Escolar Documentos
Profissional Documentos
Cultura Documentos
Rights info:eu-repo/semantics/openAccess
Autores:
200914464 Leonard Alberto Soto Rodriguez
201010103 Karina Mara Cspedes Vargas
Asesores:
Luis Garca Paucar
II
Agradecimientos
Al Mg. Juan Dvila e Ing. Carlos Luis Vidal, quienes nos ayudaron a definir las
entidades financieras donde se valida el modelo del sistema de continuidad del del
negocio.
A la Ing. Giselle Oviedo y al Mg. Walter Huaman, por abrirnos las puertas de Edpyme
GMG y Financiera Edyficar, respectivamente ; y, permitir validar el presente proyecto.
III
Resumen Ejecutivo
Durante los primeros aos del siglo XXI, las empresas se han visto expuestas a diversos
eventos que generaron grandes prdidas financieras, de personal y hasta la quiebra de la
misma. Por ello, estas comenzaron a definir estrategias de prevencin y respuesta a
estos eventos logrando asegurar la operatividad de su negocio.
Dentro del marco de investigacin del proyecto, se obtuvo como resultado el modelo del
sistema de gestin de continuidad del negocio validado dentro de dos microfinancieras
peruanas evidenciando una mejora significativa en el cumplimiento de la norma ISO y
la circular. Para tal fin, se emple el indicador de efectividad para sistemas de gestin
de continuidad del negocio definido por Wolfgang Boehmer donde ambas empresas
lograron un resultado mayor al 75%.
IV
Abstract
During the first few years of the 21st century, companies have been exposed to various
events that generated large financial losses, losses of personal and even the bankruptcy.
Therefore, theses began to define strategies to prevent and response to these events
managing to maintain the operation of your business.
Within the framework of the research project, its obtained as a result the model
validated business continuity management system in two Peruvian microfinance
evidencing a significant improvement in compliance with the ISO standard and the
norm of SBS. For that end, it was used the effectiveness indicator for business
continuity management systems defined by Wolfgang Boehmer where both companies
achieved a result greater than 75%.
V
TABLA DE CONTENIDO
INTRODUCCION ....................................................................................................................................IX
VI
3.2.3 Modelo de gestin de continuidad del negocio enfocado en los procesos de negocio....... 43
3.2.4 Modelo de Continuidad del Negocio basado en estudios fenomenolgicos....................... 45
3.2.5 Modelo de Continuidad del Negocio enfocado en la etapa posterior a la crisis ................. 47
3.3 OTROS ESTUDIOS DE CONTINUIDAD DEL NEGOCIO .................................................................................... 49
VII
5.2 CASO DE EXITO 2: EDPYME GMG SERVICIOS PERU S.A. ......................................................................... 322
5.2.1 Informacin General ......................................................................................................... 322
5.2.2 Situacin Actual ................................................................................................................ 322
5.2.3 Polticas del SGCN ............................................................................................................. 334
5.2.4 Etapa de anlisis ............................................................................................................... 336
5.2.5 Diseo ............................................................................................................................... 414
5.2.6 Implementacin ................................................................................................................ 486
5.2.7 Plan de Continuidad Post - Implementacin ..................................................................... 523
VIII
Introduccin
Por ello, el problema a tratar son los lineamientos basados en metodologas obsoletas
y/o desactualizadas a las necesidades de la entidad microfinanciera para responder
oportunamente ante incidentes que afecten sus procesos y recursos crticos. Est
1
Cfr. Cerullo 2004: 70-78
2
Cfr. Steiner 2002: 1-13
3
Cfr. Computer Crime Research Center 2003
4
Cfr. Andina 2015
IX
adaptado a las necesidades y requerimientos regulatorios de una entidad microfinanciera
peruana, ya que estas juegan un papel muy importante al brindar un conjunto de
productos y servicios que permiten la inclusin de aquel segmento que abarcan personas
de bajos recursos, emprendedores y personas con negocio propio. Esto se relaciona a
que las pequeas y medianas empresas, al no contar con tantos recursos econmicos, no
pueden desarrollar todos los componentes que conforman un sistema de gestin de
continuidad del negocio dejndolos expuestos a riesgos que pueden llevarlos al cierre o
quiebra.
En el captulo 4, se describe los entregables que compone cada una de las etapas de
anlisis, diseo, implementacin y plan de continuidad del modelo de sistema de gestin
de continuidad del negocio propuesto en el presente proyecto.
X
En el captulo 5, se describe los resultados obtenidos en cada etapa durante la aplicacin
del modelo de sistema de gestin de continuidad del negocio en dos empresas
microfinancieras peruanas que operan con autorizacin de la SBS evaluando los
resultados mediante un anlisis GAP.
En el captulo 6, se describe todas las actividades realizadas para la gestin del proyecto
en trminos de tiempo, costos, alcance y recursos.
XI
Capitulo 1 : Descripcin del Proyecto
1
1.1 Objeto de Estudio
El tema de estudio de este proyecto se enfoca en evaluar el estado actual de la gestin de la
continuidad del negocio dentro de las entidades microfinancieras peruanas y como estas
actan frente a diversos eventos y/o incidentes a los que se encuentran expuestas. El rea
de conocimiento en el que se desarrolla este proyecto es Sistemas de Informacin, ya que
se aplican estndares internacionales como la ISO 22301:2012 y circular G-139:2009
establecida por la SBS; y, la industria en la que se enfoca es el sector financiero peruano
principalmente en el rubro de microfinancieras peruanas.
5
Cfr. Mafre 2014:5
6
Cfr. DINTEL 2012: 5
2
sismos a nivel nacional 7 y en el 2015, 94 actividades ssmicas 8. Estas cifras nos advierten
que cada vez estamos ms propensos a sufrir este tipo de desastres a parte de otros tipos de
amenazas que se encuentran en el entorno y no se pueden controlar.
Por estos motivos, existen varios marcos de referencia que ayudan a las organizaciones a
responder oportunamente ante eventos no deseados y asegurar la continuidad de negocio.
En el Per, se encuentra la circular G-139-2009 publicada por la Superintendencia de
Banca y Seguros (SBS) para el sector financiero, la cual tiene como objetivo definir
criterios para garantizar los niveles de preparacin adecuados en las organizaciones de
dicho sector para que continen brinando sus operaciones a un nivel aceptable ante la
materializacin de amenazas. A nivel internacional, la ISO 22301:2012 se ha desarrollado
para minimizar el riesgo ante interrupciones no previstas y son aplicables a todas las
organizaciones sin importar tamao ni rubro.
7
Cfr. INDECI 2014
8
Cfr. INDECI 2015
9
Cfr. FEPCMAC 2012: 3
3
1.3 Planteamiento de la Solucin
Para llegar a la solucin del problema, se ha realizado el modelo de sistema de gestin de
continuidad de negocio que permite a las entidades microfinanciera poder identificar los
procesos ms crticos en su organizacin, calcular los tiempos de recuperacin objetivo y
mximo tolerable de los procesos, evaluar los riesgos de continuidad presentes en estos
procesos, definir las estrategias de continuidad para mitigar los riesgos residuales no
tolerable y documentar sus procedimientos de respuesta mediante los planes que
conforman el modelo.
Para asegurar la calidad del proyecto y la efectividad del sistema de gestin de continuidad
del negocio propuesto, se utiliz la norma ISO 22301:2012. Esta tiene como principio base
el ciclo de PDCA (Plan Do Check Act) que especifica los requisitos para planificar,
establecer, implantar, operar, monitorear, revisar, mantener y mejorar continuamente un
sistema de gestin de continuidad del negocio.
Para que este proyecto cumpla con las normas dadas por el estado peruano y su regulador
(SBS), se tom como base la circular G-139:2009 la cual est dirigida especialmente al
sector financiero peruano. Esta circular brinda los lineamientos necesarios para que una
entidad financiera asegure la continuidad de sus operaciones.
OE1: Analizar los requerimientos a cumplir por la circular G-139-2009 de la SBS alineado
a la normativa ISO/IEC 22301:2012.
OE2: Disear el modelo de Sistema de Gestin de Continuidad del Negocio en base a los
requerimientos de la circular G-139-2009 y de la normativa ISO 22301:2012.
4
OE3: Validar el modelo del Sistema de Gestin de Continuidad del Negocio en una
microfinanciera peruana.
IE2: (OE2) Acta de aprobacin del modelo del Sistema de Continuidad del Negocio por el
profesor cliente.
IE5: (OE1, OE2, OE3, OE4) Certificado de Calidad emitido por la empresa virtual Quality
Services evidenciando la conformidad y los estndares desarrollados en el proyecto.
5
1.6.1 Alcance
El proyecto consta de los siguientes entregables:
6
1.6.2 Plan de Gestin del Tiempo
Tabla 2 - Fases e Hitos del Proyecto
Fase del Hito del Fecha
Entregables incluidos
Proyecto proyecto Estimada
Inicio del Aprobacin del Semana 1 Project Charter
Proyecto Project charter (2015-1)
Roles y Responsabilidades
Semana 2
Registro de Interesados
(2015-1)
Plan de Gestin de Comunicaciones
Cronograma (EDT)
Diccionario EDT
Plan de Gestin de Alcance
Aprobacin de Matriz de Trazabilidad de
Planeamiento
la planificacin Requerimientos
del Proyecto
del proyecto Semana 3 Matriz RAM
(2015-1) Plan de gestin de Riesgo
Plan de Gestin de Calidad
Matriz de Riesgos
Plan de gestin del Cronograma
Plan de Gestin de RRHH
Plantillas para el seguimiento y control
Documento de las mejores prcticas
Semana 6
para la identificacin de los procesos
(2015-1)
crticos
Semana 9 Documento para el anlisis del
Aprobacin de (2015-1) impacto en el negocio (BIA)
los entregables Documento de las mejores prcticas
Semana 10
de la fase de para la identificacin de los riesgos de
(2015-1)
anlisis continuidad.
Semana 11 Documento para la evaluacin de los
(2015-1) riesgos identificados.
Semana 12 Documento de evaluacin y seleccin
(2015-1) de estrategias de continuidad
Anlisis del Aprobacin de Memoria Parcial (Hasta Capitulo 4
Semana 14
Proyecto la Memoria Fase Anlisis)
(2015-1)
Parcial
Informe de Resultados de la
identificacin de procesos crticos
Informe de resultados del anlisis del
Semana 2
Aprobacin de impacto en el negocio (BIA)
(2015-2)
los informes de Informe de resultados de la
resultados de la identificacin de riesgos de
ejecucin del continuidad
anlisis Informe de resultados de la evaluacin
Semana 3 de los riesgos identificados
(2015-2) Informe de resultados de la evaluacin
y seleccin de estrategias
Diseo del Aprobacin de Semana 3 Plan de Crisis
Proyecto los planes del (2015-2)
7
Fase del Hito del Fecha
Entregables incluidos
Proyecto proyecto Estimada
sistema de Plan de Recuperacin de los Servicios
Semana 4
gestin de de TI
(2015-2)
continuidad del Plan de Entrenamiento y Capacitacin
negocio Semana 5 Plan de Emergencias
(2015-2)
Aprobacin del Plan de Implementacin
Semana 5
plan de
(2015-2)
implementacin
Aprobacin del Modelo del Sistema de Gestin de
Semana 5
modelo de Continuidad del Negocio (Captulo 4
(2015-2)
SGCN de la Memoria)
Semana 7 Informe de Resultados de la
Aprobacin de
(2015-2) implementacin del Plan de Crisis
los informes de
Semana 9 Informe de Resultados del Plan de
resultados de la
(2015-2) Recuperacin de los Servicios de TI
etapa de
Semana 11 Informe de Resultados del Plan de
Implementacin implementacin
(2015-2) Entrenamiento y Capacitacin
Aprobacin del Informe de mejora continua del SGCN
informe de Semana 12
mejora continua (2015-2)
del SGCN
Aprobacin del Perfil del proyecto
Semana 12
perfil del
(2015-2)
proyecto
Aprobacin del Poster del proyecto
Semana 13
poster del
(2015-2)
proyecto
Cierre
Aprobacin del Paper del proyecto
Semana 14
paper y Memoria final
(2015-2)
memoria final
Finalizacin y Lecciones Aprendidas
Semana 15
cierre del Acta de Aceptacin y Cierre del
(2015-2)
proyecto Proyecto
Fuente: Elaboracin propia
8
1.6.3 Plan de Gestin de Recursos Humanos
El equipo de proyecto est organizado de la siguiente manera:
Los roles del equipo del trabajo presentados en la ilustracin 1 son las siguientes:
9
- Brindar comentarios y observaciones de los entregables realizados para su mejora y
levantamiento antes de las presentaciones de estos al cliente y comit.
- Realizar revisiones de los entregables que son generados durante el proyecto para su
aprobacin mediante reuniones con los jefes de proyecto.
- Coordinar reuniones con el cliente para la revisin de los entregables del proyecto.
- Elaboracin de los documentos de gestin del proyecto como los entregables del
mismo.
10
Tabla 3 - Tabla de Registro de Interesados
12
Informaci Influencia Influencia Impacto
Nombres y Organizaci Requerimientos sobre el
Cargo n del I P E S C sobre el el Tipo de inters
Apellidos n Producto
contacto proyecto proyecto
13
Informaci Influencia Influencia Impacto
Nombres y Organizaci Requerimientos sobre el
Cargo n del I P E S C sobre el el Tipo de inters
Apellidos n Producto
contacto proyecto proyecto
Walter
Huaman
(EDYFICAR) walter.huaman.
c@mibanco.co
El producto cumpla con Validar los entregables
Entidades m.pe todas las especificaciones realizados durante cada una
Giselle Cliente
microfinanc para que puedan asegurar Favorable Alto de las etapas del proyecto y
Oviedo Externo giselle.oviedo
ieras la continuidad de negocio asegurar su orientacin a la
(EDPYME @grupomonge.
com en sus organizaciones. organizacin.
GMG
Servicios
Per)
14
El Plan de Gestin de Comunicaciones deber ser revisado y actualizado cada vez que:
- Hay una solicitud de cambio aprobada o accin correctiva que impacte los
requerimientos o necesidades de informacin de los Stakeholders.
Tabla 4 Riesgos
1 6
Capitulo 2 : Marco Terico
17
2.1 Microfinanciera
El trmino de microfinanciera hace referencia a aquellas empresas u organizaciones que
ofrecen principalmente productos y/o servicios a aquellas personas que tienen bajos
ingresos y cuyo objetivo principal es lograr su inclusin financiera en el mercado 10. De
esta forma, este sector de la poblacin puede generar ingresos y acceder a prstamos
mediante los diversos productos que las microfinancieras ofrecen que van desde cuentas de
ahorros, depsitos a plazo fijo, crditos, etc.
10
Cfr. CGAP 2014
11
Cfr. Lacalle y Otros 2010: 24-25
12
Cfr. Asomif Per 2010
13
Cfr. EIU 2015
14
Cfr, CGAP 2014
1 8
Ilustracin 2 - Puntaje y clasificacin general del Microscopio Global 2014
Con esto, Per logra consolidarse como el lider en el desarrollo de estrategias que permitan
difundir los productos y/o servicios financieros a las poblaciones ms excluidas del pais.
Otros de los aspectos importante que se resalto fue que en el Per es el primer pais en
promulgar la Ley No. 29985 que regula las caractersticas bsicas del dinero electronico 15,
ya que el porcentaje de la poblacin que utiliza banca movil ha ido creciendo con el paso
de los ao y se vuelve ms comun realizar operaciones mediante dispositivos moviles.
Por otro lado, la Superintendencia de Banca, Seguros y AFP (SBS) realiza revisiones a las
entidades reguladas como bancos y microfinancieras, para verificar que cuenten con un
modelo que asegure el normal funcionamiento de sus operaciones. Por ello, de no
cumplirlo, caera una multa sobre dicha entidad 17.
15
Cfr. EIU 2014: 60
16
Cfr. MICROFINANZAS 2013
17
Cfr. MICROFINANZAS 2013
1 9
2.2 Continuidad del Negocio
El trmino de continuidad del negocio es muy usado en las organizaciones para hacer
referencia a la capacidad que tiene esta para poder mantenerse operativa y sin
interrupciones frente a posibles incidentes que pudieran ocurrir 18. Esto ha comenzado a
tomar mucho ms importancia debido a que, en los ltimos aos, han aumentado
considerablemente la cantidad de atentados terroristas, desastres naturales, enfermedades,
entre otras que podran afectar al normal funcionamiento de una empresa y ocasionando
impactos negativos a nivel econmico e imagen.
Por un lado, para que la gestin de la continuidad del negocio sea efectiva, es necesario
desarrollar los siguientes componentes 19:
- Anlisis del impacto en el negocio para medir cuanto afectara que un incidente
ocurra.
- Planes de continuidad para definir todas las estrategias enfocadas en diversos aspectos
de la organizacin
18
Cfr. Banco de Espaa Eurosistema 2006: 1
19
Cfr. Banco de Espaa Eurosistema 2006: 1-2
2 0
- Programas de verificacin para medir la efectividad real de los planes definidos.
- Programas de capacitacin para el personal, ya que ellos son la pieza principal que
garantizaran la correcta ejecucin de los planes
Con el paso de los aos, el tema de recuperacin de desastres fue tomando mayor
importancia y comenz a aparecer los servicios de respaldo de centros de cmputo siendo
la empresa Sun Information System el primero en el mercado 21. Esta estrategia de respaldo
es an utilizada en la actualidad por muchas organizaciones.
Con la llegada del siglo XXI, las organizaciones se volvieron mucho ms dependientes de
sus sistemas de informacin llegando a definir niveles de disponibilidad de casi 100%. Fue
a raz del atentado perpetrado el 11 de septiembre a las torres gemelas de EEUU que los
aspectos de recuperacin de desastres y la continuidad del negocio tomaron mucho mayor
protagonismo, ya que este ataque provoco la desaparicin y quiebra completa de varias
empresas que, para su mala decisin, tenan su data center principal en una torre y su site
de contingencia en la otra torre 22.
20
Cfr. Garay 2012
21
Cfr. Garay 2012
22
Cfr. Garay 2012
2 1
ante desastres para las TI 23. Todo esto con el fin de garantizar un nivel aceptable de los
servicios que brindan las empresas a sus clientes.
Otro aspecto importante, para que el plan de continuidad del negocio funcione, es que la
alta direccin lo considere dentro de los objetivos del negocio y que garantice su diseo,
implementacin, monitoreo y mejora continua para garantizar su efectividad 25.
Este plan de continuidad no solo debe enfocarse en la prevencin de los incidentes, sino
tambin en la correccin de los efectos que produzcan en caso llegaran a darse. Por ello,
Espieira, Sheldon y Asociados, firma miembro de PricewaterhouseCoopers, menciona lo
siguiente:
Segn el fragmento anterior, nos indica que no se pueden tener todos los riesgos
identificados al inicio del anlisis, ya que durante todo el proceso de diseo,
implementacin y ejecucin del plan de continuidad del negocio podra aparecer ms. Por
un lado, no todo lo que amenaza a una empresa se puede controlar haciendo. Esto hace
referencia a factores externos que una empresa no puede gestionar. Por otro lado, algunos
23
Cfr. Garay 2012
24
Cfr. Espieira, Sheldon y Asociados 2008: 3
25
Cfr. Espieira, Sheldon y Asociados 2008: 3
2 2
talvez tengan un costo mucho menor en caso ocurrieran en comparacin a tomar medidas y
aplicar controles al respecto.
En trminos generales, el plan de continuidad del negocio busca brindar una respuesta
oportuna que permita mantener el normal funcionamiento de los procesos crticos en una
empresa ante la ocurrencia de un incidente y definir un procedimiento que permita evitar
que ocurra.
- Este sistema de gestin requiere un anlisis previo antes de comenzar a desarrollar los
planes que lo conforman. Las principales actividades son las siguientes:
26
Cfr.Urea 2011: 20
27
Cfr. Juan Nizama 2014: 12
28
Cfr. ISO 2012:2
2 3
palabras, es analizar e identificar los eventos que podran afectar la continuidad de los
procesos y sistemas de informacin crticos de la organizacin 29.
Para que el Anlisis del Impacto en el Negocio este completo, es tener en cuenta los
indicadores de tiempos estimados de recuperacin (RTO) y tiempos mximo tolerables de
interrupcin (MTD) 30.
La evaluacin de riesgos tiene una mayor visin de los potenciales eventos que
impactaran en el cumplimiento de objetivos. Los eventos son analizados desde una
perspectiva de probabilidad e impacto con ayuda de mtodos cuantitativos y cualitativos.
Adems, los riesgos se deben evaluar bajo un doble enfoque: riesgo inherente y riesgo
residual 32.
29
Cfr. Ferrer 2010:2
30
Cfr. SISTESEG 2009:1
31
Cfr. Deloitte 2013:10 - 12
32
Cfr. Taboada 2012:9
33
Cfr. Deloitte 2013:13
2 4
que afecte el normal funcionamiento de las operaciones de una empresa 34. Las estrategias
de continuidad se definen luego de realizar un anlisis previo que abarca la identificacin y
evaluacin de riesgos, y el anlisis de impacto en el negocio (BIA).
Por otro lado, las estrategias definidas tienen un orden dependiendo de la importancia que
tenga y la habilidad necesaria para su implementacin 35. Esto se detalla a ms detalle en la
imagen siguiente:
Una vez realizado un anlisis previo del entorno de la organizacin, se puede proceder a
realizar los planes que contendr el sistema de gestin de continuidad del negocio. Entre
los muchos que pueden contener, los principales son los siguientes:
34
Cfr. UDEM 2011: 87
35
Cfr UDEM 2011: 87-88
2 5
Como criterio de xito principal, este plan debe ser liderado por el rea de sistemas y de
contar con la participacin de todas las dems reas de la empresa para poder determinar
cuales son aquellos que necesitan tener sus servicios de TI operativos lo ms pronto
posible.
36
Cfr. Carreras 2008: 12
37
Cfr. Juan Nizama 2014: 34
2 6
Entre las principales tareas que contiene el plan de entrenamiento y capacitacin se
encuentran las siguientes 38:
- Preparacin del material del programa o estudio necesarios para el desarrollo del
programa o curso de capacitacin.
Plan de Emergencias
Este plan que forma parte del conjunto de planes del sistema de gestin de continuidad del
negocio tiene como objetivo principal definir los procedimientos adecuados para la
preparacin, control, supervisin y ejecucin de los ejercicios de seguridad en cada una de
las sedes de la empresa con el objetivo de salvaguardar la integridad de sus
colaboradores 39.
Esto implica definir las rutas de evauacin del lugar, los principales responsables y
miembros de las brigadas, directorios con los contactos de emergencias y otros aspectos de
seguridad.
Una vez terminado de definir y elaborar todos los planes del sistema de gestin de
continuidad del negocio, es necesario elaborar a continuacin el plan de implementacin
que define las etapas, tareas, recursos y tiempo que tomara realizar la implementacin del
sistema de gestin de continuidad del negocio dentro de la organizacin 40. En este se debe
especificar el alcance de la implementacin y el costo que implicara realizarlo.
38
Cfr. Juan Nizama 2014: 34
39
Cfr. Juan Nizama 2014: 32
40
Cfr. ISO 2012: 6
2 7
2.3 Normas, estndares y Metodologas para un Sistema de
Gestin de Continuidad del Negocio
2.3.3.1.1 Historia
El primer marco de referencia sobre continuidad del negocio es la NFPA 1600, el cual
establece parmetros para la gestin de desastres, emergencias y programas de
continuidad. En 1997, el Instituto Internacional de Recuperacin de Desastres public el
estndar Prcticas Profesionales para la Gestin del Negocio 45.
41
Cfr. ISO 2010:1
42
Cfr. ISO 2010:1
43
Cfr. IEC 2011:3
44
Cfr. Alexander y AMBCI 2012:1
45
Cfr. Alexander y AMBCI 2012:1
2 8
En 2002, el Instituto de Continuidad del Negocio divulgo la directriz denominada Buenas
Practicas para la Continuidad del Negocio. En 2003, se publica la gua PAS 56, la cual
establece procesos, principios y terminologas que debe de tener un SGCN. Adems,
detalla las actividades y resultados en el establecimiento de los procesos de continuidad del
negocio. En 2006, se publica la gua BS 25999-1, el cual describe el ciclo de vida de la
continuidad del negocio, enfocndose en la gestin de la continudad 46.
En 2008, se public la ISO/IEC 24762 la cual se caracteriz por desarrollar guas para la
entrega de informacin y comunicacin frente a la recuperacin de desastres. Ese mismo
ao, se public la BS 25777, la cual es un cdigo de buenas prcticas sobre gestin de la
continuidad 48.
46
Cfr. Alexander y AMBCI 2012:1
47
Cfr. Alexander y AMBCI 2012:2
48
Cfr. Alexander y AMBCI 2012:2
49
Cfr. Alexander y AMBCI 2012:2
2 9
de forma obligatoria: Lista de requisitos legales y normativos, alcance del SGCN, polticas,
objetivos, evidencias, registros de comunicacin con partes interesadas, anlisis del
impacto en el negocio, evaluacin de riesgos, accin y seleccin de estrategias,
procedimientos de recuperacin, planes de continuidad del negocio, resultados de medicin
y resultados de acciones correctivas 50.
50
Cfr. Alexander y AMBCI 2012:3
51
Cfr. ISO 2012:5
52
Cfr. ISO 2012:6
53
Cfr. ISO 2012:6
54
Cfr. ISO 2012:6
55
Cfr. ISO 2012:6
3 0
-
Plan:
- Clausula 5: Resume los requisitos especficos para los roles de la alta direccin y el
establecimiento de las estatuto de polticas.
- Clausula 7: Soporta las operaciones del SGCN, es decir, cubre los recursos
requeridos, competencias humanas, toma de conciencia y comunicaciones con las
partes interesadas.
Do
56
Cfr. ISO 2012
3 1
Check
Act
Alcance
Normas de referencia
Trminos y Definiciones
Contexto de la organizacin
Liderazgo
57
Cfr. ISO 2012: 1-22
3 2
Planeamiento
Contiene las acciones que se deben abordar en los riesgos y oportunidades. Adems, seala
los objetivos de continuidad del negocio y los planes para poder cumplir con estos
objetivos.
Soporte
Operacin
Describe los puntos que debe contener el SGCN, tales como: anlisis del impacto en el
negocio, evaluacin de riesgos, estrategias de continuidad del negocio y como desarrollar e
implementar los procedimientos de continuidad del negocio.
Evaluacin de Desempeo
Mejora Continua
58
Cfr. SBS 2009: 1-6
3 3
Definiciones
Explica los conceptos clave que se deben de tener en cuenta para la continuidad del
negocio
En esta seccin, explica que la continuidad del negocio debe de ser efectuado por el
Directorio, Gerencia y el personal de la organizacin. Adems, indica que las
organizaciones deben de implementar respuestas efectivas para que la operatividad del
negocio no se vea afectada. Finalmente, hace hincapi que las organizaciones deben de
realizar la gestin de la continuidad del negocio de acuerdo a su tamao y a la complejidad
y criticidad de sus operaciones.
Responsabilidad de la Gerencia
Esta seccin, explica que la Unidad de Riesgos es quien debe asegurarse que la
continuidad del negocio que aplica la organizacin sea consistente con las polticas y
procedimientos aplicados en la gestin de riesgos.
Esta seccin, explica las responsabilidades y funciones que debe de tener la funcin de
continuidad del negocio dentro de una organizacin.
Esta seccin, muestra las fases mnimas que debe de tener la gestin de continuidad del
negocio, entre las cuales se encuentran las siguientes:
3 4
- Seleccin de la estrategia de continuidad: En este apartado, se describen
estrategias de continuidad que puedan permitir actividades y procesos luego de que
un evento se materialice. Para ello se debe de desarrollar la evaluacin y seleccin
de estrategias de continuidad por proceso.
- Pruebas y Actualizacin: Este apartado indica que los planes deben ser probados
como mnimo una vez al ao.
3 5
Capitulo 3 : Estado del Arte
36
3.1 Revisin de la Literatura
La importancia de mantener los procesos de negocio operativos en todo momento, frente a
posibles eventos que afecten su normal funcionamiento, ha tomado mayor fuerza con el
paso de los aos. Por ello, se han realizado diversos esfuerzos desde finales del siglo XX
hasta la actualidad. Knight et al (1996), luego de realizar un estudio, demostraron que
aquellas empresas que contaban con un sistema de gestin de continuidad del negocio
(SGCN) tienen mayores probabilidades de sobrevivir ante un incidente de desastre en
relacin a otras empresas. Sin embargo, en algunos casos, la supervivencia de estas no
siempre estaba garantizada por simplemente tener un SGCN, ya que dependia que tan bien
diseado se encontraba. Con respecto a esto, Vancoppenolle (2001) recalc que el SGCN
debe enfocarse en monitorear constantemente los procesos de negocio y de TI para detectar
posibles eventos que llevaran a un incidente, ya que las empresas se han vuelto muy
dependiente de las tecnologas con el paso de los aos.
Por ello, Herbane et al (2004) recomiendan que los planes de continuidad tienen que ser
implementados, es decir, aplicados, entrenados y mantenidos de forma regular. Adems, la
transicin de la planificacin a la incorporacin de estos se logra progresivamente y pasan
a formar parte de los procesos operativos, individuos y grupos comprometidos con la
bsqueda de operaciones continuas.
La continuidad del negocio, segn Snediker et al (2008), debe de ser eficaz e integrada y
basarse en la evaluacin sistemtica de todas las caractersticas y aspectos de cada posible
incidente o hecho ocurrido. Otros estudios realizados por Cerullo et al (2004) mencionan
que el 43% de las empresas afectadas por desastres graves, nunca volvieron a abrir y el
30% de ellos cerr en dos aos. Estas estadsticas muestran la necesidad de una actitud
proactiva por las organizaciones dotadas de un marco de apoyo a las decisiones para
proteger eficazmente sus procesos contra las interrupciones y reducir sus impactos
negativos.
Losada et at (2012) indicaron que la falta de una continuidad del negocio proactiva y
planificacin de la recuperacin ante desastres puede conducir a la prdida de reputacin,
servicio al cliente y falta de procesos de negocio. Adems, la resiliencia organizacional
tiene relacin con el desarrollo adecuado de actividades de continuidad para la reanudacin
de las operaciones crticas de una organizacin a sus niveles mnimos aceptables de forma
3 7
rpida y eficiente y la recuperacin ante desastres planea reanudar las operaciones
interrumpidas a sus niveles normales despus de cualquier evento perturbador.
3 8
La fase de iniciacin del programa consta de elaborar la Carta del Programa que define las
iniciativas, directrices, mecanismos de seguimiento y control, presupuestos y sobrecostos
para el programa de gestin de continuidad del negocio (BCM). Este debe contar con la
participacin de las diferentes partes del negocio, incluyendo al Director de Informacin
(CIO), en su elaboracin. Luego, se debe elaborar el Plan del Programa donde se
especifique paso a paso que se ejecutar, como va a ser financiado y cuando comenzar su
implementacin segn la criticidad de los procesos de la organizacin.
La fase de seleccin de las estrategias para la mitigacin de los riesgos identificados consta
de definir aquellos procedimientos que la empresa utilizar para enfrentar los riesgos que
identific. Por ello, la empresa puede optar por transferir el riesgo hacia otra entidad
mediante la tercerizacin de una parte de su empresa, donde fue identificado el riesgo,
haciendo responsable a la otra parte de su gestin. Tambin, se puede decidir por
minimizar el riesgo implementando controles como el caso de emplear la redundancia
dentro de una arquitectura de redes para eliminar los puntos nicos de fallo. Sin embargo,
existen algunos que no son posibles de transferir, reducir, eliminar o evitar; por tanto, la
empresa debe absorber este riesgo y destinar una parte financiera para implementar
3 9
estrategias de contingencia en caso se produzcan. Esta ltimo tipo de estrategia esta
detallado dentro del plan de recuperacin ante desastres donde se define el procedimiento
de recuperacin de la empresa ante una situacin de desastre detallando los recursos
necesarios (personas, infraestructura fsica, servicios, etc.) dentro del tiempo establecido en
el tiempo de recuperacin objetivo (RTO).
4 0
La fase de revisin de las estrategias del BCM, a base de los resultados obtenidos en las
pruebas o posibles incidentes que hayan ocurrido, consta de realizar cambios en las
estrategias planteadas para mejorar la efectividad del BCM. Entre las principales preguntas
que proponen hacerse para la revisin se encuentran: El personal entiende sus roles y
responsabilidades?, Los datos del personal de contacto est completo o fue suficiente? ,
Toda la empresa es partcipe del BCM?, Se han revisado y actualizados los planes con
regularidad?, etc.
Gibb et al. (2006) no llegan a implementar este modelo dentro de una empresa, pero seala
que la gestin de continuidad del negocio es un factor clave para proteger a la empresa
frente a los riesgos que se encuentra expuesta y que los aspectos importantes para
garantizar su xito es el acceso a la informacin por parte de los empleados sobre lo que
respecta al plan de continuidad del negocio. Tambin, hacer que el CIO desempee la labor
de promotor de la filosofa del BCM y asegure la gestin de informacin para la
realizacin de planes eficaces, procedimientos efectivos y polticas claras. Recalcan
constantemente al factor humano como mtrica clave para garantizar el xito de un BCM,
ya que no servir de mucho invertir tiempo y dinero en desarrollar un plan de continuidad
del negocio, si los trabajadores no tienen conocimiento al respecto y no se les capacita al
respecto.
4 1
Ilustracin 6 - Relacin entre el BCP, DRP y las fases de Act y Do del BS 25999
Fuente: Adaptacin de la relacin entre el BCP, DRP y las fases del Act y Do
Las actividades ms importantes dentro del todo el proceso de implementacin del SGCN
son la identificacin de los procesos crticos de la empresa, el anlisis del impacto en el
negocio, evaluacin de riesgos, definicin de estrategias y pruebas. En primer lugar, con la
identificacin de los procesos crticos se puede tener un panorama claro de aquellos
procesos dependiente de otros y necesarios para realizar sus operaciones con normalidad.
En segundo lugar, el anlisis del impacto en el negocio permite entender la magnitud en la
que se vera afectado un proceso en caso ocurriera un escenario de desastre dando una
informacin para poder identificar los riesgos que estn asociados. En tercer lugar, la
4 2
evaluacin de riesgos permite determinar la criticidad de los riesgos que estn inherentes
en los procesos de negocio para saber cules son aquellos ms prioritarios a tratar y
disminuir su efecto. En cuarto lugar, la definicin de estrategias de continuidad permite
tener claro las acciones que se tomaran, quienes lo harn y con qu recursos en un
escenario real de contingencia. Esta debe ir acompaada por la definicin de los valores de
RTO, RPO y MTD que definen el tiempo en que se deben recuperar los servicios de TI a
un nivel aceptable, el tiempo que pasa desde la realizacin del ltimo backup y el tiempo
mximo que una organizacin puede tolerar la interrupcin de sus servicios de TI
respectivamente. En ltimo lugar, se deben evaluar todo lo planeado mediante pruebas y
simulaciones de escenarios reales. Esto permitir evaluar la efectividad del SGCN y
detectar oportunidades de mejora.
Teniendo en cuenta todas estas tareas clave dentro del proyecto de implementacin del
SGCN, se puede asegurar la efectividad del mismo. Sin embargo, esto se debe
complementar con las labores de mejora continua al modelo de continuidad del negocio.
Boehmer (2009) no llega a implementar este modelo, pero define 2 puntos crticos a
evaluar para garantizar su funcionamiento efectivo. Por un lado, medir el nivel de madurez
de los procesos de la empresa utilizando normas como la ISO/IEC 15504 o modelos
internacionales como CMMI. Por otro lado, medir mediante la definicin de indicadores
apropiados como los KPI cuya informacin resultante brinde apoyo para la toma de
decisiones en el momento de la fase Actuar del PDCA.
4 3
Ilustracin 7 - Arquitectura del marco de trabajo del BCM
Inicialmente se deben cumplir dos requisitos importantes para utilizar un marco de gestin
de la continuidad del negocio centrado en los procesos de negocio. El primero esta
relacionado con el uso de un modelado heterogneo para cada una de las capas y dominios
dentro de la organizacin como lo son los procesos de negocio, ejecucin de los servicios,
infraestructura de TI, etc. Esto permite emplear las herramientas correctas por parte de las
personas expertas para cumplir sus respectivas necesidades. Sin embargo, para los gerente
de continuidad del negocio, esto no les brinda una vista panormica y entendible a simple
vista de los dominios de la empresa, por lo que el diseo e implementacin de un entorno
multiherramienta es un factor crtico de xito. El segundo es emplear un modelo de
anlisis, razonamiento y optimizacin multiparadigma que permita al gerente de
continuidad del negocio realizar un anlisis de todas las capas con solamente, segn
comentan los autores, apretar un botn. Esto se logra mediante la integracin de todas las
herramientas de anlisis multiparadigma permitindole responder a muchas de las
preguntas que se pudieran plantearse.
4 4
informacin sobre el comportamiento de los recursos y las dependencias existentes que
permite disear planes de recuperacin y modelos de medicin con mayor facilidad.
Una vez logrado esto, los gerentes de continuidad del negocio pueden realizar su tarea de
anlisis de manera integrada. Esto le ayuda a validar los planes de recuperacin, ya que
cuenta con valores como el tiempo de respuesta promedio para determinar si el plan es
suficiente o si el riesgo an es muy alto para la organizacin.
Winkler et al. (2010) sealan que este marco de trabajo para el modelo de gestin de
continuidad del negocio de TI integrado con los procesos de negocio busca la integracin y
mejorar el proceso de refinamiento de los modelos a dos capas logrando as un modelo de
mayor calidad permitiendo un anlisis efectivo debido a su integridad, exactitud y
precisin.
4 5
Ilustracin 8 - Pasos del modelo fenomenolgico cualitativo
La segunda etapa consta del anlisis de los datos recolectados empleando el mtodo del
caso cruzado (cross-case). Este permite crear perfiles multidimensionales de procesos y
protocolos de recuperacin ante desastres que ayudan a identificar prcticas recurrentes.
Los principales factores que se exploraron fueron el cumplimiento de los procedimientos
establecidos en sus estrategias de continuidad, capacitacin brindada al personal sobre
estos procedimientos de recuperacin, estructura del personal al mando de ejecutarlo,
tiempo de recuperacin, el costo y las relaciones de ayuda mutua identificadas. Brotherton
et al. (2014) recomiendan que abarquen varios casos que permitan cotejar los puntos en
comn para comprender mejor las prcticas realizadas para la recuperacin ante desastres y
complementarlas con otras prcticas recomendadas.
La tercera etapa consta con la seleccin de las mejores prcticas que sean aplicables en la
organizacin segn sus necesidades, presupuestos y/o clasificacin de sus riesgos. Entre
las mejores prcticas que proponen Brotherton et al. (2014) durante el anlisis de sus casos
4 6
de estudio, se encuentra la integracin de sistemas redundante en las funciones de
procesamiento diario que naci a raz del atentado del 11 de septiembre. Tambin, se
encuentra la planificacin cuidadosa que ayuda a gestionar mejor los recursos y costos.
Adems, la clasificacin adecuada de la criticidad de las aplicaciones y datos que estas
contienen. Finalmente, indican que es muy importante incluir la distribucin de los activos
de informacin como estrategia de recuperacin ante desastres.
Este modelo planteado por Brotherton et al. (2014) no fue implementado pero define una
serie de indicadores para poder medir garantizar la efectividad del modelo de continuidad
del negocio. Las principales mtricas que proponen es evaluar su efectividad mediante
pruebas verificando los resultados obtenidos y contrastndolo contras los umbrales
definidos inicialmente. Tambin, realizar una evaluacin costo-beneficio para identificar
aquellas mejores prcticas que cubrirn los riesgos ms crticos de la organizacin. Esto
tambin debe ir de la mano con la evaluacin del tiempo que toma la ejecucin de las
mejores prcticas identificadas con los valores de los tiempos de recuperacin objetivo
(RTO), punto de recuperacin objetivo (RPO) y tiempo mximo tolerable de inactividad
(MTP) de los sistemas crticos de la organizacin. Finalmente, definir al personal necesario
y capacitarlo para garantizar que cumpla sus responsabilidades de forma efectiva.
4 7
Ilustracin 9 - Fases del Modelo Post Crisis
El modelo no ha sido implementado, pero Kulkarni et al. (2015) proponen realizar una lista
de control (checklist) o rubrica durante la formulacin del Plan de Continuidad de Negocio
despus de la crisis. Adems, describe que si la organizacin ya cuenta con un plan, este se
puede evaluar sobre los 10 elementos en cada una de las fases. Finalmente, se puede
utilizar una puntuacin basada en el modelo de madurez, en el cual se debe aplicar la
escala del 1 al 6; y, se debe aplicar a todas las actividades.
4 9
Tambin, Riolli et al (2003) sealaron que las organizaciones deben desarrollar planes
tanto para la reanudacin a corto plazo, como son los planes de continuidad del negocio, y
la restauracin a largo plazo, que abarca los planes de recuperacin ante desastres , de sus
operaciones interrumpidas.
Otro esfuerzo realizado fue el de Sayal (2006) que propuso un mtodo basado en la
correlacin de tiempo para estimar el impacto de un suceso no deseado en una funcin y
explica que la correlacin de tiempo entre cada par de funciones durante y despus de un
evento disruptivo puede ser considerada como el impacto de un evento.
Por un lado, Asnar et al (2008) proponen un marco de trabajo basado en Tropos, Metas y
Riesgos (GR) para analizar el riesgo, el tiempo restauracin y el modelo de recuperacin
para identificar las interdependencias de los activos de TI.
Por otro lado, Lumpp et al (2008) recomiendan que la continuidad del negocio de una
empresa debe enfocarse en configurar de forma correcta las tecnologas de informacin
(TI) logrando una arquitectura de alta disponibilidad que le permita mejorar los esfuerzos
de recuperacin de desastres.
5 0
negocio, diseo y desarrollo de planes de continuidad del negocio, creacin planes de
continuidad del negocio funcionales, pruebas y ejercicios, mantenimiento y actualizacin.
5 1
Capitulo 4 : Desarrollo del proyecto
En este captulo se describe los entregables que compone cada una de las etapas de
anlisis, diseo, implementacin y plan de continuidad del modelo de sistema de gestin
de continuidad del negocio propuesto en el presente proyecto.
52
4.1 Polticas del SGCN
4.1.1 Objetivo
Se define el objetivo principal que cumple el sistema de gestin de continuidad del negocio
dentro de la empresa microfinanciera.
4.1.2 Alcance
Se describe los aspectos a abordar en el sistema de gestin de continuidad del negocio a
nivel de procesos, recursos, plataformas tecnolgicas y sistemas de informacin.
4.1.3 Principios
Se describe las normativas por las que se rige el sistema de gestin de continuidad del
negocio dentro de la empresa microfinanciera y las actitudes que deben tener los
colaboradores frente a este.
4.2 Anlisis
Se explica toda la etapa de anlisis previo para lograr el entendimiento de la organizacin.
4.2.1.1 Objetivo
Esta etapa tiene como objetivo definir los parmetros que ayuden a la identificacin de los
procesos crticos dentro de una organizacin basndose en las mejores prcticas existentes.
Finalmente, se tiene una gua que permite identificar los procesos crticos para
posteriormente realizar un anlisis del impacto que estos tienen en el negocio.
5 3
4.2.1.2 Criterios de Seleccin
La identificacin de los procesos crticos dentro de una organizacin se debe enfocar de
manera proporcional a la calidad y al servicio, e inversamente proporcional al costo y
tiempo de ciclo 59, ya que estos forman parte de la cadena de valor de la empresa.
