencia del negocio, pero sí se debe balancear
cada uno de los puntos que se enlistan previamente para poder determinar la calidad,
cantidad y tipo de recursos que se emplearán para alcanzar el objetivo de mantener en
operación las actividades vitales de la empresa, con el propósito de evitar una catástrofe
financiera.

El consejo es, no pensar nunca en un plan de Continuidad de Negocios como un gasto, se

trata de una inversión.

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

 ANÁLISIS DE IMPACTO AL NEGOCIO
Análisis de Riesgos - RA

El análisis de riesgo, también conocido como evaluación de riesgos, es el estudio de las causas de
las posibles amenazas y probables eventos no deseados y los daños y consecuencias que éstas
puedan producir.

Este tipo de análisis es ampliamente utilizado como herramienta de gestión en estudios

financieros y de seguridad para identificar riesgos (métodos cualitativos) y otras para evaluar
riesgos (generalmente de naturaleza cuantitativa).

El primer paso del análisis es identificar los activos a proteger o evaluar. La evaluación de riesgos
involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de
riesgo establecidos previamente.

La función de la evaluación consiste en ayudar a alcanzar un nivel razonable de consenso en

torno a los objetivos en cuestión, y asegurar un nivel mínimo que permita desarrollar indicadores
operacionales a partir de los cuales medir y evaluar.

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

ANÁLISIS DE IMPACTO AL NEGOCIO
Análisis de Riesgos - RA

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

 ANÁLISIS DE IMPACTO AL NEGOCIO
Evaluación de Riesgo

Es uno de los pasos que se utiliza en un

proceso de gestión de riesgos.

El riesgo R se evalúa mediante

la medición de los dos parámetros que lo
determinan, la magnitud de la pérdida o
daño posible L, y la probabilidad p que
dicha pérdida o daño llegue a ocurrir.

Según la ISO 31000, el Risk Assessment

hace referencia en realidad es a
la Apreciación del Riesgo.

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

ANÁLISIS DE IMPACTO AL NEGOCIO
Evaluación de riesgos en proyectos de ingeniería

• En el ámbito de la gestión de proyectos de ingeniería, la evaluación de riesgos

es una parte integral del Plan de Gestión de Riesgos, que analiza la
probabilidad, impacto, y efecto de todos los riesgos conocidos que pueden
afectar el proyecto, como también las acciones correctivas que deben llevarse
a cabo en caso que el riesgo llegara efectivamente a ocurrir.
• Especial consideración merecen en este tema los códigos de prácticas
aplicables en cada jurisdicción.
• Entender las regulaciones a las que debe ajustarse la evaluación de riesgos es
imprescindible para diagramar prácticas seguras y acordes con lo que indique
la legislación.
• Existe una numerosa literatura que identifica metodologías apropiadas para
evaluación de riesgos.

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

 ANÁLISIS DE IMPACTO AL NEGOCIO
Identificación de riesgos en proyectos de ingeniería

• El proceso de identificación de riesgos inicialmente se enfoca en detectar cuales son las

fuentes principales de riesgo. Para ello se pueden emplear distintas metodologías tales como:
sesiones de discusión e intercambio de ideas entre los participantes en un proyecto, análisis
de datos históricos obtenidos durante la realización de proyectos de características similares, o
listas de revisión de proyectos de ingeniería junto con revisiones por personal con experiencia
específica en este tipo de emprendimientos.
• No es posible identificar absolutamente todos los riesgos posibles, y aún si se pudiera sería de
muy poca ayuda. Ni tampoco es posible saber si todos los riesgos conocidos han sido
identificados; pero no es este el objetivo del proceso de identificación de riesgos.
• Es conveniente para mayor claridad agrupar los riesgos en grupos de acuerdo por ejemplo a
cual sea su origen o la entidad primariamente responsable por ellos. Por ejemplo: riesgos del
dueño, riesgos del diseñador, riesgos del entorno político, riesgos regulatorios, fuerza mayor,
riesgos por subcontratistas,...

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

 ANÁLISIS DE IMPACTO AL NEGOCIO
Identificación de las consecuencias de los riesgos

Luego se procede a tipificar las consecuencias que los riesgos identificados en el punto anterior
tienen sobre el proyecto de ingeniería.

Por ejemplo, un determinado riesgo: afecta el costo del proyecto?, afecta la fecha de terminación
del proyecto?, afecta la performance del producto final?, afecta la calidad del producto final?,
etc..

En el paso siguiente se toma la lista generada durante el proceso de identificación de riesgos, y se

procede a indicar cuales de los tipos de consecuencias corresponden con los diversos riesgos o
eventos. También se suele realizar una evaluación cualitativa sobre la magnitud de dichas
consecuencias o "daños", por ejemplo si el riesgo puede afectar la fecha de terminación del
proyecto, estimar si dicho efecto origina una demora de un mes, varios meses, o más de seis
meses.​

De esta forma es posible asignar algún índice o número, por ejemplo, 1, 2 o 3.