En referencia a lo citado anteriormente, podemos concluir que las labores que realiza el
personal encargado de un proceso resulta un aspecto clave para identificar si dicho proceso
es crtico o no, ya que ellos pueden brindarle informacin acerca de los incidentes que
pudieron presentarse, cuanto afecta al proceso y el impacto que produjo en la empresa.
Por un lado, para la seleccin de los procesos crticos, es necesario tener en cuenta tres
aspectos principales que son la identificacin de aquellos procesos que tengan mayor
ocurrencia de problemas, el impacto que estos generan en el cliente y el grado de
viabilidad que hay para realizar cambios en la estructura del proceso61. Con estos
aspectos, la seleccin se basaba principalmente en aquellos que se encontraban en un
estado de dificultad alto que producira un gran impacto en el cliente y en el negocio.
59
Cfr. Muoz 2008: 3
60
Cfr. Michael Porter 1985: 34-36
61
Cfr. Alejandro Medina 2005: 175
5 4
Tambin es necesario considerar los riesgos en la identificacin de procesos crticos, es
decir, aquellos riesgos relevantes que afectan el desempeo o no permiten que se cumpla el
objetivo planteado del proceso. Para poder medir los riesgos a los que estn afectos, tanto
los procesos como la organizacin, se tiene que determinar el impacto que puede causar la
materializacin de una vulnerabilidad. Para ello es necesario tener en cuenta los siguientes
aspectos: misin de la organizacin, el sistema informtico y la criticidad (sensibilidad) de
los datos 62.
Por otro lado, el Ministerio de Fomento de Espaa nos indica que, para realizar la
seleccin de los procesos crticos, es muy importante identificar todas las actividades que
se realizan en la organizacin y representarlas de manera grfica, ordenada y secuencial
mediante un mapa de procesos 63. Esto permite tener una visin ms clara de los procesos
que aportan valor al producto o servicio que entregan al cliente.
Para realizar este mapa de procesos, se deben clasificar en tres grupos que son los
siguientes 64:
- Procesos claves o crticos: Aquellos que tienen contacto directo con el cliente o con la
realizacin del producto o servicios para el mismo.
- Proceso de soporte: Aquellos que brindan los recursos necesarios como personas,
equipos, materias primas para el normal funcionamiento de los procesos claves.
62
Cfr. National Instituteof Standards and Technology 2002:21
63
Cfr. Ministerio de Fomento de Espaa 2005: 8
64
Cfr. Ministerio de Fomento de Espaa 2005: 10
5 5
Ilustracin 10 - Ejemplo de un mapa de procesos
En resumen, para poder identificar un proceso como crtico deben enfocarse en el cliente,
ya sea interno o externo, porque ellos son los usuarios a los que una interrupcin o
inoperatividad afectara de manera directa. Tambin, que tan alineado estn sus actividades
al cumplimiento de los objetivos de la organizacin.
4.2.1.3 Procedimiento
Luego de encontrar diferentes tipos de seleccin de los procesos crticos dentro de una
organizacin, vamos a definir los pasos a seguir recopilando partes de cada una de estas
propuestas.
En primer lugar, se deben listar todos los procesos que tiene la empresa microfinanciera
detallando el rea a la que pertenece, los procesos de primer nivel y los procesos de
segundo nivel segn el cuadro mostrado a continuacin:
5 6
Tabla 5 - Lista de procesos de la empresa microfinanciera
rea Cdigo Proceso 1er Nivel Cdigo Procesos 2do Nivel
En segundo lugar, se deben listar los objetivos estratgicos que tiene la empresa segn el
cuadro mostrado a continuacin:
En tercer lugar, se detallan los criterios y escalas que se han aplicado para realizar la
identificacin de los procesos crticos. Estos criterios para poder determinar el impacto en
el proceso son los siguientes:
a) Impacto en los objetivos estratgicos: Hace referencia a que tanto ayuda o aporta el
proceso de negocio para el logro del objetivo estratgico de la microfinanciera.
c) Impacto en los estados financieros: Este criterio hace referencia a que tanto impacto
la ocurrencia de un incidente dentro del proceso a los ingresos financieros de la
microfinanciera.
5 7
El siguiente cuadro muestra las escalas identificadas para cada criterio:
5 8
Y para definir los procesos crticos se ha definido niveles de criticidad; los cuales se
muestran a continuacin:
Con todos estos puntos definidos, se procede a realizar el clculo del impacto segn la
escala definida. Para el caso del criterio de Nivel de Impacto para el cumplimiento de los
objetivos estratgicos, se realiza el promedio del impacto obtenido por cada objetivo
estratgico como se detalla en la siguiente frmula:
De igual forma se realiza el clculo del promedio de los impactos obtenidos para los 3
criterios descritos anteriormente como se detalla en la siguiente frmula:
5 9
Objetivos estratgicos de la
Operatividad de Estados
Procesos Procesos microfinanciera Criti
la Financieros de la
1er Nivel 2do Nivel OBJ OBJ OBJ Prome cidad
microfinanciera microfinanciera
001 002 003 dio
Con los valores de criticidad resultantes y segn la tabla de nivel de criticidad definido,
todos los procesos que tengan un valor de 4.0 o ms son procesos crticos.
4.2.2.1 Objetivo
Esta etapa tiene como objetivo definir parmetros que ayuden a medir el impacto que
generara la ocurrencia de incidentes o interrupciones en los procesos de la organizacin.
Adems, identificar aquellos procesos que son ms crticos para el negocio segn el
impacto que producen y las prdidas monetarias que podran generar.
4.2.2.2 Metodologas
Para realizar el Anlisis del Impacto en el Negocio se necesita determinar las labores y los
recursos necesarios para asegurar la continuidad del negocio. Adems, se debe identificar
correctamente los procesos crticos de negocio, las ventanas de tiempo de recuperacin y
establecer prioridades de recuperacin. Por ello, segn la ISO 22301 65 y Luis Rojas,
asociado a Isaca Costa Rica Chapter, 66 se deben tener en consideracin las siguientes
acciones:
65
Cfr ISO 2012:15
66
Cfr. Luis Rojas 2013:50-52
6 0
- Establecer plazos priorizados para la reanudacin de las actividades a un nivel
mnimo aceptable especificado: Es decir, tener en cuenta el plazo en que los
impactos llegaran a ser inaceptable.
- Determinar el RTO.
- Determinar RPO.
4.2.2.3 Procedimiento
Para la realizacin del anlisis del impacto en el negocio, se han definido tres criterios
importantes que son fundamentales para cualquier actividad de anlisis de impacto. Estos
son los valores de RTO, RPO y MTD. A continuacin se proceder a describir los criterios
y mtodos empleados para calcular cada uno de estos valores.
6 1
Luego de tener todos los valores RTO de cada uno de los sistemas de informacin, se
escoger el valor mayor para que este ser el valor RTO del proceso crticos.
- Nivel de prdida financiera lmite que una vez superado genera un nivel de
operatividad no aceptable calculado por la multiplicacin del punto de riesgos con el
apetito del riesgo.
6 2
Tabla 11 - Cuadro de impacto en el tiempo
30 min 1 hora 4 horas 8 horas 24 horas 3 das 5 das 7 das
Financiero
Imagen
Regulador
Fuente: Elaboracin propia
Luego de tener todos los tiempos en los cuales se llega al impacto lmite, se escoge el valor
menor para que sea el valor MTD del proceso. Todo este proceso de levantamiento de
informacin y anlisis se realiza con ayuda de la plantilla del Anexo 1 para cada uno de los
procesos de primero nivel, ya que todos los procesos de segundo nivel, en conjunto,
permiten el logro del objetivo del proceso de primer nivel.
Esta etapa tiene como objetivo, definir parmetros que ayuden a la identificacin de los
riesgos de continuidad a los que se encuentra expuesta la organizacin, basndose en las
mejores prcticas existentes. Una vez logrado esto, se tendr una gua que le permitir a
una persona identificar los riesgos de continuidad para realizar una evaluacin de los
mismos posteriormente.
4.2.3.2 Sntesis
La gestin de riesgos est tomando mayor importancia dentro de las empresas debido a los
ltimos eventos que vienen ocurriendo a nivel mundial como desastres naturales
(terremotos, tsunamis, etc.), desastres provocados por el hombre (incendios, ataques
terroristas), ataques informticos, entre otros, que ponen en peligro el funcionamiento de
los procesos de la organizacin. Por ello, las empresas utilizan la gestin de riesgos para
lograr, primeramente, la identificacin de aquellos riesgos a los que se encuentran
expuestos sus principales activos y recursos que son empleados en sus procesos, sobre todo
los ms crticos, para luego tomar acciones o disear estrategias contra estos.
6 3
Saucedo Martnez, Gerente de proyectos de la empresa Alpha Consultora en Mxico,
menciona lo siguiente acerca de la definicin del riesgo desde el punto de vista de gestin
de proyectos:
Segn lo citado anteriormente, podemos concluir que los riesgos son aquellos posibles
eventos que ocurren de manera imprevista y que generaran un impacto en la organizacin,
si es que llegaran a materializarse. Tambin, menciona que los riesgos pueden ser positivos
y negativos, pero para el enfoque de este proyecto, nos enfocaremos solamente en los
riesgos que tienen un impacto negativo.
Por un lado, los dos principales componentes de un riesgo son los siguientes 67:
Por otro lado, entre los principales tipos de riesgos se encuentran los siguientes 68:
- Riesgo de TI.
- Riesgo Operativo.
- Riesgo de Proyecto.
- Riesgo Financiero.
- Riesgo de Auditora.
67
Cfr. Saucedo 2007: 4
68
Cfr. Urea 2009: 6
6 4
Siendo el riesgo de continuidad el principal para este documento y el cual est relacionado
con todos aquellos eventos que ponen en peligro la continuidad de las operaciones de la
organizacin.
Otro de los trminos relacionados con los riesgos, es amenaza que hace referente al agente,
este puede ser un fenmeno o una persona, cuya accin, de manera consciente o no,
produzca que el riesgo ocurra 69.
Como punto inicial para la identificacin de riesgos, se debe identificar todos los procesos,
activos, recursos, entre otros aspectos de vital importancia para la empresa. En el siguiente
fragmento se hace mencin a esto desde la perspectiva de una entidad bancaria:
69
Cfr. Garca y Otros 2012: 2
70
Cfr. Comunidad de Madrid 2006: 2
71
Cfr. Comunidad de Madrid 2006: 2
6 5
continuidad para cada uno 72 y listndolas de manera ordenada mediante una estructura
como esta:
Entonces, podemos definir que como punto inicial se encuentra la identificacin de activos
que abarca todos los elementos necesarios para mantener la operatividad de la
organizacin 73 como infraestructura, personal, informacin, entre otros para a continuacin
poder identificar los riesgos asociados a estos.
Fuente: Sistema de Gestin de Continuidad del Negocio de Acuerdo con BS 25999 e ISO
22301
72
Cfr. Comunidad de Madrid 2006: 3
73
Cfr. Pea 2008: 17
74
Cfr. Urea 2009: 52
6 6
Entre otra metodologa para identificar los riesgos de continuidad se encuentra la
realizacin del anlisis de fortalezas, debilidades, oportunidades y amenazas de la
organizacin mediante la conocida matriz FODA. Esta principalmente permite realizar una
evaluacin de los puntos dbiles de la empresa y ofrece una visin general de los riesgos a
los que est expuesto 75.
Oportunidades Amenazas
En la siguiente imagen se detalla los elementos mnimos que se deben considerar para el
anlisis de cada dimensin:
75
Cfr. Comunidad de Madrid 2006: 3-4
76
Cfr. Universidad Nacional de Colombia 2012: 1
77
Cfr. Universidad Nacional de Colombia 2012: 1
6 7
Ilustracin 12 - Elementos de evaluacin por cada factor 78
Sin embargo, la labor del anlisis PEST no solo termina en identificar y listar todos
aquellos factores encontrados en cada una de las dimensiones, sino tambin en especificar
el impacto que produce este en la empresa 79. Una vez realizado el anlisis PEST, la
organizacin tendr identificado aquellos factores que generen mayor impacto en su
organizacin y, a su vez, identificar los riesgos asociados a estos.
4.2.3.4 Procedimiento
Como primera actividad dentro de la identificacin de los riesgos de continuidad, se deben
identificar todas sedes que tiene la microfinancieras, tambin conocidas como agencias u
oficinas de atencin al pblico (incl. Tb las sedes administrativas princ, alt), para conocer
cules son los entornos en los que se encuentran y los riesgos que hay en ellos. Esto se
puede trabajar por territorios o regiones tomando la totalidad de las agencias u oficinas en
caso sean pocas, pero tambin se puede optar por una muestra que abarque ms del 50%
del territorio o regin en caso el nmero sea muy amplio.
78
Cfr. Universidad Nacional de Colombia 2012: 2
79
Cfr. Universidad Nacional de Colombia 2012: 2-5
6 8
Tabla 14 - Informacin sobre el territorio o regin
6 9
Identificacin de Riesgos Procesos Afectos
Proceso
Cdigo Descripcin Proceso 1 Proceso 2
3
operacin del proceso.
Los riesgos identificados deben ser mapeos contra los procesos crticos de primer nivel
identificados para ver a cuales aplica. Sin embargo, se puede apreciar en la tabla anterior
que todos aplican, pero se ver el nivel de probabilidad en la etapa de evaluacin de los
riesgos.
4.2.4.1 Objetivo
Esta etapa tiene como objetivo definir parmetros que ayuden evaluar y clasificar los
riesgos identificados en la etapa anterior. Una vez logrado esto, se tendr la lista de riesgos
clasificados segn su nivel de criticidad permitiendo de esta manera tener claro aquellos
que son ms prioritarios a gestionar.
4.2.4.2 Metodologas
80
Cfr. NIST 2002:8
7 0
Caracterizacin del sistema
En este primer paso, se debe definir e identificar los lmites de los sistemas de TI, as como
tambin los recursos e informacin que forman parte de los sistemas de informacin, es
decir, caracterizar un sistema significa establecer el alcance del esfuerzo de la evaluacin
de riesgos, trazar los lmites de la autorizacin del funcionamiento de los sistemas y
proporcionar la informacin necesaria para definir los riesgos.
- Hardware
- Software
- Sistemas acoplados
- Topologa de red
7 1
- Controles tcnicos, gestin y operacionales utilizados en los sistemas de TI.
Identificacin de amenazas
En este segundo paso, se procede a realizar la identificacin de las amenazas que son
aquellas potenciales fuentes que explotan una vulnerabilidad, este puede ser con
determinadas intenciones o no 81. Sin embargo, existen ocasiones en los que la amenaza
est presente, pero no una vulnerabilidad que pueda utilizar.
81
Cfr. NIST 2002: 12
7 2
- Identificacin de la fuente de amenaza
Este paso ayuda a identificar las posibles fuentes de amenazas y poder definir un
listado de amenazas que son aplicables al sistema de informacin que se est
evaluando. Las fuentes de amenaza ms comunes son las naturales, humanas o del
medio ambiente.
Para poder evaluarlas correctamente es necesario tener en cuenta todas las fuentes de
amenaza que pueden daar los sistemas de TI y el entorno donde se encuentran.
La motivacin y los recursos que tienen los humanos para realizar un ataque de forma
potencial, hace que ellos sean tomados como una fuente peligrosa de amenaza. En la
siguiente ilustracin, se podr observar las principales fuentes de amenaza:
82
Cfr. NIST 2002:14
7 3
En el cuadro anterior, se puede observar informacin que es de mucha utilidad para las
organizaciones que estudian las amenazas humanas que pueden daar los activos de TI.
Adems, apoya directamente al punto 5.1, a identificar posibles amenazas cuando se
realiza el levantamiento de informacin (entrevistas con los administradores de sistemas,
personal de apoyo y usuarios) e identificar vulnerabilidades a los que esta afecto un
sistema informtico. Por otro lado, Las fuentes de amenaza identificadas deben de
adaptarse a la organizacin y al entorno en donde se encuentran los activos de TI.
Identificar vulnerabilidades
83
Cfr. NIST 2002:14
7 4
que se encuentre. A continuacin, se explicara los criterios que se deben de tener en cuenta
de acuerdo a la etapa que se encuentre el sistema de TI:
1. Fuentes de vulnerabilidad
7 5
- Herramientas automatizadas de anlisis de vulnerabilidades: Estas
herramientas son utilizadas para explorar un grupo de hosts o una red para conocer
servicios vulnerables. No todas las vulnerabilidades identificadas por las
herramientas automatizadas, representan vulnerabilidades reales, es decir, esta
mtodo puede producir falsos positivos.
7 6
Ilustracin 15 - Criterios de Seguridad 84
Security Criteria
Assignment of responsibilities
Management Security Continuity of support
Incident response capability
Periodic review of security controls
Personnel clearance and background investigations
Risk assessment
Security and technical training
Separation of duties
System authorization and reauthorization
System or application security plan
Anlisis de controles
El objetivo de este paso es analizar los controles que se han implementado o estn en
proyecto de implementacin, por la organizacin para minimizar o eliminar la probabilidad
de riesgos.
- Mtodos de control
84
Cfr. NIST 2002:19
7 7
- Categoras de control
Las categoras de controles para los dos mtodos de control, pueden clasificarse en
preventivos o detectivos.
Determinacin de probabilidad
En este quinto paso, se realiza el clculo de la probabilidad global de que una amenaza
logre su propsito al explotar una vulnerabilidad existente mediante los factores
motivacin y capacidad de la amenaza, naturaleza de la vulnerabilidad y la eficiencia de
los controles existentes 85.
Esta probabilidad se clasifica en 3 categoras segn el NIST y son las siguientes 86:
- Alta: La amenaza es capaz de lograr su objetivo y los controles para prevenirlo son
deficientes.
- Baja: La amenaza no tiene mucha capacidad o los controles existentes traban de forma
eficiente impidiendo que la vulnerabilidad sea explotada.
En este sexto paso, se realiza la medicin del impacto que produce la explotacin de una
vulnerabilidad por parte de una amenaza. Para esto es necesario que primero la
informacin necesaria como la misin del sistema en relacin con los procesos, la
85
Cfr. NIST 2002: 21
86
Cfr. NIST 2002: 21
7 8
criticidad de los datos y la sensibilidad de los mismos para determinar los activos de
informacin que sean los ms sensible y crticos para la organizacin 87.
El anlisis del impacto en el negocio (BIA) brinda una ayuda para determinar la criticidad
y sensibilidad de la informacin en el negocio. Sin embargo, en caso no existe una
evaluacin previa, se tendr que realizar una con ayuda de los dueos de los procesos para
determinar su nivel de criticidad y sensibilidad de sus sistemas de informacin 88.
Este anlisis del impacto se puede medir cuantitativamente a nivel de prdida de ingresos,
costos de reparacin, esfuerzo extra requerido para la correccin de problemas y
cualitativamente como la prdida de reputacin, credibilidad, entre otros a nivel de tres
clasificaciones que son alto, medio y bajo 89. Se sugiere que se realicen en conjunto ambos
y nos solamente una, ya que el anlisis cuantitativo siempre se refleja mediante nmeros lo
cual no permite un anlisis cualitativo y viceversa.
87
Cfr. NIST 2002: 21
88
Cfr. NIST 2002: 22
89
Cfr. NIST 2002: 22-23
7 9
Determinacin de riesgos
En este sptimo paso, se realiza la evaluacin del nivel de riesgo para el sistema de
informacin del par amenaza-vulnerabilidad en funcin de la probabilidad de que una
amenaza logre aprovecha una vulnerabilidad, la magnitud del impacto de que el riesgo se
materialice y la efectividad de los controles para reducir o eliminar el riesgo 90. Para lograr
esto, se realiza la matriz de riesgos y la definicin de la escala de evaluacin de riesgo.
Esta matriz de riesgo es una estructura que permite ubicar un riesgo dentro de la matriz
en funcin de la multiplicacin de las calificaciones asignada en trminos de
probabilidad de la amenaza y del impacto. Para este ejemplo, se defini una matriz de
3x3 que se detalla en la imagen de abajo, pero tambin se puede definir matrices de
4x4 o 5x5 dependiendo del nivel de detalle que plantee la organizacin.
90
Cfr. NIST 2002: 24
91
Cfr. NIST 2002: 25
92
Cfr. NIST 2002: 25
8 0
Alta: Esta escala seala que hay un fuerte necesidad de tomar un plan de accin
correctiva lo ms pronto posible.
Media: Esta escala indica que se necesitan acciones correctivas y un plan para
desarrollarlas en un plazo de tiempo razonable.
Baja: Esta escala seala un riesgo muy bajo y se debe evaluar si requiere
acciones correctivas o aceptar el riesgo.
Recomendaciones de control
Resultado de documentacin
93
Cfr. NIST 2002: 26
94
Cfr. NIST 2002: 26
8 1
4.2.4.2.2 Risk IT de Cobit
La asociacin de ISACA ha desarrollado un marco de referencia para la gestin de riesgos
llamado Risk IT que se alinea a los procesos de Cobit 5. Este tiene tres dominios que son
Gobierno del riesgo (RG), Evaluacin de riesgo (RE) y Respuesta de riesgo (RR) 95. Para
objetivo de este documento, solo nos enfocaremos en los proceso de evaluacin de riesgos:
Este proceso tiene como objetivo identificar los datos necesarios para dar soporte a la
identificacin de riesgo de TI, el anlisis y presentacin del informe final 96. Este proceso
tiene a su vez otros subprocesos que son los siguientes:
95
Cfr. ISACA 2009: 44
96
Cfr. ISACA 2009: 66
97
Cfr. ISACA 2009: 66
98
Cfr. ISACA 2009: 66
99
Cfr. ISACA 2009: 67
8 2
- RE1.4 Identificar factores de riesgo
Este subproceso tiene como objetivo identificar aquellas condiciones especficas que
propiciaron un ambiente perfecto para que se produzca el evento de riesgo mediante
eventos y anlisis peridicos 100.
Este proceso tiene como objetivo poder ayudar en la toma de decisiones teniendo como
base la importancia de factores de riesgo de negocios.
100
Cfr. ISACA 2009: 67
101
Cfr. ISACA 2009:70
8 3
capacidad de deteccin y medios de respuesta. Tambin, se deben de evaluar los
controles operativos, efectos, magnitud probable y factores aplicables de riesgo 102.
En este proceso, se deben elegir las estrategias de tratamiento al riesgo, como aceptar,
explotar, mitigar, transferir o evitar. Se deben especificar los requerimientos basados
en la tolerancia al riesgo, que mitiguen los riegos a un nivel aceptable, o su reduccin a
travs de la aplicacin de controles 103.
102
Cfr. ISACA 2009:71
103
Cfr. ISACA 2009:71
104
Cfr. ISACA 2009:72
105
Cfr. ISACA 2009: 74
106
Cfr. ISACA 2009: 74
8 4
funcionamiento de los procesos de negocio 107 y no se genere un impacto en la
organizacin.
Este subproceso tiene como objetivo principal el diseo de las mtricas para poder
supervisar los posibles acontecimientos relacionados con la TI y posible incidentes que
afecten negativamente el negocio 111. Esto debe ir acompaado por una explicacin
hacia la alta direccin que permita explicar que son y para qu sirven.
4.2.4.3 Procedimiento
Basndonos en los pasos propuestos por la NIST 800-30, se ha definido las siguientes
actividades para realizar la evaluacin de riesgos. Antes que todo, es necesario definir la
matriz de riesgos a utilizar partiendo de la definicin del valor del punto de riesgo. Este
107
Cfr. ISACA 2009: 74
108
Cfr. ISACA 2009: 75
109
Cfr. ISACA 2009: 75
110
Cfr. ISACA 2009: 76
111
Cfr. ISACA 2009: 76
8 5
representa una escala para medir el impacto financiero y mejorar su entendimiento para las
diferentes reas de la microfinanciera.
Improbable
Puede ocurrir ocasionalmente. (cada 25 aos) 0.04
Puede ocurrir en cualquier momento futuro. (cada 15
Posible 0.07
aos)
Probable Probablemente va a ocurrir. (cada 5 aos) 0.20
Casi cierto Ocurre en la mayora de circunstancias. (cada ao) 1.00
Fuente: Elaboracin propia
Prdida
Dao de la imagen en
Moderado financiera 180 Hasta S/. 91,800
el rubro de negocio.
alta.
Prdida Dao de la imagen a
Hasta S/.
Significativo financiera 405 nivel local
206,550
media. (departamento).
Prdida
Mayor a S/. Dao de imagen a
Serio financiera 500
206,550 nivel nacional.
enorme.
Fuente: Elaboracin propia
8 6
Teniendo ya definido estos dos componentes, se realiza la multiplicacin de cada uno de
los valores de probabilidad con cada uno de los de impacto.
Con ello, las categoras resultantes del riesgo luego de su evaluacin son las siguientes:
Luego de este clculo, obtendremos la valoracin del riesgo inherente. Luego, con ayuda
del responsable del proceso, se comienza a preguntar los controles que existen dentro del
proceso con respecto a dicho riesgo. En algunos casos se tendr una lista de varios
controles y en otros casos puede que no haya controles definidos todava.
8 7
Por ello, para el clculo del riesgo residual, se tiene mapeado la efectividad del control, en
porcentaje, para determinar el nuevo nivel de riesgo que sera el residual. Para ello, se
emple la siguiente frmula:
Con estos resultados, se define el nivel de riesgos mximo que la microfinanciera est
dispuesta a aceptar (apetito del riesgo) para que a aquellos riesgos que lo superen reciban
un tratamiento adicional asociado a una estrategia de continuidad.
4.2.5.1 Objetivo
Esta etapa tiene como objetivo definir lineamientos y directrices para realizar una correcta
evaluacin y seleccin de las estrategias que emplear para hacer frente a los riesgos. Una
vez logrado esto, se tendr la lista de estrategias de continuidad que va a ejecutar la
organizacin.
112
Cfr. BSC Consultores 2012: 14
8 8
Los criterios para evaluar y seleccionar las estrategias de continuidad son 113:
- Beneficios que proporciona: Relacionado a aquellas ventajas que podra traer; ya sea
a nivel competitivo, reputacin o reduccin de prdidas.
Segn la organizacin de BSC Consultores, recomienda las siguientes alternativas para las
empresas que necesitan un sitio de recuperacin distinto a la ubicacin principal, los cuales
son los siguientes 114:
- Hot Sites: Estas instalaciones estn disponibles para operar dentro de varias horas
desde que comenz la interrupcin. La caracterstica principal de esta instalacin es
que el equipo, red y software del sistema deben de ser compatibles con la instalacin
113
Cfr. INTECO y Deloitte 2010: 17
114
Cfr. BSC Consultores 2012: 15
8 9
primaria que est siendo respaldada. Y, los requerimientos adicionales son el personal,
programas, archivos de datos y documentacin. Este sitio de recuperacin, est
destinado a operaciones de emergencia durante un periodo de tiempo limitado.
- Warm Sites: Estas instalaciones estn configuradas de forma parcial, es decir, por
conexiones de red y equipo perifrico seleccionado. Los warm sites estn equipados
por una CPU menos potente que la primaria. Es menos costoso que un hot side.
- Cold Sites: Estas instalaciones se utiliza para las copias de seguridad en caso de un
desastre operativo que interrumpa las situaciones de operacin normal.
A continuacin se puede visualizar cuales seran los valores RTO y RPO de cada uno de
los tipos de sitio de restauracin. Esto ayudara a una empresa a definir cul es el que
mejor se alinea a sus requerimientos y presupuesto, ya que en cuanto menor valor de RTO,
demandara mucha ms inversin.
4.2.5.3 Procedimiento
Para la realizacin de esta ltima etapa de anlisis, se parte de los resultados obtenidos de
la evaluacin de riesgos. Esto significa que se tienen que listar todos aquellos riesgos
residuales que hayan superado el lmite de riesgo aceptado por la microfinanciera. Luego
se tiene que promediar el riesgo residual obtenido para cada territorio o regin. La frmula
es la siguiente la cual depende del nmero de territorios identificados (N).
115
Cfr. BSC Consultores 2012:16
9 0
Ecuacin 6 - Promedio de Riesgos
1 + 2 + 3 + +
=
De acuerdo a este resultado, se podr realizar el planteamiento de estrategias para cada uno
de los riesgos buscando que estas se encuentren relacionadas a los planes que conforman el
modelo del sistema de gestin de continuidad del negocio.
4.3 Diseo
En esta seccin se explica toda la etapa de diseo de los planes de continuidad del negocio
que abarcara el modelo.
En resumen, cabe sealar que todo plan de crisis debe de contener las actividades
principales a seguir antes, durante y despus de finalizada la crisis. Para ello, el documento
debe de contener todas las supuestas crisis a las que puede verse afecta la organizacin y
analizar los recursos humanos con los que cuenta la organizacin.
9 1
El Plan de Crisis debe de contener los siguientes puntos segn la circular G-139-2009 y la
ISO 22301:2012:
- Alcance: Describir cuales son las actividades que abarcan el plan para la empresa
microfinanciera.
- Escenarios de crisis: Describe las situaciones que podran desencadenar una situacin
de desastre.
- Centro de Comando: Describe los centros donde se podrn reunir los integrantes del
comit de crisis durante una situacin de desastres para realizar sus actividades.
9 2
4.3.2 Plan de Emergencias
Este plan tiene como objetivo principal elevar el nivel de preparacin, control, supervisin
y ejecucin de los ejercicios de seguridad de las instalaciones principales (sedes) de la
entidad microfinanciera para, con ello, lograr minimizar los peligros, vulnerabilidades y
riesgos ante eventos de origen natural, tecnolgico o humano salvaguardando la integridad
de sus colaboradores. Este plan debe contener las siguientes secciones de acuerdo a lo
requerido por la ISO/IEC 22301 y la circular G-139-2009.
- Introduccin: Describir el local/sede sobre la que se realiza el plan, los eventos a los
que se encuentra expuestos y otros aspectos introductorios al plan de emergencias.
- Alcance: Describir cuales son las actividades que abarcan el plan para la entidad
microfinanciera.
- Vigencia: Describe el tiempo de vigencia que tiene el plan y quienes son los
encargados de actualizarlo.
- Descripcin fsica del local/sede: Detalla la informacin del local (direccin, telfono,
descripcin, etc.) sobre el cual se est realizando el plan de emergencias. Lo
recomendable es hacer uno por cada sede administrativa que tenga la microfinanciera.
9 3
Ilustracin 18 Estructura de roles en una Emergencia
Si bien estos planes son solo una parte de los muchos existentes en otros sistemas de
gestin de continuidad del negocio, son los necesarios para garantizar el cumplimiento de
la circular G-139-2009. Pero esto no quiere decir que la microfinanciera pueda agregar ms
planes a su sistema a medida que vaya ganando mayor madurez con el tiempo.
Este se lograra mediante una serie de actividades que guen la restauracin efectiva de los
recursos tecnolgicos y los servicios de TI.
9 4
- Alcance: Describir cuales son las actividades que abarcan el plan para la empresa
microfinanciera.
- Metodologa BIA: Describe los pasos utilizados para determinar los valores de RTO,
RPO y MTD para los procesos crticos de la microfinanciera.
- Aplicaciones de los procesos: Describe las aplicaciones que utilizan los procesos
crticos para su normal operatividad y los mdulos que estos utilizan.
- Alcance: Describir cuales son las actividades que abarcan el plan para la empresa
microfinanciera.
9 5
- Objetivos: Describir los objetivos que tiene el plan y su aplicacin en la empresa
microfinanciera.
- Informacin a brindar: Describe los temas en los que se debe capacitar al personal a
raz de la evaluacin de riesgos.
El plan de emergencas debe contener los siguientes puntos segn la G-139-2009 y la ISO
22301:2012:
- Introduccin: Realizar una breve introduccin sobre los temas de seguridad y salud en
el trabajo.
- Alcance: Describir cuales son las actividades que abarcan el plan para la empresa
microfinanciera.
9 6
- Objetivos: Describir los objetivos que tiene el plan y su aplicacin en la empresa
microfinanciera.
- Roles y responsabilidades: Describir los roles que conforman los miembros del
comit de seguridad y salud en el trabajo, y las responsabilidades que tiene cada uno.
9 7
4.4 Implementacin
- Alcance: Describir cuales son las actividades que abarcan el plan para la empresa
microfinanciera.
- Fases de Implementacin
- Justificacin del tipo de implementacin: Describe las razones por las que se opta
por un tipo de implementacin determinado.
9 8
4.5 Plan de Continuidad
Debido a que esta modelo se basa en la ISO/IEC 22301 y sigue el ciclo PDCA, se debe
cerrar el ciclo con la mejora continua donde la empresa monitorea, evala y toma acciones
para mejorar el rendimiento del sistema de gestin de continuidad del negocio.
En esta seccin se detalla los lineamientos para llevar a cabo el mantenimiento del sistema
de gestin de continuidad del negocio. Adems, se explican dos herramientas que la
microfinanciera puede emplear para evaluar su sistema y a partir de ello, tomar acciones de
mejora para el mismo. Estas herramientas son el anlisis de brechas y un indicador para
medir la efectividad del SGCN.
9 9
Tabla 20 Plantilla de GAP Analysis de la ISO/IEC 22301
Cumple No
Seccin de la ISO 22301:2012 Cumple
parcialmente cumple
Seccin 4
4.1 La Organizacin y su contexto
Se han definido las causas que impulsarn el
SGCN?
Tiene el ambiente dentro del cual el SGCN
operar (interno y externo), y los resultados
que se esperan del sistema, ha identificado?
Tiene un mtodo y de la evaluacin de
riesgos adecuada y repetible
niveles aceptables de riesgo sido definidos y
documentados?
4.2 Necesidades y expectativas de las partes interesadas
Es el alcance del SGCN claro y
documentado?
Existe un procedimiento para identificar,
tomar en cuenta, documentar y mantener
informacin sobre los requisitos legales y
reglamentarios aplicables para el SGCN?
Se han comunicado estos requisitos legales,
reglamentarios y otros a los empleados
afectados y las partes interesadas
identificadas?
4.3 Alcance del SGCN
El alcance del SGCN est claro y
documentado?
Las opciones de tratamiento de riesgos han
sido identificadas y evaluadas?
Seccin 5
5.1 Compromiso y gestin de liderazgo
El compromiso de liderazgo de la
organizacin para la continuidad del negocio
es visible?
Existe una poltica, programa y roles para
evidenciar el compromiso de la alta direccin
con el SGCN?
La alta gerencia est siendo correctamente
involucrada en la implementacin del SGCN
y revisado a travs de una reunin formal?
5.3 Polticas de Continuidad del Negocio
Existe una poltica de continuidad del
negocio que sea apropiada, mantenida,
comunicada y documentada?
La poltica se encuentra disponible para los
empleados y todas las partes interesadas?
1 0 0
Cumple No
Seccin de la ISO 22301:2012 Cumple
parcialmente cumple
Seccin 6
6.1 Riesgos y oportunidades de la implementacin del SGCN
Se tiene un anlisis de amenazas y
oportunidades que pueden impactar en la
implementacin del SGCN?
Existe un plan para administrar los riesgos y
oportunidades de la implementacin del
SGCN? Ha sido desarrollado?
6.2 Objetivos de Continuidad del Negocio
Se han establecido objetivos medibles de
continuidad del negocio, los cuales han sido
establecidos, documentados y comunicados a
travs de la organizacin?
Es el logro de estos objetivos evaluados
tanto por la auditora interna y la revisin por
la direccin?
Seccin 7
7.1 Recursos y Competencias del SGCN
Son las funciones dentro de la SGCN
definidas con claridad?
El SGCN est adecuadamente equipado?
Existe un proceso definido y documentado
para determinar las competencias para los
roles del SGCN?
Los roles definidos son competentes y
documentados apropiadamente?
7.2 Conciencia y Comunicacin
Est toda la organizacin consciente de la
importancia de la poltica de continuidad del
negocio?
Se ha llevado a cabo un anlisis de las
necesidades de comunicacin para el SGCN?
Se han confirmado los procedimientos para
comunicar los incidentes? Estn
regularmente a prueba con resultados
registrados?
Se ha creado la documentacin apropiada
para demostrar la eficacia de los SGCN?
Seccin 8
8.1 Planificacin y control operacional
Se ha implementado un programa para
garantizar los resultados del SGCN?
8.2 Anlisis de Impacto en el Negocio
Existe un proceso formal y documentado
para la comprensin de la organizacin a
1 0 1
Cumple No
Seccin de la ISO 22301:2012 Cumple
parcialmente cumple
travs de un BIA?
1 0 2
Cumple No
Seccin de la ISO 22301:2012 Cumple
parcialmente cumple
Se han establecido protocolos de
comunicacin internos y externos como parte
de estos procedimientos?
8.4.2 Estructura de Respuesta a Incidentes (IRS)
Existe una estructura de gestin para
responder ante un incidente?
La estructura de respuesta a incidentes
cuenta con la evaluacin, activacin,
provisin de recursos y comunicacin?
Las personas en la estructura de respuesta
ante incidentes tienen la competencia
necesaria para realizar sus deberes?
8.4.3 Comunicaciones de incidentes y advertencias
Existe un procedimiento para la deteccin y
seguimiento de incidentes?
Existe un procedimiento para la gestin de la
comunicacin interna y externa las
comunicaciones de las partes interesadas
durante un incidente?
Existe un procedimiento para recibir y
responder a las advertencias de agencias?
Existe una estructura para comunicarse con
el personal de emergencia y otras autoridades
durante un incidente?
Existe un procedimiento para el registro de
informacin vital sobre el incidente, las
medidas adoptadas y las decisiones tomadas?
Existe un procedimiento para la emisin de
alertas y advertencias en su caso?
Son los sistemas de comunicacin y de
advertencia de la organizacin regularmente
ejercidos, y mantienen registros de los
resultados?
8.4.4 Respuesta de continuidad de negocio y planes de recuperacin
Hay planes / procedimientos documentados
para la restauracin de negocio operaciones
despus de un incidente?
Reflejan estos planes a las necesidades de los
que van a utilizarlos?
Los planes definen las funciones y
responsabilidades?
Los planes definen un proceso para la
activacin de la respuesta?
Los planes definen cmo comunicarse con
los diferentes interesados durante la
interrupcin?
1 0 3
Cumple No
Seccin de la ISO 22301:2012 Cumple
parcialmente cumple
Los planes contienen detalles sobre cmo
sern los procesos priorizadas?
Hay una respuesta de los medios planeado
un incidente?
Los planes incluyen un procedimiento
restaurar las operaciones?
Tiene cada plan la informacin esencial para
utilizarla de manera eficaz?
8.5 Ejercicio y pruebas
Se han probado los procedimientos de
continuidad de negocio para garantizar que
son consistente con sus objetivos de
continuidad del negocio?
La alta direccin participa de las pruebas y
del ejercicio del SGCN?
Son los ejercicios de prueba claramente
definidos, de acuerdo con el alcance del
SGCN y en base a escenarios?
Las pruebas realizadas han cumplido los
tiempos establecidos?
Los ejercicios de prueba son diseados para
minimizar el riesgo de interrupcin a las
operaciones?
Han informes oficiales despus de las
pruebas realizadas?
Los resultados de los ejercicios son
revisados para asegurar la mejora continua?
Los ejercicios de prueba son llevadas a cabo
en tiempos planificados?
Seccin 9
9.1 Seguimiento, medicin y evaluacin
Se ha determinado como y cuando debe de
ser monitoreado el SGCN?
Se ha evaluado el rendimiento y la eficacia
de los SGCN y documentado?
Existe un procedimiento documentado y
apropiado para monitorear el SGCN?
Se llevan a cabo revisiones, tanto de forma
peridica y acerca de los cambios
significativos a producirse, para asegurar que
la capacidad de la continuidad del negocio es
eficaz y compatible?
Las revisiones despus de un incidente son
documentadas?
9.2 Auditora interna
1 0 4
Cumple No
Seccin de la ISO 22301:2012 Cumple
parcialmente cumple
Estn las auditoras internas llevadas a cabo
peridicamente para comprobar que el SGCN
es eficaz y cumple con las normas ISO
22301?
Est la auditora realizada con un mtodo
apropiado, programa de auditora, y en base a
los resultados de las evaluaciones de riesgos y
auditoras anteriores?
Estn las acciones correctivas
implementadas y verificadas?
9.3 Revisin de gestin
Existe un foro de la alta direccin para
realizar un examen peridico del SGCN?
Las revisiones por la direccin SGCN
identifican cambios y mejoras?
Son los resultados de la revisin por la
direccin documentados, y comunicados a las
partes interesadas?
Seccin 10
10 La accin correctiva y la mejora continua
Se han identificado acciones correctivas para
las no conformidades y se han implementado
en el SGCN?
Las revisiones resultan en una mejora de los
SGCN?
Fuente: Adaptacin del cuestionario del British Standards Institution
1 0 5
Cumple No
Seccin de la Circular G-139 Cumple
parcialmente cumple
La organizacin puede determinar el
impacto de una interrupcin en sus procesos
que soportan sus principales productos y
servicios?
La organizacin ha considerado los daos a
la viabilidad financiera?
La organizacin ha considerado los daos a
la reputacin
La organizacin ha considerado los
incumplimientos regulatorios?
La organizacin ha considerado los daos al
personal y pblico en general?
La organizacin ha establecido un periodo
mximo tolerable?
8.1.b Evaluacin de Riesgos
La organizacin ha identificado los riesgos
que pueden causar la interrupcin del
negocio?
Las opciones de tratamiento de riesgos han
sido identificadas y evaluadas?
La organizacin ha utilizado una
metodologa consistente?
8.2 Estrategias de Continuidad del Negocio
Las estrategias han sido realizadas
considerando los resultados del anlisis de
impacto en el negocio y de la evaluacin de
riesgos?
Las estrategias de continuidad permiten
mantener las actividades y procesos de
negocio?
8.2.a Evaluacin y seleccin de estrategias de continuidad
Las estrategias se encuentran dentro del
tiempo objetivo de recuperacin?
Las estrategias seleccionadas incluyen
aspectos de seguridad del personal?
Las estrategias de continuidad incluyen
habilidades y conocimientos asociados al
proceso?
Las estrategias de continuidad incluyen
instalaciones alternas de trabajo?
Las estrategias de continuidad incluyen una
infraestructura alterna de TI que soporte los
procesos?
Las estrategias de continuidad incluyen
aspectos de seguridad de informacin?
1 0 6
Cumple No
Seccin de la Circular G-139 Cumple
parcialmente cumple
Las estrategias de continuidad incluyen el
equipamiento necesario?
8.3 Desarrollo e implementacin de la estrategia de continuidad
Se han desarrollado planes de respuesta?
8.3.a Plan de Gestin de Crisis
El plan de gestin de crisis incluye el
propsito y alcance?
El plan de gestin de crisis incluye los roles
y responsabilidades?
El plan de gestin de crisis incluye los
criterios de invocacin y activacin?
El plan de gestin de crisis incluye al
responsable de actualizacin?
El plan de gestin de crisis incluye las
acciones a tomar?
El plan de gestin de crisis incluye las
comunicaciones con el personal, familiares y
contactos de emergencia?
El plan de gestin de crisis incluye la
interaccin con los medios de comunicacin?
El plan de gestin de crisis incluye la
comunicacin con los grupos de inters?
El plan de gestin de crisis incluye el centro
de comando?
Planes de Continuidad del Negocio (Plan de Emergencia , Plan de Recuperacin
8.3.b
de los servicios de Tecnologa de Informacin)
Los planes de continuidad del negocio
incluyen el propsito y alcance?
Los planes de continuidad del negocio
incluyen roles y responsabilidades?
Los planes de continuidad del negocio
incluyen los criterios de activacin?
Los planes de continuidad del negocio
incluyen los responsables de su
actualizacin?
Los planes de continuidad del negocio
permiten reanudar los procesos de acuerdo a
las estrategias?
Los planes de continuidad del negocio
incluyen los recursos necesarios?
Los planes de continuidad del negocio
incluyen informacin vital y donde
encontrarla?
8.4 Pruebas y actualizacin
Los planes de continuidad del negocio son
probados una vez al ao?
1 0 7
Cumple No
Seccin de la Circular G-139 Cumple
parcialmente cumple
8.4.a Ejecucin de pruebas
El alcance de las pruebas es de acuerdo a los
planes de continuidad del negocio?
Las pruebas tienen objetivos definidos?
Los reportes de las pruebas resumen los
resultados alcanzados?
Los reportes de las pruebas incluyen las
recomendaciones?
Los resultados de las pruebas son tomadas
en cuenta para mejorar los planes de
continuidad?
Los proveedores de servicios cuentan con
planes de continuidad?
8.4.b Actualizacin de planes
Se han establecido polticas y
procedimientos para la actualizacin de los
planes?
8.5 Integrar la gestin de la continuidad del negocio a la cultura organizacional
1 0 8
Tabla 22 Indicador de efectividad y sus factores
Indicador Factores
Proporcin de cumplimiento de los
=1 =1 requerimientos del sistema de
=
=1 gestin de continuidad del negocio
segn la ISO/IEC 22301.
() Proporcin de cumplimiento de las
=1 =1 actividades detalladas en el plan de
= crisis durante una prueba.
= () =1
() () Proporcin de cumplimiento de las
=1 actividades detalladas en el plan de
=1
= recuperacin de los servicios de TI
=1 durante una prueba.
=1 =1
Proporcin de recursos identificados
= en el BIA que se encuentren dentro
=1 del alcance del SGCN.
Fuente: Adaptacin del artculo de Boehmer
El resultado final del indicador de efectividad del sistema de gestin de continuidad del
negocio oscila entre los valores de 0 y 1. Por un lado, mientras el valor ms se acerque a
cero (Efk0) significa que el SGCN tiene un rendimiento muy deficiente. Por otro lado,
mientras el valor ms se acerque a uno (Efk1) significa que el SGCN tiene un
rendimiento satisfactorio. Con este resultado, la microfinanciera sabr el grado de
alineamiento al estndar internacional sobre continuidad del negocio.
1 0 9
Capitulo 5 : Resultados del Proyecto
En este captulo se describe los resultados obtenidos en cada etapa durante la aplicacin del
modelo de sistema de gestin de continuidad del negocio en dos empresas microfinancieras
peruanas que operan con autorizacin de la SBS evaluando los resultados mediante un
anlisis GAP.
110
5.1 Caso de xito 1: Edyficar
- El 4 de setiembre el Banco de Crdito del Per (BCP), realiz la compra del 99.79% de
las acciones de Financiera Edyficar.
- Al cierre del 2013 cuentan con un total de 4,501 colaboradores, 5522,056 clientes y
190 oficinas distribuidas a nivel nacional.
116
Cfr. Financiera Edyficar 2014: 16
117
Cfr. Financiera Edyficar 2014: 16
1 1 1
Ilustracin 19 - Evolucin de Edyficar 118
Cumple No
Seccin de la ISO 22301:2012 Cumple
parcialmente cumple
4.1 La Organizacin y su contexto
Se han definido las causas que impulsarn el
SGCN?
Tiene el ambiente dentro del cual el SGCN
operar (interno y externo), y los resultados que
se esperan del sistema, ha identificado?
Tiene un mtodo y de la evaluacin de riesgos
adecuada y repetible
118
Cfr. Financiera Edyficar 2014: 16
1 1 2
Cumple No
Seccin de la ISO 22301:2012 Cumple
parcialmente cumple
niveles aceptables de riesgo sido definidos y
documentados?
4.2 Necesidades y expectativas de las partes interesadas
Es el alcance del SGCN claro y documentado?
Existe un procedimiento para identificar, tomar
en cuenta, documentar y mantener informacin
sobre los requisitos legales y reglamentarios
aplicables para el SGCN?
Se han comunicado estos requisitos legales,
reglamentarios y otros a los empleados afectados
y las partes interesadas identificadas?
4.3 Alcance del SGCN
El alcance del SGCN est claro y documentado?
Las opciones de tratamiento de riesgos han sido
identificadas y evaluadas?
Existe alguna exclusin del alcance? Si es
afirmativo, est en un rea que no afecta la
capacidad de la organizacin para proveer la
continuidad de las operaciones
5.1 Compromiso y gestin de liderazgo
El compromiso de liderazgo de la organizacin
para la continuidad del negocio es visible?
Existe una poltica, programa y roles para
evidenciar el compromiso de la alta direccin con
el SGCN?
La alta gerencia est siendo correctamente
involucrada en la implementacin del SGCN y
revisado a travs de una reunin formal?
5.3 Polticas de Continuidad del Negocio
Existe una poltica de continuidad del negocio
que sea apropiada, mantenida, comunicada y
documentada?
La poltica se encuentra disponible para los
empleados y todas las partes interesadas?
6.1 Riesgos y oportunidades de la implementacin del SGCN
Se tiene un anlisis de amenazas y oportunidades
que pueden impactar en la implementacin del
SGCN?
Existe un plan para administrar los riesgos y
oportunidades de la implementacin del SGCN?
Ha sido desarrollado?
6.2 Objetivos de Continuidad del Negocio
Se han establecido objetivos medibles de
continuidad del negocio, los cuales han sido
establecidos, documentados y comunicados a
1 1 3
Cumple No
Seccin de la ISO 22301:2012 Cumple
parcialmente cumple
travs de la organizacin?
1 1 4
Cumple No
Seccin de la ISO 22301:2012 Cumple
parcialmente cumple
Hay un proceso de evaluacin de riesgos formal
para analizar el riesgo de incidentes
perturbadores?
Este mtodo de evaluacin de riesgos ayuda a
identificar un tratamiento de riesgos adecuado a
los objetivos de continuidad?
Hay evidencia de dar prioridad a los tratamientos
de riesgo con los costos identificados?
8.3 Estrategias de Continuidad del Negocio
La estrategia de continuidad del negocio nace de
los resultados del BIA y evaluacin de riesgos?
La estrategia de continuidad del negocio ayuda a
proteger las actividades priorizadas y proporciona
una adecuada continuidad y recuperacin de sus
dependencias y recursos?
La estrategia de continuidad del negocio ayuda a
la mitigacin, respuesta y gestin impactos?
Se han evaluado las capacidades de los
proveedores de continuidad del negocio?
La organizacin cuenta con los recursos
necesarios para soportar las estrategias de
continuidad seleccionadas?
Las estrategias estn definidas de acuerdo al
apetito de riesgo de la organizacin?
8.4 Establecer y aplicar procedimientos de continuidad del negocio
Se han establecido procedimientos de
continuidad del negocio para el manejo de
incidentes, y en base a los objetivos de
recuperacin identificados en el BIA?
Estn documentados los procedimientos de
continuidad de negocio?
Se han establecido protocolos de comunicacin
internos y externos como parte de estos
procedimientos?
8.4.2 Estructura de Respuesta a Incidentes (IRS)
Existe una estructura de gestin para responder
ante un incidente?
La estructura de respuesta a incidentes cuenta
con la evaluacin, activacin, provisin de
recursos y comunicacin?
Las personas en la estructura de respuesta ante
incidentes tienen la competencia necesaria para
realizar sus deberes?
8.4.3 Comunicaciones de incidentes y advertencias
Existe un procedimiento para la deteccin y
seguimiento de incidentes?
1 1 5
Cumple No
Seccin de la ISO 22301:2012 Cumple
parcialmente cumple
Existe un procedimiento para la gestin de la
comunicacin interna y externa las
comunicaciones de las partes interesadas durante
un incidente?
Existe un procedimiento para recibir y responder
a las advertencias de agencias?
Existe una estructura para comunicarse con el
personal de emergencia y otras autoridades
durante un incidente?
Existe un procedimiento para el registro de
informacin vital sobre el incidente, las medidas
adoptadas y las decisiones tomadas?
Existe un procedimiento para la emisin de
alertas y advertencias en su caso?
Son los sistemas de comunicacin y de
advertencia de la organizacin regularmente
ejercidos, y mantienen registros de los resultados?
8.4.4 Respuesta de continuidad de negocio y planes de recuperacin
Hay planes / procedimientos documentados para
la restauracin de negocio operaciones despus de
un incidente?
Reflejan estos planes a las necesidades de los
que van a utilizarlos?
Los planes definen las funciones y
responsabilidades?
Los planes definen un proceso para la activacin
de la respuesta?
Los planes definen cmo comunicarse con los
diferentes interesados durante la interrupcin?
Los planes contienen detalles sobre cmo sern
los procesos priorizadas?
Hay una respuesta de los medios planeado un
incidente?
Los planes incluyen un procedimiento restaurar
las operaciones?
Tiene cada plan la informacin esencial para
utilizarla de manera eficaz?
8.5 Ejercicio y pruebas
Se han probado los procedimientos de
continuidad de negocio para garantizar que son
consistente con sus objetivos de continuidad del
negocio?
La alta direccin participa de las pruebas y del
ejercicio del SGCN?
Son los ejercicios de prueba claramente
definidos, de acuerdo con el alcance del SGCN y
en base a escenarios?
1 1 6
Cumple No
Seccin de la ISO 22301:2012 Cumple
parcialmente cumple
Las pruebas realizadas han cumplido los tiempos
establecidos?
Los ejercicios de prueba son diseados para
minimizar el riesgo de interrupcin a las
operaciones?
Han informes oficiales despus de las pruebas
realizadas?
Los resultados de los ejercicios son revisados
para asegurar la mejora continua?
Los ejercicios de prueba son llevadas a cabo en
tiempos planificados?
9.1 Seguimiento, medicin y evaluacin
Se ha determinado como y cuando debe de ser
monitoreado el SGCN?
Se ha evaluado el rendimiento y la eficacia de
los SGCN y documentado?
Existe un procedimiento documentado y
apropiado para monitorear el SGCN?
Se llevan a cabo revisiones, tanto de forma
peridica y acerca de los cambios significativos a
producirse, para asegurar que la capacidad de la
continuidad del negocio es eficaz y compatible?
Las revisiones despus de un incidente son
documentadas?
9.2 Auditora interna
Estn las auditoras internas llevadas a cabo
peridicamente para comprobar que el SGCN es
eficaz y cumple con las normas ISO 22301?
Est la auditora realizada con un mtodo
apropiado, programa de auditora, y en base a los
resultados de las evaluaciones de riesgos y
auditoras anteriores?
Estn las acciones correctivas implementadas y
verificadas?
9.3 Revisin de gestin
Existe un foro de la alta direccin para realizar
un examen peridico del SGCN?
Las revisiones por la direccin SGCN
identifican cambios y mejoras?
Son los resultados de la revisin por la direccin
documentados, y comunicados a las partes
interesadas?
10 La accin correctiva y la mejora continua
Se han identificado acciones correctivas para las
no conformidades y se han implementado en el
SGCN?
1 1 7
Cumple No
Seccin de la ISO 22301:2012 Cumple
parcialmente cumple
Las revisiones resultan en una mejora de los
SGCN?
Fuente: Elaboracin propia
17%
Cumple
Cumple Parcialmente
24% No Cumple
60%
1 1 8
Ilustracin 21 - Cumplimiento por secciones de la ISO/IEC 22301:2012 en Edyficar
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Cumple No
Seccin de la Circular G-139-2009 Cumple
parcialmente cumple
8.1 Entendimiento de la Organizacin
La empresa conoce sus objetivos y metas?
La empresa identifica sus principales procesos,
productos, servicios y proveedores?
La empresa conoce las actividades y recursos
requeridos para la continuidad del negocio?
8.1.a Anlisis de Impacto en el Negocio
La organizacin puede determinar el impacto de
una interrupcin en sus procesos que soportan sus
principales productos y servicios?
La organizacin ha considerado los daos a la
viabilidad financiera?
La organizacin ha considerado los daos a la
reputacin
1 1 9
Cumple No
Seccin de la Circular G-139-2009 Cumple
parcialmente cumple
La organizacin ha considerado los
incumplimientos regulatorios?
La organizacin ha considerado los daos al
personal y pblico en general?
La organizacin ha establecido un periodo
mximo tolerable?
8.1.b Evaluacin de Riesgos
La organizacin ha identificado los riesgos que
pueden causar la interrupcin del negocio?
Las opciones de tratamiento de riesgos han sido
identificadas y evaluadas?
La organizacin ha utilizado una metodologa
consistente?
8.2 Estrategias de Continuidad del Negocio
Las estrategias han sido realizadas considerando
los resultados del anlisis de impacto en el
negocio y de la evaluacin de riesgos?
Las estrategias de continuidad permiten
mantener las actividades y procesos de negocio?
8.2.a Evaluacin y seleccin de estrategias de continuidad
Las estrategias se encuentran dentro del tiempo
objetivo de recuperacin?
Las estrategias seleccionadas incluyen aspectos
de seguridad del personal?
Las estrategias de continuidad incluyen
habilidades y conocimientos asociados al
proceso?
Las estrategias de continuidad incluyen
instalaciones alternas de trabajo?
Las estrategias de continuidad incluyen una
infraestructura alterna de TI que soporte los
procesos?
Las estrategias de continuidad incluyen aspectos
de seguridad de informacin?
Las estrategias de continuidad incluyen el
equipamiento necesario?
8.3 Desarrollo e implementacin de la estrategia de continuidad
Se han desarrollado planes de respuesta?
8.3.a Plan de Gestin de Crisis
El plan de gestin de crisis incluye el propsito
y alcance?
El plan de gestin de crisis incluye los roles y
responsabilidades?
El plan de gestin de crisis incluye los criterios
de invocacin y activacin?
1 2 0
Cumple No
Seccin de la Circular G-139-2009 Cumple
parcialmente cumple
El plan de gestin de crisis incluye al
responsable de actualizacin?
El plan de gestin de crisis incluye las acciones
a tomar?
El plan de gestin de crisis incluye las
comunicaciones con el personal, familiares y
contactos de emergencia?
El plan de gestin de crisis incluye la interaccin
con los medios de comunicacin?
El plan de gestin de crisis incluye la
comunicacin con los grupos de inters?
El plan de gestin de crisis incluye el centro de
comando?
Planes de Continuidad del Negocio (Plan de Emergencia , Plan de Recuperacin de
8.3.b
los servicios de Tecnologa de Informacin)
Los planes de continuidad del negocio incluyen
el propsito y alcance?
Los planes de continuidad del negocio incluyen
roles y responsabilidades?
Los planes de continuidad del negocio incluyen
los criterios de activacin?
Los planes de continuidad del negocio incluyen
los responsables de su actualizacin?
Los planes de continuidad del negocio permiten
reanudar los procesos de acuerdo a las
estrategias?
Los planes de continuidad del negocio incluyen
los recursos necesarios?
Los planes de continuidad del negocio incluyen
informacin vital y donde encontrarla?
8.4 Pruebas y actualizacin
Los planes de continuidad del negocio son
probados una vez al ao?
8.4.a Ejecucin de pruebas
El alcance de las pruebas es de acuerdo a los
planes de continuidad del negocio?
Las pruebas tienen objetivos definidos?
Los reportes de las pruebas resumen los
resultados alcanzados?
Los reportes de las pruebas incluyen las
recomendaciones?
Los resultados de las pruebas son tomadas en
cuenta para mejorar los planes de continuidad?
Los proveedores de servicios cuentan con planes
de continuidad?
1 2 1
Cumple No
Seccin de la Circular G-139-2009 Cumple
parcialmente cumple
8.4.b Actualizacin de planes
Se han establecido polticas y procedimientos
para la actualizacin de los planes?
8.5 Integrar la gestin de la continuidad del negocio a la cultura organizacional
8.5.a Evaluacin del grado de conocimiento sobre la gestin de continuidad
La organizacin ha determinado el nivel de
conocimiento actual sobre continuidad de negocio
de los empleados?
Se han diseado planes de capacitacin y
entrenamiento?
Se ha revisado peridicamente el nivel de
entendimiento de la gestin de continuidad del
negocio?
Fuente: Elaboracin propia
El cuestionario mostrado anteriormente est dividido para cada seccin que corresponde a
la Circular G-139-2009, para determinar con mayor precisin el nivel actual de
cumplimiento. Finalmente, se obtuvo como resultado que la Financiera cumple totalmente
con el 60%, parcialmente con el 24% y no cumple con el 17% de los requerimientos
establecidos dentro de la Circular G-139-2009.
Cumple
Cumple Parcialmente
No Cumple
98.0%
El cumplimiento por cada seccin de la Circular, est marcado por el siguiente cuadro; en
el cual se aprecia que las secciones con mayor cumplimiento y son: Seccin 8.1 (100%),
1 2 2
Seccin 8.2 (88.89%) y la seccin 8.3 (88.24%). La seccin con menor cumplimiento son:
Seccin 8.5 (33.33%).
5.1.3.1 Objetivo
Definir las directrices a seguir para responder de manera efectiva y oportuna frente a
diversos eventos que afecten la continuidad de los procesos de negocio. As mismo,
administrar la continuidad de las operaciones y restauracin de los procesos crticos de
negocio con el mnimo de impacto en la Financiera Edyficar.
5.1.3.2 Alcance
Esta poltica de continuidad del negocio es de caracterstica transversal y aplicada a todo el
personal de las reas crticas definidas en la Financiera Edyficar. Adems, aplica tambin a
proveedores de servicios (terceros) a travs de los acuerdos de niveles de servicio.
1 2 3
5.1.3.3 Roles y responsabilidades
Para detallar las personas a cargo, se ha definido un comit de continuidad del negocio
que se encargue de las principales labores:
- Verificar que el personal asignado a los roles y funciones dentro de cada uno de los
planes sean los ms adecuados. As mismo, tambin revisar el plan de sucesin.
5.1.3.4 Principios
Los principios se han definido con el objetivo de cumplir de forma estricta con la
normativa peruana definida por la Superintendencia de Banca, Seguros y APF (SBS) en
temas de continuidad del negocio. Por ello, los principios definidos son los siguientes:
1 2 4
- Principio 2: Tener siempre presente que la organizacin est expuesta a la ocurrencia
de graves perturbaciones operativas. Por ello, se debe planificar los remedios que
aplicarn en caso de que ocurran.
- Principio 5: Garantizar que los planes de continuidad del negocio sean efectivos
mediante la realizacin de pruebas peridica e identificar modificaciones necesarias.
1 2 5
rea Cdigo Proceso 1er Nivel Cdigo Procesos 2do Nivel
Gestin del Capital
Desarrollo
GCH Humano y Desarrollo GCH002 Gestionar Personal
Humano
Organizacional
Gestin del Capital
Desarrollo Gestionar Compensacin y
GCH Humano y Desarrollo GCH003
Humano Beneficios
Organizacional
Gestin del Capital
Desarrollo Gestionar Desarrollo de
GCH Humano y Desarrollo GCH004
Humano Personal
Organizacional
Gestionar Control
Finanzas GFI Gestin Financiera GFI001
Presupuestal
Gestionar Recaudacin de
Finanzas GFI Gestin Financiera GFI002
ingresos
Finanzas GFI Gestin Financiera GFI003 Gestionar Egresos de fondos
Gestionar Recursos
Finanzas GFI Gestin Financiera GFI004
Financieros
Finanzas GFI Gestin Financiera GFI005 Gestionar Contabilidad
Gestionar Cambios de
Finanzas GFI Gestin Financiera GFI006
Divisas
Finanzas GFI Gestin Financiera GFI007 Gestionar Seguros
Gestionar Pago de Servicios
Finanzas GFI Gestin Financiera GFI008
Pblicos
Gestionar Promocin y
Marketing MER Mercadeo MER001
Publicidad
Gestionar Fortalecimiento
Marketing MER Mercadeo MER002
de Imagen Institucional
Gestionar Investigacin de
Marketing MER Mercadeo MER003
Mercado
Gestionar
Diseo de Productos y
Marketing DPS DPS001 Creacin/Modificacin de
Servicios
productos
Gestionar Simulacin de
Negocios CAF Captacin de Fondos CAF001
Depsito a Plazo Fijo
Gestionar Apertura de
Negocios CAF Captacin de Fondos CAF002 Cuenta de Depsito a Plazo
Fijo
Gestionar Cancelacin de
Negocios CAF Captacin de Fondos CAF003
Depsito a Plazo Fijo
Gestionar Cuenta de
Negocios CAF Captacin de Fondos CAF004
Ahorros
Gestionar Evaluacin de
Negocios COF Colocacin de Fondos COF002
Solicitud
Gestionar Aprobacin de
Negocios COF Colocacin de Fondos COF003
Solicitud
Gestionar Desembolso de
Negocios COF Colocacin de Fondos COF004
Prstamo
Gestionar Canales de
Negocios GPV Gestin de Post-Venta GPV001
Atencin
1 2 6
rea Cdigo Proceso 1er Nivel Cdigo Procesos 2do Nivel
Gestionar Atencin de
Negocios GPV Gestin de Post-Venta GPV002
Reclamos
Gestionar Seguimiento del
Negocios GPV Gestin de Post-Venta GPV003
Cliente
Gestionar Fidelizacin del
Negocios GPV Gestin de Post-Venta GPV004
Cliente
Operacion Gestionar Registro de
COF Colocacin de Fondos COF001
es Clientes y Presolicitudes
Operacion
COF Colocacin de Fondos COF005 Gestionar Cobro de Cuotas
es
Operacion Gestin de la Seguridad
GSF GSF001 Gestionar Seguridad Fsica
es Fsica
Operacion Gestionar Movimiento de Gestionar Remesas de
GMF GMF001
es Fondos Efectivo
Operacion Gestionar Movimiento de Gestionar Cuadre Diario y
GMF GMF002
es Fondos Cierre de Caja Interna
Gestionar Diseo y Mejora
Proyectos GPR Gestin de Procesos GPR001
de Procesos
Proyectos GPR Gestin de Procesos GPR002 Gestionar Normalizacin
Gestionar Evaluacin del
Riesgos GRI Gestin del Riesgo GRI001
Riesgo
Gestionar Tratamiento del
Riesgos GRI Gestin del Riesgo GRI002
Riesgo
Gestionar Monitoreo del
Riesgos GRI Gestin del Riesgo GRI003
Riesgo
Riesgos GRI Gestin del Riesgo GRI004 Gestionar Seguridad de TI
Gestionar Diseo y
Riesgos GRI Gestin del Riesgo GRI005 Despliegue de Planes de
Contingencia
Gestionar Planificacin y
Sistemas GTE Gestin Tecnolgica GTE001
Organizacin
Gestionar Adquisiciones e
Sistemas GTE Gestin Tecnolgica GTE002
Implementacin
Gestionar Entrega y Soporte
Sistemas GTE Gestin Tecnolgica GTE003
de Servicios de TI
Gestionar Monitoreo y
Sistemas GTE Gestin Tecnolgica GTE004
Evaluacin
Fuente: Elaboracin propia
1 2 7
Tambin, los objetivos estratgicos planteados por Edyficar son los siguientes:
1 2 8
Tabla 28 - Evaluacin de Procesos
Objetivos estratgicos de la Operatividad de Estados
Procesos 1er Nivel Procesos 2do Nivel microfinanciera la Financieros de la Criticidad
OBJ001 OBJ002 OBJ003 Promedio microfinanciera microfinanciera
Gestionar
Gestin de Bienes y Servicios Adquisiciones y 1 2 2 1.67 3 2 2.06
Contrataciones
Gestin de Bienes y Servicios Gestionar Logstica 1 2 2 1.67 3 2 2.06
Gestionar
Gestin de Bienes y Servicios Mantenimiento de 1 3 2 2.00 4 1 1.83
Activos
Gestionar Control
Planificacin Estratgica 3 2 1 2.00 1 1 1.33
Interno
Gestionar
Planificacin Estratgica 1 1 1 1.00 1 2 1.50
Organizacin
Gestionar
Gestin del Capital Humano
Incorporacin de 2 2 2 2.00 3 3 2.67
y Desarrollo Organizacional
Personal
Gestin del Capital Humano
Gestionar Personal 2 1 2 1.67 4 1 1.72
y Desarrollo Organizacional
Gestionar
Gestin del Capital Humano
Compensacin y 1 0 1 0.67 4 2 1.89
y Desarrollo Organizacional
Beneficios
Gestin del Capital Humano Gestionar Desarrollo
2 2 1 1.67 3 1 1.56
y Desarrollo Organizacional de Personal
Gestionar Control
Gestin Financiera 3 1 3 2.33 3 3 2.78
Presupuestal
Gestionar
Gestin Financiera Recaudacin de 4 1 3 2.67 3 3 2.89
ingresos
129
Objetivos estratgicos de la Operatividad de Estados
Procesos 1er Nivel Procesos 2do Nivel microfinanciera la Financieros de la Criticidad
OBJ001 OBJ002 OBJ003 Promedio microfinanciera microfinanciera
Gestionar Egresos de
Gestin Financiera 3 1 2 2.00 2 2 2.00
fondos
Gestionar Recursos
Gestin Financiera 1 1 2 1.33 3 1 1.44
Financieros
Gestionar
Gestin Financiera 3 2 2 2.33 4 4 3.44
Contabilidad
Gestionar Cambios
Gestin Financiera 1 0 2 1.00 3 2 1.83
de Divisas
Gestin Financiera Gestionar Seguros 1 2 2 1.67 3 3 2.56
Gestionar Pago de
Gestin Financiera 0 2 1 1.00 4 3 2.50
Servicios Pblicos
Gestionar Promocin
Mercadeo 1 1 2 1.33 2 2 1.78
y Publicidad
Gestionar
Mercadeo Fortalecimiento de 2 0 3 1.67 2 2 1.89
Imagen Institucional
Gestionar
Mercadeo Investigacin de 2 0 3 1.67 2 2 1.89
Mercado
Gestionar
Diseo de Productos y
Creacin/Modificaci 1 1 3 1.67 2 2 1.89
Servicios
n de productos
Gestionar Simulacin
Captacin de Fondos de Depsito a Plazo 5 4 3 4.00 4 4 4.00
Fijo
Gestionar Apertura
Captacin de Fondos de Cuenta de 5 4 4 4.33 5 4 4.28
Depsito a Plazo Fijo
1 3 0
Objetivos estratgicos de la Operatividad de Estados
Procesos 1er Nivel Procesos 2do Nivel microfinanciera la Financieros de la Criticidad
OBJ001 OBJ002 OBJ003 Promedio microfinanciera microfinanciera
Gestionar
Captacin de Fondos Cancelacin de 4 4 4 4.00 4 4 4.00
Depsito a Plazo Fijo
Gestionar Cuenta de
Captacin de Fondos 5 4 5 4.67 5 4 4.39
Ahorros
Gestionar Registro de
Colocacin de Fondos Clientes y 4 4 3 3.67 5 4 4.06
Presolicitudes
Gestionar Evaluacin
Colocacin de Fondos 4 4 3 3.67 5 4 4.06
de Solicitud
Gestionar Aprobacin
Colocacin de Fondos 4 4 3 3.67 5 4 4.06
de Solicitud
Gestionar
Colocacin de Fondos Desembolso de 4 4 4 4.00 5 5 4.67
Prstamo
Gestionar Cobro de
Colocacin de Fondos 4 3 4 3.67 4 5 4.39
Cuotas
Gestionar Canales de
Gestin de Post-Venta 3 2 2 2.33 4 4 3.44
Atencin
Gestionar Atencin
Gestin de Post-Venta 2 3 2 2.33 3 4 3.28
de Reclamos
Gestionar
Gestin de Post-Venta Seguimiento del 4 1 3 2.67 2 2 2.22
Cliente
Gestionar
Gestin de Post-Venta Fidelizacin del 3 3 1 2.33 2 1 1.61
Cliente
Gestin de la Seguridad Gestionar Seguridad 1 3 1 1.67 5 3 2.89
1 3 1
Objetivos estratgicos de la Operatividad de Estados
Procesos 1er Nivel Procesos 2do Nivel microfinanciera la Financieros de la Criticidad
OBJ001 OBJ002 OBJ003 Promedio microfinanciera microfinanciera
Fsica Fsica
Gestionar Movimiento de Gestionar Remesas
1 1 4 2.00 5 5 4.00
Fondos de Efectivo
Gestionar Cuadre
Gestionar Movimiento de
Diario y Cierre de 1 1 4 2.00 5 5 4.00
Fondos
Caja Interna
Gestionar Diseo y
Gestin de Procesos 2 2 1 1.67 1 1 1.22
Mejora de Procesos
Gestionar
Gestin de Procesos 1 2 1 1.33 3 3 2.44
Normalizacin
Gestionar Evaluacin
Gestin del Riesgo 4 4 2 3.33 2 3 2.94
del Riesgo
Gestionar
Gestin del Riesgo Tratamiento del 4 3 3 3.33 3 3 3.11
Riesgo
Gestionar Monitoreo
Gestin del Riesgo 4 3 2 3.00 2 3 2.83
del Riesgo
Gestionar Seguridad
Gestin del Riesgo 1 4 2 2.33 4 4 3.44
de TI
Gestionar Diseo y
Gestin del Riesgo Despliegue de Planes 1 4 2 2.33 3 3 2.78
de Contingencia
Gestionar
Gestin Tecnolgica Planificacin y 1 3 3 2.33 2 3 2.61
Organizacin
Gestionar
Gestin Tecnolgica Adquisiciones e 1 3 3 2.33 2 3 2.61
Implementacin
1 3 2
Objetivos estratgicos de la Operatividad de Estados
Procesos 1er Nivel Procesos 2do Nivel microfinanciera la Financieros de la Criticidad
OBJ001 OBJ002 OBJ003 Promedio microfinanciera microfinanciera
Gestionar Entrega y
Gestin Tecnolgica Soporte de Servicios 1 2 1 1.33 5 4 3.28
de TI
Gestionar Monitoreo
Gestin Tecnolgica 2 2 1 1.67 3 3 2.56
y Evaluacin
Fuente: Elaboracin propia
1 3 3
Con los valores de criticidad obtenidos y en funcin a la tabla de nivel de criticidad
definida en el captulo 4, se identific a todos los procesos cuya promedio tenga un
valor de 4.0 a ms. Como resultado de la evaluacin se obtuvieron los siguientes
procesos crticos para la microfinanciera Edyficar:
1 3 5
Ilustracin 24 - Proceso Gestionar Simulacin de Deposito de Plazo Fijo
136
Gestionar Apertura de Cuenta de Depsito a plazo Fijo
137
Ilustracin 25 - Proceso Gestionar Apertura de Cuenta de Depsito a Plazo Fijo
138
Fuente: Adaptacin de los procesos de Edyficar
1 3 9
Gestionar Cancelacin de Depsito a Plazo Fijo
Proceso de segundo nivel; parte con la necesidad del cliente de efectuar la cancelacin
de su cuenta de Depsito a Plazo fijo. Para ello, el asistente de operaciones le solicita su
constancia de su cuenta y verifica el tipo de cliente para exigir la documentacin
necesaria (DNI en caso de persona natural y carta de autorizacin firmada por su
representante legal en caso de persona jurdica). Luego, se verifica la veracidad de los
documentos y de estar todo correcto se procede a seleccionar el procedimiento de
cancelacin (Si es al vencimiento de la cuenta o anticipada).
1 4 0
Ilustracin 26 - Proceso Gestionar Cancelacin de Depsito a Plazo Fijo
1 4 1
Gestionar Cuenta de Ahorros
1 4 2
Ilustracin 27 - Proceso Gestionar Cuenta de Ahorros
1 4 3
Fuente: Adaptacin de los procesos de Edyficar
1 4 4
5.1.4.2.2 COF Colocacin de Fondos
Proceso de primer nivel; pertenece a dos reas que son Negocios y Operaciones, ya que la
parte de operaciones se encargan de las actividades de registro de clientes, registro de
presolicitudes y el cobro de cuotas. Por otro lado, la parte de negocios se encarga de las
actividades de la evaluacin de la solicitud, aprobacin de la misma y el desembolso. Este
proceso lo conforman los siguientes de segundo nivel:
Proceso de segundo nivel; se encarga de realizar el registro de los clientes en caso sean
nuevos y de verificar si tiene una deuda pendiente con la microfinanciera junto con el
reporte de la central de riesgos. Si todos los aspectos son correctos, se solicita la
documentacin necesaria, se llenan los formatos necesarios y se registra la presolicitud en
el sistema para ser evaluada posteriormente.
145
Ilustracin 28 - Proceso Gestionar Registro de Clientes y Presolicitudes
146
Gestionar Evaluacin de Solicitud
147
Ilustracin 29 - Proceso Gestionar Evaluacin de Solicitud
148
Gestionar Aprobacin de Solicitud
149
Gestionar Desembolso de Prstamo
1 5 0
Ilustracin 31 - Proceso Gestionar Desembolso de Prstamo
151
Gestionar Cobro de Cuotas
Proceso de segundo nivel; se encarga de realizar el cobro de las cuotas de los clientes
segn su cronograma de pagos. El ejecutivo de negocios solicita el cronograma para
verificar el monto de la cuota en el sistema, luego recibe el dinero, registra el pago en el
sistema y genera el voucher de pago. Finalmente, entrega el voucher al cliente.
152
Ilustracin 32 - Proceso Gestionar Cobro de Cuotas
153
5.1.4.2.3 GMF Gestionar Movimiento de Fondos
Proceso de primer nivel pertenece al rea de Operaciones y tiene como objetivo realizar los
cierres contables del efectivo de la agencia y gestionar el traslado de remesas para el da
siguiente. Este lo conforman los siguientes procesos de segundo nivel:
Proceso de primer nivel; se encarga de realizar la gestin de las remesas de las agencias
cuando necesitan que trasladen efectivo a la caja fuerte de la agencia o trasladar de la
agencia a la bveda central. Todo parte del requerimiento realizado por el jefe de
operaciones de la agencia el cual es coordinado con el funcionario del banco que dar la
autorizacin. Una vez aceptada, se espera la llega del portavalor con el dinero y se realiza
el ingreso del efectivo a la caja fuerte de la agencia siguiendo un esquema dual por poltica
de seguridad. Al final de la accin se hace firmar el Remito al portavalor e igualmente el
jefe de operaciones que lo registrara en el sistema y el nuevo saldo en la caja fuerte.
154
Ilustracin 33 - Proceso Gestionar Remesas de Efectivo
155
Fuente: Adaptacin de los procesos de Edyficar
1 5 6
Gestionar Cuadre Diario y Cierre de Caja Interna
Proceso de segundo nivel; se encarga de realizar el cuadre diario luego de una jornada de
atencin en una agencia de Edyficar y el cierre de la caja interna con el ingreso de todas las
cajas metlica que tienen los recibidores / pagadores. El procedimiento de cuadre se
registra en el sistema y finaliza con el ingreso del dinero de las cajas metlica a la caja
interna de la agencia.
157
Ilustracin 34 - Proceso Gestionar Cuadre Diario y Cierre de Caja Interna
158
5.1.4.3 Anlisis de Impacto en el Negocio
5.1.4.3.1 Objetivo
Presentar los criterios aplicados para la empresa microfinanciera Edyficar para realizar
en anlisis del impacto que tienen sus procesos crticos en el negocio.
1 5 9
RTO (Recovery Time Objetive): Representa el tiempo en el que se debe
restablecer las operaciones del proceso de negocio para volver a brindar el servicio
con normalidad. Para calcular este valor, se emplear la siguiente frmula y debe ser
aplicada para cada uno de los sistemas de informacin con los que cuenta la
microfinanciera:
=
+
+
+ +
+
Luego de tener todos los valores RTO de cada uno de los sistemas de informacin,
se escoger el valor mayor para que este ser el valor RTO del proceso crticos.
1 6 0
A continuacin se procede a calcular para cada criterio los siguientes puntos:
Nivel de prdida financiera lmite que una vez superado genera un nivel de
operatividad no aceptable calculado por la multiplicacin del punto de riesgos con el
apetito del riesgo.
Luego de tener todos los tiempos en los cuales se llega al impacto lmite, se escoge el
valor menor que este ser el valor MTD del proceso.
Cabe resaltar que los nombres de cada uno de los responsables, coordinadores y
coordinadores suplentes son ficticios para mantener la confidencialidad de las personas,
1 6 2
pero que el cargo que asumen es el mismo que en Edyficar. Esto se realiz a peticin de
ellos.
Para el clculo del RTO, se realiz la identificacin de los sistemas de informacin que
se utilizaban en el proceso y se calcul cada uno de los tiempos que conforman la suma
del RTO y se obtuvo el siguiente resultado:
1 6 3
Tabla 35 - Valores de RTO para los sistemas de informacin del proceso de Captacin de Fondos
RTO
Tiempo de Tiempo de Tiempo de Tiempo
Sistemas de Tiempo de
RPO Iniciacin o inicio del restablecer los Tiempo de Proveedor Plataforma
informacin inicio de las Total
configuracin sistema procesos y verificacin conexin
aplicaciones
de hardware operativo datos IP
24 rea de
Topaz 0 hr 0 hr 0 hr 2 hrs 1.5 hrs 0.5 hrs 4 hrs Windows
hrs Sistemas
Servidor de
24 rea de
bases de 0 hr 0 hr 0 hr 1.5 hrs 1 hr 0.5 hrs 3 hrs Windows
hrs Sistemas
datos
Servidor de 24 rea de
0 hr 0 hr 0 hr 1.5 hrs 1 hr 0.5 hrs 3 hrs Windows
Aplicaciones hrs Sistemas
Servidor de 24 rea de
0 hr 0 hr 0 hr 1.25 hrs 0.25 hrs 0.5 hrs 2 hrs Windows
Correo hrs Sistemas
Sistema de
Consulta de NA NA NA NA NA NA NA NA RENIEC NA
Cliente
Sistema Otros
NA NA NA NA NA NA NA NA NA
FED bancos
Fuente: Elaboracin propia
De acuerdo a los criterios descritos en la seccin 3 de este informe, el valor del RTO del proceso sera el valor mayor que es 4 horas.
Segn lo indagado con el responsable del proceso de ejecucin de backup, se identific que la frecuencia de realizacin de backup (RPO) se
realiza al final de cada da (24 horas). Para el clculo del MTD, se obtuvo el siguiente resultado:
1 6 4
Tabla 36 - Clculo del impacto desde el criterio financiero, imagen y regulatorio del
proceso de Captacin de Fondos
1 6 5
Otros comentarios proporcionados por el responsable del proceso acerca del impacto
producido son los siguientes:
De acuerdo a los criterios descritos en la seccin 3 de este informe, el valor del MTD
del proceso sera el valor menor que es 8 horas.
1 6 6
Tabla 40 - Equipamiento necesario para el proceso de Captacin de Fondos
Cmo se Dnde se
Registros Vitales Responsable
guarda? guarda?
Asistente de Archivador de
Expedientes de Clientes Fsico
Operaciones Expedientes
Analista de
Base de Datos de los Servidor de Base
Distribucin u Registro
Depsitos a Plazo Fijo de Datos
Derivados
Analista de
Base de datos de las Servidor de Base
Distribucin u Registro
Cuentas de Ahorro de Datos
Derivados
Asistente de
Plantilla de Contratos Archivo Intranet
Operaciones
Plantilla de Solicitud de Asistente de
Archivo Intranet
Apertura Operaciones
Fuente: Elaboracin propia
1 6 8
Para el clculo del RTO, se realiz la identificacin de los sistemas de informacin que se utilizaban en el proceso, calcular cada uno de los
tiempos que conforman la suma del RTO y se obtuvo el siguiente resultado:
Tabla 44 - Valores de RTO para los sistemas de informacin del proceso de Colocacin de Fondos
RTO
Tiempo de Tiempo de Tiempo de Tiempo
Sistemas de Tiempo de
RPO Iniciacin o inicio del restablecer los Tiempo de Proveedor Plataforma
informacin inicio de las Total
configuracin sistema procesos y verificacin conexin
aplicaciones
de hardware operativo datos IP
24 rea de
Topaz 0 hr 0 hr 0 hr 2 hrs 1.5 hrs 0.5 hrs 4 hrs Windows
hrs Sistemas
Servidor de
24 rea de
bases de 0 hr 0 hr 0 hr 1.5 hrs 1 hr 0.5 hrs 3 hrs Windows
hrs Sistemas
datos
Servidor de 24 rea de
0 hr 0 hr 0 hr 1.5 hrs 1 hr 0.5 hrs 3 hrs Windows
Aplicaciones hrs Sistemas
Servidor de 24 rea de
0 hr 0 hr 0 hr 1.25 hrs 0.25 hrs 0.5 hrs 2 hrs Windows
Correo hrs Sistemas
Fuente: Elaboracin propia
De acuerdo a los criterios descritos en la seccin 3 de este informe, el valor del RTO del proceso sera el valor mayor que es 4 horas. Segn lo
indagado con el responsable del proceso de ejecucin de backup, se identific que la frecuencia de realizacin de backup (RPO) se realiza al final
de cada da (24 horas). Para el clculo del MTD, se obtuvo el siguiente resultado:
1 6 9
Tabla 45 - Clculo del impacto desde el criterio financiero, imagen y regulatorio del
proceso de Colocacin de Fondos
Criterio Aspectos Valor
Ingresos promedios diarios generados por el proceso de
S/. 1,400,000.00
negocio:
Financiero Nivel de prdida financiera lmite (Genera un nivel de
S/. 1,275,000.00
(FI) operatividad no aceptable)
Momento en el tiempo, durante una interrupcin, en que
7 horas
se llega al nivel de prdida financiera lmite
Cantidad promedio de clientes atendidos por da: 1,800
Imagen
Nivel de clientes no atendidos lmites definido: 1,800
(IM)
Momento en el tiempo, durante una interrupcin, en que
8 horas
se llega al nivel de clientes no atendidos lmite
Multa impuesta por el ente regulador (100 UIT): S/. 385,000.00
Regulatori
o Nivel de exposicin legal lmite definido: S/. 1,275,000.00
(RE)
Momento en el tiempo, durante una interrupcin, en que
4 das
se llega al nivel de exposicin legal lmite
Fuente: Elaboracin propia
Otros comentarios proporcionados por el responsable del proceso acerca del impacto
producido son los siguientes:
1 7 0
Tabla 47 - Comentario adicionales sobre el impacto en el proceso de Colocacin de
Fondos
Categora del
Explicacin de les implicaciones del impacto
Impacto
Disminuye la posibilidad de que nuevos clientes puedan acceder al
Financiero crdito solicitado debido a problemas con el registro de su
informacin y/o presolicitud.
Se realizan comentarios negativos y exagerados de la atencin
Imagen brindada por las oficinas de Edyficar que afectaran a captar futuros
clientes
Se impondr una multa a la empresa microfinanciera debido a su
Regulador bajo nivel para brindar sus servicios en tiempos de interrupcin
con una multa mxima de 100 UIT por cada da de no atencin
Fuente: Elaboracin propia
De acuerdo a los criterios descritos en la seccin 3 de este informe, el valor del MTD
del proceso sera el valor menor que es 7 horas.