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

ANÁLISIS DE IMPACTO AL NEGOCIO
Estimación de probabilidades de ocurrencia de daños / eventos

En el próximo paso se procede a ordenar los eventos según una

estimación cualitativa de la probabilidad de ocurrencia. Para ello es útil
ordenarlos en grupos por ejemplo, si se toman 4 categorías podrían ser:

1) eventos que existe cierta posibilidad de que puedan ocurrir;

2) eventos que no es probable que sucedan;
3) eventos que es sumamente improbable que sucedan;
4) eventos que es extremadamente poco probable que sucedan.

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

ANÁLISIS DE IMPACTO AL NEGOCIO
Prevención de ocurrencia de eventos con riesgos adversos

Luego de haber identificado aquellos eventos que pueden dar lugar a riesgos adversos y
habiendo estimado la magnitud de los mismos, es conveniente analizar el diseño
propuesto, las modalidades y métodos constructivos seleccionados y los modos de
operación previstos, con la finalidad de investigar si es posible modificar algunas de las
características del proyecto de manera que sea imposible se produzcan ciertos riesgos y
sus consecuencias.

Por ejemplo si uno de los riesgos identificados es que parte de las instalaciones se
pueden inundar frente a una crecida de un río ubicado en proximidades del proyecto, es
posible modificar el diseño (por ejemplo construyendo el proyecto en otro sitio más
elevado), para que la inundación se convierta en un suceso imposible.

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

ANÁLISIS DE IMPACTO AL NEGOCIO
Protección y mitigación ante situaciones adversas

Todo ser humano cuenta con alternativas propias de auto protección, que
les permiten hacer uso de ellas cuando se encuentran en una situación
que los atemoriza, esto nos permite emplear técnicas antes durante y
después de un evento adverso que nos ayudara a mitigar los riesgos
existentes en una zona afectada.

Con la puesta en marcha de los planes preconcebidos reduciremos a un

porcentaje bastante considerable los efectos causados por los eventos
adversos.

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

ANÁLISIS DE IMPACTO AL NEGOCIO
¿Tomar riesgos es bueno o es malo?

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

ANÁLISIS DE IMPACTO AL NEGOCIO
Asociando riesgos a los objetivos y creadores de valor

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

ANÁLISIS DE IMPACTO AL NEGOCIO
Estrategia de Administración de Riesgos

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

ANÁLISIS DE IMPACTO AL NEGOCIO
Categorías de Riesgos

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

ANÁLISIS DE IMPACTO AL NEGOCIO
Administración del Riesgo basado en Valor

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

ANÁLISIS DE IMPACTO AL NEGOCIO
El Rol de la Alta Dirección

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

ANÁLISIS DE IMPACTO AL NEGOCIO
10 Riesgos Frecuentemente Divulgados*

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

ANÁLISIS DE IMPACTO AL NEGOCIO
Riesgo Inherente y Residual

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

ANÁLISIS DE IMPACTO AL NEGOCIO
Riesgo Inherente y Residual (Continuación…)

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

ANÁLISIS DE IMPACTO AL NEGOCIO
Mapeo de los Riesgos inherente al riesgo residual

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

ANÁLISIS DE IMPACTO AL NEGOCIO
Mapeo de los Riesgos

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

ANÁLISIS DE IMPACTO AL NEGOCIO
Ejemplo: Evaluación cuantitativa de riesgo

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

ANÁLISIS DE IMPACTO AL NEGOCIO
Ejemplo: Matriz de Riesgo

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

ANÁLISIS DE IMPACTO AL NEGOCIO
Mantener el Equilibrio – Riesgo versus Recompensa

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

ANÁLISIS DE IMPACTO AL NEGOCIO
Enfoque en el costo total del Riesgo

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

ANÁLISIS DE IMPACTO AL NEGOCIO
Evaluar el Riesgo con un nuevo giro – “Cisne Negro”

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

ANÁLISIS DE IMPACTO AL NEGOCIO
SUGERENCIA

https://protejete.wordpress.com/descargas/#fichas

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

 Tarea No. 3

Desarrolle una Matriz de riesgos para: • Transmisión de contraseñas por teléfono

• Exposición o extravío de equipo, unidades de almacenamiento,
• Falta de inducción, capacitación y sensibilización sobre riesgos etc
• • Sobrepasar autoridades
Mal manejo de sistemas y herramientas
• • Falta de definición de perfil, privilegios y restricciones del
Utilización de programas no autorizados / software 'pirateado'
• Falta de pruebas de software nuevo personal
• • Falta de mantenimiento físico (proceso, repuestos e insumos)
Pérdida de datos
• • Falta de actualización de software (proceso y recursos)
Infección de sistemas a través de unidades portables sin escaneo
• • Fallas en permisos de usuarios (acceso a archivos)
Manejo inadecuado de datos críticos (Ej. no cifrar datos, etc.)
• • Acceso electrónico no autorizado a sistemas externos
Unidades portables con información sin cifrado
• • Acceso electrónico no autorizado a sistemas internos
Transmisión no cifrada de datos críticos
• • Red cableada expuesta para el acceso no autorizado
Manejo inadecuado de contraseñas (inseguras, no cambiar,
• Red inalámbrica expuesta al acceso no autorizado
compartidas, BD centralizada)
• • Dependencia a servicio técnico externo
Compartir contraseñas o permisos a terceros no autorizados