1 7 2
Proceso GMF Gestionar Movimiento de Fondos
Para el clculo del RTO, se realiz la identificacin de los sistemas de informacin que
se utilizaban en el proceso, calcular cada uno de los tiempos que conforman la suma del
RTO y se obtuvo el siguiente resultado:
1 7 3
Tabla 53 - Valores de RTO para los sistemas de informacin del proceso de Gestionar Movimiento de Fondos
RTO
Tiempo de Tiempo de Tiempo de Tiempo
Sistemas de Tiempo de
RPO Iniciacin o inicio del restablecer los Tiempo de Proveedor Plataforma
informacin inicio de las Total
configuracin sistema procesos y verificacin conexin
aplicaciones
de hardware operativo datos IP
24 rea de
Topaz 0 hr 0 hr 0 hr 2 hrs 1.5 hrs 0.5 hrs 4 hrs Windows
hrs Sistemas
Servidor de
24 rea de
bases de 0 hr 0 hr 0 hr 1.5 hrs 1 hr 0.5 hrs 3 hrs Windows
hrs Sistemas
datos
Servidor de 24 rea de
0 hr 0 hr 0 hr 1.5 hrs 1 hr 0.5 hrs 3 hrs Windows
Aplicaciones hrs Sistemas
Servidor de 24 rea de
0 hr 0 hr 0 hr 1.25 hrs 0.25 hrs 0.5 hrs 2 hrs Windows
Correo hrs Sistemas
Fuente: Elaboracin propia
De acuerdo a los criterios descritos en la seccin 3 de este informe, el valor del RTO del proceso sera el valor mayor que es 4 horas. Segn lo
indagado con el responsable del proceso de ejecucin de backup, se identific que la frecuencia de realizacin de backup (RPO) se realiza al final
de cada da (24 horas). Para el clculo del MTD, se obtuvo el siguiente resultado:
1 7 4
Tabla 54 - Clculo del impacto desde el criterio financiero, imagen y regulatorio del
proceso de Gestionar Movimiento de Fondos
Criterio Aspectos Valor
Ingresos diarios generados por el proceso de negocio S/. 1,200,000.00
Financiero Nivel de prdida financiera lmite (Genera un nivel de
S/. 1,275,000.00
(FI) operatividad no aceptable)
Momento en el tiempo, durante una interrupcin, en
24 hrs
que se llega al nivel de prdida financiera lmite
Cantidad promedio de clientes atendidos por da: NA
Imagen
Nivel de clientes no atendidos lmites definido: NA
(IM)
Momento en el tiempo, durante una interrupcin, en
NA
que se llega al nivel de clientes no atendidos lmite
Multa impuesta por el ente regulador (50 UIT): S/. 192,500.00
Regulatorio
Nivel de exposicin legal lmite definido: S/. 1,275,000.00
(RE)
Momento en el tiempo, durante una interrupcin, en
6 das
que se llega al nivel de exposicin legal lmite
Fuente: Elaboracin propia
Crecimiento del impacto con el paso de las horas. Los valores del impacto financiero y
regulatorio estn expresados en nuevos soles (S/.) y el de imagen en nmero de personas.
30 min 1 hora 4 horas 8 horas 24 horas 3 das 5 das 7 das
I NA NA NA NA NA NA NA NA
M
R S/. 0.00 S/. 0.00 S/. 0.00 192,500.00 192,500.00 577,500.00 962,500.00 1,347,500.00
E
Fuente: Elaboracin propia
1 7 5
Otros comentarios proporcionados por el responsable del proceso acerca del impacto
producido son los siguientes:
De acuerdo a los criterios descritos en la seccin 3 de este informe, el valor del MTD
del proceso sera el valor menor que es 24 horas.
1 7 6
Tabla 58 - Equipamiento necesario para el proceso de Gestionar Movimiento de Fondos
1 7 7
Aplicaciones Requerimientos Configuraciones
Debe permitir conectarse a las
Explorador de Debe tener configurada la
unidades compartidas de la red interna
Windows IP y el proxy del equipo.
de Edyficar
Debe tener configurado
Deber ser Internet Explorer, Mozilla con el proxy correcto para
Navegador Web
Firefox o Google Chrome acceder a los aplicativos
internos.
Fuente: Elaboracin propia
1 7 8
agencias de la regin. Las agencias escogidas para cada regin, as como las personas
que laboran en cada una de ella se puede observar en la siguiente imagen:
1 7 9
Tabla 63 - Evaluacin de los riesgos de continuidad para la muestra costa
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valoraci
Detalle Nivel
Probabili Detalle de la n de la Valoracin Nivel Efectiv Decisin
Cdigo Riesgo Tipo Descripcin Impacto del Descripcin Residu
dad Probabilidad Probabili del Impacto Resultante idad Final
Impacto al
dad
Prdida
financier
a alta.
Acciones de Hasta S/. - Reuniones de
empleados Probablement 91,800. retroalimentacin El negocio
descontentos Probable e va a ocurrir. 0.2 Moderado Dao de 180 36.00 con los empleados 70% 10.80 acepta el
contra la (cada 5 aos) la - Beneficios para riesgo
Acciones
organizacin imagen empleados
sin tica
en el
profesional
rubro de
que ponen
Colaborad negocio
RIE001 en riesgo la
ores Prdida
imagen de
financier
la
a alta.
microfinanc
Puede ocurrir Hasta S/.
iera.
en cualquier 91,800.
Fraude Elaborar
Posible momento 0.07 Moderado Dao de 180 12.60 12.60
interno estrategia
futuro. (cada la
15 aos) imagen
en el
rubro de
negocio
Prdida
Ausencia de financier
efectivo a media.
- Proceso de remesas
necesario Puede ocurrir Hasta S/.
para el El negocio
para el Econmic Insolvencia Improbabl ocasionalment Significati 206,550.
RIE002 0.04 405 16.20 abastecimiento de 60% 6.48 acepta el
funcionamie o de crdito e e. (cada 25 vo Dao de
efectivo de las riesgo
nto del aos) la
agencias
proceso de imagen a
negocio nivel
local
1 8 0
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valoraci
Detalle Nivel
Probabili Detalle de la n de la Valoracin Nivel Efectiv Decisin
Cdigo Riesgo Tipo Descripcin Impacto del Descripcin Residu
dad Probabilidad Probabili del Impacto Resultante idad Final
Impacto al
dad
(departa
mento)
Prdida
financier
a alta.
Cambios
Puede ocurrir Hasta S/.
urgentes
excepcionalm 91,800. El negocio
dentro de la Regulatori Cambios
RIE003 Raro ente. (cada 0.03 Moderado Dao de 180 5.40 5.40 acepta el
estructura o regulatorios
ms de 25 la riesgo
del proceso
aos) imagen
de negocio
en el
rubro de
negocio
Dao a la - Se realizan
infraestructu simulacros de
ra fsica del evacuacin
local, la - Lineamientos de
infraestructu Prdida respuesta a eventos
ra de TI, los financier de interrupcin que
activos de a puedan llevar a una
informacin Puede ocurrir enorme. crisis
y la en cualquier Mayor a - La empresa tiene un
Fsico - No Elaborar
RIE004 integridad Incendios Posible momento 0.07 Serio S/. 500 35.00 Servidor de respaldo 64% 12.60
mecnico estrategia
fsica de los futuro. (cada 206,550. (Centro de
colaborador 15 aos) Dao de Procesamiento de
es de la imagen a Datos Alterno) en
microfinanc nivel instalaciones
iera nacional externas en caso de
encargados contingencia
de realizar - La empresa tiene
la operacin instalado detectores
del proceso. de humo con panel
1 8 1
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valoraci
Detalle Nivel
Probabili Detalle de la n de la Valoracin Nivel Efectiv Decisin
Cdigo Riesgo Tipo Descripcin Impacto del Descripcin Residu
dad Probabilidad Probabili del Impacto Resultante idad Final
Impacto al
dad
digitalizado.
- La empresa tiene
instalado extintores
de humo los cuales
son utilizados por
Brigadas de lucha
contra incendios
- La empresa cuenta
con un mapa de
evacuacin
- Pliza de seguros
contra eventos
- Se realizan
Prdida simulacros de
financier evacuacin
a baja. - La empresa tiene un
Hasta S/. Servidor de respaldo
2,550. (Centro de
Probablement No El negocio
Dao de Procesamiento de
Temblores Probable e va a ocurrir. 0.2 Significati 5 1.00 50% 0.50 acepta el
la Datos Alterno) en
(cada 5 aos) vo riesgo
imagen instalaciones
interna externas en caso de
de la contingencia.
Natural
microfina - La empresa cuenta
nciera con un mapa de
evacuacin.
Prdida
financier
Puede ocurrir
a baja.
excepcionalm No El negocio
Lluvias Hasta S/.
Raro ente. (cada 0.03 Significati 5 0.15 0.15 acepta el
intensas 2,550.
ms de 25 vo riesgo
Dao de
aos)
la
imagen
1 8 2
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valoraci
Detalle Nivel
Probabili Detalle de la n de la Valoracin Nivel Efectiv Decisin
Cdigo Riesgo Tipo Descripcin Impacto del Descripcin Residu
dad Probabilidad Probabili del Impacto Resultante idad Final
Impacto al
dad
interna
de la
microfina
nciera
- Se realizan
simulacros de
evacuacin
- Lineamientos de
respuesta a eventos
Prdida de interrupcin que
financier puedan llevar a una
a crisis.
Puede ocurrir enorme. - La empresa tiene un
en cualquier Mayor a Servidor de respaldo
Elaborar
Terremotos Posible momento 0.07 Serio S/. 500 35.00 (Centro de 60% 14.00
estrategia
futuro. (cada 206,550. Procesamiento de
15 aos) Dao de Datos Alterno) en
imagen a instalaciones
nivel externas en caso de
nacional contingencia.
- La empresa cuenta
con un mapa de
evacuacin
- Pliza de seguros
contra eventos
Prdida - Se realizan
financier simulacros de
Puede ocurrir a evacuacin
en cualquier enorme. - Lineamientos de
Elaborar
Tsunamis Posible momento 0.07 Serio Mayor a 500 35.00 respuesta a eventos 60% 14.00
estrategia
futuro. (cada S/. de interrupcin que
15 aos) 206,550. puedan llevar a una
Dao de crisis la ejecucin
imagen a - La empresa tiene un
1 8 3
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valoraci
Detalle Nivel
Probabili Detalle de la n de la Valoracin Nivel Efectiv Decisin
Cdigo Riesgo Tipo Descripcin Impacto del Descripcin Residu
dad Probabilidad Probabili del Impacto Resultante idad Final
Impacto al
dad
nivel Servidor de respaldo
nacional (Centro de
Procesamiento de
Datos Alterno) en
instalaciones
externas en caso de
contingencia.
- La empresa cuenta
con un mapa de
evacuacin
- Pliza de seguros
contra eventos
Prdida
financier
a mayor.
Puede ocurrir
Hasta S/.
en cualquier El negocio
10,200.
Huaicos Posible momento 0.07 Menor 20 1.40 1.40 acepta el
Dao de
futuro. (cada riesgo
la
15 aos)
imagen
con
clientes
Prdida
financier
a mayor.
Puede ocurrir
Hasta S/.
en cualquier El negocio
10,200.
Inundacin Posible momento 0.07 Menor 20 1.40 1.40 acepta el
Dao de
futuro. (cada riesgo
la
15 aos)
imagen
con
clientes
1 8 4
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valoraci
Detalle Nivel
Probabili Detalle de la n de la Valoracin Nivel Efectiv Decisin
Cdigo Riesgo Tipo Descripcin Impacto del Descripcin Residu
dad Probabilidad Probabili del Impacto Resultante idad Final
Impacto al
dad
Prdida
financier
-Servicio de
a mayor.
Seguridad Fsica
Ocurre en la Hasta S/.
(Proveedor: G4S)
Delincuenci mayora de 10,200. Elaborar
Casi cierto 1 Menor 20 20.00 - Lmite de dinero 0% 20.00
a circunstancias Dao de estrategia
por cajero de 10,000
. (cada ao) la
USD (3 cajeros
imagen
mximo por agencia)
con
clientes
Prdida
financier
a alta. -Servicio de
Hasta S/. Seguridad Fsica
Puede ocurrir
91,800. (Proveedor: G4S) El negocio
Secuestro de Improbabl ocasionalment
0.04 Moderado Dao de 180 7.20 - Lmite de dinero 60% 2.88 acepta el
Personal e e. (cada 25
la por cajero de 10,000 riesgo
Social aos)
imagen USD (3 cajeros
en el mximo por agencia)
rubro de
negocio
'-Servicio de
Prdida Seguridad Fsica
financier (Proveedor: G4S)
a alta. - Lineamientos de
Puede ocurrir Hasta S/. respuesta a eventos
en cualquier 91,800. de interrupcin que El negocio
Terrorismo Posible momento 0.07 Moderado Dao de 180 12.60 puedan llevar a una 50% 6.30 acepta el
futuro. (cada la crisis la ejecucin. riesgo
15 aos) imagen - La empresa tiene un
en el Servidor de respaldo
rubro de (Centro de
negocio Procesamiento de
Datos Alterno) en
1 8 5
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valoraci
Detalle Nivel
Probabili Detalle de la n de la Valoracin Nivel Efectiv Decisin
Cdigo Riesgo Tipo Descripcin Impacto del Descripcin Residu
dad Probabilidad Probabili del Impacto Resultante idad Final
Impacto al
dad
instalaciones
externas en caso de
contingencia.
Prdida
financier
a mayor.
Puede ocurrir -Servicio de
Tecnologa Hasta S/.
excepcionalm Seguridad Fsica El negocio
s de Destruccin 10,200.
Raro ente. (cada 0.03 Menor 20 0.60 (Proveedor: G4S) 50% 0.30 acepta el
Informaci de equipos Dao de
ms de 25 - Pliza de seguros riesgo
n la
aos) contra eventos
imagen
con
clientes
Prdida
financier
a alta.
Disminuci
Puede ocurrir Hasta S/. - Proveedores de
n de la
Cambios en en cualquier 91,800. dinero El negocio
liquidez de Econmic
RIE005 el entorno Posible momento 0.07 Moderado Dao de 180 12.60 - Emisin de Bonos 80% 2.52 acepta el
la o
econmico futuro. (cada la - Proceso de riesgo
microfinanc
15 aos) imagen Captacin de Fondos
iera.
en el
rubro de
negocio
Impediment Prdida
o de acceso Puede ocurrir financier
El negocio
a las Bloqueo de Improbabl ocasionalment a mayor.
RIE006 Social 0.04 Menor 20 0.80 0.80 acepta el
instalacione instalaciones e e. (cada 25 Hasta S/.
riesgo
s donde se aos) 10,200.
desarrolla el Dao de
1 8 6
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valoraci
Detalle Nivel
Probabili Detalle de la n de la Valoracin Nivel Efectiv Decisin
Cdigo Riesgo Tipo Descripcin Impacto del Descripcin Residu
dad Probabilidad Probabili del Impacto Resultante idad Final
Impacto al
dad
proceso. la
imagen
con
clientes
Prdida
Incidente
financier
por la
a baja.
entrega
Hasta S/.
incorrecta Puede ocurrir
2,550.
de los Falta de en cualquier No - Capacitaciones e El negocio
Colaborad Dao de
RIE007 servicios y capacitacin Posible momento 0.07 Significati 5 0.35 inducciones al 60% 0.14 acepta el
ores la
la mala de personal futuro. (cada vo personal riesgo
imagen
ejecucin de 15 aos)
interna
las
de la
actividades
microfina
del proceso.
nciera
Prdida
financier
- La empresa tiene un
Lentitud y/o a alta.
Servidor de respaldo
indisponibili Hasta S/.
Tecnologa Saturacin (Centro de
dad del Probablement 91,800.
s de de sistemas Procesamiento de Elaborar
servicio Probable e va a ocurrir. 0.2 Moderado Dao de 180 36.00 60% 14.40
Informaci de Datos Alterno) en estrategia
brindado (cada 5 aos) la
n informacin instalaciones
por el imagen
externas en caso de
proceso de en el
RIE008 contingencia.
negocio y rubro de
los sistemas negocio
de Prdida
informacin financier
vitales para Indisponibili Probablement No a baja. El negocio
Colaborad
su dad de Probable e va a ocurrir. 0.2 Significati Hasta S/. 5 1.00 1.00 acepta el
ores
operacin. personal (cada 5 aos) vo 2,550. riesgo
Dao de
la
1 8 7
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valoraci
Detalle Nivel
Probabili Detalle de la n de la Valoracin Nivel Efectiv Decisin
Cdigo Riesgo Tipo Descripcin Impacto del Descripcin Residu
dad Probabilidad Probabili del Impacto Resultante idad Final
Impacto al
dad
imagen
interna
de la
microfina
nciera
Prdida
financier
a alta.
Hasta S/.
Fallas de Probablement 91,800. El negocio
Fsico - No - La empresa tiene un
energa Probable e va a ocurrir. 0.2 Moderado Dao de 180 36.00 90% 3.60 acepta el
mecnico grupo electrgeno
elctrica (cada 5 aos) la riesgo
imagen
en el
rubro de
negocio
Prdida
- La empresa tiene un
financier
Servidor de respaldo
a alta.
(Centro de
Hasta S/.
Fallas en Procesamiento de
Probablement 91,800. El negocio
aire Datos Alterno) en
Probable e va a ocurrir. 0.2 Moderado Dao de 180 36.00 70% 10.80 acepta el
acondiciona instalaciones
(cada 5 aos) la riesgo
do externas en caso de
imagen
contingencia.
Infraestru en el
- La empresa tiene un
ctura rubro de
UPS
negocio
Prdida - La empresa tiene un
financier Servidor de respaldo
Fallas en
Probablement a media. (Centro de
equipos de Significati Elaborar
Probable e va a ocurrir. 0.2 Hasta S/. 405 81.00 Procesamiento de 70% 24.30
telecomunic vo estrategia
(cada 5 aos) 206,550. Datos Alterno) en
acin
Dao de instalaciones
la externas en caso de
1 8 8
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valoraci
Detalle Nivel
Probabili Detalle de la n de la Valoracin Nivel Efectiv Decisin
Cdigo Riesgo Tipo Descripcin Impacto del Descripcin Residu
dad Probabilidad Probabili del Impacto Resultante idad Final
Impacto al
dad
imagen a contingencia.
nivel
local
(departa
mento)
Prdida
financier
a alta.
Puede ocurrir Hasta S/.
Interrupcin - Acuerdos de niveles
en cualquier 91,800. El negocio
Proveedor del negocio de servicio (SLA).
Posible momento 0.07 Moderado Dao de 180 12.60 80% 2.52 acepta el
es de - Proveedores de
futuro. (cada la riesgo
proveedores contingencia
15 aos) imagen
en el
rubro de
negocio
Prdida
financier - Lineamientos de
a mayor. respuesta a eventos
Ocurre en la Hasta S/. de interrupcin que
El negocio
mayora de 10,200. puedan llevar a una
Huelgas Casi cierto 1 Menor 20 20.00 40% 12.00 acepta el
circunstancias Dao de crisis la ejecucin.
riesgo
. (cada ao) la - La empresa cuenta
imagen con un mapa de
con evacuacin.
Social
clientes
Prdida
financier
a mayor.
Probablement El negocio
Errores Hasta S/. - Capacitaciones al
Probable e va a ocurrir. 0.2 Menor 20 4.00 50% 2.00 acepta el
humanos 10,200. personal
(cada 5 aos) riesgo
Dao de
la
imagen
1 8 9
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valoraci
Detalle Nivel
Probabili Detalle de la n de la Valoracin Nivel Efectiv Decisin
Cdigo Riesgo Tipo Descripcin Impacto del Descripcin Residu
dad Probabilidad Probabili del Impacto Resultante idad Final
Impacto al
dad
con
clientes
Prdida
financier
Robo de a alta.
- Acceso por perfiles
documentos Puede ocurrir Hasta S/.
- Bloqueo de puertos
que en cualquier 91,800. El negocio
Robo de USB
RIE009 contienen Social Posible momento 0.07 Moderado Dao de 180 12.60 70% 3.78 acepta el
documentos - Envo restringido
informacin futuro. (cada la riesgo
de correos
sensible del 15 aos) imagen
electrnicos.
proceso. en el
rubro de
negocio
Prdida
financier
Robo de la
a mayor.
infraestructu Puede ocurrir
Hasta S/.
ra de TI que en cualquier - Revisin de El negocio
Robos de 10,200.
RIE010 almacena Social Posible momento 0.07 Menor 20 1.40 pertenencias al salir 50% 0.70 acepta el
equipos Dao de
informacin futuro. (cada del local riesgo
la
sensible del 15 aos)
imagen
proceso.
con
clientes
Fuente: Elaboracin propia
1 9 0
Para todos los riesgos cuya decisin final sea Elaborar estrategia, se realizar el planteamiento de estrategias de continuidad para tener un
mayor control de dicho riesgo.
Muestra Sierra
Para la muestra de agencias de la sierra, se tomaron las siguientes agencias ubicadas en los departamentos de Cusco, Puno, Ayacucho, Apurmac
y Junn:
1 9 1
Tabla 65 - Evaluacin de los riesgos de continuidad para la muestra sierra
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valorac
in de Nivel
Proba Detalle de la Detalle del Valoracin Nivel Decisin
Cdigo Riesgo Tipo Descripcin la Impacto Result Descripcin Efectividad
bilidad Probabilidad Impacto del Impacto Residual Final
Probabi ante
lidad
- Reuniones
Prdida
de
Acciones de Puede ocurrir financiera alta.
retroalimenta
empleados en cualquier Hasta S/. El negocio
Moderad cin con los
Acciones sin descontentos Posible momento 0.07 91,800. Dao 180 12.60 70% 3.78 acepta el
o empleados
tica contra la futuro. (cada de la imagen riesgo
- Beneficios
profesional que organizacin 15 aos) en el rubro de
para
ponen en Colabor negocio
RIE001 empleados
riesgo la adores
Prdida
imagen de la
Puede ocurrir financiera alta.
microfinancier
en cualquier Hasta S/.
a. Moderad Elaborar
Fraude interno Posible momento 0.07 91,800. Dao 180 12.60 12.60
o estrategia
futuro. (cada de la imagen
15 aos) en el rubro de
negocio
Prdida
Ausencia de financiera - Proceso de
efectivo Puede ocurrir media. remesas para
necesario para en cualquier Hasta S/. el El negocio
Econmi Insolvencia de Significat
RIE002 el Posible momento 0.07 206,550. Dao 405 28.35 abastecimient 60% 11.34 acepta el
co crdito ivo
funcionamiento futuro. (cada de la imagen a o de efectivo riesgo
del proceso de 15 aos) nivel local de las
negocio (departamento agencias
)
Prdida
Cambios Puede ocurrir financiera alta.
urgentes dentro excepcionalm Hasta S/. El negocio
Regulato Cambios Moderad
RIE003 de la estructura Raro ente. (cada 0.03 91,800. Dao 180 5.40 5.40 acepta el
rio regulatorios o
del proceso de ms de 25 de la imagen riesgo
negocio aos) en el rubro de
negocio
1 9 2
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valorac
in de Nivel
Proba Detalle de la Detalle del Valoracin Nivel Decisin
Cdigo Riesgo Tipo Descripcin la Impacto Result Descripcin Efectividad
bilidad Probabilidad Impacto del Impacto Residual Final
Probabi ante
lidad
- Se realizan
simulacros de
evacuacin
-
Lineamientos
de respuesta
Prdida a eventos de
Puede ocurrir financiera interrupcin
Fsico -
en cualquier enorme. que puedan
Dao a la No Elaborar
Incendios Posible momento 0.07 Serio Mayor a S/. 500 35.00 llevar a una 50% 17.50
infraestructura mecnic estrategia
futuro. (cada 206,550. Dao crisis
fsica del local, o
15 aos) de imagen a - La empresa
la
nivel nacional cuenta con un
infraestructura
mapa de
de TI, los
evacuacin
activos de
- Pliza de
informacin y
seguros
RIE004 la integridad
contra
fsica de los
eventos
colaboradores
Prdida
de la - Se realizan
financiera
microfinancier simulacros de
baja. Hasta S/.
a encargados Probablement No evacuacin El negocio
Probabl 2,550. Dao
de realizar la Temblores e va a ocurrir. 0.2 Significat 5 1.00 - La empresa 40% 0.60 acepta el
e de la imagen
operacin del (cada 5 aos) ivo cuenta con un riesgo
interna de la
proceso. mapa de
microfinancier
evacuacin.
Natural a
Prdida
financiera
Probablement No baja. Hasta S/. El negocio
Probabl
Lluvias intensas e va a ocurrir. 0.2 Significat 2,550. Dao 5 1.00 1.00 acepta el
e
(cada 5 aos) ivo de la imagen riesgo
interna de la
microfinancier
1 9 3
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valorac
in de Nivel
Proba Detalle de la Detalle del Valoracin Nivel Decisin
Cdigo Riesgo Tipo Descripcin la Impacto Result Descripcin Efectividad
bilidad Probabilidad Impacto del Impacto Residual Final
Probabi ante
lidad
a
- Se realizan
simulacros de
evacuacin
-
Lineamientos
de respuesta
Prdida a eventos de
Puede ocurrir financiera interrupcin
en cualquier enorme. que puedan
Elaborar
Terremotos Posible momento 0.07 Serio Mayor a S/. 500 35.00 llevar a una 50% 17.50
estrategia
futuro. (cada 206,550. Dao crisis.
15 aos) de imagen a - La empresa
nivel nacional cuenta con un
mapa de
evacuacin
- Pliza de
seguros
contra
eventos
Prdida
financiera
Probablement mayor. Hasta El negocio
Probabl
Huaicos e va a ocurrir. 0.2 Menor S/. 10,200. 20 4.00 4.00 acepta el
e
(cada 5 aos) Dao de la riesgo
imagen con
clientes
Prdida
Probablement El negocio
Probabl financiera
Inundacin e va a ocurrir. 0.2 Menor 20 4.00 4.00 acepta el
e mayor. Hasta
(cada 5 aos) riesgo
S/. 10,200.
1 9 4
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valorac
in de Nivel
Proba Detalle de la Detalle del Valoracin Nivel Decisin
Cdigo Riesgo Tipo Descripcin la Impacto Result Descripcin Efectividad
bilidad Probabilidad Impacto del Impacto Residual Final
Probabi ante
lidad
Dao de la
imagen con
clientes
-Servicio de
Seguridad
Fsica
Prdida
(Proveedor:
financiera
G4S)
Probablement mayor. Hasta El negocio
Probabl - Lmite de
Delincuencia e va a ocurrir. 0.2 Menor S/. 10,200. 20 4.00 0% 4.00 acepta el
e dinero por
(cada 5 aos) Dao de la riesgo
cajero de
imagen con
10,000 USD
clientes
(3 cajeros
mximo por
agencia)
-Servicio de
Seguridad
Fsica
Social Prdida
(Proveedor:
financiera alta.
Puede ocurrir G4S)
Hasta S/. El negocio
Secuestro de Improb ocasionalment Moderad - Lmite de
0.04 91,800. Dao 180 7.20 60% 2.88 acepta el
Personal able e. (cada 25 o dinero por
de la imagen riesgo
aos) cajero de
en el rubro de
10,000 USD
negocio
(3 cajeros
mximo por
agencia)
Prdida '-Servicio de
Puede ocurrir
financiera alta. Seguridad
en cualquier El negocio
Moderad Hasta S/. Fsica
Terrorismo Posible momento 0.07 180 12.60 40% 7.56 acepta el
o 91,800. Dao (Proveedor:
futuro. (cada riesgo
de la imagen G4S)
15 aos)
en el rubro de -
1 9 5
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valorac
in de Nivel
Proba Detalle de la Detalle del Valoracin Nivel Decisin
Cdigo Riesgo Tipo Descripcin la Impacto Result Descripcin Efectividad
bilidad Probabilidad Impacto del Impacto Residual Final
Probabi ante
lidad
negocio Lineamientos
de respuesta
a eventos de
interrupcin
que puedan
llevar a una
crisis la
ejecucin
-Servicio de
Prdida Seguridad
Puede ocurrir financiera Fsica
Tecnolog
excepcionalm mayor. Hasta (Proveedor: El negocio
as de Destruccin de
Raro ente. (cada 0.03 Menor S/. 10,200. 20 0.60 G4S) 50% 0.30 acepta el
Informa equipos
ms de 25 Dao de la - Pliza de riesgo
cin
aos) imagen con seguros
clientes contra
eventos
Prdida - Proveedores
Disminucin Puede ocurrir financiera alta. de dinero
de la liquidez Cambios en el en cualquier Hasta S/. - Emisin de El negocio
Econmi Moderad
RIE005 de la entorno Posible momento 0.07 91,800. Dao 180 12.60 Bonos 80% 2.52 acepta el
co o
microfinancier econmico futuro. (cada de la imagen - Proceso de riesgo
a. 15 aos) en el rubro de Captacin de
negocio Fondos
Prdida
Impedimento
financiera
de acceso a las
Probablement mayor. Hasta El negocio
instalaciones Bloqueo de Probabl
RIE006 Social e va a ocurrir. 0.2 Menor S/. 10,200. 20 4.00 4.00 acepta el
donde se instalaciones e
(cada 5 aos) Dao de la riesgo
desarrolla el
imagen con
proceso.
clientes
1 9 6
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valorac
in de Nivel
Proba Detalle de la Detalle del Valoracin Nivel Decisin
Cdigo Riesgo Tipo Descripcin la Impacto Result Descripcin Efectividad
bilidad Probabilidad Impacto del Impacto Residual Final
Probabi ante
lidad
Incidente por la Prdida
entrega financiera
Puede ocurrir -
incorrecta de baja. Hasta S/.
Falta de en cualquier No Capacitacion El negocio
los servicios y Colabor 2,550. Dao
RIE007 capacitacin de Posible momento 0.07 Significat 5 0.35 es e 60% 0.14 acepta el
la mala adores de la imagen
personal futuro. (cada ivo inducciones riesgo
ejecucin de interna de la
15 aos) al personal
las actividades microfinancier
del proceso. a
Prdida
Puede ocurrir financiera alta.
Tecnolog
Saturacin de en cualquier Hasta S/.
as de Moderad Elaborar
sistemas de Posible momento 0.07 91,800. Dao 180 12.60 12.60
Informa o estrategia
informacin futuro. (cada de la imagen
cin
15 aos) en el rubro de
Lentitud y/o negocio
indisponibilida Prdida
d del servicio financiera
Puede ocurrir
brindado por el baja. Hasta S/.
en cualquier No El negocio
proceso de Colabor Indisponibilidad 2,550. Dao
RIE008 Posible momento 0.07 Significat 5 0.35 0.35 acepta el
negocio y los adores de personal de la imagen
futuro. (cada ivo riesgo
sistemas de interna de la
15 aos)
informacin microfinancier
vitales para su a
operacin. Prdida
financiera alta.
Fsico -
Probablement Hasta S/. El negocio
No Fallas de energa Probabl Moderad - La agencia
e va a ocurrir. 0.2 91,800. Dao 180 36.00 70% 10.80 acepta el
mecnic elctrica e o tiene un UPS
(cada 5 aos) de la imagen riesgo
o
en el rubro de
negocio
1 9 7
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valorac
in de Nivel
Proba Detalle de la Detalle del Valoracin Nivel Decisin
Cdigo Riesgo Tipo Descripcin la Impacto Result Descripcin Efectividad
bilidad Probabilidad Impacto del Impacto Residual Final
Probabi ante
lidad
Prdida
financiera alta.
-
Probablement Hasta S/.
Fallas en aire Probabl Moderad Ventiladores Elaborar
e va a ocurrir. 0.2 91,800. Dao 180 36.00 60% 14.40
acondicionado e o de estrategia
(cada 5 aos) de la imagen
emergencia
en el rubro de
Infraestr negocio
uctura Prdida
financiera alta.
Fallas en equipos Probablement Hasta S/.
Probabl Moderad - Equipos de Elaborar
de e va a ocurrir. 0.2 91,800. Dao 180 36.00 60% 14.40
e o repuesto estrategia
telecomunicacin (cada 5 aos) de la imagen
en el rubro de
negocio
Prdida - Acuerdos
Puede ocurrir financiera alta. de niveles de
Interrupcin del en cualquier Hasta S/. servicio El negocio
Proveed Moderad
negocio de Posible momento 0.07 91,800. Dao 180 12.60 (SLA). 80% 2.52 acepta el
ores o
proveedores futuro. (cada de la imagen - Proveedores riesgo
15 aos) en el rubro de de
negocio contingencia
-
Lineamientos
de respuesta
Prdida a eventos de
financiera interrupcin
Probablement mayor. Hasta que puedan El negocio
Probabl
Social Huelgas e va a ocurrir. 0.2 Menor S/. 10,200. 20 4.00 llevar a una 40% 2.40 acepta el
e
(cada 5 aos) Dao de la crisis la riesgo
imagen con ejecucin.
clientes - La empresa
cuenta con un
mapa de
evacuacin.
1 9 8
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valorac
in de Nivel
Proba Detalle de la Detalle del Valoracin Nivel Decisin
Cdigo Riesgo Tipo Descripcin la Impacto Result Descripcin Efectividad
bilidad Probabilidad Impacto del Impacto Residual Final
Probabi ante
lidad
Prdida
financiera
Probablement mayor. Hasta - El negocio
Probabl
Errores humanos e va a ocurrir. 0.2 Menor S/. 10,200. 20 4.00 Capacitacion 50% 2.00 acepta el
e
(cada 5 aos) Dao de la es al personal riesgo
imagen con
clientes
- Acceso por
Prdida
Robo de perfiles
Puede ocurrir financiera alta.
documentos - Bloqueo de
en cualquier Hasta S/. El negocio
que contienen Robo de Moderad puertos USB
RIE009 Social Posible momento 0.07 91,800. Dao 180 12.60 70% 3.78 acepta el
informacin documentos o - Envo
futuro. (cada de la imagen riesgo
sensible del restringido de
15 aos) en el rubro de
proceso. correos
negocio
electrnicos.
Robo de la Prdida
infraestructura financiera
Puede ocurrir - Revisin de
de TI que mayor. Hasta El negocio
Robos de Improb ocasionalment pertenencias
RIE010 almacena Social 0.04 Menor S/. 10,200. 20 0.80 50% 0.40 acepta el
equipos able e. (cada 25 al salir del
informacin Dao de la riesgo
aos) local
sensible del imagen con
proceso. clientes
Fuente: Elaboracin propia
1 9 9
Para todos los riesgos cuya decisin final sea Elaborar estrategia, se realizar el
planteamiento de estrategias de continuidad para tener un mayor control de dicho
riesgo.
Muestra Selva
2 0 0
Tabla 67 - Evaluacin de los riesgos de continuidad para la muestra selva
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valoracin de Valoraci Nivel
Cdi Probabili Detalle de la Detalle del Nivel Efectivi Decisin
Riesgo Tipo Descripcin la Impacto n del Descripcin Residu
go dad Probabilidad Impacto Resultante dad Final
Probabilidad Impacto al
Prdida
financiera
Acciones de - Reuniones de
Puede ocurrir alta.
empleados retroalimentacin El
en cualquier Hasta S/.
descontento Moderad con los negocio
Posible momento 0.07 91,800. 180 12.60 70% 3.78
s contra la o empleados acepta el
futuro. (cada Dao de la
organizaci - Beneficios para riesgo
Acciones sin 15 aos) imagen en
n empleados
tica el rubro de
RIE0 profesional que Colaborado negocio
01 ponen en riesgo res Prdida
la imagen de la financiera
microfinanciera. Puede ocurrir alta.
en cualquier Hasta S/.
Fraude Moderad Elaborar
Posible momento 0.07 91,800. 180 12.60 12.60
interno o estrategia
futuro. (cada Dao de la
15 aos) imagen en
el rubro de
negocio
Prdida
financiera
Ausencia de
media.
efectivo Puede ocurrir - Proceso de
Hasta S/. El
necesario para en cualquier remesas para el
RIE0 Insolvencia Significat 206,550. negocio
el Econmico Posible momento 0.07 405 28.35 abastecimiento 60% 11.34
02 de crdito ivo Dao de la acepta el
funcionamiento futuro. (cada de efectivo de las
imagen a riesgo
del proceso de 15 aos) agencias
nivel local
negocio
(departame
nto)
Cambios Puede ocurrir Prdida
El
urgentes dentro excepcionalm financiera
RIE0 Cambios Moderad negocio
de la estructura Regulatorio Raro ente. (cada 0.03 alta. 180 5.40 5.40
03 regulatorios o acepta el
del proceso de ms de 25 Hasta S/.
riesgo
negocio aos) 91,800.
2 0 1
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valoracin de Valoraci Nivel
Cdi Probabili Detalle de la Detalle del Nivel Efectivi Decisin
Riesgo Tipo Descripcin la Impacto n del Descripcin Residu
go dad Probabilidad Impacto Resultante dad Final
Probabilidad Impacto al
Dao de la
imagen en
el rubro de
negocio
- Se realizan
simulacros de
evacuacin
Prdida - Lineamientos
financiera de respuesta a
enorme. eventos de
Puede ocurrir
Mayor a interrupcin que
en cualquier
Dao a la Fsico - No S/. puedan llevar a Elaborar
Incendios Posible momento 0.07 Serio 500 35.00 50% 17.50
infraestructura mecnico 206,550. una crisis estrategia
futuro. (cada
fsica del local, Dao de - La empresa
15 aos)
la imagen a cuenta con un
infraestructura nivel mapa de
de TI, los nacional evacuacin
activos de - Pliza de
informacin y seguros contra
RIE0 eventos
la integridad
04
fsica de los Prdida
colaboradores financiera
- Se realizan
de la baja. Hasta
Puede ocurrir simulacros de
microfinanciera S/. 2,550. El
en cualquier No evacuacin
encargados de Dao de la negocio
Temblores Posible momento 0.07 Significat 5 0.35 - La empresa 40% 0.21
realizar la imagen acepta el
futuro. (cada ivo cuenta con un
operacin del interna de riesgo
15 aos) mapa de
proceso. Natural la
evacuacin.
microfinan
ciera
Prdida
Ocurre en la El
No financiera
Lluvias mayora de negocio
Casi cierto 1 Significat baja. Hasta 5 5.00 5.00
intensas circunstancias acepta el
ivo S/. 2,550.
. (cada ao) riesgo
Dao de la
2 0 2
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valoracin de Valoraci Nivel
Cdi Probabili Detalle de la Detalle del Nivel Efectivi Decisin
Riesgo Tipo Descripcin la Impacto n del Descripcin Residu
go dad Probabilidad Impacto Resultante dad Final
Probabilidad Impacto al
imagen
interna de
la
microfinan
ciera
- Se realizan
simulacros de
evacuacin
Prdida - Lineamientos
financiera de respuesta a
enorme. eventos de
Puede ocurrir
Mayor a interrupcin que
en cualquier
S/. puedan llevar a Elaborar
Terremotos Posible momento 0.07 Serio 500 35.00 50% 17.50
206,550. una crisis. estrategia
futuro. (cada
Dao de - La empresa
15 aos)
imagen a cuenta con un
nivel mapa de
nacional evacuacin
- Pliza de
seguros contra
eventos
Prdida
financiera
Puede ocurrir mayor.
El
en cualquier Hasta S/.
negocio
Huaicos Posible momento 0.07 Menor 10,200. 20 1.40 1.40
acepta el
futuro. (cada Dao de la
riesgo
15 aos) imagen
con
clientes
Prdida
El
Probablement financiera
negocio
Inundacin Probable e va a ocurrir. 0.2 Menor mayor. 20 4.00 4.00
acepta el
(cada 5 aos) Hasta S/.
riesgo
10,200.
2 0 3
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valoracin de Valoraci Nivel
Cdi Probabili Detalle de la Detalle del Nivel Efectivi Decisin
Riesgo Tipo Descripcin la Impacto n del Descripcin Residu
go dad Probabilidad Impacto Resultante dad Final
Probabilidad Impacto al
Dao de la
imagen
con
clientes
Prdida -Servicio de
financiera Seguridad Fsica
mayor. (Proveedor: G4S)
El
Probablement Hasta S/. - Lmite de
Delincuenci negocio
Probable e va a ocurrir. 0.2 Menor 10,200. 20 4.00 dinero por cajero 0% 4.00
a acepta el
(cada 5 aos) Dao de la de 10,000 USD
riesgo
imagen (3 cajeros
con mximo por
clientes agencia)
Prdida -Servicio de
financiera Seguridad Fsica
alta. (Proveedor: G4S)
Puede ocurrir El
Hasta S/. - Lmite de
Secuestro de Improbabl ocasionalment Moderad negocio
0.04 91,800. 180 7.20 dinero por cajero 60% 2.88
Social Personal e e. (cada 25 o acepta el
Dao de la de 10,000 USD
aos) riesgo
imagen en (3 cajeros
el rubro de mximo por
negocio agencia)
'-Servicio de
Prdida
Seguridad Fsica
financiera
(Proveedor: G4S)
Puede ocurrir alta.
- Lineamientos El
en cualquier Hasta S/.
Moderad de respuesta a negocio
Terrorismo Posible momento 0.07 91,800. 180 12.60 40% 7.56
o eventos de acepta el
futuro. (cada Dao de la
interrupcin que riesgo
15 aos) imagen en
puedan llevar a
el rubro de
una crisis la
negocio
ejecucin
2 0 4
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valoracin de Valoraci Nivel
Cdi Probabili Detalle de la Detalle del Nivel Efectivi Decisin
Riesgo Tipo Descripcin la Impacto n del Descripcin Residu
go dad Probabilidad Impacto Resultante dad Final
Probabilidad Impacto al
Prdida
financiera
-Servicio de
Puede ocurrir mayor.
Tecnologas Seguridad Fsica El
excepcionalm Hasta S/.
de Destruccin (Proveedor: G4S) negocio
Raro ente. (cada 0.03 Menor 10,200. 20 0.60 50% 0.30
Informaci de equipos - Pliza de acepta el
ms de 25 Dao de la
n seguros contra riesgo
aos) imagen
eventos
con
clientes
Prdida
financiera - Proveedores de
Puede ocurrir alta. dinero
El
Disminucin de Cambios en en cualquier Hasta S/. - Emisin de
RIE0 Moderad negocio
la liquidez de la Econmico el entorno Posible momento 0.07 91,800. 180 12.60 Bonos 80% 2.52
05 o acepta el
microfinanciera. econmico futuro. (cada Dao de la - Proceso de
riesgo
15 aos) imagen en Captacin de
el rubro de Fondos
negocio
Prdida
financiera
Impedimento de
Puede ocurrir mayor.
acceso a las El
Bloqueo de en cualquier Hasta S/.
RIE0 instalaciones negocio
Social instalacione Posible momento 0.07 Menor 10,200. 20 1.40 1.40
06 donde se acepta el
s futuro. (cada Dao de la
desarrolla el riesgo
15 aos) imagen
proceso.
con
clientes
Incidente por la Prdida
entrega financiera
Puede ocurrir
incorrecta de baja. Hasta El
Falta de en cualquier No - Capacitaciones
RIE0 los servicios y Colaborado S/. 2,550. negocio
capacitacin Posible momento 0.07 Significat 5 0.35 e inducciones al 60% 0.14
07 la mala res Dao de la acepta el
de personal futuro. (cada ivo personal
ejecucin de las imagen riesgo
15 aos)
actividades del interna de
proceso. la
2 0 5
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valoracin de Valoraci Nivel
Cdi Probabili Detalle de la Detalle del Nivel Efectivi Decisin
Riesgo Tipo Descripcin la Impacto n del Descripcin Residu
go dad Probabilidad Impacto Resultante dad Final
Probabilidad Impacto al
microfinan
ciera
Prdida
financiera
Puede ocurrir alta.
Tecnologas Saturacin
en cualquier Hasta S/.
de de sistemas Moderad Elaborar
Posible momento 0.07 91,800. 180 12.60 12.60
Informaci de o estrategia
futuro. (cada Dao de la
n informacin
15 aos) imagen en
el rubro de
negocio
Lentitud y/o Prdida
indisponibilidad financiera
del servicio baja. Hasta
brindado por el S/. 2,550. El
Indisponibili Probablement No
RIE0 proceso de Colaborado Dao de la negocio
dad de Probable e va a ocurrir. 0.2 Significat 5 1.00 1.00
08 negocio y los res imagen acepta el
personal (cada 5 aos) ivo
sistemas de interna de riesgo
informacin la
vitales para su microfinan
operacin. ciera
Prdida
financiera
Puede ocurrir alta.
El
Fallas de en cualquier Hasta S/.
Fsico - No Moderad - La agencia negocio
energa Posible momento 0.07 91,800. 180 12.60 70% 3.78
mecnico o tiene un UPS acepta el
elctrica futuro. (cada Dao de la
riesgo
15 aos) imagen en
el rubro de
negocio
2 0 6
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valoracin de Valoraci Nivel
Cdi Probabili Detalle de la Detalle del Nivel Efectivi Decisin
Riesgo Tipo Descripcin la Impacto n del Descripcin Residu
go dad Probabilidad Impacto Resultante dad Final
Probabilidad Impacto al
Prdida
financiera
alta.
Fallas en
Probablement Hasta S/.
aire Moderad - Ventiladores de Elaborar
Probable e va a ocurrir. 0.2 91,800. 180 36.00 60% 14.40
acondiciona o emergencia estrategia
(cada 5 aos) Dao de la
do
imagen en
el rubro de
Infraestruct negocio
ura Prdida
financiera
alta.
Fallas en
Probablement Hasta S/.
equipos de Moderad - Equipos de Elaborar
Probable e va a ocurrir. 0.2 91,800. 180 36.00 60% 14.40
telecomunic o repuesto estrategia
(cada 5 aos) Dao de la
acin
imagen en
el rubro de
negocio
Prdida
financiera
Puede ocurrir alta. - Acuerdos de
Interrupcin El
en cualquier Hasta S/. niveles de
del negocio Moderad negocio
Proveedores Posible momento 0.07 91,800. 180 12.60 servicio (SLA). 80% 2.52
de o acepta el
futuro. (cada Dao de la - Proveedores de
proveedores riesgo
15 aos) imagen en contingencia
el rubro de
negocio
Prdida - Lineamientos
financiera de respuesta a
mayor. eventos de El
Probablement
Hasta S/. interrupcin que negocio
Social Huelgas Probable e va a ocurrir. 0.2 Menor 20 4.00 40% 2.40
10,200. puedan llevar a acepta el
(cada 5 aos)
Dao de la una crisis la riesgo
imagen ejecucin.
con - La empresa
2 0 7
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valoracin de Valoraci Nivel
Cdi Probabili Detalle de la Detalle del Nivel Efectivi Decisin
Riesgo Tipo Descripcin la Impacto n del Descripcin Residu
go dad Probabilidad Impacto Resultante dad Final
Probabilidad Impacto al
clientes cuenta con un
mapa de
evacuacin.
Prdida
financiera
mayor.
El
Probablement Hasta S/.
Errores - Capacitaciones negocio
Probable e va a ocurrir. 0.2 Menor 10,200. 20 4.00 50% 2.00
humanos al personal acepta el
(cada 5 aos) Dao de la
riesgo
imagen
con
clientes
Prdida
- Acceso por
financiera
Robo de perfiles
Puede ocurrir alta.
documentos que - Bloqueo de El
en cualquier Hasta S/.
RIE0 contienen Robo de Moderad puertos USB negocio
Social Posible momento 0.07 91,800. 180 12.60 70% 3.78
09 informacin documentos o - Envo acepta el
futuro. (cada Dao de la
sensible del restringido de riesgo
15 aos) imagen en
proceso. correos
el rubro de
electrnicos.
negocio
Prdida
Robo de la financiera
infraestructura mayor.
Puede ocurrir El
de TI que Hasta S/. - Revisin de
RIE0 Robos de Improbabl ocasionalment negocio
almacena Social 0.04 Menor 10,200. 20 0.80 pertenencias al 50% 0.40
10 equipos e e. (cada 25 acepta el
informacin Dao de la salir del local
aos) riesgo
sensible del imagen
proceso. con
clientes
Fuente: Elaboracin propia
2 0 8
Para todos los riesgos cuya decisin final sea Elaborar estrategia, se realizar el
planteamiento de estrategias de continuidad para tener un mayor control de dicho
riesgo.
- Lista de riesgos cuyo valor residual superan el valor mximo que acepta la
microfinanciera por muestras.
En caso de que solo tuviera valoracin en dos muestras, la divisin se realizara entre 2
y si solo tuviera una valoracin en una nica muestra, el valor seria el mismo.
2 0 9
planes de recuperacin de los servicios de TI, de crisis y de entrenamiento y
capacitacin.
En conclusin, se busca que las estrategias planteadas formen parte de los planes del
sistema de gestin de continuidad del negocio que se van a desarrollar con la finalidad
de que sean implementadas a posterior.
2 1 0
Tabla 68 - Definicin de estrategias de continuidad para los riesgos a realizar tratamiento adicional
Valoracin de
Riesgo Amenaza Riesgo Residual - Promedio del Descripcin de Plan a
Punto de
Segn muestras Estrategia Desarrollar
Riesgo
Cdigo Descripcin Amenaza Tipo de Amenaza Costa Sierra Selva
Ejecutar
Acciones sin tica Plan de
capacitaciones
profesional que ponen Entrenamiento
RIE001 Colaboradores Fraude interno 12.6 12.6 12.6 12.60 para lograr la
en riesgo la imagen de y
concientizacin
la microfinanciera. Capacitacin.
del personal
Fsico - No
Incendios 12.6 12.6 12.6 12.60
Dao a la mecnico
Realizar planes Plan de
infraestructura fsica Temblores 0.50 0.60 0.21 0.44 de evacuacin, Entrenamiento
del local, la
Lluvias intensas 0.15 1.00 5.00 2.05 capacitacin al y
infraestructura de TI,
Terremotos 14.00 17.50 17.50 16.33 personal y Capacitacin
los activos de Natural
Tsunamis 14.00 14.00 simulacros Plan de Crisis
informacin y la
RIE005 Huaicos 1.40 4.00 1.40 2.27
integridad fsica de los
colaboradores de la Inundacin 1.40 4.00 4.00 3.13
microfinanciera Delincuencia 20 26.64 26.64 24.43 Realizar
encargados de realizar capacitaciones Plan de
la operacin del para ensear al Entrenamiento
proceso. Social
Secuestro de Personal 20 12.6 12.6 15.07 personal como y
actuar en estas Capacitacin.
situaciones
Lentitud y/o Tecnologas Saturacin de Enlazar el Plan de
RIE008 indisponibilidad del de sistemas de 14.4 12.6 12.6 13.20 Centro de Recuperacin
servicio brindado por el Informacin informacin Procesamiento de los
2 1 1
Valoracin de
Riesgo Amenaza Riesgo Residual - Promedio del Descripcin de Plan a
Punto de
Segn muestras Estrategia Desarrollar
Riesgo
Cdigo Descripcin Amenaza Tipo de Amenaza Costa Sierra Selva
proceso de negocio y Fsico - No Fallas de energa de Datos Servicios de
3.6 10.8 3.78 6.06
los sistemas de mecnico elctrica Alterno TI
informacin vitales Fallas en aire ubicado en el
para su operacin. 10.8 14.4 14.4 13.20 BCP
acondicionado
Infraestructura
Fallas en equipos de
24.3 14.4 14.4 17.70
telecomunicacin
Fuente: Elaboracin propia
2 1 2
5.1.5 Etapa de Diseo
5.1.5.1.1 Propsito
Este plan tiene como principal propsito brindar un conjunto de actividades que le
permiten a la microfinanciera Edyficar clasificar los incidentes que podra afectar a la
continuidad y establecer los esquemas de comunicacin adecuados para informar a los
pblicos objetivos y/o grupos de inters durante una etapa de crisis.
5.1.5.1.2 Alcance
El alcance de este plan es establecer todas las actividades y acciones necesarias para que
los responsables de la gestin de crisis puedan evaluar, comprender y hacer frente a
diversos eventos de crisis. Asimismo, establecer lineamientos de comunicacin efectiva
sobre un evento que afecte la imagen institucional de la microfinanciera Edyficar.
5.1.5.1.3 Objetivos
El objetivo del plan de crisis es determinar los lineamientos y pautas a seguir por la
organizacin para minimizar el impacto en sus operaciones, entre los principales
objetivos se tienen los siguientes:
5.1.5.1.4 Justificacin
En situaciones que impacten los productos y servicios ofrecidos por Edyficar, como:
informacin manipulada, desconocimiento de las polticas y procedimientos
establecidos, crisis internas o externas, daos a la infraestructura de TI, desastres
naturales y ambientales, epidemias, eventos de conmocin social, entre otros; la
organizacin debe de ser capaz de responder de forma oportuna ante los incidentes para
2 1 3
lograr minimizar el riesgo o daos con el fin de proteger la integridad y los intereses de
la institucin.
Para ello, es de suma importancia realizar una comunicacin efectiva a nivel interno y
externo cuando se presentan situaciones de riesgo de forma directa o indirecta, ya que la
comunicacin es un factor clave para interactuar con los actores que conforman la
organizacin para difundir, regular, monitorear y controlar el impacto que causan estos
acontecimientos a los servicios. El presente plan de crisis se basa en los lineamientos
brindados por la ISO 22301: 2012 y por la Circular G-139-209 de la SBS
(Superintendencia de Banca, Seguros y AFPs).
2 1 4
Asistente Administrativo de Crisis
Gestor de Comunicaciones
Persona encargada de ver los temas de comunicacin con los grupos de inters durante
la etapa de crisis. Sus principales responsabilidades son:
- Tomar las decisiones durante la crisis en caso el presidente no pueda por fuerza
mayor.
Coordinador de Logstica
Persona encargada de gestionar los recursos necesarios durante toda la etapa de crisis.
Sus principales responsabilidades son:
2 1 5
Coordinador de Crisis
Persona encargada del desarrollo de todas las actividades del plan de crisis. Sus
principales responsabilidades son:
Asesor Financiero
Persona encargada de manejar todos los temas financieros durante la etapa de crisis. Sus
principales responsabilidades son:
Asesor Legal
Persona encargada de manejar todos los temas legales durante la etapa de crisis. Sus
principales responsabilidades son:
Vocero
2 1 6
- Estructurar los mensajes, las estrategias comunicativas y medios adecuados.
Presidente del
Comit
Asistente
Administrativo de
Crisis
Gestor de Coordinador de
Asesor Financiero Vocero
Comunicaciones Logstica
Coordinador de
Asesor Legal
Crisis
Los datos de contactos y las personas asignadas como titulares y suplentes para cada
uno de los roles del comit de crisis se detallan a continuacin:
Tabla 69 - Datos de contacto de los miembros titulares y suplentes del comit de crisis
Los trabajadores de Edyficar son las personas que identifican y reportan incidentes
mediante protocolos de llamada telefnica o correo electrnico a Mesa de Ayuda para
solicitar asistencia tcnica o a Seguridad para algn problema que ocurra. Estos evaluan
el incidente y dan indicaciones para solucionarlo, pero en caso no pueda ser controlado
se notifica la situacin de crisis al Asistente Administrativo de Crisis. Este informa al
presidente del comit de crisis sobre la situacin haciendo que este ltimo se ponga en
contacto con los dems miembros del comit.
2 1 8
Ilustracin 36 - rbol de llamadas para la activacin del comit de crisis
Una vez declarada la crisis en la organizacin, se deben definir las actividades que se
realizarn durante las primeras horas y el impacto que tendr en las siguientes horas y
das. Luego, se informa de la situacin de crisis a todos los trabajadores de la
microfinanciera y se da solucin a los problemas producidos como las posibles
vctimas, anuncios de investigaciones, impacto en residentes cercanos, etc. Para mayor
detalle, revisar la seccin 8 de este documento.
2 1 9
Para poder determinar un incidente como una situacin de desastre o crisis, es necesario
definir escalas de impacto que este tiene en la organizacin. Por ello, se han definido
tres tipos de incidentes que se encuentran detallados a continuacin.
Mediante estos tipos de incidentes, se tendr una vista clara cuando un incidente es
considerado una crisis o no. Ya teniendo estos tipos definidos, se procede a determinar
los escenarios de cada incidente en relacin a las principales amenazas a las que se
encuentra expuesta Edyficar. Por un lado, se describen los escenarios de los incidentes
en funcin del impacto que estos tienen en los recursos, tanto infraestructura como
personas, de la organizacin.
2 2 0
Clasificacin Descripcin Verde Amarilla Roja
Hasta el 50%
Ms del 50%
Hasta el 30% del del personal
del personal de
personal de las de las
las agencias,
agencias, agencias,
personal de
personal de personal de
soporte a
soporte a soporte a
procesos
- Pandemia procesos procesos
Biolgicos urgentes o
- Epidemia urgentes o urgentes o
personal de la
personal de la personal de la
oficina
oficina principal oficina
principal
reporta principal
reporta
inasistencia por reporta
inasistencia por
contagio inasistencia
contagio
por contagio
Fuente: Elaboracin propia
Por otro lado, se describen los escenarios de los incidentes en funcin al impacto que
generan en el tiempo en relacin a su duracin.
2 2 1
Clasificacin Descripcin Verde Amarilla Roja
horas >2 horas y > 4 horas
4 horas
Afecta a
Equipos en
todos los
agencias - -
usuarios de la
(servidores)
oficina.
Aplicaciones y Impacto a
Impacto a Impacto a
Base de Datos de todas las
todas las todas las
Software soporte a los oficinas
oficinas 2 oficinas
procesos urgentes >2 horas y
horas > 4 horas
(Topaz) 4 horas
Aire
acondicionado,
Impacto a
ups, grupo Impacto a Impacto a
todas las
electrgeno, todas las todas las
oficinas
instalaciones oficinas 2 oficinas
>2 horas y
(Centro de horas > 4 horas
4 horas
Procesamiento de
Infraestructura
Datos)
UPS, aire
acondicionado, Afecta a
grupo electrgeno, todos los
- -
instalaciones usuarios de la
elctricas oficina.
(Oficina).
Impacto a
Denegacin de Impacto a Impacto a
todas las
servicios, cdigotodas las todas las
Seguridad TI oficinas
malicioso, accesooficinas 2 oficinas
>2 horas y
no autorizado. horas > 4 horas
4 horas
Impacto a
Impacto a Impacto a
Proveedores todas las
todas las todas las
Proveedores crticos de procesos oficinas
oficinas 2 oficinas
urgentes. >2 horas y
horas > 4 horas
4 horas
Fuente: Elaboracin propia
Fase 1 Antes
A continuacin, se detallan las actividades que realiza cada rol, antes de la ocurrencia de
un incidente de crisis:
Fase 2 Durante
2 2 3
- Paso 1: Notificar al equipo de gestin de crisis
El presidente del comit de crisis debe comunicarse con los dems miembros para
realizar la gestin de crisis y otros adicionales segn sea necesario. La funcin del
asistente es llevar una bitcora de eventos.
2 2 4
Avisar y confirmar al vocero designado en el sitio de operaciones. Recibir
confirmacin del vocero designado, y dirigir hacia l todas las llamadas de los
medios y partes interesadas. Se utilizar el formato definido en el Anexo 7.
Notificar todos los empleados, tanto de la sede central como de las oficinas
mediante correo electrnico, mensajes de texto o llamadas por voz, que todas las
llamadas de los medios con respecto al incidente se desviarn al vocero
designado.
2 2 5
deben de redactar una declaracin similar para los empleados de toda la empresa, la
cual debe de ser aprobada por el presidente del comit de crisis.
Lderes de comunidades
Junta directiva
Entes reguladores
Clientes clave
Proveedores
Bancos cercanos
Accionistas
Lesiones o muertes
Evacuacin
2 2 6
- Paso 8: Preparar lugar para los medios
- Paso 9: Informe
Revisar los intereses y respuestas del gobierno y/o entes reguladores y sus
respuestas hasta la fecha.
2 2 7
5.1.5.1.9 Recursos necesarios
Como parte de la ejecucin efectiva de la gestin de crisis, se han definido los
siguientes recursos que deben encontrarse dentro del centro de comando para que el
comit de crisis pueda realizar sus operaciones sin problemas:
- Analistas Econmicos.
- Sistema Financiero.
2 2 8
- Superintendencia de Banca, Seguros y AFP (SBS).
- Empresas aseguradoras.
- Junta de Accionistas.
- Proveedores de Edyficar.
- Trabajadores de Edyficar
Estos centros de comando deben cumplir con los siguientes requerimientos que
permitan el ptimo trabajo del comit de crisis.
- Recursos necesarios: Debe contar con todos los equipos, insumos, extras,
mobiliario y servicios descritos en la seccin 10.
2 2 9
5.1.5.2 Plan de Emergencias
5.1.5.2.1 Introduccin
La oficina principal Edyficar est ubicado en Av. Paseo de la Repblica 3717 en el
Distrito de San Isidro, y se dedica al rubro del desarrollo sostenible brindando servicios
financieros. El Plan de Emergencias es un informe donde se especifican las
caractersticas de los sistemas de evacuacin, en el cual se incluyen directivas,
organizacin de brigadas, equipamientos de seguridad, capacitacin y entrenamiento del
personal, plan de evacuacin y procedimientos a seguir.
2 3 0
5.1.5.2.2 Alcance
El presente Plan de Emergencias es aplicable a todo el personal que se encuentre en los
ambientes de la oficina principal de Edyficar, con el compromiso de dar seguridad a las
personas que laboran y acuden a este lugar.
5.1.5.2.3 Objetivos
El presente plan tiene como objetivo principal elevar el nivel adecuado de preparacin,
control, supervisin y ejecucin de los ejercicios de seguridad de las instalaciones de la
oficina principal de Edyficar, las reas comunes de la oficina principal, facilitando y
proponiendo los recursos humanos y logsticos en la convergencia de esfuerzos, para el
cumplimiento de cada uno de los puntos detallados en el Plan. De esta forma, lograr
minimizar los peligros, vulnerabilidades y riesgos ante eventos de origen natural,
tecnolgico o humano. Por ello, se han establecido los siguientes objetivos especficos:
- Establecer las sealizaciones de las rutas de escape y las zonas de seguridad internas
y externas.
5.1.5.2.4 Justificacin
El Plan de Emergencias se desarrolla para obtener un proceso adecuado de evacuacin
del lugar donde se encuentre el personal al momento del siniestro, enfocado en preparar
a los colaboradores ante una situacin que normalmente no se encuentra preparado.
Mediante el desarrollo de este plan se busca que ante un evento que obligue a evacuar el
recinto, se logre de la mejor manera y siguiendo los procedimientos estructurados.
2 3 1
5.1.5.2.5 Vigencia
Un (01) ao, luego debe de ser actualizado por el coordinador del comit de seguridad y
salud en el trabajo.
- INDECI
- Departamento Lima
- Telfono 319-5555
2 3 2
ambiente). Los servicios funcionan correctamente y estn en buen estado, la
iluminacin y ventilacin natural. Tiene una antigedad de 8 aos aproximadamente
Edyficar realiza sus actividades en todos los pisos de la edificacin, las distribuciones
dentro de cada local son las siguientes:
- Oficina de Directorio
- Sala de Espera
- Salas de reuniones
- Oficinas administrativas
Ubicacin Urbana
2 3 3
5.1.5.2.8 Roles y responsabilidades
Funciones:
2 3 4
1. Presidente
Funciones
2. Coordinador
Funciones
3. Jefe de Brigadas
Antes
2 3 5
- Asegurar la movilizacin de los brigadistas y de los materiales necesarios para
atender la emergencia.
Durante
Despus
4. Delegados de Brigadas
La funcin principal es mantener informados a los principales integrantes acerca de
la informacin que comunicarn los jefes de brigadas.
5. Brigadas Operativas
Son aquellas personas responsables de dar respuesta de forma inmediata ante alguna
emergencia, con el propsito de controlarla en el menor tiempo posible.
2 3 6
Dentro de las Brigadas Operativas de Edyficar se encuentran las siguientes:
Brigadas de Evacuacin
Antes
Durante
- Actuar con serenidad y pasar la voz a los dems sin perder la calma.
- Indicar a las mujeres que usen tacones o zapatos altos que debern quitrselos
para evitar cadas colectivas.
Despus
2 3 7
- Los brigadistas de evacuacin tienen que verificar segn su lista, el personal que
falta.
Son los responsables de enfrentar los conatos de incendio segn las capacitaciones
realizadas, as como tambin, la verificacin de los extintores.
Antes
- Corregir cualquier acto inseguro que pueda originar incendios (enchufes sobre
cargados, cordones en mal estado); si es as, informar de inmediato al Jefe de
Brigadas.
- Evitar que los artefactos que generen calor se coloquen cerca de materiales y
lquidos inflamables.
Durante
Despus
- Controlar la permanencia y evacuacin del personal que ocupa los exteriores del
local.
2 3 8
- No ingresar ni permitir el ingreso al escenario del incendio sin antes estar seguro
de que se haya apagado totalmente el fuego.
Son las personas con el conocimiento tcnico y prctico de los primeros auxilios
para la atencin de los heridos. Sus actividades son las siguientes:
Antes
Durante
- Ayudar a las personas que requieran apoyo para movilizarse hacia zonas
seguras.
- Reunir los recursos necesarios para brindar atencin de primeros auxilios, en las
zonas de seguridad externas.
Despus
2 3 9
Las personas designadas para cada rol en cada uno de los pisos de la oficina principal de
Edyficar se detallan a continuacin:
Tabla 78 - Lista de personas asignadas para los miembros del comit de seguridad y
salud en el trabajo
Responsables
Presidente Coordinador Jefe de Brigadas
N Magaly Bravo Javier Fuentes
Piso Roberto Casas Gutirrez Sotelo Rodriguez
Delegado de Brigadas de Brigadas de lucha Brigada de primeros
Brigadas Evacuacin contra incendios auxilios
Piso Juan Quispe Hctor Gonzlez
Juan Quispe Flores Carlos Villegas Lopera
1 Flores Castao
Piso Sara Parra Arturo Tabares
Sara Parra Len Oscar Gmez Giraldo
2 Len Mora
Jaime Lpez
Piso Jorge Li Mara Arias Gmez,
Jorge Li Ramos Tobn, Jessica
3 Ramos Mnica Daz Daz
Fras Ramrez
Carlos Carlos Amatt
Piso lvaro Ivn Hctor Manuel Pineda,
Amatt Chvez, Alejandro
4 Berdugo Lpez Felicia Llanos Soto
Chvez Jimnez Reyes
Beatriz Beatriz Osorio Luis Escobar Trujillo,
Piso John Duque
Osorio Laverde, Marianela Diego Crdenas
5 Garca
Laverde Castillo Torner Saavedra
Herman Armid Muoz
Piso Herman Correa Fabio Flores Garca,
Correa Ramrez, Oscar
6 Ramrez Juan Monroy Fernandez
Ramrez Vidal Reyes
Lilian
Piso Lilian Gmez Julio Rodrguez
Gmez Elkin Daz Prez
7 lvarez Monsalve
lvarez
Gerardo
Piso Gerardo Duque Julio Rodas
Duque ngel Arrabal Ortiz
8 Gutirrez Monsalve
Gutirrez
Oscar
Piso Oscar Murillo
Murillo Jos Zapata Surez Luis Crdenas Moreno
9 Gonzlez
Gonzlez
Csar
Piso Bernardo Posada Csar Palacio Hctor Bermdez
Palacio
10 Vera Martnez Saldarriaga
Martnez
Gloria
Piso Alejandro lzate Gloria lzate
lzate Anah Sandoval Lpez
11 Garcs Agudelo
Agudelo
Fuente: Elaboracin propia
2 4 0
5.1.5.2.9 Eventos de Emergencias
En este apartado, se analizan los principales riesgos que podran afectar la oficina
principal de Edyficar desencadenando una emergencia. Tambin, se ha identificado,
seleccionado y analizado las probabilidades de riesgos que tienen relacin con eventos
adversos y situaciones provocadas por la naturaleza, humana y/o interaccin de los
anteriores.
Riesgos
- Incendios
- Derrumbes
- Inundaciones
- Asaltos
- Robos
Amenazas
- Sismos
- Tsunamis
Vulnerabilidades
- Desconocimiento de riesgos
- Falta de procedimientos
Riesgo de Incendio
2 4 1
Riesgo de derrumbe
El riesgo de derrumbe de las oficinas de la Edpyme se puede dar debido a las siguientes
causas:
- Actividad Ssmica
- Explosiones
Riesgo de Inundacin
2 4 2
5.1.5.2.10 Procedimientos en Casos de Emergencia
En caso de Incendio
Este apartado tiene como objetivo principal brindar lineamientos para responder
apropiadamente ante un incendio o amago de incendio que ocurra en las instalaciones.
Logrando de esta forma proteger la vida e integridad fsica y psquica de los ocupantes
del establecimiento, reduciendo los daos materiales y su efecto en las operaciones
normales de local.
- Intentar alejar los materiales combustibles de las zonas a las que podra propagarse
el fuego.
2 4 3
Brigada de Evacuacin
- Ayudar y guiar al personal que se encuentre dentro de las oficinas a seguir las
sealizaciones hacia los puntos de evacuacin.
- Estar atentos si se producen heridos para atenderlos con los primeros auxilios.
- Si se prende la ropa de los trabajadores, impedir que corra, tirar al suelo, y cubrir
con una prenda o manta apretndola sobre el cuerpo o hacer que ruede sobre s
misma. Luego de apagadas las llamas se les cubrir con una tela limpia, sin quitar la
ropa quemada y trasladar al centro de salud ms cercano.
Mantener aislada la zona afectada, sin retornar a ella hasta que se verifique la ausencia
de condiciones de riesgo.
En caso de Sismo
Este apartado tiene como objetivo principal brindar lineamientos para responder
apropiadamente ante un evento ssmico que ocurra en las instalaciones. Logrando de
esta forma proteger la vida e integridad de los ocupantes del establecimiento,
reduciendo los daos materiales y su efecto en las operaciones normales de local.
- En caso hubieran heridos, estos deben de ser atendidos por la Brigada de Primeros
auxilios. Si es de gravedad, trasladar a los heridos al centro de salud ms cercado.
Tener precaucin al abrir puertas, armarios entre otros ya que pueden haber quedado en
posicin inestable.
5.1.5.3.1 Propsito
El Plan de Recuperacin ante Desastres de TI (DRP) de Edyficar cumple con la
finalidad de minimizar los efectos de un desastre y que la institucin sea capaz de
mantener y estabilizar en un tiempo prudente sus operaciones crticas del negocio
acoplando los estndares de la ISO 22301:2012 y la Circular G-139-2009.
5.1.5.3.2 Alcance
El Plan de Recuperacin de los Servicios de TI es desarrollado bajo las siguientes
premisas:
- El escenario a ser probado es la destruccin del 80% del Data Center principal.
5.1.5.3.3 Objetivos
Los objetivos del Plan de Recuperacin de los Servicios de TI (DRP) son los siguientes:
2 4 5
- Salvaguardar los registros vitales.
El CPD para Edyficar se encuentra ubicado en las ubicaciones del Banco de Crdito del
Per (Sede La Molina), los cuales son respaldados peridicamente.
2 4 6
- Guiar al personal necesario durante la situacin de contingencia.
- Mantener informada a la Alta Direccin del estado del desastre, las fases de
recuperacin y los posibles problemas a enfrentar.
5. Coordinador de Red
- Realizar las configuraciones al firewall de contingencia
A continuacin se detallan las personas que asumirn los roles del equipo de
recuperacin ante desastres en primera instancia (P) y sus suplentes (S).
Procesos Crticos
2 4 9
Proceso 1er
Procesos 2do Nivel Criticidad RTO RPO MTD
Nivel
Gestionar Apertura de Cuenta de
4.28
Depsito a Plazo Fijo
Gestionar Cancelacin de
4.00
Depsito a Plazo Fijo
Gestionar Cuenta de Ahorros 4.39
Gestionar Registro de Clientes y
4.06
Presolicitudes
Gestionar Evaluacin de
4.06
Solicitud
Colocacin de Gestionar 24
Aprobacin de 4 hrs 7 hrs
Fondos 4.06 hrs
Solicitud
Gestionar Desembolso de
4.67
Prstamo
Gestionar Cobro de Cuotas 4.39
Gestionar Gestionar Remesas de Efectivo 4.00
24
Movimiento de Gestionar Cuadre Diario y Cierre 4 hrs 24 hrs
4.00 hrs
Fondos de Caja Interna
Fuente: Elaboracin propia
- Relacin de Proveedores
A continuacin, se muestran los mdulos dentro del sistema TOPAZ que soportan los
procesos crticos:
2 5 0
Tabla 82 - Mdulo de Topaz, estrategias para el servidor de base de datos y aplicacin
utilizados para cada uno de los procesos crticos de Edyficar
Servidores
2 5 1
Servidor de
Sistema Operativo Caractersticas
Contingencia
LENOVO 6073-A45
Inter Core E6550 1 X 2.33
Red Hat Enterprise GHz Core x Socket: Dual
S12TPZC01
ES 4.5 x1
4 GB RAM
160 GB Almacenamiento
LENOVO ThinkCentre
Inter Core Q8400 1 x 2.66
Windows 2003 GHz Core x Socket: Quad
S12WEB06
Standart SP2 x1
4 GB RAM
300 GB Almacenamiento
HP BLADE 860C
Intel Itanium2 2 X 1.60
Red Hat Enterprise GHz Core x Socket: Dual
S12RAC02
5.6 x2
32 GB RAM
144 GB Almacenamiento
Fuente: Elaboracin propia
Comunicacin
Se describen los recursos necesarios para poder realizar la comunicacin entre los
equipos internos y externo de Edyficar.
2 5 2
Equipos de
Descripcin
Comunicacin
Cisco Series 2900
Enlaces / backup Cisco 2811
Cisco 2800
Fuente: Elaboracin propia
Impacto a
Aplicaciones y Base Impacto a
Impacto a todas todas las
de Datos de soporte todas las
Software las oficinas 2 oficinas
a los procesos oficinas
horas >2 horas y
urgentes (Topaz) > 4 horas
4 horas
Aire acondicionado,
ups, grupo Impacto a
Impacto a
electrgeno, Impacto a todas todas las
todas las
Infraestructura instalaciones las oficinas 2 oficinas
oficinas
(Centro de horas >2 horas y
> 4 horas
Procesamiento de 4 horas
Datos)
Impacto a
Denegacin de Impacto a
Impacto a todas todas las
servicios, cdigo todas las
Seguridad TI las oficinas 2 oficinas
malicioso, acceso oficinas
horas >2 horas y
no autorizado. > 4 horas
4 horas
Impacto a
Impacto a
Proveedores crticos Impacto a todas todas las
todas las
Proveedores de procesos las oficinas 2 oficinas
oficinas
urgentes. horas >2 horas y
> 4 horas
4 horas
Fuente: Elaboracin propia
Evaluacin de Daos
Para poder realizar una adecuada evaluacin de daos se deben de considerar las
siguientes situaciones:
2 5 4
Centro de Procesamiento de Datos. Adems, realizar la notificacin del Evento
y movilizar al equipo de recuperacin de TI.
2. Si el incidente ocasiona la interrupcin de los servicios crticos en el Centro de
Procesamiento de Datos debido a fallas en la infraestructura en la Oficina
Principal, se debe de realizar la recuperacin de los Equipos de la Oficina
Principal.
3. Si el incidente ocasiona la interrupcin de los servicios crticos en la Agencia
Especial, se deben de evaluar los daos de TI de la Oficina Especial afectada.
4. Si el incidente ha sido ocasionado por fallas en las aplicaciones o base de datos,
se debe de iniciar la recuperacin de aplicaciones y bases de datos.
5. Si slo se han interrumpido los servicios de comunicacin de Edyficar, se debe
de iniciar la recuperacin de las comunicaciones en la Oficina Principal.
Este paso debe de ser realizado por el Coordinador de Sistemas de Informacin. En este
apartado se describen aquellas actividades necesarias para poder notificar el evento y
movilizar a los miembros del Equipo de Recuperacin de TI.
Para realizar adecuadamente este apartado, se deben de realizar los siguientes puntos:
Este paso debe de ser realizado por el Coordinador de Sistemas de Informacin, el cual
se debe de encargar de establecer los lineamientos necesarios para realizar la activacin
del Centro de Procesamiento de Datos Alterno.
2 5 5
Para realizar adecuadamente este apartado, se deben de llevar a cabo los siguientes
puntos:
Recuperar de Equipos
2 5 6
2.1 Disponibilidad de equipos (Servidores, switches)
2.2 Tiempo de adquisicin.
2.3 Tiempo de envo.
2.4 Tiempo de Implementacin y configuracin.
3. Enviar la informacin de adquisicin o alquiler de equipos al Comit de Crisis
para su aprobacin.
4. Instalar y configurar los equipos.
5. Verificar que los elementos de hardware adquiridos funcionen correctamente.
1. Aplicativo TOPAZ
Informacin General:
2 5 7
Caractersticas:
Recuperacin:
2. Correo Electrnico
- Restaurar o Reparar el Servidor (contactar al proveedor)
2 5 8
Reanudar Operaciones
5.1.5.4.1 Propsito
Este plan tiene como principal propsito brindar un conjunto de actividades que le
permitan a la microfinanciera Edyficar realizar la capacitacin y entrenamiento de su
2 5 9
personal frente a diversos eventos que afecten la continuidad del negocio. De esta
forma, se garantizar la rpida recuperacin del negocio y salvaguardar la integridad de
sus colaboradores.
5.1.5.4.2 Alcance
El alcance de este plan es establecer todas las actividades y acciones necesarias para
llevar a cabo el entrenamiento y capacitacin de todo el personal de Edyficar.
Asimismo, establecer los temas que se abordaran, el cronograma y los ambientes de
capacitacin.
5.1.5.4.3 Objetivos
El objetivo del plan de entrenamiento y capacitacin es determinar los lineamientos y
pautas a seguir para realizar el entrenamiento y capacitacin de todo el personal de
Edyficar, entre los principales objetivos se encuentran los siguientes:
5.1.5.4.4 Justificacin
El recurso ms importante para Edyficar es su personal, ya que este es pieza clave para
garantizar la entrega de los productos y servicios al cliente. Por ello, estas personas
deben encontrarse en la capacidad de responder ante cualquier incidente que pudiera
ocurrir y afecte la atencin al cliente. A partir de esto, surge la necesidad de planificar
las actividades necesarias para capacitar y entrenar a todo el personal de la organizacin
frente a los diversos eventos que pudieran surgir, asegurando que estos sepan actuar de
la forma correcta y menos riesgosa.
2 6 0
5.1.5.4.5 Roles, responsabilidades y autoridades
Para la efectividad de las actividades de entrenamiento y capacitacin del personal, se
deben definir roles que garanticen la realizacin de este proceso. Estas son las
siguientes:
Responsable de capacitacin
Asistente de capacitacin
Instructor de capacitacin
2 6 1
- Preparar el material a exponer para la capacitacin.
Adems, este rol debe cumplir con las siguientes habilidades que son claves para
transmitir el tema de capacitacin de forma efectiva al pblico:
- Creatividad e innovacin.
Por ello, se han definido tres categoras de grupos que se pueden identificar. Estos son:
Estas son las que toman ms tiempo planificar, ya que se deben gestionar toda la
logstica necesaria, la disponibilidad del ambiente, la preparacin del material y
coordinar una fecha segn la disponibilidad del personal.
2. Capacitacin Virtual
Este tipo de capacitacin est siendo cada vez ms usadas en una organizacin. En
estas se prepara el material mediante una presentacin de powerpoint, algn video u
otro medio interactivo que pueda ser accedido mediante internet. Al final de estos,
se suele tomar un pequeo test para verificar lo aprendido.
Estas son las ms rpidas de preparar, ya que solo se debe preparar el material, el
test y coordinar con las reas a capacitar la fecha de plazo en la que pueden
completar la capacitacin.
Fase 2 Durante
Fase 3 Despus
2 6 4
2. Capacitacin Virtual
Fase 1 Antes
Fase 2 Durante
Fase 3 Despus
2 6 5
El responsable de la capacitacin debe revisar los informes de resultado de la
capacitacin y tomar las acciones de mejora correspondientes para futuras
capacitaciones.
2 6 6
5.1.5.4.11 Informacin a brindar
Partiendo del resultado de los riesgos y la seleccin de estrategias planteadas, los
tpicos a desarrollar dentro de las diversas capacitaciones en Edyficar son:
1. El Fraude Interno
Este tema se enfoca a actos delictivos realizados por el personal que, gracias a los
permisos que tiene su puesto o con el apoyo de otras personas, realiza la apropiacin
ilcita de bienes de la organizacin perjudicndola tanto econmica como
reputacionalmente. Para ello, el tema de esta capacitacin se enfoca en los siguientes
puntos:
- Qu es el fraude interno?
- Qu es una emergencia?
- Tipos de emergencias
- Sealizacin de Seguridad
- Vas de evacuacin
- Equipos de Emergencia
- Qu es una brigada?
- Primeros auxilios
2 6 7
3. Seguridad Fsica e Integridad del Personal
Este tema se enfoca a dar a conocer los mecanismos que existen para garantizar la
seguridad del personal y las acciones correctas que se deben realizar durante una
situacin de vandalismo, terrorismo, violencia, etc. Para ello, el tema de esta
capacitacin se enfoca en los siguientes puntos:
4. La Gestin de la Crisis
Este tema se enfoca en revisar la funcin del comit de crisis, sus roles y
responsabilidades, el personal asignado, los flujos de comunicacin y la informacin de
contacto.
- Qu es una crisis?
5.1.6 Implementacin
En esta seccin se ha definido un Plan de Implementacin a seguir tener los
lineamientos claros.
5.1.6.1.1 Propsito
El Plan de Implementacin de Edyficar tiene la finalidad de describir el procedimiento
para realizar la implementacin de los planes de recuperacin de los servicios de TI, de
crisis; y, de entrenamiento y capacitacin dentro de la microfinanciera. Tambin, medir
la eficiencia y efectividad con la que estos se ejecutan bajo una serie de pruebas que
simulen situaciones de desastre.
2 6 9
5.1.6.1.2 Alcance
El Plan de Implementacin es desarrollado bajo las siguientes premisas:
5.1.6.1.3 Objetivos
Los objetivos del Plan de Implementacin son los siguientes:
5.1.6.1.4 Justificacin
Este plan surge de la necesidad de realizar la aplicacin de los planes desarrollados que
forman parte del modelo del sistema de gestin de continuidad del negocio en la
microfinanciera Edyficar. Con ellos, se podrn evaluar los procedimientos, actividades,
recursos identificados y estrategias planteadas dentro de cada uno de los planes
obteniendo resultados cuantificables que nos permitan tomar acciones de mejora de
manera continua.
2 7 0
microfinanciera Edyficar. El equipo de implementacin debe contar con los siguientes
roles:
1. Jefe de Implementacin
Principal responsable de llevar a cabo la gestin de la implementacin dentro de la
microfinanciera Edyficar. Sus principales responsabilidades son:
2. Asistente de Implementacin
Persona encargada de realizar el apoyo al Jefe de Implementacin. Sus principales
responsabilidades son:
- Preparar un documento donde se detalle los resultados de las pruebas para Jefe de
Implementacin.
A continuacin, se detallan las personas designadas para cada rol en primera instancia
(P) y sus suplentes (S).
2 7 1
5.1.6.1.6 Fases de Implementacin
Para realizar el proceso de implementacin, es necesario cumplir con las siguientes
fases descritas a continuacin:
1. Pre-Prueba
Antes de realizar las pruebas, se debe de realizar todas las actividades necesarias para
armar el escenario de la prueba. Estas actividades pueden ir desde la ubicacin de las
mesas en el centro de comando hasta la instalacin de los equipos. Estas actividades no
se realizan en el instante de la emergencia, sino que tienen que estar listo para cuando se
presente la emergencia.
2. Prueba
En esta fase, se realizan las pruebas reales a los planes realizados. Se prueba las cargas
de datos, llamadas por telfono, traslado de personal, y llamadas con proveedores. El
equipo designado realiza un examen del personal involucrado mientras se realizan las
tareas. Ello indica el nivel de preparacin de la organizacin para poder responder ante
una emergencia.
3. Post-Prueba
Esta fase consiste en dejar el lugar igual que estaba antes de realizar la prueba, es decir,
devolver todos los recursos a su lugar correcto. Adems, evaluar el plan realizado e
implementar las mejoras observadas.
2 7 2
en el centro de comando. Este mtodo puede resultar eficiente, ya que permite obtener
de forma gradual la evidencia de cun bueno es el plan. Finalmente, tambin permite
mejorar de forma continua los planes establecidos.
- Recuento: El nmero de registros crticos que fueron llevados con xito a la sede de
respaldo frente al nmero requerido y el nmero de consumibles y equipo solicitado
frente al realmente recibido. Tambin puede medirse el nmero de sistemas que se
recuperaron con xito.
2 7 3
de Crisis, Plan de Entrenamiento y Capacitacin) se ha optado realizar una prueba sobre
papel o escritorio.
La razn de realizar este tipo de pruebas, se deben a que Edyficar nunca ha realizado un
prueba integral simulando un evento real debido a la complejidad de sus observaciones
y no est dispuesta a aceptar el riesgo que dicha prueba conlleva. Tambin, definiendo
el alcance con la persona encargada, se realizar una prueba de escritorio para revisar la
integridad del plan y la actualizacin del contenido.
Fase 1 Preparacin
En esta primera fase, se realiza la coordinacin con los principales responsables de las
reas para que comuniquen a sus equipos sobre la fecha de inicio, la duracin y las
actividades que se realizarn durante la implementacin. Tambin, se debe comunicar,
transmitir y entregar los documentos de los planes para que tengan conocimientos de
estos.
Fase 2 Pruebas
En esta segunda fase, se realiza la ejecucin de las actividades de pruebas segn el tipo
escogido. La secuencia definida para la realizacin de las pruebas es la siguiente:
- En primera instancia, se ejecutar las pruebas sobre el plan de crisis que permitir
evaluar la efectividad con la que se realiza la activacin y gestin del comit de
crisis.
2 7 4
- En segunda instancia, luego de la indicacin dada por el comit de crisis, se procede
a realizar la activacin del plan de recuperacin de los servicios de TI.
En esta tercera fase, se realiza la recopilacin de los resultados obtenidos pasos a paso
para evaluar la efectividad que tuvo el plan durante la ejecucin de la prueba. Todo esto
ser detallado dentro de un informe de resultados de la implementacin por cada uno de
los planes. De acuerdo a este informe, se podrn tomar acciones de mejora para los
procedimientos de cada uno de los planes de continuidad del negocio.
En esta ltima fase, se realiza la modificacin del contenido de los planes que
conforman el modelo del sistema de gestin de continuidad del negocio para mejorar la
efectividad de los mismos para la prxima prueba que se vaya a realizar. Esto es
necesario para asegurar la continuidad del sistema de gestin de continuidad del negocio
y estar alineados al ciclo PDCA sobre el cual se basa la ISO 22301.
2 7 5
- Activacin del Comit de Crisis.
Tiempos:
Organizacin:
Roles y Responsabilidades:
- La participacin de nuestro contacto para la revisin del plan de crisis como parte
del miembro de comit de crisis de Edyficar.
- Tener una Libreta con el personal que conforma el Comit de Crisis y personal clave
que darn soporte a las actividades.
2 7 6
- Tener los correos personales de los miembros del comit en caso ocurra la
indisponibilidad del servidor de correo interno.
- Tener los datos de contacto con los principales medios de comunicacin de Lima y
Provincias.
5.1.6.2.2 Objetivo
El presente informe tiene como objetivo verificar y validar la efectividad de los pasos
definidos en el plan de crisis; as como su interaccin con la activacin del plan de
recuperacin de los servicios de TI (DRP) mediante la simulacin de un escenario de
crisis. El objetivo especfico de esta prueba es:
5.1.6.2.3 Alcance
Para la realizacin de la prueba del plan de crisis, se abarcarn los siguientes puntos:
2 7 7
4. Lugar: Oficina Principal de Edyficar San Isidro
EQUIPO DE EJECUCIN
rea / Gerencia Responsable ROL DEL EQUIPO
COMIT DE GESTIN DE CRISIS
Convoca a todos los miembros, a fin de
evaluar el evento de interrupcin y
Gerencia General Adolfo Paz Torres
toma la decisin de activar el Plan de
Recuperacin de los Servicios de TI.
Gerencia de Notificar al Presidente del Comit
Roberto Meja Aparicio
Operaciones sobre la situacin de crisis.
Encargado de coordinado con los
John Barrera Ramrez Medios de Comunicacin la hora de la
Gerencia de
emisin del Comunicado de Prensa.
Negocios
Encargado de transmitir el Comunicado
Martin Estrada Gordillo
de Prensa del incidente.
Gerencia de Manuel Cadenillas
Riesgos Robles
Gerencia de
Gisela Ponce Gonzales Participar de la sesin del comit para
Finanzas
realizar el anlisis del impacto y tomar
Gerencia Legal Oscar Armas Delgado las acciones de recuperacin.
Gerencia de
Carlos Sotelo
Riesgos
Coordinar los procesos de adquisicin
Gerencia de
Carlos Choque Rodriguez de recursos y de contratacin de
Administracin
terceros requeridos para la
2 7 8
recuperacin.
2 7 9
5.1.6.2.8 Consideraciones
Para la realizacin de esta prueba, se tiene las siguientes consideraciones:
5.1.6.2.9 Resultados
El resultado de la prueba dio Satisfactorio. Para revisar ms el detalle de la evaluacin
por criterios, revisar el anexo 12.
Resumen de Actividades
- El sonido del panel de alarmas comenz a sonar a las 11:00 am y se inici con la
evacuacin del personal que se encontraba en las instalaciones de la Oficina
Principal de Edyficar, siendo las 11:15 am el momento en que la ltima persona
sali.
- El rea de Seguridad Fsica fue notificada del incidente y dio la orden al personal
de seguridad para la paralizacin del trnsito.
- A las 11:17 am, Arturo Martnez, jefe de Seguridad Fsica, se comunic de manera
inmediata con Roberto Meja, Gerente de Operaciones, para comunicarle sobre
incidente y los primeros reportes del personal de bomberos, ya que no se encontraba
en la Oficina Principal.
- Roberto Meja comunica al Presidente del Comit, Adolfo Paz, sobre el incidente
ocurrido y los primeros daos reportados por los bomberos usando su correo
personal debido a la indisponibilidad del servicio de correo interno a las 11:22 am.
2 8 0
Se complementa esta notificacin mediante una llamada telefnica a su nmero
celular.
- A las 11:44 am, el Presidente del Comit comunica a los dems miembros del
comit de crisis indicando la situacin del incidente y convocando a una sesin de
urgencia en el centro de comando alterno. Se complementa esta comunicacin
mediante llamadas telefnicas a cada uno de los miembros del comit.
- A las 12:25 pm, se da inicio a la sesin del comit de crisis para evaluar los daos
producidos por el incidente y las medidas que se tomaran al respecto.
- A las 12:50 pm, finaliza la sesin del comit de crisis con las acciones respectivas a
tomar.
- A la 01:00 pm, se realiza la emisin del comunicado de prensa para todos los
medios de comunicacin por parte de Martin Estrada, vocero de Edyficar, quedando
atentos a las dudas y preguntas que tengan.
2 8 1
Cierre
Al dar por emitido el Comunicado de Prensa, se dio por finalizada la prueba del Plan de
Crisis.
5.1.6.2.10 Observaciones
- No se pudo realizar la comunicacin entre los principales miembros del comit de
crisis utilizando el correo interno de Edyficar, por lo que se opt por utilizar los
correos personales para evidenciar la notificacin del incidente y activacin del
comit de crisis. Esto retras 15 minutos la notificacin por parte del Presidente del
Comit hacia los dems miembros debido a que no contaba con sus correos
personales.
- La sesin del comit de crisis inicio 10 minutos tarde, debido a que algunos
miembros tuvieron problemas para llegar al centro de comando alterno debido al
trfico que existe en el distrito de San Isidro.
- La compaa de seguros llegara horas despus al lugar del incidente porque nadie
se lo comunico durante todo el ejercicio.
- Tener definido un mapa de las rutas ms rpidas para llegar al centro de comando
alterno desde las principales oficinas de Edyficar para evitar problemas de retraso
por el trfico.
2 8 2
5.1.6.3 Plan de Recuperacin de Servicios de TI
- Revisar los procedimientos y/o instructivos tcnicos que utiliza el operador de IBM
en el BCP.
Tiempos:
Organizacin:
Roles y Responsabilidades:
2 8 3
- La participacin de nuestro contacto para la revisin del plan de recuperacin de
servicios de TI como verificacin de la efectividad del proceso descrito.
- Tener una carpeta con la informacin de contacto del personal que conforma el
equipo de recuperacin ante desastres de TI.
5.1.6.3.2 Objetivo
El presente informe tiene como objetivo verificar y validar la efectividad de los pasos
definidos en el plan de recuperacin de los servicios de TI; as como su activacin a
partir de la indicacin del comit de dentro de un escenario de crisis. Los objetivos
especficos de esta prueba son:
5.1.6.3.3 Alcance
Para la realizacin de la prueba del plan de recuperacin de los servicios de TI, se
abarcarn los siguientes puntos:
2 8 4
- Notificacin y movilizacin de miembros del equipo de recuperacin de TI.
- Recuperacin de Comunicaciones.
- Recuperacin de equipos.
- Recuperacin de aplicaciones.
- Reanudacin de operaciones.
2 8 5
5.1.6.3.6 Equipo de Ejecucin
En el siguiente cuadro se detalla la lista de participantes para la realizacin de la prueba
del plan de recuperacin de los servicios de TI y sus funciones.
EQUIPO DE EJECUCIN
Cargo Responsable ROL DEL EQUIPO
EQUIPO DE RECUPERACIN ANTE DESASTRES
Jefe de Continuidad Responsable de la coordinacin para la
Luis Soriano Ruiz
del Negocio recuperacin de TI.
Jefe de Produccin Alfredo Miranda Responsable de la coordinacin sobre
de Sistemas Alczar la infraestructura tecnolgica.
Administrador de
Antonio Rivas Responsable de las coordinaciones de
Redes y
Montenegro las conexiones de red.
Comunicaciones
Responsable de restablecer las
Analista de Redes y
Josep Zuloeta Torner conexiones de red, segn lo indique el
Comunicaciones
coordinador.
Analista de Base de Mauricio Rabanal Responsable de brindar soporte tcnico
Datos Moya durante toda la etapa de recuperacin.
PERSONAL DEL BANCO DE CRDITO (BCP)
Responsable del procedimiento de
Diego Manrique
Operador BCP-IBM activacin del Centro de Procesamiento
Caballero
de Datos Alterno.
Fuente: Elaboracin propia
2 8 6
trat de apagar el incendio con los extintores pero fue en vano y procedieron a la
evacuacin. El personal de Centro de Control activ el panel de alarma para iniciar la
evacuacin de los dems pisos y llamaron a los Bomberos para controlar el incendio.
El escenario es el mismo que se us para la prueba del plan de crisis, debido a que desde
la autorizacin del presidente del comit de crisis se procede a realizar la activacin del
CPD Alterno y, tambin, el plan de recuperacin de los servicios de TI.
5.1.6.3.8 Consideraciones
Para la realizacin de esta prueba, se tiene las siguientes consideraciones:
5.1.6.3.9 Resultados
El resultado de la prueba dio Satisfactorio. Para revisar ms el detalle de la evaluacin
por criterios, revisar el anexo 16.
- Se recibe la indicacin de la activacin del CPD Alterno por parte del presidente del
comit de crisis a las 11:44 am.
2 8 7
Resumen de Actividades
- A las 12:05 pm, Luis Soriano, Jefe de Continuidad del Negocio y Coordinador de
Recuperacin de TI, se comunic con el equipo de recuperacin ante desastres de TI
y les indico que se trasladen al Centro de Procesamiento de Datos Alterno.
- A las 12:10 pm, el operador BCP-IBM llega a la Sala de Cmputo para sacar la
laptop y realizar las actividades previas para realizar la activacin del CPD Alterno
segn lo establecido en el procedimiento impreso.
- A las 01:05 pm, se logra levantar la aplicacin TOPAZ sin ningn problema por el
momento.
- A las 01:10 pm, el Gerente Regional enva un comunicado a los gerentes de las
agencias participantes para informarles del restablecimiento del sistema TOPAZ y
que efecten algunas operaciones y validen el correcto funcionamiento del CPD
alterno.
- A las 01:20 pm, las agencias que lograron conectarse y realizar las operaciones de
revisin de registro de cobros. La revisin de prstamos desembolsados sin
problemas fueron:
2 8 8
- Desde la 01:30 pm, el personal de operaciones centrales realiza el monitoreo de las
actividades del personal en las agencias.
- A las 01:40 pm, el personal de operaciones de la agencia Santa Anita informa los
problemas al ejecutar la operacin de reporte de saldos de la bveda en el aplicativo
TOPAZ (Ver anexo 3).
- A las 02:00 pm, personal de la agencia Santa Anita vuelve a ejecutar la operacin y
reporta que el problema fue resulto.
Cierre
5.1.6.3.10 Observaciones
- El operador BCP-IBM no contaba con los nmeros telefnicos del personal del
equipo de recuperacin antes desastres de TI para comunicarse con ellos en caso de
algn incidente durante la activacin del Centro de Procesamiento de Datos Alterno.
- El detalle del procedimiento y/o instructivo tcnico que tena el operador BCP-IBM,
Diego Manrique, no haba sido actualizado y segua con la primera versin por lo
que la eficiencia de su ejecucin no fuera la ms adecuada.
2 8 9
5.1.6.3.11 Oportunidades de Mejora
- Realizar revisiones mensuales de los procedimientos y/o instructivos tcnicos que se
manejan en el Centro de Procesamiento de Datos Alterno para mantenerlos siempre
actualizados.
- Contar con una carpeta que contengan los telfonos de contacto del personal del
rea de sistemas de Edyficar para cualquier inconveniente que surja. Esta
informacin tambin debe actualizarse de manera mensual.
- Realizar la difusin del material y el enlace web del test a llenar mediante un
contacto en Edyficar.
2 9 0
Como resultado final de las capacitaciones virtuales se obtuvieron los siguientes
resultados:
- Ms del 60% del personal respondi todo el test de evaluacin correctamente y las
dems personas fallaron a lo mucho en una pregunta.
- Se decidi por capacitar en dos de los cuatro temas identificados debido a la poca
disponibilidad de tiempo que tienen en este mes.
- Realizar capacitaciones adicionales que permitan ver a ms detalle cada uno de los
puntos descritos en esta oportunidad.
Brindar ms ejemplos sobre los puntos a tocar, para que no sea muy terico y que las
personas lo recuerden ms rpido.
5.1.6.4.2 Objetivo
El presente informe tiene como objetivo verificar y validar la efectividad de la
capacitacin virtual brindada al personal de Edyficar. Los objetivos especficos son:
- Analizar los resultados de la capacitacin y las opiniones dadas por los capacitados.
2 9 1
5.1.6.4.3 Alcance
Para la realizacin de la capacitacin virtual, se abarcan los siguientes puntos:
Periodo de Capacitacin
Pblico objetivo
5.1.6.4.5 Consideraciones
Para la realizacin de la capacitacin virtual, se tienen las siguientes consideraciones:
- Se seleccion a tres personas del pblico a capacitar para que completen las
evaluaciones.
2 9 2
5.1.6.4.6 Descripcin de Actividades
Con respecto a la preparacin del material, se elabor una presentacin para los dos
temas seleccionados:
- Fraude Interno
- Gestin de Crisis
Por un lado, el tema de fraude interno fue preparado mediante diversas fuentes
encontradas en internet. Por otro lado, el tema de gestin de crisis fue preparado
partiendo de las actividades planteadas en el plan de crisis.
Capacitacion - Capacitacion -
Fraude Interno.pdf Gestion de Crisis.pd
Una vez finalizado de preparar el material para cada uno de los temas a capacitar, se
procede a realizar la elaboracin del test que nos ayudara a evaluar los conocimientos
adquiridos por el personal capacitado. Este test incluye al final una pequea encuesta de
satisfaccin que consta de tres preguntas que busca saber:
Debido a que la capacitacin se realiz de manera virtual, se opt por usar Formularios
de Google para elaborar, distribuir y recopilar las respuestas del test de evaluacin de
una manera ms rpida y precisa.
2 9 3
Los test para cada uno de los temas a capacitar se encuentran en los siguientes archivos:
Encuesta de
Satisfaccin - Edyfica
5.1.6.4.7 Resultados
Fraude Interno
2 9 4
Ilustracin 38 - Grfico de los resultados del test de evaluacin sobre fraude interno en
Edyficar
33.33%
66.67%
Donde dos de las tres personas respondieron el test completo de forma correcta y una
persona se equivoc en una pregunta. Con este resultado, podemos concluir que la
capacitacin tuvo el impacto deseado logrando que las personas aprendan y/o refuercen
sus conocimientos sobre el fraude interno.
Con estos resultados, podemos decir que, en trmino generales, tanto el material como
el test tuvieron muy buen contenido y las preguntas correctamente formuladas. Adems,
recibimos sus comentarios y sugerencias que se muestran a continuacin:
2 9 6
Ilustracin 42 - Grfico de los resultados del test de evaluacin sobre gestin de crisis
100%
Donde las tres personas respondieron el test completo de forma correcta. Con este
resultado, podemos concluir que la capacitacin tuvo el impacto deseado logrando
reforzar los conocimientos sobre las funciones del comit de crisis y sus actividades.
2 9 7
Ilustracin 44 - Resultados de la calificacin sobre el test de evaluacin de gestin de
crisis
Con estos resultados, podemos decir que, en trmino generales, tanto el material como
el test tuvieron muy buen contenido y las preguntas correctamente formuladas. Adems,
recibimos sus comentarios y sugerencias que se muestran a continuacin:
Para mayor detalle de los resultados del test de evaluacin revisar el anexo 2.
- Realizar capacitaciones adicionales que permitan ver a ms detalle cada uno de los
puntos descritos en esta oportunidad.
Brindar ms ejemplos sobre los puntos a tocar, para que no sea muy terico y que las
personas lo recuerden ms rpido.
2 9 8
5.1.7 Plan de Continuidad Post Implementacin
5.1.7.1 Propsito
Este parte tiene como propsito principal mostrar la aplicacin de los mecanismos para
la revisin, evaluacin y mejora continua del sistema de gestin de continuidad del
negocio de la Financiera Edyficar.
5.1.7.2 Alcance
El alcance es describir los procedimientos para la autoevaluacin del sistema de gestin
de continuidad del negocio de Financiera Edyficar. Con esto, se evidenciar el efecto de
la implementacin mediante la comparacin del estado inicial y el final. Tambin,
ayuda a establecer el punto objetivo siguiente a donde la microfinanciera desea llevar su
sistema de gestin de continuidad del negocio.
5.1.7.3 Objetivos
El objetivo de este documento es brindar los lineamientos y pautas a seguir por la
organizacin para realizar la autoevaluacin de su sistema de gestin de continuidad del
negocio. Esto implica:
- Describir las actividades para realizar el anlisis GAP de la ISO/IEC 22301 luego de
la implementacin del SGCN.
- Definir las acciones de mejora para lograr el estado objetivo del sistema de gestin
de continuidad del negocio definido por la organizacin.
5.1.7.4 Justificacin
Debido a que la ISO 22301 se basa en el ciclo Plan-Do-Check-Act (PDCA), se necesita
realizar una evaluacin del sistema de gestin de continuidad del negocio para
identificar puntos de mejora y plantear acciones que le permitan a la Financiera
cumplirlos. De esta forma, se lograr cerrar el ciclo PDCA con la mejora continua.
2 9 9
5.1.7.5 Mantenimiento del SGCN
La revisin de la documentacin que conforma el sistema de gestin de continuidad del
negocio debe ocurrir en intervalos planeados, o despus de cualquier cambio
significativo en los procesos del negocio. Estos cambios son resultantes de
actualizaciones, migraciones, implantacin de nuevos productos, nuevas demandas,
entre otros cambios informados por unidades del negocio para que el impacto apurado
para cada proceso sea apropiado a la realidad de los negocios.
3 0 1
Cumple No
Seccin de la ISO 22301:2012 Cumple
parcialmente cumple
Se han establecido objetivos medibles de
continuidad del negocio, los cuales han sido
establecidos, documentados y comunicados a
travs de la organizacin?
Es el logro de estos objetivos evaluados tanto
por la auditora interna y la revisin por la
direccin?
7.1 Recursos y Competencias del SGCN
Son las funciones dentro de la SGCN definidas
con claridad?
El SGCN est adecuadamente equipado?
Existe un proceso definido y documentado para
determinar las competencias para los roles del
SGCN?
Los roles definidos son competentes y
documentados apropiadamente?
7.2 Conciencia y Comunicacin
Est toda la organizacin consciente de la
importancia de la poltica de continuidad del
negocio?
Se ha llevado a cabo un anlisis de las
necesidades de comunicacin para el SGCN?
Se han confirmado los procedimientos para
comunicar los incidentes? Estn regularmente a
prueba con resultados registrados?
Se ha creado la documentacin apropiada para
demostrar la eficacia de los SGCN?
8.1 Planificacin y control operacional
Se ha implementado un programa para
garantizar los resultados del SGCN?
Ha habido un anlisis de las amenazas a los
procesos externos y su impacto en el logro de
SGCN y tiempo de recuperacin objetivo?
8.2 Anlisis de Impacto en el Negocio
Existe un proceso formal y documentado para
la comprensin de la organizacin a travs de un
BIA?
Existe un proceso formal para la determinacin
de los objetivos de continuidad basado en
comprender el impacto de los incidentes?
Permite la priorizacin de marcos de tiempo del
BIA para la reanudacin de cada actividad
(Tiempo de recuperacin Objetivos)?
Se han identificado los niveles mnimos
aceptables para la reanudacin de procesos?
3 0 2
Cumple No
Seccin de la ISO 22301:2012 Cumple
parcialmente cumple
8.2.3 Evaluacin y tratamiento de riesgos
Hay un proceso de evaluacin de riesgos formal
para analizar el riesgo de incidentes
perturbadores?
Este mtodo de evaluacin de riesgos ayuda a
identificar un tratamiento de riesgos adecuado a
los objetivos de continuidad?
Hay evidencia de dar prioridad a los
tratamientos de riesgo con los costos
identificados?
8.3 Estrategias de Continuidad del Negocio
La estrategia de continuidad del negocio nace
de los resultados del BIA y evaluacin de
riesgos?
La estrategia de continuidad del negocio ayuda
a proteger las actividades priorizadas y
proporciona una adecuada continuidad y
recuperacin de sus dependencias y recursos?
La estrategia de continuidad del negocio ayuda
a la mitigacin, respuesta y gestin impactos?
Se han evaluado las capacidades de los
proveedores de continuidad del negocio?
La organizacin cuenta con los recursos
necesarios para soportar las estrategias de
continuidad seleccionadas?
Las estrategias estn definidas de acuerdo al
apetito de riesgo de la organizacin?
8.4 Establecer y aplicar procedimientos de continuidad del negocio
Se han establecido procedimientos de
continuidad del negocio para el manejo de
incidentes, y en base a los objetivos de
recuperacin identificados en el BIA?
Estn documentados los procedimientos de
continuidad de negocio?
Se han establecido protocolos de comunicacin
internos y externos como parte de estos
procedimientos?
8.4.2 Estructura de Respuesta a Incidentes (IRS)
Existe una estructura de gestin para responder
ante un incidente?
La estructura de respuesta a incidentes cuenta
con la evaluacin, activacin, provisin de
recursos y comunicacin?
Las personas en la estructura de respuesta ante
incidentes tienen la competencia necesaria para
realizar sus deberes?
3 0 3
Cumple No
Seccin de la ISO 22301:2012 Cumple
parcialmente cumple
8.4.3 Comunicaciones de incidentes y advertencias
Existe un procedimiento para la deteccin y
seguimiento de incidentes?
Existe un procedimiento para la gestin de la
comunicacin interna y externa las
comunicaciones de las partes interesadas durante
un incidente?
Existe un procedimiento para recibir y
responder a las advertencias de agencias?
Existe una estructura para comunicarse con el
personal de emergencia y otras autoridades
durante un incidente?
Existe un procedimiento para el registro de
informacin vital sobre el incidente, las medidas
adoptadas y las decisiones tomadas?
Existe un procedimiento para la emisin de
alertas y advertencias en su caso?
Son los sistemas de comunicacin y de
advertencia de la organizacin regularmente
ejercidos, y mantienen registros de los
resultados?
8.4.4 Respuesta de continuidad de negocio y planes de recuperacin
Hay planes / procedimientos documentados
para la restauracin de negocio operaciones
despus de un incidente?
Reflejan estos planes a las necesidades de los
que van a utilizarlos?
Los planes definen las funciones y
responsabilidades?
Los planes definen un proceso para la
activacin de la respuesta?
Los planes definen cmo comunicarse con los
diferentes interesados durante la interrupcin?
Los planes contienen detalles sobre cmo sern
los procesos priorizadas?
Hay una respuesta de los medios planeado un
incidente?
Los planes incluyen un procedimiento restaurar
las operaciones?
Tiene cada plan la informacin esencial para
utilizarla de manera eficaz?
8.5 Ejercicio y pruebas
Se han probado los procedimientos de
continuidad de negocio para garantizar que son
consistente con sus objetivos de continuidad del
negocio?
3 0 4
Cumple No
Seccin de la ISO 22301:2012 Cumple
parcialmente cumple
La alta direccin participa de las pruebas y del
ejercicio del SGCN?
Son los ejercicios de prueba claramente
definidos, de acuerdo con el alcance del SGCN y
en base a escenarios?
Las pruebas realizadas han cumplido los
tiempos establecidos?
Los ejercicios de prueba son diseados para
minimizar el riesgo de interrupcin a las
operaciones?
Han informes oficiales despus de las pruebas
realizadas?
Los resultados de los ejercicios son revisados
para asegurar la mejora continua?
Los ejercicios de prueba son llevadas a cabo en
tiempos planificados?
9.1 Seguimiento, medicin y evaluacin
Se ha determinado como y cuando debe de ser
monitoreado el SGCN?
Se ha evaluado el rendimiento y la eficacia de
los SGCN y documentado?
Existe un procedimiento documentado y
apropiado para monitorear el SGCN?
Se llevan a cabo revisiones, tanto de forma
peridica y acerca de los cambios significativos
a producirse, para asegurar que la capacidad de
la continuidad del negocio es eficaz y
compatible?
Las revisiones despus de un incidente son
documentadas?
9.2 Auditora interna
Estn las auditoras internas llevadas a cabo
peridicamente para comprobar que el SGCN es
eficaz y cumple con las normas ISO 22301?
Est la auditora realizada con un mtodo
apropiado, programa de auditora, y en base a los
resultados de las evaluaciones de riesgos y
auditoras anteriores?
Estn las acciones correctivas implementadas y
verificadas?
9.3 Revisin de gestin
Existe un foro de la alta direccin para realizar
un examen peridico del SGCN?
Las revisiones por la direccin SGCN
identifican cambios y mejoras?
3 0 5
Cumple No
Seccin de la ISO 22301:2012 Cumple
parcialmente cumple
Son los resultados de la revisin por la
direccin documentados, y comunicados a las
partes interesadas?
10 La accin correctiva y la mejora continua
Se han identificado acciones correctivas para
las no conformidades y se han implementado en
el SGCN?
Las revisiones resultan en una mejora de los
SGCN?
Fuente: Adaptacin de British Standards Institute
Tabla 94 - Resultados del GAP Anlisis en funcin del nmero de preguntas del
cuestionario
Cumple
Cumple No Cumple Total
Parcialmente
Seccin 4 9 0 0 9
Seccin 5 4 1 0 5
Seccin 6 0 3 1 4
Seccin 7 6 2 0 8
Seccin 8 40 5 0 45
Seccin 9 7 3 1 11
Seccin 10 2 0 0 2
Fuente: Elaboracin Propia
Tabla 95 - Resultados del GAP Anlisis en funcin del nmero de preguntas del
cuestionario (en porcentajes)
No
Cumple Cumple Parcialmente Total
Cumple
Seccin 4 100% 0% 0% 100%
Seccin 5 80% 20% 0% 100%
Seccin 6 0% 75% 25% 100%
Seccin 7 75% 25% 0% 100%
Seccin 8 89% 11% 0% 100%
Seccin 9 64% 27% 9% 100%
Seccin 10 100% 0% 0% 100%
Fuente: Adaptacin de British Standards Institute
3 0 6
De los dos cuadros anteriores, se puede observar que, luego de la implementacin, la
Financiera Edyficar cumple totalmente en promedio el 81%, cumple parcialmente el
17% y no cumple el 2% con las secciones de la ISO 22301. Adems, la microfinanciera
cumple en mayor parte con las secciones 4 (100%) ,10 (100%), 8(89%) y 5 (80%).
El cuadro anterior muestra el porcentaje que mejor por cada seccin de la ISO 22301.
Las secciones donde se obtuvo un mejor nivel de mejora son las siguientes: seccin 7
(38%), seccin 9 (36%) y la seccin 8 (22%).
17%
81%
- Iniciar una nueva evaluacin de la ISO 22301:2012 para confirmar los niveles de
cumplimiento alcanzados en el ao anterior.
3 0 8
- La organizacin aplique los planes de accin propuestos en este apartado, con un
monitoreo cada tres o cuatro meses.
Planes de accin
Situacin de mejora 1:
1. Actividad:
Las polticas deben de encontrarse disponibles para los empleados y todas las
partes interesadas
2. Plan de Accin:
En la intranet subir los documentos donde se encuentren las polticas de
continuidad del negocio.
3. Indicador
Tabla 97 Indicador de la situacin de mejora 1 de Financiera Edyficar
Porcentaje de conocimiento del lugar de las polticas de
Nombre
continuidad
El objetivo del indicador es medir el porcentaje de personas que
Descripcin
conocen donde se guardan las polticas de continuidad del negocio
Formula
Frecuencia Semestral
Resultado >=75% <75 y >=50% <50%
Analizar porque las
Objetivo Identificar acciones personas no tienen
Comentario
cumplido de mejora conocimientos de las
polticas de continuidad
Fuente: Elaboracin propia
3 0 9
Situacin de mejora 2:
1. Actividad:
Se debe realizar un anlisis de amenazas y oportunidades que pueden impactar
en la implementacin del SGCN
2. Plan de Accin:
- El analista de riesgo operacional debe de identificar las situaciones de riesgo
basndose en los antecedentes ocurridos durante aos anteriores.
3. Indicador:
Tabla 98 Indicador 1 de la situacin de mejora 2 de Financiera Edyficar
Nombre Porcentaje de amenazas materializadas
El objetivo del indicador es medir la efectividad de la identificacin
Descripcin
de amenazas.
Formula
Frecuencia Anual
Resultado <50% <75 y >=50% <75%
Analizar por qu no se han
Objetivo Identificar acciones
Comentario identificado todas las
cumplido de mejora
amenazas
Fuente: Elaboracin propia
3 1 0
Situacin de mejora 3:
1. Actividad:
Se debe de crear y desarrollar un plan para administrar los riesgos y
oportunidades de la implementacin del SGCN
2. Plan de Accin:
- En base al anlisis FODA, crear el plan denominado "Administracin de
riesgos y oportunidades del SGCN".
- Incluir dentro del plan, los riesgos y los controles asociados; y, las
oportunidades de implementar el SGCN.
3. Indicador:
Tabla 100 Indicador de la situacin de mejora 3 de Financiera Edyficar
Nombre Porcentaje de riesgos no materializados
El objetivo del indicador es medir el porcentaje de riesgos
Descripcin
identificados que no se han materializado
Formula
Frecuencia Anual
Resultado >=75% <75 y >=50% <50%
Situacin de mejora 4:
1. Actividad:
El logro de los objetivos de continuidad es evaluado tanto por la auditora
interna y la revisin por la direccin
2. Plan de Accin:
- Documentar formalmente los objetivos de continuidad del negocio por el
rea de riesgos.
3. Indicador
Tabla 101 Indicador de la situacin de mejora 4 de Financiera Edyficar
Nombre Cantidad de reuniones realizadas
El objetivo del indicador es medir el nmero de reuniones para la
Descripcin
revisin de los objetivos de continuidad
Formula
Frecuencia Anual
Resultado 2 1 0
Situacin de mejora 5:
1. Actividad:
La organizacin debe de ser consciente de la importancia de la poltica de
continuidad del negocio.
2. Plan de Accin:
- Realizar capacitaciones acerca de la poltica de continuidad del negocio.
3. Indicador
Tabla 102 Indicador de la situacin de mejora 5 de Financiera Edyficar
Porcentaje de personas con conocimientos de las polticas de continuidad
Nombre
del negocio
El objetivo del indicador es medir el porcentaje de personas que tienen
Descripcin
conocimientos de las polticas de continuidad de negocio
Formula
Frecuencia Semestral
Resultado >=75% >=75% >=75%
Objetivo
Comentario Objetivo cumplido Objetivo cumplido
cumplido
Fuente: Elaboracin propia
3 1 2
Situacin de mejora 6:
1. Actividad:
Evaluar las capacidades de los proveedores con respecto a la continuidad del
negocio
2. Plan de Accin:
- Verificar los SLAs con el proveedor Level 3, Claro y Telefnica.
3. Indicador
Tabla 103 Indicador de la situacin de mejora 6 de Financiera Edyficar
Nombre Porcentaje de SLAs cumplidos
El objetivo del indicador es medir la capacidad de los proveedores
Descripcin para asegurar la continuidad del servicio en la Edpyme.
El indicador debe de realizarse por proveedor
Formula
Frecuencia Trimestral
Resultado >=75% <75 y >=50% <50%
Analizar porque no se ha
Objetivo Identificar acciones
Comentario concientizado en
cumplido de mejora
continuidad del negocio.
Fuente: Elaboracin propia
Situacin de mejora 7:
1. Actividad:
Las auditoras internas deben de llevarse a cabo peridicamente para comprobar
que el SGCN es eficaz y cumple con las normas ISO 22301
2. Plan de Accin:
- Realizar semestralmente auditoras al SGCN siguiendo el anlisis de brechas
realizado.
3. Indicador
Tabla 104 Indicador de la situacin de mejora 7 de Financiera Edyficar
Nombre Cantidad de informes de auditora al SGCN
El objetivo del indicador es medir la cantidad de informes de
Descripcin
auditora al SGCN realizados en el ao
Formula
Frecuencia Anual
Resultado 2 1 0
Situacin de mejora 8:
1. Actividad:
Los resultados de la revisin realizada por la direccin deben de ser
documentados y comunicados a las partes interesadas
2. Plan de accin
La Financiera debe de documentar los resultados de la revisin al SGCN
mediante el siguiente formato:
Fecha Versin
Preparado por
Historial de Revisiones
Versin Fecha Autor Descripcin
Aprobado por
3 1 4
Situacin Situacin Fecha
N Fecha Elaborador Estado
identificada deseada implementacin
Indicador:
Tabla 106 Indicador de la situacin de mejora 8 de Financiera Edyficar
Nombre Porcentaje de revisiones comunicadas
El objetivo del indicador es medir la cantidad de revisiones que
Descripcin
han logrado ser comunicadas a las partes interesadas
Formula
Frecuencia Semestral
Resultado >=75% <75 y >=50% <50%
Analizar porque las
Objetivo Identificar
Comentario revisiones no han sido
cumplido acciones de mejora
comunicadas
Fuente: Elaboracin propia
3 1 5
Cumple No
Seccin de la Circular G-139-2009 Cumple
parcialmente cumple
8.1 Entendimiento de la Organizacin
La empresa conoce sus objetivos y
metas?
La empresa identifica sus principales
procesos, productos, servicios y
proveedores?
La empresa conoce las actividades y
recursos requeridos para la continuidad
del negocio?
8.1.a Anlisis de Impacto en el Negocio
La organizacin puede determinar el
impacto de una interrupcin en sus
procesos que soportan sus principales
productos y servicios?
La organizacin ha considerado los
daos a la viabilidad financiera?
La organizacin ha considerado los
daos a la reputacin
La organizacin ha considerado los
incumplimientos regulatorios?
La organizacin ha considerado los
daos al personal y pblico en general?
La organizacin ha establecido un
periodo mximo tolerable?
8.1.b Evaluacin de Riesgos
La organizacin ha identificado los
riesgos que pueden causar la
interrupcin del negocio?
Las opciones de tratamiento de riesgos
han sido identificadas y evaluadas?
La organizacin ha utilizado una
metodologa consistente?
8.2 Estrategias de Continuidad del Negocio
Las estrategias han sido realizadas
considerando los resultados del anlisis
de impacto en el negocio y de la
evaluacin de riesgos?
Las estrategias de continuidad
permiten mantener las actividades y
procesos de negocio?
8.2.a Evaluacin y seleccin de estrategias de continuidad
Las estrategias se encuentran dentro
del tiempo objetivo de recuperacin?
Las estrategias seleccionadas incluyen
aspectos de seguridad del personal?
3 1 6
Cumple No
Seccin de la Circular G-139-2009 Cumple
parcialmente cumple
Las estrategias de continuidad
incluyen habilidades y conocimientos
asociados al proceso?
Las estrategias de continuidad
incluyen instalaciones alternas de
trabajo?
Las estrategias de continuidad
incluyen una infraestructura alterna de
TI que soporte los procesos?
Las estrategias de continuidad
incluyen aspectos de seguridad de
informacin?
Las estrategias de continuidad
incluyen el equipamiento necesario?
8.3 Desarrollo e implementacin de la estrategia de continuidad
Se han desarrollado planes de
respuesta?
8.3.a Plan de Gestin de Crisis
El plan de gestin de crisis incluye el
propsito y alcance?
El plan de gestin de crisis incluye los
roles y responsabilidades?
El plan de gestin de crisis incluye los
criterios de invocacin y activacin?
El plan de gestin de crisis incluye al
responsable de actualizacin?
El plan de gestin de crisis incluye las
acciones a tomar?
El plan de gestin de crisis incluye las
comunicaciones con el personal,
familiares y contactos de emergencia?
El plan de gestin de crisis incluye la
interaccin con los medios de
comunicacin?
El plan de gestin de crisis incluye la
comunicacin con los grupos de
inters?
El plan de gestin de crisis incluye el
centro de comando?
Planes de Continuidad del Negocio (Plan de Emergencia , Plan de
8.3.b
Recuperacin de los servicios de Tecnologa de Informacin)
Los planes de continuidad del negocio
incluyen el propsito y alcance?
Los planes de continuidad del negocio
incluyen roles y responsabilidades?
3 1 7
Cumple No
Seccin de la Circular G-139-2009 Cumple
parcialmente cumple
Los planes de continuidad del negocio
incluyen los criterios de activacin?
Los planes de continuidad del negocio
incluyen los responsables de su
actualizacin?
Los planes de continuidad del negocio
permiten reanudar los procesos de
acuerdo a las estrategias?
Los planes de continuidad del negocio
incluyen los recursos necesarios?
Los planes de continuidad del negocio
incluyen informacin vital y donde
encontrarla?
8.4 Pruebas y actualizacin
Los planes de continuidad del negocio
son probados una vez al ao?
8.4.a Ejecucin de pruebas
El alcance de las pruebas es de acuerdo
a los planes de continuidad del negocio?
Las pruebas tienen objetivos
definidos?
Los reportes de las pruebas resumen
los resultados alcanzados?
Los reportes de las pruebas incluyen
las recomendaciones?
Los resultados de las pruebas son
tomadas en cuenta para mejorar los
planes de continuidad?
Los proveedores de servicios cuentan
con planes de continuidad?
8.4.b Actualizacin de planes
Se han establecido polticas y
procedimientos para la actualizacin de
los planes?
8.5 Integrar la gestin de la continuidad del negocio a la cultura organizacional
8.5.a Evaluacin del grado de conocimiento sobre la gestin de continuidad
La organizacin ha determinado el
nivel de conocimiento actual sobre
continuidad de negocio de los
empleados?
Se han diseado planes de capacitacin
y entrenamiento?
Se ha revisado peridicamente el nivel
de entendimiento de la gestin de
continuidad del negocio?
Fuente: Elaboracin propia
3 1 8
Luego de completar el cuestionario de preguntas, se obtuvieron los siguientes resultados
con respecto al cumplimiento de cada seccin correspondiente de la Circular G-139-
2009 mostrados en los siguientes cuadros:
Tabla 108 - Resultados del GAP Anlisis en funcin del nmero de preguntas del
cuestionario
Cumple Cumple Parcialmente No Cumple Total
Seccin 8.1 12 0 0 12
Seccin 8.2 9 0 0 9
Seccin 8.3 17 0 0 17
Seccin 8.4 8 0 0 8
Seccin 8.5 3 0 0 3
Fuente: Elaboracin Propia
Tabla 109 - Resultados del GAP Anlisis en funcin del nmero de preguntas del
cuestionario (en porcentajes)
Cumple Cumple Parcialmente No Cumple Total
Seccin 8.1 100% 0% 0% 100%
Seccin 8.2 100% 0% 0% 100%
Seccin 8.3 100% 0% 0% 100%
Seccin 8.4 100% 0% 0% 100%
Seccin 8.5 100% 0% 0% 100%
Fuente: Elaboracin Propia
3 1 9
El cuadro anterior muestra el porcentaje que mejor por cada seccin de la Circular G-
139-2009. Las secciones donde se obtuvo un mejor nivel de mejora son las siguientes:
seccin 8.5 (100%), seccin 8.2 (77.78%) y la seccin 8.1 (58.33%).
3. Cronograma de Pruebas
Para poder medir la efectividad de los planes de continuidad de negocio en la
Financiera Edyficar, se ha definido los siguientes escenarios de contingencia, para
los cuales ha desarrollo las pruebas respectivas. Los escenarios se han definido para
complementar a las pruebas realizadas durante la implementacin.
4. Calendario de Capacitaciones
De acuerdo a los resultados obtenidos durante las capacitaciones virtuales, se ha
propuesto un calendario de futuras capacitaciones para cubrir aquellos temas que no
se han podido realizar en la etapa inicial del proyecto. Los temas a reforzar son:
3 2 0
Nombre del Da de Tipo de Pblico
Tiempo Horario Responsable
Curso Capacitacin Capacitacin Objetivo
12:00 am Huamn Crisis,
Responsables
de Gerencias
Fuente: Elaboracin propia
En base a los resultados de las capacitaciones, realizar las lecciones aprendidas y
considerar temas relacionados que necesitan refuerzo.
(Antes) 0.6963
(Despus) 0.9603
3 2 1
alienado ms de las tres cuartas partes de lo que exige la normativa internacional
ISO/IEC 22301.
Edpyme GMG Servicios Per S.A., es una empresa organizada de acuerdo con la Ley
General del Sistema Financiero y del Sistemas de Seguros y Orgnica de la
Superintendencia de Banca y Seguros (Nr. 26702). Obtuvo de la SBS su licencia de
funcionamiento el 04 de junio del 2014 (Resolucin SBS Nr. 3413-2014), lo que le ha
permitido iniciar sus operaciones en el Per, financiando exclusivamente las compras
de sus clientes en las tiendas de "El Gallo ms Gallo".
Edpyme GMG Servicios Per S.A. es parte del Grupo Monge de Costa Rica quin a
travs de sus tiendas comerciales "El Gallo ms Gallo" (entre otras marcas), se dedica a
la venta minorista de artefactos electrodomsticos y muebles en seis pases (Costa Rica,
Honduras, Guatemala, Nicaragua, El Salvador y Per).
3 2 2
Tabla 115 - Resultado de GAP Analysis pre-implementacin de la ISO/IEC 22301 en
Edpyme GMG Servicios Per
Cumple No
Seccin de la ISO 22301:2012 Cumple
parcialmente cumple
Seccin 4
4.1 La Organizacin y su contexto
Se han definido las causas que impulsarn
el SGCN?
Tiene el ambiente dentro del cual el SGCN
operar (interno y externo), y los resultados
que se esperan del sistema, ha identificado?
Tiene un mtodo y de la evaluacin de
riesgos adecuada y repetible niveles
aceptables de riesgo sido definidos y
documentados?
4.2 Necesidades y expectativas de las partes interesadas
Es el alcance del SGCN claro y
documentado?
Existe un procedimiento para identificar,
tomar en cuenta, documentar y mantener
informacin sobre los requisitos legales y
reglamentarios aplicables para el SGCN?
Se han comunicado estos requisitos legales,
reglamentarios y otros a los empleados
afectados y las partes interesadas
identificadas?
4.3 Alcance del SGCN
El alcance del SGCN est claro y
documentado?
Las opciones de tratamiento de riesgos han
sido identificadas y evaluadas?
Seccin 5
5.1 Compromiso y gestin de liderazgo
El compromiso de liderazgo de la
organizacin para la continuidad del negocio
es visible?
Existe una poltica, programa y roles para
evidenciar el compromiso de la alta
direccin con el SGCN?
La alta gerencia est siendo correctamente
involucrada en la implementacin del SGCN
y revisado a travs de una reunin formal?
5.3 Polticas de Continuidad del Negocio
Existe una poltica de continuidad del
negocio que sea apropiada, mantenida,
comunicada y documentada?
3 2 3
Cumple No
Seccin de la ISO 22301:2012 Cumple
parcialmente cumple
La poltica se encuentra disponible para los
empleados y todas las partes interesadas?
Seccin 6
6.1 Riesgos y oportunidades de la implementacin del SGCN
Se tiene un anlisis de amenazas y
oportunidades que pueden impactar en la
implementacin del SGCN?
Existe un plan para administrar los riesgos y
oportunidades de la implementacin del
SGCN? Ha sido desarrollado?
6.2 Objetivos de Continuidad del Negocio
Se han establecido objetivos medibles de
continuidad del negocio, los cuales han sido
establecidos, documentados y comunicados a
travs de la organizacin?
Es el logro de estos objetivos evaluados
tanto por la auditora interna y la revisin por
la direccin?
Seccin 7
7.1 Recursos y Competencias del SGCN
Son las funciones dentro de la SGCN
definidas con claridad?
El SGCN est adecuadamente equipado?
Existe un proceso definido y documentado
para determinar las competencias para los
roles del SGCN?
Los roles definidos son competentes y
documentados apropiadamente?
7.2 Conciencia y Comunicacin
Est toda la organizacin consciente de la
importancia de la poltica de continuidad del
negocio?
Se ha llevado a cabo un anlisis de las
necesidades de comunicacin para el SGCN?
Se han confirmado los procedimientos para
comunicar los incidentes? Estn
regularmente a prueba con resultados
registrados?
Se ha creado la documentacin apropiada
para demostrar la eficacia de los SGCN?
Seccin 8
8.1 Planificacin y control operacional
Se ha implementado un programa para
garantizar los resultados del SGCN?
8.2 Anlisis de Impacto en el Negocio
3 2 4
Cumple No
Seccin de la ISO 22301:2012 Cumple
parcialmente cumple
Existe un proceso formal y documentado
para la comprensin de la organizacin a
travs de un BIA?
Existe un proceso formal para la
determinacin de los objetivos de
continuidad basado en comprender el
impacto de los incidentes?
Permite la priorizacin de marcos de tiempo
del BIA para la reanudacin de cada
actividad (Tiempo de recuperacin
Objetivos)?
Se han identificado los niveles mnimos
aceptables para la reanudacin de procesos?
8.2.3 Evaluacin y tratamiento de riesgos
Hay un proceso de evaluacin de riesgos
formal para analizar el riesgo de incidentes
perturbadores?
Este mtodo de evaluacin de riesgos ayuda
a identificar un tratamiento de riesgos
adecuado a los objetivos de continuidad?
Hay evidencia de dar prioridad a los
tratamientos de riesgo con los costos
identificados?
8.3 Estrategias de Continuidad del Negocio
La estrategia de continuidad del negocio
nace de los resultados del BIA y evaluacin
de riesgos?
La estrategia de continuidad del negocio
ayuda a proteger las actividades priorizadas
y proporciona una adecuada continuidad y
recuperacin de sus dependencias y
recursos?
La estrategia de continuidad del negocio
ayuda a la mitigacin, respuesta y gestin
impactos?
Se han evaluado las capacidades de los
proveedores de continuidad del negocio?
La organizacin cuenta con los recursos
necesarios para soportar las estrategias de
continuidad seleccionadas?
Las estrategias estn definidas de acuerdo al
apetito de riesgo de la organizacin?
8.4 Establecer y aplicar procedimientos de continuidad del negocio
Se han establecido procedimientos de
continuidad del negocio para el manejo de
incidentes, y en base a los objetivos de
3 2 5
Cumple No
Seccin de la ISO 22301:2012 Cumple
parcialmente cumple
recuperacin identificados en el BIA?
El cuestionario mostrado anteriormente est dividido por cada seccin que corresponde
a la ISO 22301:2012, para de esta forma dar una determinacin del nivel actual ms
exacto. Finalmente, se obtuvo como resultado que la Edpyme GMG cumple totalmente
con el 59%, cumple parcialmente con el 35% y no cumple con el 6% de los
requerimientos establecidos dentro de la ISO.
3 2 8
Ilustracin 48 - Cumplimiento Pre - Implementacin ISO 22301:2012 en Edpyme GMG
6%
35%
Cumple
Cumple Parcialmente
No Cumple
59%
El cumplimiento por cada seccin de la ISO, est marcado por el siguiente cuadro; en el
cual se aprecia que las secciones con mayor cumplimiento son: Seccin 10 (100%),
Seccin 5 (80%) y la seccin 4 (89%). Las secciones con menor cumplimiento son:
Seccin 8 (7%) y la Seccin 4 (11%).
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
3 3 1
Cumple No
Seccin de la Circular G-139 Cumple
parcialmente cumple
Los planes de continuidad del negocio incluyen
los criterios de activacin?
Los planes de continuidad del negocio incluyen
los responsables de su actualizacin?
Los planes de continuidad del negocio permiten
reanudar los procesos de acuerdo a las
estrategias?
Los planes de continuidad del negocio incluyen
los recursos necesarios?
Los planes de continuidad del negocio incluyen
informacin vital y donde encontrarla?
Seccin 8.4
8.4 Pruebas y actualizacin
Los planes de continuidad del negocio son
probados una vez al ao?
8.4.a Ejecucin de pruebas
El alcance de las pruebas es de acuerdo a los
planes de continuidad del negocio?
Las pruebas tienen objetivos definidos?
Los reportes de las pruebas resumen los
resultados alcanzados?
Los reportes de las pruebas incluyen las
recomendaciones?
Los resultados de las pruebas son tomadas en
cuenta para mejorar los planes de continuidad?
Los proveedores de servicios cuentan con
planes de continuidad?
8.4.b Actualizacin de planes
Se han establecido polticas y procedimientos
para la actualizacin de los planes?
Seccin 8.5
8.5 Integrar la gestin de la continuidad del negocio a la cultura organizacional
8.5.a Evaluacin del grado de conocimiento sobre la gestin de continuidad
La organizacin ha determinado el nivel de
conocimiento actual sobre continuidad de
negocio de los empleados?
Se han diseado planes de capacitacin y
entrenamiento?
Se ha revisado peridicamente el nivel de
entendimiento de la gestin de continuidad del
negocio?
Fuente: Elaboracin propia
3 3 2
El cuestionario mostrado anteriormente est dividido por cada seccin que corresponde
a la Circular G-139-2009, para de esta forma dar una determinacin del nivel actual ms
exacto. Finalmente, se obtuvo como resultado que la Edpyme cumple totalmente con el
38.8%, cumple parcialmente con el 42.9% y no cumple con el 18.4% de los
requerimientos establecidos dentro de la ISO.
18.4%
38.8% Cumple
Cumple Parcialmente
No Cumple
42.9%
El cumplimiento por cada seccin de la Circular, est marcado por el siguiente cuadro;
en el cual se aprecia que las secciones con mayor cumplimiento y son: Seccin 8.4
(50%), Seccin 8.3 (52.94%) y la seccin 8.3 (88.24%). Las secciones con menor
cumplimiento son: Seccin 8.5 (33.33%).
3 3 3
Ilustracin 51 Cumplimiento por secciones Pre-Implementacin de la Circular G-139-
2009 en Edpyme GMG
0.00% 10.00% 20.00% 30.00% 40.00% 50.00% 60.00% 70.00% 80.00% 90.00% 100.00%
5.2.3.1 Objetivo
Definir las directrices a seguir para responder de manera efectiva y oportuna frente a
diversos eventos que afecten la continuidad de los procesos de negocio. As mismo,
administrar la continuidad de las operaciones y restauracin de los procesos crticos de
negocio con el mnimo de impacto en la Edpyme GMG Servicios Per.
5.2.3.2 Alcance
Esta poltica de continuidad del negocio es de caracterstica transversal y aplicada a
todo el personal de las reas crticas definidas en la Edpyme GMG Servicios Per.
Adems, aplica tambin a proveedores de servicios (terceros) a travs de los acuerdos
de niveles de servicio.
3 3 4
- Concienciar a todo el personal de la organizacin sobre el tema de continuidad del
negocio.
- Realizar las modificaciones a las polticas, en caso sea necesario, y con aprobacin
de la alta direccin.
- Verificar que el personal asignado a los roles y funciones dentro de cada uno de los
planes sean los ms adecuados. As mismo, tambin revisar el plan de sucesin.
5.2.3.4 Principios
Los principios se han definido con el objetivo de cumplir de forma estricta con la
normativa peruana definida por la Superintendencia de Banca, Seguros y APF (SBS)
para la continuidad del negocio. Por ello, los principios definidos son los siguientes:
Principio 5: Garantizar que los planes de continuidad del negocio sean efectivos
mediante la realizacin de pruebas peridica e identificar modificaciones necesarias.
- Procesos de la microfinanciera
- Estados Financieros
3 3 6
5.2.4.1.2 Procesos EDPYME GMG Servicios Per
La siguiente seccin muestra la lista de todos los procesos de la microfinanciera
EDPYME GMG Servicios Per detallando el rea, cdigo, proceso de 1er y 2do nivel.
Estos se encuentran definidos a mayor detalle dentro de los manuales de procesos que
elabora la misma microfinanciera.
3 3 7
rea Cdigo Procesos 1er Nivel Cdigo Procesos 2do Nivel
Directorio GES Gestin Estratgica GES003 Gestionar Plan Financiero
Gestionar Seguimiento de
Directorio GES Gestin Estratgica GES004
Balance ScoreCard
Directorio GCU Gestin de Cumplimiento GCU001 Gestionar Cumplimiento
Finanzas GCN Gestin Contable GCN001 Gestionar Cierre del Da
Gestionar Cierre Contable
Finanzas GCN Gestin Contable GCN002
Mensual y Reportes
Gestionar Tesorera y
Finanzas GFI Gestin Financiera GFI001
Finanzas
Gestin del Gobierno
Gerencia Gestionar Sesiones de
GGC Corporativo y Grupos de GGC001
General Directorio y Comits
Inters
Gestin del Gobierno
Gerencia Gestionar Seguimiento de
GGC Corporativo y Grupos de GGC002
General Acuerdos
Inters
Gestionar Administracin
Gerencia Gestionar Planificacin de
GAR de Requerimientos de GAR001
General Capital Adecuado
Capital
Gestionar Administracin
Gerencia Gestionar Asignacin de
GAR de Requerimientos de GAR002
General Capital
Capital
Gerencia Asignacin de Recursos
ARC ARC001 Gestionar Planificacin
General Corporativos
Gerencia Asignacin de Recursos
ARC ARC002 Gestionar Asignacin
General Corporativos
Gestionar Asesora
Legal GLE Gestin Legal GLE001
Operativa
Gestionar Asuntos
Legal GLE Gestin Legal GLE002
Judiciales
Gestionar Contratos y
Legal GLE Gestin Legal GLE003
Poderes
Gestin de Servicio al Gestionar Registro de
Operaciones GSC GSC001
Cliente Solicitud
Gestin de Servicio al Gestionar Anlisis de
Operaciones GSC GSC002
Cliente Solicitud
Gestionar
Gestin de Servicio al
Operaciones GSC GSC003 Resolucin/Atencin de
Cliente
Solicitud
Gestin de Servicio al
Operaciones GSC GSC004 Gestionar Reportes
Cliente
Gestin de Activos Fsicos
Operaciones GAF GAF001 Gestionar Activos Fsicos
e Instalaciones
Gestin de Activos Fsicos
Operaciones GAF GAF002 Gestionar Instalaciones
e Instalaciones
Organizaci Gestionar Requerimientos
GPR Gestin de Proveedores GPR001
n y Mtodos y necesidades
Organizaci Gestionar Evaluacin de
GPR Gestin de Proveedores GPR002
n y Mtodos Proveedores
3 3 8
rea Cdigo Procesos 1er Nivel Cdigo Procesos 2do Nivel
Organizaci Gestionar Aprobacin de
GPR Gestin de Proveedores GPR003
n y Mtodos Proveedores
Organizaci Gestionar Contratacin de
GPR Gestin de Proveedores GPR004
n y Mtodos Proveedores
Organizaci Gestionar Supervisin y
GPR Gestin de Proveedores GPR005
n y Mtodos Monitoreo de Proveedores
Organizaci Gestin de Procesos y Gestionar Mejora de
GPN GPN001
n y Mtodos Normativas Procesos
Organizaci Gestin de Procesos y Gestionar Documentacin
GPN GPN002
n y Mtodos Normativas de Normativas
Gestionar Riesgo
Riesgos GIR Gestin Integral de Riesgos GIR001
Estratgico
Gestionar Riesgo
Riesgos GIR Gestin Integral de Riesgos GIR002
Reputacional
Gestionar Riesgo de
Riesgos GIR Gestin Integral de Riesgos GIR003
Crdito
Gestionar Riesgo
Riesgos GIR Gestin Integral de Riesgos GIR004
Operacional
Gestionar de Continuidad
Riesgos GIR Gestin Integral de Riesgos GIR005
del Negocio
Gestin de Seguridad de la
Riesgos GIR Gestin Integral de Riesgos GIR006
Informacin
Gestionar Cumplimiento
Riesgos GIR Gestin Integral de Riesgos GIR007
Normativo
Gestionar Seguimiento,
Riesgos GIR Gestin Integral de Riesgos GIR008
Monitoreo y Reporte
Tecnologas
Gestionar Planificacin
de la GTI Gestin de TI GTI001
Estratgica de TI (PETI)
Informacin
Tecnologas
Gestionar Desarrollo de
de la GTI Gestin de TI GTI002
Software
Informacin
Tecnologas
Gestionar Infraestructura
de la GTI Gestin de TI GTI003
Tecnolgica
Informacin
Tecnologas
de la GTI Gestin de TI GTI004 Gestionar Seguridad de TI
Informacin
Tecnologas
Gestionar Soporte de
de la GTI Gestin de TI GTI005
Usuario
Informacin
Tecnologas
Gestin de Proyectos y Gestionar Planificacin y
de la GPP GPP001
Nuevos Productos Diseo de Proyectos
Informacin
Tecnologas
Gestin de Proyectos y Gestionar Evaluacin de
de la GPP GPP002
Nuevos Productos Proyectos
Informacin
Tecnologas GPP Gestin de Proyectos y GPP003 Gestionar Implementacin
3 3 9
rea Cdigo Procesos 1er Nivel Cdigo Procesos 2do Nivel
de la Nuevos Productos de Proyectos
Informacin
Fuente: Adaptacin de la lista de procesos de negocio de EDPYME GMG Servicios
Per.
Impacto en los objetivos estratgicos: Este criterio hace referencia a que tanto
ayuda o aporta el proceso de negocio para el logro del objetivo estratgico de la
microfinanciera.
3 4 0
Impacto en los estados financieros: Este criterio hace referencia a que tanto
impact la ocurrencia de un incidente dentro del proceso a los ingresos financieros
de la microfinanciera.
Tiene un impacto
muy alto en la
Tiene un impacto
Tiene un impacto operatividad de la
muy alto a nivel
muy alto en el microfinanciera. Es
[5] monetario en los
cumplimiento del decir, afecta en su
Estados Financieros
objetivo. totalidad a la entrega
de la microfinanciera.
de sus productos y
servicios.
Fuente: Elaboracin propia
3 4 2
Ecuacin 9 Promedio objetivos Edpyme GMG
001 + 002 + 003 + 004
=
4
De igual forma se realiza el clculo del promedio de los impactos obtenidos para los 3
criterios descritos anteriormente como se detalla en la siguiente frmula:
+ +
=
3
3 4 3
Tabla 121 - Evaluacin de los procesos
Operatividad de Estados
Procesos 2do Objetivos estratgicos de la microfinanciera
Procesos 1er Nivel la Financieros de la Criticidad
Nivel
OBJ001 OBJ002 OBJ003 OBJ004 Promedio microfinanciera microfinanciera
Gestionar Plan
Gestin Estratgica 4 2 1 1 2.00 1 3 2.00
Estratgico
Gestionar Plan
Gestin Estratgica 3 1 2 1 1.75 1 3 1.92
Operativo
Gestionar Plan
Gestin Estratgica 5 0 0 0 1.25 2 4 2.42
Financiero
Gestionar
Gestin Estratgica Seguimiento de 4 3 0 0 1.75 1 3 1.92
Balance ScoreCard
Gestin del Gobierno Gestionar Sesiones
Corporativo y Grupos de Directorio y 2 2 0 0 1.00 2 3 2.00
de Inters Comits
Gestin del Gobierno Gestionar
Corporativo y Grupos Seguimiento de 3 2 1 0 1.50 1 2 1.50
de Inters Acuerdos
Gestionar
Gestionar
Administracin de
Planificacin de 4 0 2 0 1.50 1 4 2.17
Requerimientos de
Capital Adecuado
Capital
Gestionar
Gestionar
Administracin de
Asignacin de 4 2 1 0 1.75 1 4 2.25
Requerimientos de
Capital
Capital
Asignacin de Gestionar
3 1 0 0 1.00 1 2 1.33
Recursos Planificacin
3 4 4
Operatividad de Estados
Procesos 2do Objetivos estratgicos de la microfinanciera
Procesos 1er Nivel la Financieros de la Criticidad
Nivel
OBJ001 OBJ002 OBJ003 OBJ004 Promedio microfinanciera microfinanciera
Corporativos
Asignacin de
Gestionar
Recursos 1 4 3 2 2.50 1 2 1.83
Asignacin
Corporativos
Gestionar
Gestin de Crditos 5 4 5 2 4.00 5 4 4.33
Evaluacin
Gestionar
Gestin de Crditos 5 4 5 2 4.00 5 3 4.00
Desembolso
Gestin de Crditos Gestionar Pagos 4 4 0 2 2.50 5 5 4.17
Gestionar
Gestin de Cobros Cobranza 4 4 0 2 2.50 5 5 4.17
Preventiva
Gestionar
Gestin de Cobros 4 4 0 2 2.50 5 5 4.17
Cobranza Vencidos
Gestin de Servicio al Gestionar Registro
2 5 0 2 2.25 4 4 3.42
Cliente de Solicitud
Gestin de Servicio al Gestionar Anlisis
3 4 0 2 2.25 4 5 3.75
Cliente de Solicitud
Gestionar
Gestin de Servicio al
Resolucin/Atenci 2 4 0 2 2.00 2 3 2.33
Cliente
n de Solicitud
Gestin de Servicio al
Gestionar Reportes 3 1 0 2 1.50 2 1 1.50
Cliente
Gestin Integral de Gestionar Riesgo
3 1 0 2 1.50 2 3 2.17
Riesgos Estratgico
Gestin Integral de Gestionar Riesgo 2 4 0 2 2.00 3 4 3.00
3 4 5
Operatividad de Estados
Procesos 2do Objetivos estratgicos de la microfinanciera
Procesos 1er Nivel la Financieros de la Criticidad
Nivel
OBJ001 OBJ002 OBJ003 OBJ004 Promedio microfinanciera microfinanciera
Riesgos Reputacional
Gestin Integral de Gestionar Riesgo
3 3 0 1 1.75 3 4 2.92
Riesgos de Crdito
Gestin Integral de Gestionar Riesgo
3 0 1 2 1.50 2 4 2.50
Riesgos Operacional
Gestionar de
Gestin Integral de
Continuidad del 2 3 0 1 1.50 2 4 2.50
Riesgos
Negocio
Gestin de
Gestin Integral de
Seguridad de la 1 3 0 2 1.50 2 4 2.50
Riesgos
Informacin
Gestionar
Gestin Integral de
Cumplimiento 3 1 3 2 2.25 2 4 2.75
Riesgos
Normativo
Gestionar
Gestin Integral de Seguimiento,
2 3 0 2 1.75 2 2 1.92
Riesgos Monitoreo y
Reporte
Gestionar
Planificacin
Gestin de TI 3 0 0 2 1.25 2 3 2.08
Estratgica de TI
(PETI)
Gestionar
Gestin de TI Desarrollo de 0 3 3 2 2.00 2 4 2.67
Software
Gestin de TI Gestionar 0 0 4 2 1.50 5 4 3.50
3 4 6
Operatividad de Estados
Procesos 2do Objetivos estratgicos de la microfinanciera
Procesos 1er Nivel la Financieros de la Criticidad
Nivel
OBJ001 OBJ002 OBJ003 OBJ004 Promedio microfinanciera microfinanciera
Infraestructura
Tecnolgica
Gestionar
Gestin de TI 0 0 0 2 0.50 5 4 3.17
Seguridad de TI
Gestionar Soporte
Gestin de TI 0 3 0 3 1.50 4 3 2.83
de Usuario
Gestin de Gestionar
3 1 0 1 1.25 3 5 3.08
Cumplimiento Cumplimiento
Gestionar
Auditoria Interna 2 3 3 3 2.75 1 2 1.92
Auditorias
Gestionar
Gestin de RRHH Planificacin de 0 2 2 3 1.75 3 2 2.25
Recursos Humanos
Gestionar
Gestin de RRHH Reclutamiento y 0 2 2 3 1.75 2 1 1.58
Seleccin
Gestionar
Gestin de RRHH 0 2 2 5 2.25 3 2 2.42
Capacitacin
Gestionar
Gestin de RRHH Evaluacin de 0 2 2 4 2.00 2 2 2.00
Recursos Humanos
Gestionar Salud y
Gestin de RRHH 0 2 2 5 2.25 3 3 2.75
Bienestar
Gestionar
Gestin de RRHH 0 2 2 3 1.75 2 3 2.25
Compensaciones
Gestin de Activos Gestionar Activos
2 2 2 0 1.50 3 3 2.50
Fsicos e Fsicos
3 4 7
Operatividad de Estados
Procesos 2do Objetivos estratgicos de la microfinanciera
Procesos 1er Nivel la Financieros de la Criticidad
Nivel
OBJ001 OBJ002 OBJ003 OBJ004 Promedio microfinanciera microfinanciera
Instalaciones
Gestin de Activos
Gestionar
Fsicos e 2 2 2 0 1.50 4 3 2.83
Instalaciones
Instalaciones
Gestionar
Gestin de
Requerimientos y 0 3 1 0 1.00 1 1 1.00
Proveedores
necesidades
Gestionar
Gestin de
Evaluacin de 0 3 1 0 1.00 2 1 1.33
Proveedores
Proveedores
Gestionar
Gestin de
Aprobacin de 0 3 1 0 1.00 3 2 2.00
Proveedores
Proveedores
Gestionar
Gestin de
Contratacin de 0 3 1 0 1.00 3 2 2.00
Proveedores
Proveedores
Gestionar
Gestin de Supervisin y
0 3 1 0 1.00 4 3 2.67
Proveedores Monitoreo de
Proveedores
Gestionar Cierre
Gestin Contable 5 4 2 0 2.75 5 5 4.25
del Da
Gestionar Cierre
Gestin Contable Contable Mensual 5 4 2 0 2.75 5 5 4.25
y Reportes
Gestin Financiera Gestionar 4 4 2 0 2.50 4 4 3.50
3 4 8
Operatividad de Estados
Procesos 2do Objetivos estratgicos de la microfinanciera
Procesos 1er Nivel la Financieros de la Criticidad
Nivel
OBJ001 OBJ002 OBJ003 OBJ004 Promedio microfinanciera microfinanciera
Tesorera y
Finanzas
Gestionar
Gestin de Proyectos Planificacin y
2 1 3 1 1.75 2 2 1.92
y Nuevos Productos Diseo de
Proyectos
Gestionar
Gestin de Proyectos
Evaluacin de 2 1 3 1 1.75 2 2 1.92
y Nuevos Productos
Proyectos
Gestionar
Gestin de Proyectos
Implementacin de 2 1 3 1 1.75 2 4 2.58
y Nuevos Productos
Proyectos
Gestionar
Gestin de Proyectos
Monitoreo de 2 1 3 1 1.75 2 2 1.92
y Nuevos Productos
Proyectos
Gestionar Asesora
Gestin Legal 3 3 1 0 1.75 3 2 2.25
Operativa
Gestionar Asuntos
Gestin Legal 3 1 0 0 1.00 3 4 2.67
Judiciales
Gestionar
Gestin Legal Contratos y 2 2 0 0 1.00 3 3 2.33
Poderes
Gestionar
Gestin de Seguridad Seguridad de 4 3 0 0 1.75 4 4 3.25
Instalaciones
Gestionar
Gestin de Seguridad 2 0 0 4 1.50 3 3 2.50
Seguridad y Salud
3 4 9
Operatividad de Estados
Procesos 2do Objetivos estratgicos de la microfinanciera
Procesos 1er Nivel la Financieros de la Criticidad
Nivel
OBJ001 OBJ002 OBJ003 OBJ004 Promedio microfinanciera microfinanciera
en el Trabajo
Gestin de Procesos y Gestionar Mejora
2 2 4 0 2.00 1 1 1.33
Normativas de Procesos
Gestionar
Gestin de Procesos y
Documentacin de 1 2 2 3 2.00 1 3 2.00
Normativas
Normativas
Fuente: Elaboracin propia
3 5 0
Con los valores de criticidad obtenidos y en funcin a la tabla de nivel de criticidad
definido, se procedi a identificar todos los procesos cuyo promedio haya tenido un valor
de 4.0 a ms. Este resultado indica que los procesos crticos para EDPYME GMG
Servicios Per son los siguientes:
Proceso de segundo nivel inicia con la explicacin sobre los crditos disponibles para la
adquisicin de los productos de las tiendas El Gallo ms Gallo al Cliente. El gestor de
plataforma solicita toda la documentacin necesaria, registra al cliente y los datos bsicos
de la solicitud de crdito. Esta es derivada al analista de crdito para verifique su historial
crediticio en Equifax y decidir si es el cliente es apto para brindarle el crdito. Si el cliente
no es deudor, entonces se le genera su lnea de crdito, pero si lo es, entonces queda en
estado inactivo. Con ello, el gestor de plataforma realiza la firma de los documentos de
formalizacin del crdito con el cliente para posteriormente registrarlos en el sistema y
activar su lnea. En este momento el cliente decide si desea realizar el desembolso en ese
momento o luego concluyendo con la entrega de la copia de los documentos firmados.
3 5 1
Ilustracin 52 - Proceso Gestionar Evaluacin
Fuente: Adaptacin de informacin proporcionada por contacto de EDPYME GMG Servicios Per
3 5 2
GCR002 - Gestionar Desembolso
Proceso de segundo nivel, inicia con la cotizacin del producto que el cliente desea
adquirir por parte del gestor comercial y luego realizar el registro de la factura de compra
en el sistema. Este lo deriva al cliente con el gestor de plataforma para que le entregue su
cronograma de pagos y lo deriva nuevamente con el gestor comercial para que le entregue
su producto.
3 5 3
Ilustracin 53 - Proceso Gestionar Desembolso
Fuente: Adaptacin de informacin proporcionada por contacto de EDPYME GMG Servicios Per
3 5 4
GCR003 - Gestionar Pagos
Proceso de segundo nivel, inicia con la recepcin del estado de cuenta del cliente que se
acerc al cajero corresponsal a realizar el pago de su cuota del mes. Verificar el monto,
recibe el dinero y realiza el registro del pago en el sistema. Finalmente, generar el voucher
de pago y se lo entrega al cliente.
3 5 5
Ilustracin 54 - Proceso Gestionar Pagos
Fuente: Adaptacin de informacin proporcionada por contacto de EDPYME GMG Servicios Per
3 5 6
5.2.4.2.2 GCO - Gestin de Cobros
Proceso de primer nivel, pertenece al rea de Crditos y Cobros, y tiene como objetivo
realizar el procesamiento de los pagos realizados por los clientes en los agentes
corresponsables, la gestin de la cobranza preventiva y vencida de las cuotas. Este lo
conforman los siguientes procesos de segundo nivel:
Proceso de segundo nivel, inicia con la identificacin de todos los clientes cuya cuota esta
por vencer dentro de los siguientes 5 das por parte del gestor de cobros. Este consolida a
todos en una lista y se las enva los analistas de cobro para que realicen las llamadas
respectivas. En caso de que el cliente conteste la llamada se le indica que se acerca su
fecha de vencimiento, caso contrario, se ingresa dentro de la lista de clientes a enviar un
recordatorio fsico a su domicilio. Dicho envo ser gestionado por el gestor de cobros.
3 5 7
Ilustracin 55 - Proceso Gestionar Cobranza Preventiva
Fuente: Adaptacin de informacin proporcionada por contacto de EDPYME GMG Servicios Per
3 5 8
GCO002 - Gestionar Cobranza Vencidos
Este proceso de segundo nivel inicia con la consolidacin de todos los clientes que tienen
cuotas vencidas por el gestor de cobros para luego enviarlas a los analistas de cobros y que
realicen las llamadas respectivas. En el caso de que las llamadas sean menores a 4, se
registra la promesa de pago del cliente y se verifica el pago. Sin embargo, si el cliente ya
ha recibido ms de 4 llamadas, se asume el monto de la cuota como gastos y se lo
categoriza como incobrable.
3 5 9
Ilustracin 56 - Proceso Gestionar Cobranza Vencidos
Fuente: Adaptacin de informacin proporcionada por contacto de EDPYME GMG Servicios Per
3 6 0
5.2.4.2.3 GCN - Gestin Contable
Proceso de primer nivel, pertenece al rea de Finanzas y se encarga principalmente de
todas las actividades relacionadas a la contabilidad, los cierres diarios y mensuales. Los
procesos de segundo nivel identificados como crticos son los siguientes:
Proceso de segundo nivel, detalla las actividades que se realizan para al cierre contable del
da dentro de los sistemas que emplea EDPYME GMG Servicios Per. El proceso inicia
con el personal de soporte que realiza las llamadas a todas las tiendas para verificar su
cierre, luego ingresa al sistema Genesys y ejecuta el batch de cierre del fin de da. Luego
de ejecutado este batch, tiene que ingresar la fecha y su nombre dentro del sistema. Una
vez finalizado esto, procede a conectarse al servidor de manera remota para finalizar todas
las sesiones activas y poder entrar al SAP R/3 para cargar los IDOCs. Estos archivos
generados del sistema Genesys le permitir realizar el cierre contable del da en el sistema
SAP R/3.
3 6 1
Ilustracin 57 - Proceso Gestionar Cierre del Da
Fuente: Adaptacin de informacin proporcionada por contacto de EDPYME GMG Servicios Per
3 6 2
Para revisar cual es el paso a paso del proceso batch revisar el anexo 1.
Proceso de segundo nivel, detalla las actividades que se realizan para realizar el cierre
contable del mes dentro de los principales sistemas de Grupo Monge ubicado en Costa
Rica que son la base para el sistema Genesys en Per. El proceso inicia con la copia de la
base de datos del sistema Genesys al sistema Blueprint por parte del personal de TI
ubicado en Costa Rica. Con ello, el personal de TI en Per puede realizar un cuadre entre
el cierre de cartera mensual y reporte de cartera preliminar, registrar nuevas oficinas
especiales que se hayan inaugurado en el mes y ejecutar las secuencias correspondientes
dentro del Blueprint para obtener los reportes de Balance de Comprobacin y el reporte
Crediticio de Deudores
3 6 3
Ilustracin 58 - Proceso Gestionar Cierre Contable Mensual y Reportes
Fuente: Adaptacin de informacin proporcionada por contacto de EDPYME GMG Servicios Per
3 6 4
5.2.4.3 Anlisis de Impacto en el Negocio
Este apartado tiene como principal objetivo presentar los criterios aplicados en la
empresa microfinanciera EDYPME GMG Servicios Per para realizar en anlisis del
impacto que tienen sus procesos crticos en el negocio.
Luego de tener todos los valores RTO de cada uno de los sistemas de
informacin, se escoger el valor mayor para que este ser el valor RTO del
proceso crticos.
- Nivel de prdida financiera lmite que una vez superado genera un nivel de
operatividad no aceptable calculado por la multiplicacin del punto de riesgos con el
apetito del riesgo.
3 6 6
- Momento en el tiempo en el que se llega al nivel de prdida financiera limite
calculado mediante el siguiente cuadro que muestra el crecimiento del impacto con
el paso de las horas.
Luego de tener todos los tiempos en los cuales se llega al impacto lmite, se escoge el
valor menor que este ser el valor MTD del proceso.
3 6 7
Datos de ubicacin
Instrucciones: Describir el objetivo del rea
Se encarga de gestionar el otorgamiento, cobranza y gestin de los crditos otorgados
por la Empresa. Asimismo, es responsable de la relacin con GMG Comercial Per
S.A. respecto de los crditos otorgados. Adems, monitorea el comportamiento de los
indicadores de gestin relacionados con el Riesgo Crediticio de la cartera administrada.
Fuente: Elaboracin propia
Datos de ubicacin
Instrucciones: Describir el objetivo del rea
Se encarga de administrar las diversas funciones de finanzas y tesorera, procurando la
eficiencia en el desarrollo de la gestin financiera de la empresa.
Fuente: Elaboracin propia
Cabe resaltar que los nombres de cada uno de los responsables, coordinadores y
coordinadores suplente son reales y reflejan las personas que actualmente trabajan en
EDPYME GMG Servicios Per.
3 6 8
5.2.4.3.4 Procesos crticos a evaluar
Para el anlisis se defini realizar el mismo desde el proceso de primer nivel que
englobaba a los procesos crticos de segundo nivel identificados como crticos. Se
detalla cada uno de los anlisis a continuacin:
3 6 9
Tabla 128 - Valores de RTO para los sistemas de informacin del proceso de Gestin de Crditos
RTO
Tiempo de Tiempo de Tiempo de Tiempo
Sistemas de Tiempo de
RPO Iniciacin o inicio del restablecer los Tiempo de Proveedor Plataforma
informacin inicio de las Total
configuracin sistema procesos y verificacin conexin
aplicaciones
de hardware operativo datos IP
Genesys 24 hrs 1.5 da 0.5 da 0.5 da 3 das 0.75 da 0.75 da 5 das rea de TI Windows
SAPV 24 hrs 1 da 0.25 das 0.25 das 2 das 1 da 0.5 das 5 das rea de TI Windows
Para el clculo del RPO, se pregunt al responsable del proceso cada cuanto tiempo se realizaba el backup de la informacin que se manejaba y
nos coment que se realizaba al final de cada da (24 horas).
3 7 0
Tabla 129 - Clculo del impacto desde el criterio financiero, imagen y regulatorio del
proceso de Gestin de Crditos
Criterio Aspectos Valor
S/.
Ingresos generados por el proceso de negocio
13,000.00
Financiero Nivel de prdida financiera lmite (Genera un nivel de S/.
(FI) operatividad no aceptable) 91,100.00
Momento en el tiempo, durante una interrupcin, en que se
8 das
llega al nivel de prdida financiera lmite
Cantidad promedio de clientes atendidos por da: 45
Imagen
Nivel de clientes no atendidos lmites definido: 315
(IM)
Momento en el tiempo, durante una interrupcin, en que se
7 das
llega al nivel de clientes no atendidos lmite
S/.11,550.
Multa impuesta por el ente regulador (3 UIT)
00
Regulatorio S/.115,500
Nivel de exposicin legal lmite definido (Hasta 30 UIT)
(RE) .00
Momento en el tiempo, durante una interrupcin, en que se
10 das
llega al nivel de exposicin legal lmite
Fuente: Elaboracin propia
3 7 1
Otros comentarios proporcionados por el responsable del proceso acerca del impacto
producido son los siguientes:
De acuerdo a los criterios descritos en la seccin 3 de este informe, el valor del MTD
del proceso sera el valor menor que es 7 das.
3 7 2
Tabla 133 - Equipamiento necesario para el proceso de Gestin de Crditos
Telfonos Gerencia de TI NA
Impresora Gerencia de TI NA
Fuente: Elaboracin propia
3 7 3
Aplicaciones Requerimientos Configuraciones
Deber ser Internet Explorer, Mozilla Proxy de red y pginas web
Navegador Web
Firefox o Google Chrome necesarias
Aplicativo Conexin al Servidor y
Flujo de originacin de crdito
Genesys activacin de usuarios
Cargo de la compra a la lnea de Conexin al Servidor y
Aplicativo SAPV
crdito activacin de usuarios
Fuente: Elaboracin propia
Para el clculo del RTO, se realiz la identificacin de los sistemas de informacin que
se utilizaban en el proceso. Se calcul cada uno de los tiempos que conforman la suma
del RTO y se obtuvo el siguiente resultado:
3 7 4
Tabla 137 - Valores de RTO para los sistemas de informacin del proceso de Gestin de Cobros
RTO
Tiempo de Tiempo de Tiempo de Tiempo
Sistemas de Tiempo de
RPO Iniciacin o inicio del restablecer los Tiempo de Proveedor Plataforma
informacin inicio de las Total
configuracin sistema procesos y verificacin conexin
aplicaciones
de hardware operativo datos IP
24
SAPv 1.5 da 0.5 da 0.5 da 3 das 0.75 da 0.75 da 5 das rea de TI Windows
hrs
De acuerdo a los criterios descritos en la seccin 3 de este informe, el valor del RTO del proceso sera el valor mayor que es 5 das.
Para el clculo del RPO, se indag con el responsable del proceso acerca de la frecuencia de ejecucin de backup, y se obtuvo que se realizza al
final de cada da (24 horas).
3 7 5
Tabla 138 - Clculo del impacto desde el criterio financiero, imagen y regulatorio del
proceso de Gestin de Cobros
Criterio Aspectos Valor
Ingresos generados por el proceso de negocio S/. 8,330.00
Financiero Nivel de prdida financiera lmite (Genera un nivel de
S/. 91,100.00
(FI) operatividad no aceptable)
Momento en el tiempo, durante una interrupcin, en que
11 das
se llega al nivel de prdida financiera lmite
Cantidad promedio de clientes atendidos por da: 30
Imagen
Nivel de clientes no atendidos lmites definido: 350
(IM)
Momento en el tiempo, durante una interrupcin, en que
12 das
se llega al nivel de clientes no atendidos lmite
Multa impuesta por el ente regulador (5 UIT): S/.19,250.00
Regulatorio
Nivel de exposicin legal lmite definido (Hasta 50 UIT) S/.192,500.00
(RE)
Momento en el tiempo, durante una interrupcin, en que
10 das
se llega al nivel de exposicin legal lmite
Fuente: Elaboracin propia
IM 3 5 17 33 33 99 165 231
3 7 6
Otros comentarios proporcionados por el responsable del proceso acerca del impacto
producido son los siguientes:
De acuerdo a los criterios descritos en la seccin 3 de este informe, el valor del MTD
del proceso sera el valor menor que es 10 das.
3 7 7
Tabla 142 - Equipamiento necesario para el proceso de Gestin de Cobros
Equipamiento /
Proveedor Plataforma
Instalaciones
Escritorios Gerencia de Riesgos NA
Telfonos Gerencia TI NA
3 7 8
Tabla 145 - Resultado del BIA para el proceso Gestin Contable
Cdig Nombre del proceso crtico y Tiene RT MT
RPO
o descripcin Manual? O D
5 24 7
GCN Gestin Contable Si
das hrs das
GCN001 Gestionar Cierre del Da Si
Para el clculo del RTO, se realiz la identificacin de los sistemas de informacin que
se utilizan en el proceso, se calcul cada uno de los tiempos que conforman la suma del
RTO y se obtuvo el siguiente resultado:
3 7 9
Tabla 146 - Valores de RTO para los sistemas de informacin del proceso de Gestin Contable
RTO
Tiempo de Tiempo de Tiempo de Tiempo
Sistemas de Tiempo de
RPO Iniciacin o inicio del restablecer los Tiempo de Proveedor Plataforma
informacin inicio de las Total
configuracin sistema procesos y verificacin conexin
aplicaciones
de hardware operativo datos IP
24
SAP R/3 1 da 0.25 das 0.25 das 2 das 1 da 0.5 das 5 das rea de TI Windows
hrs
24
Genesys 1 da 0.25 das 0.25 das 2 das 1 da 0.5 das 5 das rea de TI Windows
hrs
24
Bluepoint 1 da 0.25 das 0.25 das 2 das 1 da 0.5 das 5 das rea de TI Windows
hrs
Fuente: Elaboracin propia
De acuerdo a los criterios descritos en la seccin 3 de este informe, el valor del RTO del proceso sera el valor mayor que es 5 das.
Para el clculo del RPO, se indag con el responsable del proceso acerca de la frecuencia de ejecucin de backup,y se obtuvo que se realizza al
final de cada da (24 horas).
3 8 0
Tabla 147 - Clculo del impacto desde el criterio financiero, imagen y regulatorio del
proceso de Gestin Contable
Criterio Aspectos Valor
Penalidad por incumplimiento de pago de crditos S/. 11,900.00
Financiero Nivel de prdida financiera lmite (Genera un nivel de
S/. 91,100.00
(FI) operatividad no aceptable)
Momento en el tiempo, durante una interrupcin, en que
8 das
se llega al nivel de prdida financiera lmite.
Cantidad promedio de clientes atendidos por da: No aplica
Imagen
Nivel de clientes no atendidos lmites definido: No aplica
(IM)
Momento en el tiempo, durante una interrupcin, en que
No aplica
se llega al nivel de clientes no atendidos lmite.
Multa impuesta por el ente regulador (10 UIT) S/.38,500.00
Regulatorio
Nivel de exposicin legal lmite definido (Hasta 50 UIT) S/.192,500.00
(RE)
Momento en el tiempo, durante una interrupcin, en que
7 das
se llega al nivel de exposicin legal lmite
Fuente: Elaboracin propia
Crecimiento del impacto con el paso de las horas. Los valores del impacto financiero y
regulatorio estn expresados en nuevos soles (S/.) y el de imagen en nmero de
personas.
30
1 hora 4 horas 8 horas 24 horas 3 das 5 das 7 das
min
FI 247.92 495.83 1,983.33 3,966.66 11,900.00 35,700.00 59,500.00 83,300.00
IM NA. NA NA NA NA NA NA NA
3 8 1
Otros comentarios proporcionados por el responsable del proceso acerca del impacto
producido son los siguientes:
De acuerdo a los criterios descritos en la seccin 3 de este informe, el valor del MTD
del proceso sera el valor menor que es 7 das.
3 8 2
Equipamiento / Instalaciones Proveedor Plataforma
Espacio Fsico Gerencia de Riesgos NA
Fuente: Elaboracin propia
3 8 3
5.2.4.4.2 Oficinas Especiales de EDPYME GMG Servicios Per
EDPYME GMG Servicios Per tiene un total de 28 oficinas especial ubicadas en las
tiendas de El Gallo ms Gallo a nivel nacional. Para poder realizar la identificacin de
riesgos, se opt por trabajar con todas las agencias debido a ser una pequea cantidad.
En el siguiente cuadro se detalla la lista de oficinas especiales:
Territorio Norte
Para las oficinas especiales del territorio norte, se ha identificados los siguientes riesgos
de continuidad mostrados a continuacin:
3 8 5
Territorio Centro
Para las oficinas especiales del territorio centro, se ha identificados los siguientes
riesgos de continuidad mostrados a continuacin:
3 8 6
Territorio Sur
Para las oficinas especiales del territorio sur, se ha identificado los siguientes riesgos de
continuidad mostrados a continuacin:
A manera general, los tres territorios tienen los mismos riesgos. Sin embargo, para la
siguiente etapa de evaluacin algunos riesgos tendrn diferente probabilidad de
ocurrencia y/o diferente nivel de impacto en la organizacin.
3 8 7
5.2.4.5 Evaluacin de Riesgos de Continuidad
Este apartado tiene como objetivo definir los criterios que se utilizarn para evaluar
aquellos riesgos identificados en la empresa microfinanciera EDPYME GMG
Servicios Per.
3 8 9
Con ello, las categoras resultantes del riesgo luego de su evaluacin son las siguientes:
Luego de este clculo, obtendremos la valoracin del riesgo inherente. Luego, con
ayuda del responsable del proceso, se comienza a preguntar los controles que existen
dentro del proceso con respecto a dicho riesgo. En algunos casos se tendr una lista de
varios controles y en otros casos puede que no haya controles definidos todava.
Por ello, para el clculo del riesgo residual, se tiene mapeado la efectividad del control,
en porcentaje, para determinar el nuevo nivel de riesgo que sera el residual. Para ello,
se emple la siguiente frmula:
Para el caso de EDPYME GMG Servicios Per, se defini que los niveles de riesgo
residual que sean mayores o igual a 15.0 necesitarn la elaboracin de una estrategia y
aquellos que sean menores son riesgos aceptados por el negocio.
En la siguiente imagen se puede ver ms claro que todos los niveles de riesgo residual
que terminen a la izquierda de la lnea rojas son aceptados por el negocio y lo que se
encuentra a la derecha necesitarn un tratamiento adicional (estrategia).
3 9 0
Tabla 162 - Nivel de riesgo lmite aceptado
Territorio Norte
3 9 1
Tabla 164 - Evaluacin de los riesgos de continuidad para el territorio norte
3 9 2
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Probabili Detalle de la Valoracin de la Detalle del Valoracin Nivel Efectivid Nivel Decisin
Cdigo Riesgo Tipo Descripcin Impacto Descripcin
dad Probabilidad Probabilidad Impacto del Impacto Resultante ad Residual Final
y/o sedes Puede ocurrir en Prdida financiera
administrativas e El negocio
cualquier momento mayor. Hasta S/.
infraestructura de Lluvias intensas Posible 0.07 Menor 50 3.50 3.50 acepta el
futuro. (cada 15 1,822. Dao de la
TI y los activos de riesgo
aos) imagen con clientes
informacin
Prdida financiera
media. - Simulacros de
Probablemente va
Hasta S/. 14,576. evacuacin Elaborar
Terremotos Probable a ocurrir. (cada 5 0.2 Significativo 400 80.00 70% 24.00
Dao de la imagen - Brigadas de estrategia
aos)
a nivel local emergencia
(departamento)
Prdida financiera
media. - Simulacros de
Puede ocurrir El negocio
Improbab Hasta S/. 14,576. evacuacin
Tsunamis ocasionalmente. 0.04 Significativo 400 16.00 70% 4.80 acepta el
le Dao de la imagen - Brigadas de
(cada 25 aos) riesgo
a nivel local emergencia
(departamento)
Prdida financiera
alta.
Puede ocurrir El negocio
Improbab Hasta S/. 5,466.
Huaicos ocasionalmente. 0.04 Moderado 150 6.00 6.00 acepta el
le Dao de la imagen
(cada 25 aos) riesgo
en el rubro de
negocio
Prdida financiera - Simulacros de
Probablemente va El negocio
mayor. Hasta S/. evacuacin
Inundacin Probable a ocurrir. (cada 5 0.2 Menor 50 10.00 70% 3.00 acepta el
1,822. Dao de la - Brigadas de
aos) riesgo
imagen con clientes emergencia
Prdida financiera
Probablemente va - Personal de El negocio
mayor. Hasta S/.
Delincuencia Probable a ocurrir. (cada 5 0.2 Menor 50 10.00 Seguridad en las 50% 5.00 acepta el
1,822. Dao de la
aos) instalaciones riesgo
imagen con clientes
Social Prdida financiera
Puede ocurrir en alta.
- Personal de El negocio
cualquier momento Hasta S/. 5,466.
Terrorismo Posible 0.07 Moderado 150 10.50 Seguridad en las 50% 5.25 acepta el
futuro. (cada 15 Dao de la imagen
instalaciones riesgo
aos) en el rubro de
negocio
Prdida financiera
media.
Puede ocurrir - Procedimientos de El negocio
Tecnologas de Destruccin de Improbab Hasta S/. 14,576.
ocasionalmente. 0.04 Significativo 400 16.00 respaldo y 50% 8.00 acepta el
Informacin equipos le Dao de la imagen
(cada 25 aos) restauracin riesgo
a nivel local
(departamento)
3 9 3
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Probabili Detalle de la Valoracin de la Detalle del Valoracin Nivel Efectivid Nivel Decisin
Cdigo Riesgo Tipo Descripcin Impacto Descripcin
dad Probabilidad Probabilidad Impacto del Impacto Resultante ad Residual Final
Impedimento de
acceso a las Puede ocurrir en Prdida financiera
El negocio
instalaciones de la Bloqueo de cualquier momento mayor. Hasta S/.
RIE005 Social Posible 0.07 Menor 50 3.50 3.50 acepta el
Edpyme en las que instalaciones futuro. (cada 15 1,822. Dao de la
riesgo
se desarrolla el aos) imagen con clientes
proceso.
Incidente por la Prdida financiera
- Polticas y
entrega incorrecta Puede ocurrir en alta.
Falta de procedimientos de El negocio
de los servicios y la cualquier momento Hasta S/. 5,466.
RIE006 Colaboradores capacitacin de Posible 0.07 Moderado 150 10.50 la Edpyme 70% 3.15 acepta el
mala ejecucin de futuro. (cada 15 Dao de la imagen
personal - Programas de riesgo
las actividades del aos) en el rubro de
Capacitacin
proceso. negocio
Prdida financiera
alta.
Saturacin de Probablemente va - Servidores en Data
Tecnologas de Hasta S/. 5,466. Elaborar
sistemas de Probable a ocurrir. (cada 5 0.2 Moderado 150 30.00 Center Externo - 50% 15.00
Informacin Dao de la imagen estrategia
informacin aos) Proveedor: Level 3
en el rubro de
negocio
Prdida financiera
Puede ocurrir El negocio
Indisponibilidad Improbab mayor. Hasta S/.
Colaboradores ocasionalmente. 0.04 Menor 50 2.00 2.00 acepta el
de personal le 1,822. Dao de la
(cada 25 aos) riesgo
imagen con clientes
Prdida financiera
Puede ocurrir en alta.
El negocio
Fsico - No Fallas de energa cualquier momento Hasta S/. 5,466.
Lentitud y/o Posible 0.07 Moderado 150 10.50 10.50 acepta el
mecnico elctrica futuro. (cada 15 Dao de la imagen
indisponibilidad riesgo
aos) en el rubro de
del servicio negocio
brindado por el Prdida financiera
RIE007
proceso de negocio Puede ocurrir en alta.
y los sistemas de El negocio
Fallas en aire cualquier momento Hasta S/. 5,466. - Mantenimientos
informacin Posible 0.07 Moderado 150 10.50 50% 5.25 acepta el
acondicionado futuro. (cada 15 Dao de la imagen preventivos
vitales. riesgo
aos) en el rubro de
negocio
Infraestructura
Prdida financiera
Puede ocurrir en alta.
Fallas en equipos El negocio
cualquier momento Hasta S/. 5,466. - Mantenimientos
de Posible 0.07 Moderado 150 10.50 50% 5.25 acepta el
futuro. (cada 15 Dao de la imagen preventivos
telecomunicacin riesgo
aos) en el rubro de
negocio
Prdida financiera
Puede ocurrir en alta.
Interrupcin del El negocio
cualquier momento Hasta S/. 5,466. - SLAs con los
Proveedores negocio de Posible 0.07 Moderado 150 10.50 80% 2.10 acepta el
futuro. (cada 15 Dao de la imagen proveedores crticos
proveedores riesgo
aos) en el rubro de
negocio
3 9 4
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Probabili Detalle de la Valoracin de la Detalle del Valoracin Nivel Efectivid Nivel Decisin
Cdigo Riesgo Tipo Descripcin Impacto Descripcin
dad Probabilidad Probabilidad Impacto del Impacto Resultante ad Residual Final
3 9 5
Para todos los riesgos cuya decisin final sea Elaborar estrategia, se realizara el
planteamiento de estrategias de continuidad para tener un mayor control de dicho riesgo.
Territorio Centro
Para la evaluacin del territorio centro, se abarcan los departamentos de Lima, Ancash, Ica
y la provincia constitucional del Callao. El resumen de las oficinas especiales que tiene
cada uno se detalla a continuacin:
3 9 6
Tabla 166 - Evaluacin de los riesgos de continuidad para el territorio centro
Prdida
Disminucin del
financiera
patrimonio -
media.
efectivo que Puede ocurrir Procedimientos
Insolvencia de Improbab Significat Hasta S/. El negocio
RIE002 imposibilite el Econmico ocasionalmente. 0.04 400 16.00 de evaluacin de 80% 3.20
crdito le ivo 14,576. Dao acepta el riesgo
funcionamiento (cada 25 aos) crditos
de la imagen a
del proceso de (Capacitaciones)
nivel local
negocio.
(departamento)
3 9 7
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valoracin Valoracin
Probabili Detalle de la Detalle del Nivel Nivel
Cdigo Riesgo Tipo Descripcin de la Impacto del Descripcin Efectividad Decisin Final
dad Probabilidad Impacto Resultante Residual
Probabilidad Impacto
Prdida
financiera alta.
Cambios en el Puede ocurrir Hasta S/.
Improbab El negocio
Econmico entorno ocasionalmente. 0.04 Moderado 5,466. Dao de 150 6.00 6.00
le acepta el riesgo
econmico (cada 25 aos) la imagen en el
rubro de
Cambios urgentes
negocio
en la estructura del
RIE003
proceso de
Prdida
negocio.
financiera alta.
Puede ocurrir Hasta S/.
Cambios Improbab El negocio
Regulatorio ocasionalmente. 0.04 Moderado 5,466. Dao de 150 6.00 6.00
regulatorios le acepta el riesgo
(cada 25 aos) la imagen en el
rubro de
negocio
- Simulacros de
Dao de la
evacuacin
integridad fsica de
- Brigadas de
los colaboradores Prdida
emergencia
de la Edpyme financiera
- Servidores en
encargados de Puede ocurrir en media.
Data Center
realizar la Fsico - No cualquier Significat Hasta S/. El negocio
RIE004 Incendios Posible 0.07 400 28.00 Externo - 80% 5.60
operacin del mecnico momento futuro. ivo 14,576. Dao acepta el riesgo
Proveedor:
proceso, la (cada 15 aos) de la imagen a
Level 3
infraestructura nivel local
-
fsica de las (departamento)
Procedimientos
oficinas especiales
de respaldo y
y/o sedes
restauracin
administrativas e
3 9 8
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valoracin Valoracin
Probabili Detalle de la Detalle del Nivel Nivel
Cdigo Riesgo Tipo Descripcin de la Impacto del Descripcin Efectividad Decisin Final
dad Probabilidad Impacto Resultante Residual
Probabilidad Impacto
infraestructura de Prdida
TI y los activos de financiera baja.
Ocurre en la - Simulacros de
informacin No Hasta S/.
Temblores / Casi mayora de evacuacin El negocio
1.00 Significat 546.60. Dao 15 15.00 70% 4.50
Sismos cierto circunstancias. - Brigadas de acepta el riesgo
ivo de la imagen
(cada ao) emergencia
interna de la
microfinanciera
Prdida
financiera baja.
Puede ocurrir
No Hasta S/.
excepcionalmente. El negocio
Lluvias intensas Raro 0.03 Significat 546.60. Dao 15 0.45 0.45
(cada ms de 25 acepta el riesgo
ivo de la imagen
aos)
interna de la
microfinanciera
Natural
Prdida
financiera
media. - Simulacros de
Probablemente va
Significat Hasta S/. evacuacin Elaborar
Terremotos Probable a ocurrir. (cada 5 0.2 400 80.00 70% 24.00
ivo 14,576. Dao - Brigadas de estrategia
aos)
de la imagen a emergencia
nivel local
(departamento)
Prdida
- Simulacros de
Puede ocurrir financiera
Improbab Significat evacuacin El negocio
Tsunamis ocasionalmente. 0.04 media. 400 16.00 70% 4.80
le ivo - Brigadas de acepta el riesgo
(cada 25 aos) Hasta S/.
emergencia
14,576. Dao
de la imagen a
3 9 9
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valoracin Valoracin
Probabili Detalle de la Detalle del Nivel Nivel
Cdigo Riesgo Tipo Descripcin de la Impacto del Descripcin Efectividad Decisin Final
dad Probabilidad Impacto Resultante Residual
Probabilidad Impacto
nivel local
(departamento)
Prdida
financiera alta.
Puede ocurrir
Hasta S/.
excepcionalmente. El negocio
Huaicos Raro 0.03 Moderado 5,466. Dao de 150 4.50 4.50
(cada ms de 25 acepta el riesgo
la imagen en el
aos)
rubro de
negocio
Prdida
financiera
Puede ocurrir
Improbab mayor. Hasta El negocio
Inundacin ocasionalmente. 0.04 Menor 50 2.00 2.00
le S/. 1,822. Dao acepta el riesgo
(cada 25 aos)
de la imagen
con clientes
Prdida
financiera
Probablemente va - Personal de
mayor. Hasta El negocio
Delincuencia Probable a ocurrir. (cada 5 0.2 Menor 50 10.00 Seguridad en las 50% 5.00
S/. 1,822. Dao acepta el riesgo
aos) instalaciones
de la imagen
con clientes
Social
Prdida
Puede ocurrir en
financiera alta. - Personal de
cualquier El negocio
Terrorismo Posible 0.07 Moderado Hasta S/. 150 10.50 Seguridad en las 50% 5.25
momento futuro. acepta el riesgo
5,466. Dao de instalaciones
(cada 15 aos)
la imagen en el
rubro de
4 0 0
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valoracin Valoracin
Probabili Detalle de la Detalle del Nivel Nivel
Cdigo Riesgo Tipo Descripcin de la Impacto del Descripcin Efectividad Decisin Final
dad Probabilidad Impacto Resultante Residual
Probabilidad Impacto
negocio
- Servidores en
Prdida
Data Center
financiera
Externo -
Tecnologas media.
Puede ocurrir Proveedor:
de Destruccin de Improbab Significat Hasta S/. El negocio
ocasionalmente. 0.04 400 16.00 Level 3 70% 4.80
Informaci equipos le ivo 14,576. Dao acepta el riesgo
(cada 25 aos) -
n de la imagen a
Procedimientos
nivel local
de respaldo y
(departamento)
restauracin
- Servidores en
Data Center
Impedimento de Prdida
Externo -
acceso a las financiera
Puede ocurrir Proveedor:
instalaciones de la Bloqueo de Improbab mayor. Hasta El negocio
RIE005 Social ocasionalmente. 0.04 Menor 50 2.00 Level 3 18% 1.64
Edpyme en las que instalaciones le S/. 1,822. Dao acepta el riesgo
(cada 25 aos) - Centro de
se desarrolla el de la imagen
Comando
proceso. con clientes
Alterno en sede
CECADE
Prdida
Incidente por la
financiera alta. - Polticas y
entrega incorrecta Puede ocurrir en
Falta de Hasta S/. procedimientos
de los servicios y Colaborado cualquier El negocio
RIE006 capacitacin de Posible 0.07 Moderado 5,466. Dao de 150 10.50 de la Edpyme 70% 3.15
la mala ejecucin res momento futuro. acepta el riesgo
personal la imagen en el - Programas de
de las actividades (cada 15 aos)
rubro de Capacitacin
del proceso.
negocio
4 0 1
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valoracin Valoracin
Probabili Detalle de la Detalle del Nivel Nivel
Cdigo Riesgo Tipo Descripcin de la Impacto del Descripcin Efectividad Decisin Final
dad Probabilidad Impacto Resultante Residual
Probabilidad Impacto
Prdida
financiera alta. - Servidores en
Tecnologas
Saturacin de Probablemente va Hasta S/. Data Center
de Elaborar
sistemas de Probable a ocurrir. (cada 5 0.2 Moderado 5,466. Dao de 150 30.00 Externo - 50% 15.00
Informaci estrategia
informacin aos) la imagen en el Proveedor:
n
rubro de Level 3
negocio
Prdida
financiera
Puede ocurrir
Colaborado Indisponibilidad Improbab mayor. Hasta El negocio
ocasionalmente. 0.04 Menor 50 2.00 2.00
Lentitud y/o res de personal le S/. 1,822. Dao acepta el riesgo
(cada 25 aos)
indisponibilidad de la imagen
del servicio con clientes
brindado por el
RIE007
proceso de negocio Prdida
y los sistemas de financiera alta.
Puede ocurrir en
informacin Hasta S/. - Se cuenta con
Fsico - No Fallas de energa cualquier El negocio
vitales. Posible 0.07 Moderado 5,466. Dao de 150 10.50 un grupo 90% 1.05
mecnico elctrica momento futuro. acepta el riesgo
la imagen en el electrgeno
(cada 15 aos)
rubro de
negocio
Prdida
- Servidores en
financiera alta.
Puede ocurrir en Data Center
Hasta S/.
Infraestruc Fallas en aire cualquier Externo El negocio
Posible 0.07 Moderado 5,466. Dao de 150 10.50 80% 2.10
tura acondicionado momento futuro. - SLAs con acepta el riesgo
la imagen en el
(cada 15 aos) proveedor Level
rubro de
3
negocio
4 0 2
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valoracin Valoracin
Probabili Detalle de la Detalle del Nivel Nivel
Cdigo Riesgo Tipo Descripcin de la Impacto del Descripcin Efectividad Decisin Final
dad Probabilidad Impacto Resultante Residual
Probabilidad Impacto
Prdida
financiera alta.
Puede ocurrir en
Fallas en equipos Hasta S/. -
cualquier El negocio
de Posible 0.07 Moderado 5,466. Dao de 150 10.50 Mantenimientos 50% 5.25
momento futuro. acepta el riesgo
telecomunicacin la imagen en el preventivos
(cada 15 aos)
rubro de
negocio
Prdida
financiera alta.
Puede ocurrir en
Interrupcin del Hasta S/. - SLAs con los
Proveedore cualquier El negocio
negocio de Posible 0.07 Moderado 5,466. Dao de 150 10.50 proveedores 80% 2.10
s momento futuro. acepta el riesgo
proveedores la imagen en el crticos
(cada 15 aos)
rubro de
negocio
Prdida
Puede ocurrir en financiera - Centro de
cualquier mayor. Hasta Comando El negocio
Huelgas Posible 0.07 Menor 50 3.50 67% 1.16
momento futuro. S/. 1,822. Dao Alterno en sede acepta el riesgo
(cada 15 aos) de la imagen CECADE
con clientes
Social
Prdida
financiera -
Probablemente va
mayor. Hasta Procedimientos El negocio
Errores humanos Probable a ocurrir. (cada 5 0.20 Menor 50 10.00 50% 5.00
S/. 1,822. Dao de supervisin y acepta el riesgo
aos)
de la imagen monitoreo
con clientes
4 0 3
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valoracin Valoracin
Probabili Detalle de la Detalle del Nivel Nivel
Cdigo Riesgo Tipo Descripcin de la Impacto del Descripcin Efectividad Decisin Final
dad Probabilidad Impacto Resultante Residual
Probabilidad Impacto
Prdida
financiera
Puede ocurrir en media. -
Colaborado cualquier Significat Hasta S/. Procedimientos El negocio
Fraude interno Posible 0.07 400 28.00 50% 14.00
res momento futuro. ivo 14,576. Dao de supervisin y acepta el riesgo
Robo de (cada 15 aos) de la imagen a monitoreo
documentos que nivel local
contienen (departamento)
RIE008
informacin
sensible del Prdida
- Puertos USB
proceso. financiera alta.
bloqueados en el
Probablemente va Hasta S/.
Robo de Oficinas El negocio
Social Probable a ocurrir. (cada 5 0.2 Moderado 5,466. Dao de 150 30.00 70% 9.00
documentos Especiales, Call acepta el riesgo
aos) la imagen en el
de Crditos y
rubro de
Cobros
negocio
Prdida
Robo de la
financiera alta.
infraestructura de Puede ocurrir en - Seguridad
Hasta S/.
TI que almacena Robos de cualquier Fsica en las El negocio
RIE009 Social Posible 0.07 Moderado 5,466. Dao de 150 10.50 70% 3.15
informacin equipos momento futuro. instalaciones de acepta el riesgo
la imagen en el
sensible del (cada 15 aos) la Edpyme
rubro de
proceso.
negocio
4 0 4
Para todos los riesgos cuya decisin final sea Elaborar estrategia, se realizar el
planteamiento de estrategias de continuidad para tener un mayor control de dicho riesgo.
Territorio Sur
Para la evaluacin del territorio sur, se abarcan los departamentos de Cusco y Puno. El
resumen de las oficinas especiales que tiene cada uno se detalla a continuacin:
4 0 5
Tabla 168 - Evaluacin de los riesgos de continuidad para el territorio sur
4 0 6
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valoracin Valoraci
Probabil Detalle de la Detalle del Nivel Efectivi Nivel Decisin
Cdigo Riesgo Tipo Descripcin de la Impacto n del Descripcin
idad Probabilidad Impacto Resultante dad Residual Final
Probabilidad Impacto
administrativas e (departamento)
infraestructura de TI y los
activos de informacin
Prdida
financiera baja.
Hasta S/. - Simulacros de El
Probablemente va No
Temblores / 546.60. Dao evacuacin negocio
Probable a ocurrir. (cada 5 0.20 Significativ 15 3.00 70% 0.90
Sismos de la imagen - Brigadas de acepta el
aos) o
interna de la emergencia riesgo
microfinancier
a
Prdida
financiera El
Probablemente va
mayor. Hasta negocio
Lluvias intensas Probable a ocurrir. (cada 5 0.2 Menor 50 10.00 10.00
S/. 1,822. Dao acepta el
aos)
de la imagen riesgo
con clientes
Prdida
financiera
media. - Simulacros de
Probablemente va Elaborar
Significativ Hasta S/. evacuacin
Terremotos Probable a ocurrir. (cada 5 0.2 400 80.00 70% 24.00 estrategi
o 14,576. Dao - Brigadas de
aos) a
de la imagen a emergencia
nivel local
Natural (departamento)
Prdida
financiera
Puede ocurrir media. - Simulacros de El
excepcionalmente Significativ Hasta S/. evacuacin negocio
Tsunamis Raro 0.03 400 12.00 70% 3.60
. (cada ms de 25 o 14,576. Dao - Brigadas de acepta el
aos) de la imagen a emergencia riesgo
nivel local
(departamento)
Prdida
financiera alta.
Puede ocurrir en El
Hasta S/.
cualquier negocio
Huaicos Posible 0.07 Moderado 5,466. Dao de 150 10.50 10.50
momento futuro. acepta el
la imagen en el
(cada 15 aos) riesgo
rubro de
negocio
Prdida
Puede ocurrir en financiera - Simulacros de El
cualquier mayor. Hasta evacuacin negocio
Inundacin Posible 0.07 Menor 50 3.50 70% 1.05
momento futuro. S/. 1,822. Dao - Brigadas de acepta el
(cada 15 aos) de la imagen emergencia riesgo
con clientes
4 0 7
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valoracin Valoraci
Probabil Detalle de la Detalle del Nivel Efectivi Nivel Decisin
Cdigo Riesgo Tipo Descripcin de la Impacto n del Descripcin
idad Probabilidad Impacto Resultante dad Residual Final
Probabilidad Impacto
Prdida
financiera El
Probablemente va - Personal de
mayor. Hasta negocio
Delincuencia Probable a ocurrir. (cada 5 0.2 Menor 50 10.00 Seguridad en las 50% 5.00
S/. 1,822. Dao acepta el
aos) instalaciones
de la imagen riesgo
con clientes
Social Prdida
financiera alta.
Puede ocurrir en El
Hasta S/. - Personal de
cualquier negocio
Terrorismo Posible 0.07 Moderado 5,466. Dao de 150 10.50 Seguridad en las 50% 5.25
momento futuro. acepta el
la imagen en el instalaciones
(cada 15 aos) riesgo
rubro de
negocio
Prdida
financiera alta.
- El
Puede ocurrir Hasta S/.
Tecnologas de Destruccin de Improbab Procedimientos negocio
ocasionalmente. 0.04 Moderado 5,466. Dao de 150 6.00 50% 3.00
Informacin equipos le de respaldo y acepta el
(cada 25 aos) la imagen en el
restauracin riesgo
rubro de
negocio
Prdida
Impedimento de acceso a las financiera El
Probablemente va
instalaciones de la Edpyme Bloqueo de mayor. Hasta negocio
RIE005 Social Probable a ocurrir. (cada 5 0.2 Menor 50 10.00 10.00
en las que se desarrolla el instalaciones S/. 1,822. Dao acepta el
aos)
proceso. de la imagen riesgo
con clientes
Prdida
financiera alta. - Polticas y
Incidente por la entrega Puede ocurrir en El
Falta de Hasta S/. procedimientos
incorrecta de los servicios y cualquier negocio
RIE006 Colaboradores capacitacin de Posible 0.07 Moderado 5,466. Dao de 150 10.50 de la Edpyme 70% 3.15
la mala ejecucin de las momento futuro. acepta el
personal la imagen en el - Programas de
actividades del proceso. (cada 15 aos) riesgo
rubro de Capacitacin
negocio
Prdida
financiera alta. - Servidores en
Saturacin de Probablemente va Hasta S/. Data Center Elaborar
Tecnologas de
sistemas de Probable a ocurrir. (cada 5 0.2 Moderado 5,466. Dao de 150 30.00 Externo - 50% 15.00 estrategi
Informacin
Lentitud y/o informacin aos) la imagen en el Proveedor: a
indisponibilidad del servicio rubro de Level 3
RIE007 brindado por el proceso de negocio
negocio y los sistemas de Prdida
informacin vitales. Puede ocurrir en financiera El
Indisponibilidad cualquier mayor. Hasta negocio
Colaboradores Posible 0.07 Menor 50 3.50 3.50
de personal momento futuro. S/. 1,822. Dao acepta el
(cada 15 aos) de la imagen riesgo
con clientes
4 0 8
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valoracin Valoraci
Probabil Detalle de la Detalle del Nivel Efectivi Nivel Decisin
Cdigo Riesgo Tipo Descripcin de la Impacto n del Descripcin
idad Probabilidad Impacto Resultante dad Residual Final
Probabilidad Impacto
Prdida
financiera El
Probablemente va
Fsico - No Fallas de energa mayor. Hasta negocio
Probable a ocurrir. (cada 5 0.2 Menor 50 10.00 10.00
mecnico elctrica S/. 1,822. Dao acepta el
aos)
de la imagen riesgo
con clientes
Prdida
financiera alta.
Puede ocurrir en El
Hasta S/. -
Fallas en aire cualquier negocio
Posible 0.07 Moderado 5,466. Dao de 150 10.50 Mantenimientos 50% 5.25
acondicionado momento futuro. acepta el
la imagen en el preventivos
(cada 15 aos) riesgo
rubro de
Infraestructur negocio
a Prdida
financiera alta.
Fallas en equipos Puede ocurrir en El
Hasta S/. -
de cualquier negocio
Posible 0.07 Moderado 5,466. Dao de 150 10.50 Mantenimientos 50% 5.25
telecomunicaci momento futuro. acepta el
la imagen en el preventivos
n (cada 15 aos) riesgo
rubro de
negocio
Prdida
Puede ocurrir en financiera El
Interrupcin del - SLAs con los
cualquier mayor. Hasta negocio
Proveedores negocio de Posible 0.07 Menor 50 3.50 proveedores 80% 0.70
momento futuro. S/. 1,822. Dao acepta el
proveedores crticos
(cada 15 aos) de la imagen riesgo
con clientes
Prdida
financiera El
Probablemente va
mayor. Hasta negocio
Huelgas Probable a ocurrir. (cada 5 0.2 Menor 50 10.00 10.00
S/. 1,822. Dao acepta el
aos)
de la imagen riesgo
con clientes
Social
Prdida
financiera - El
Probablemente va
mayor. Hasta Procedimientos negocio
Errores humanos Probable a ocurrir. (cada 5 0.20 Menor 50 10.00 50% 5.00
S/. 1,822. Dao de supervisin y acepta el
aos)
de la imagen monitoreo riesgo
con clientes
Prdida
financiera
Puede ocurrir en media. - El
Robo de documentos que
cualquier Significativ Hasta S/. Procedimientos negocio
RIE008 contienen informacin Colaboradores Fraude interno Posible 0.07 400 28.00 50% 14.00
momento futuro. o 14,576. Dao de supervisin y acepta el
sensible del proceso.
(cada 15 aos) de la imagen a monitoreo riesgo
nivel local
(departamento)
4 0 9
Amenaza Evaluacin del Riesgo Inherente Controles Resultados
Valoracin Valoraci
Probabil Detalle de la Detalle del Nivel Efectivi Nivel Decisin
Cdigo Riesgo Tipo Descripcin de la Impacto n del Descripcin
idad Probabilidad Impacto Resultante dad Residual Final
Probabilidad Impacto
Prdida
- Puertos USB
financiera alta.
bloqueados en El
Probablemente va Hasta S/.
Robo de el Oficinas negocio
Social Probable a ocurrir. (cada 5 0.2 Moderado 5,466. Dao de 150 30.00 70% 9.00
documentos Especiales, Call acepta el
aos) la imagen en el
de Crditos y riesgo
rubro de
Cobros
negocio
Prdida
financiera alta.
Robo de la infraestructura Puede ocurrir en - Seguridad El
Hasta S/.
de TI que almacena Robos de cualquier Fsica en las negocio
RIE009 Social Posible 0.07 Moderado 5,466. Dao de 150 10.50 70% 3.15
informacin sensible del equipos momento futuro. instalaciones de acepta el
la imagen en el
proceso. (cada 15 aos) la Edpyme riesgo
rubro de
negocio
4 1 0
Para todos los riesgos cuya decisin final sea Elaborar estrategia, se realizar el
planteamiento de estrategias de continuidad para tener un mayor control de dicho riesgo.
- Lista de riesgos cuyo valor residual superan el valor mximo que acepta la
microfinanciera por muestras.
4 1 1
En caso de que la estrategia implique la necesidad de capacitacin o induccin al personal
sobre un determinado tema, se enfocar su desarrollo dentro del Plan de Entrenamiento y
Capacitacin. Tambin, si la estrategia solo se aplica bajo situaciones de crisis, esta ser
contemplada dentro del Plan de Crisis. Finalmente, si la estrategia est relacionada al
restablecimiento de los servicios de TI, se detallar en el Plan de Recuperacin de los
Servicios de TI.
En conclusin, se busca que las estrategias planteadas formen parte de los planes del
sistema de gestin de continuidad del negocio que se van a desarrollar. Esto para que
dichas estrategias sean implementadas a posterior.
4 1 2
Tabla 169 - Definicin de estrategias de continuidad para los riesgos a realizar tratamiento adicional
Valoracin de Riesgo
Promedio
Riesgo Amenaza Residual - Segn Descripcin de Plan a
del Punto
Territorio Estrategia Desarrollar
de Riesgo
Cdigo Descripcin Amenaza Tipo de Amenaza Norte Centro Sur
Realizar
Acciones de empleados Plan de
capacitaciones de
RIE001 sin tica que afecten la Colaboradores Fraude interno 16.80 16.80 16.80 16.80 Entrenamiento y
concientizacin
imagen de la Edpyme. Capacitacin
de personal.
Dao de la integridad Fsico - No
Incendios 4.80 5.60 4.80 5.07
fsica de los colaboradores mecnico
de la Edpyme encargados Temblores / Sismos 4.50 4.50 0.90 3.30 Realizar planes de Plan de
de realizar la operacin Lluvias intensas 3.50 0.45 10.00 4.65 evacuacin, Entrenamiento y
del proceso, la Terremotos 24.00 24.00 24.00 24.00
RIE004 capacitacin al Capacitacin
infraestructura fsica de
Natural Tsunamis 4.80 4.80 3.60 4.40 personal y Plan de
las oficinas especiales y/o
Huaicos 6.00 4.50 10.50 7.00 simulacros Emergencia
sedes administrativas e
infraestructura de TI y los Inundacin 3.00 2.00 1.05 2.02
activos de informacin
Plan de
Tecnologas Saturacin de Creacin de
Recuperacin de
de sistemas de 15.00 15.00 15.00 15.00 enlaces de
Lentitud y/o los Servicios de
Informacin informacin contingencia
indisponibilidad del TI
servicio brindado por el Fsico - No Fallas de energa
RIE007 10.50 1.05 10.00 7.18
proceso de negocio y los mecnico elctrica Plan de
Implementar sitio
sistemas de informacin Fallas en aire Recuperacin de
5.25 2.10 5.25 4.20 de procesamiento
vitales. acondicionado los Servicios de
Infraestructura alterno externo
Fallas en equipos de TI
5.25 5.25 5.25 5.25
telecomunicacin
Fuente: Elaboracin propia
4 1 3
5.2.5 Diseo
5.2.5.1.1 Propsito
Este plan tiene como principal propsito brindar un conjunto de actividades que le
permiten a EDPYME GMG Servicios Per clasificar los incidentes que podra afectar a la
continuidad de su negocio y establecer los esquemas de comunicacin adecuados para
informar a los pblicos objetivos y/o grupos de inters durante una etapa de crisis.
5.2.5.1.2 Alcance
El alcance de este plan es establecer todas las actividades y acciones necesarias para que
los responsables de la gestin de crisis puedan evaluar, comprender y hacer frente a
diversos eventos. Asimismo, establecer lineamientos de comunicacin efectiva sobre un
evento que afecte la imagen institucional de EDPYME GMG Servicios Per.
5.2.5.1.3 Objetivos
El objetivo del plan de crisis es determinar los lineamientos y pautas a seguir por la
organizacin para minimizar el impacto en sus operaciones, entre los principales objetivos
se tienen los siguientes:
5.2.5.1.4 Justificacin
En situaciones que impacten los productos y servicios ofrecidos por EDPYME GMG
Servicios Per, como: informacin manipulada, desconocimiento de las polticas y
procedimientos establecidos, crisis internas o externas, daos a la infraestructura de TI,
desastres naturales y ambientales, epidemias, eventos de conmocin social, entre otros; la
organizacin debe de ser capaz de responder de forma oportuna ante los incidentes para
4 1 4
lograr minimizar el riesgo o daos con el fin de proteger la integridad y los intereses de la
institucin.
Para ello, es de suma importancia realizar una comunicacin efectiva a nivel interno y
externo cuando se presentan situaciones de riesgo de forma directa o indirecta, ya que la
comunicacin es un factor clave para interactuar con los actores que conforman la
organizacin para difundir, regular, monitorear y controlar el impacto que causan estos
acontecimientos a los servicios. El presente plan de crisis se basa en los lineamientos
brindados por la ISO 22301: 2012 y por la Circular G-139-209 de la SBS
(Superintendencia de Banca, Seguros y AFPs).
4 1 5
2. Asistente Administrativo de Crisis
Persona encargada de realizar el apoyo administrativo a los miembros del comit de
crisis. Sus principales responsabilidades son:
3. Gestor de Comunicaciones
Persona encargada de ver los temas de comunicacin con los grupos de inters durante
la etapa de crisis. Sus principales responsabilidades son:
- Tomar las decisiones durante la crisis en caso el presidente no pueda por fuerza
mayor.
4. Coordinador de Logstica
Persona encargada de gestionar los recursos necesarios durante toda la etapa de crisis.
Sus principales responsabilidades son:
4 1 6
5. Coordinador de Crisis
Persona encargada del desarrollo de todas las actividades del plan de crisis. Sus
principales responsabilidades son:
6. Asesor Financiero
Persona encargada de manejar todos los temas financieros durante la etapa de crisis.
Sus principales responsabilidades son:
- Definir estrategias financieras para manejar los posibles inconvenientes que afecten
los servicios brindados por EDPYME GMG Servicios Per.
7. Asesor Legal
Persona encarga de manejar todos los temas legales durante la etapa de crisis. Sus
principales responsabilidades son:
- Brindar una gua en la toma de decisiones de aspecto legal antes, durante y despus
de la etapa de crisis.
8. Vocero
Persona encargada de ser el representante principal de la microfinanciera EDPYME
GMG Servicios Per antes los medios de comunicacin y otras partes interesadas. Sus
principales responsabilidades son:
Presidente del
Comit
Asistente
Administrativo de
Crisis
Gestor de Coordinador de
Asesor Financiero Vocero
Comunicaciones Logstica
Coordinador de
Asesor Legal
Crisis
Las personas asignadas como titulares y suplentes para cada uno de los roles del comit de
crisis se detallan a continuacin:
Los trabajadores de EDPYME GMG Servicios Per son las personas que identifican y
reportan incidentes mediante protocolo de llamada telefnica a Mesa de Ayuda para
solicitar asistencia tcnica o de manera presencial a Seguridad para algn problema que
ocurra. Estos evaluarn el incidente y darn indicaciones para solucionarlo, pero en caso
no pueda ser controlado se notificar la situacin de crisis al Asistente Administrativo de
Crisis. Este informar al presidente del comit de crisis sobre la situacin haciendo que
este ltimo se ponga en contacto con los dems miembros del comit.
4 1 9
Tercer paso Anticipacin
Una vez declarada la crisis en la organizacin, se deben definir las actividades que se
realizarn durante las primeras horas y el impacto que tendr en las siguientes horas y das.
Luego, se da informacin de la situacin de crisis a todos los trabajadores de la
microfinanciera y da solucin a los problemas producidos como las posibles vctimas,
anuncios de investigaciones, impacto en residentes cercanos, etc. Para mayor detalle,
revisar la seccin 8 de este documento.
Mediante estos, se tendr una vista clara cuando un incidente es considerado una crisis o
no. Ya teniendo estos tipos definidos, se proceder a determinar los escenarios de cada
incidente en relacin a las principales amenazas a las que se encuentra expuesta EDPYME
GMG Servicios Per. Por un lado, se describen los escenarios de los incidentes en funcin
del impacto que estos tienen en los recursos, tanto infraestructura como personas, de la
organizacin.
4 2 0
Clasificacin Descripcin Verde Amarilla Roja
- Temblor / Sismo
- Terremoto
Sin dao a la Con dao a la
Desastre - Huaico
infraestructura y - infraestructura
Natural - Inundacin
personas y/o personas
- Tsunami
- Lluvias Intensas
Fuego que inicia Con dao en la
Desastre
Sin dao a la y pudo ser infraestructura
provocado
Incendio infraestructura y controlado sin y/o personas,
por el
personas mayores prdidas
hombre
dificultades humanas
Hasta el 30% del Hasta el 50% del Ms del 50% del
personal de las personal de las personal de las
oficinas oficinas oficinas
especiales, especiales, especiales,
personal de personal de personal de
soporte a soporte a soporte a
- Pandemia
Biolgicos procesos procesos procesos
- Epidemia
urgentes o urgentes o urgentes o
personal de las personal de las personal de las
dems sedes dems sedes dems sedes
reporta reporta reporta
inasistencia por inasistencia por inasistencia por
contagio contagio contagio
Fuente: Elaboracin propia
Por otro lado, se describirn los escenarios de los incidentes en funcin al impacto que
generan en el tiempo en relacin a su duracin.
4 2 1
Descripcin del
Tipo de Evento Verde Amarilla Roja
Evento
Equipos del Data
Hardware Center ubicado en
el Level 3
Aplicaciones y
Base de Datos de
Software
soporte a los
procesos crticos
Aire
acondicionado,
Infraestructura
ups, , instalaciones
(Level 3)
Denegacin de
servicios, cdigo
Seguridad TI
malicioso, acceso
no autorizado.
Proveedores
Proveedores crticos de
procesos urgentes.
Fuente: Elaboracin propia
Fase 1 Antes
A continuacin, se detallan las actividades que realiza cada rol antes de la ocurrencia de un
incidente de crisis.
Fase 2 Durante
4 2 3
La persona a contactar en situaciones de crisis:
El presidente del equipo de gestin de crisis o una persona asignada debe de comunicarle
al Director Ejecutivo o Gerente General de EDPYME GMG Servicios Per sobre la crisis.
De acuerdo al criterio del presidente del comit de crisis, si se necesita se puede convocar a
una reunin con el equipo de gestin de crisis y con miembros adicionales segn
corresponda. Si la situacin de crisis lo amerita, se debe de designar a un asistente
administrativo para que ayude al equipo de gestin de crisis. La funcin del asistente es
llevar una bitcora de eventos.
El coordinador del equipo de gestin de crisis debe de confirmar que el equipo designado
se encuentra en el lugar de la crisis.
4 2 4
Notificar todos los empleados, tanto de la sede central como de las oficinas
mediante correo electrnico, mensajes de texto o llamadas por voz, que todas las
llamadas de los medios con respecto al incidente se desviaran al vocero designado.
El coordinador de gestin de crisis debe de colaborar con el equipo designado para reunir
informacin sobre la emergencia y debe de realizar las siguientes acciones:
Si la crisis es la gravedad del incidente, el Presidente del comit de crisis puede designar
un recurso de apoyo de la oficina principal al lugar del incidente.
El coordinador de crisis debe colaborar con el equipo de gestin de crisis para redactar el
documento de declaracin a los medios y preparar informacin de antecedentes relevantes
para colocar en la declaracin. La declaracin y la informacin de antecedentes relevantes
deben de ser aprobadas por el presidente del comit de crisis.
De ser necesario, el asistente administrativo debe de preparar informes para las familias de
las victimas los cuales deben de ser aprobados por el presidente de gestin de crisis. El
coordinador del equipo de crisis y el asistente administrativo deben de redactar una
declaracin similar para los empleados de toda la empresa, la cual debe de ser aprobada
por el presidente del comit de crisis.
4 2 5
declaracin se transmitir a los empleados de la oficina principal y luego a los empleados
de la agencia. Ya con la aprobacin y publicacin de la declaracin corporativa, el vocero
designado debe devolver las llamadas enumeradas en la hoja de registro de llamadas
telefnicas de medios lo ms pronto posible. El vocero designado debe llamar a las partes
interesadas antes de la publicacin de la declaracin en los medios. Las partes interesadas
deberan ser las siguientes:
Lderes de comunidades
Junta directiva
Entes reguladores
Clientes clave
Proveedores
Bancos cercanos
Accionistas
- Lesiones o muertes
- Evacuacin
4 2 6
No se debe permitir que los medios de comunicacin ingresen a la oficina donde se
encuentra el comit de crisis.
- Paso 9: Informe
Revisar los intereses de los medios de comunicacin, redes sociales y el foco de las
preguntas de las partes interesadas.
Revisar los intereses y respuestas del gobierno y/o entes reguladores y sus
respuestas hasta la fecha.
4 2 7
Tabla 175 - Lista de recursos necesarios dentro del centro de comando
Laptops
Proyector
Impresora
Equipos Telfono Fijo
Celular
Radio
Televisor
Hojas Bond
Kits de Oficina
Pizarra
Insumos
Plumones de pizarra
Mota para pizarra
Portafolios
Cables de red
Cables de seguridad para laptop
Extras
Tomacorrientes
Supresor de picos
Mesa
Sillas
Mobiliario
Estante o archivador
Gabinete con seguro
Internet (Cableado y/o inalmbrico)
Correo electrnico
Servicios Telefona Nacional
Seguridad fsica
Transporte (Vehculos)
Fuente: Elaboracin propia
- Analistas Econmicos.
- Sistema Financiero.
- Empresas aseguradoras.
- Junta de Accionistas.
4 2 8
- Trabajadores de EDPYME GMG Servicios Per
3. Sede CECADE Av. Los Hroes 504 San Juan de Miraflores Local Alterno
Fuente: Elaboracin propia
Estos centros de comando deben cumplir con los siguientes requerimientos que permitan el
ptimo trabajo del comit de crisis.
Recursos necesarios: Debe contar con todos los equipos, insumos, extras, mobiliario y
servicios descritos en la seccin 10.
5.2.5.2.1 Introduccin
El Plan de Recuperacin ante Desastres de TI (DRP) de EDPYME GMG Servicios Per
cumple con la finalidad de minimizar los efectos de un desastre y que la institucin sea
4 2 9
capaz de mantener y estabilizar en un tiempo prudente sus operaciones crticas del negocio
acoplando los estndares de la ISO 22301:2012 y la Circular G-139-2009.
5.2.5.2.2 Alcance
El Plan de Recuperacin de los Servicios de TI es desarrollado bajo las siguientes
premisas:
- El Plan de Recuperacin ante Desastres de TI (DRP) solo cubre las situaciones en que
no se encuentre operando el Data Center principal.
- El escenario a ser probado es la destruccin del 80% del Data Center principal.
5.2.5.2.3 Objetivos
Los objetivos del Plan de Recuperacin de los Servicios de TI (DRP) son los siguientes:
4 3 0
- Conformado por un lder de equipo y un suplente.
- Mantener informada a la Alta Direccin del estado del desastre, las fases de
recuperacin y los posibles problemas a enfrentar.
4 3 1
- Habilitar los procedimientos de backup y restablecer los controles normales de
operacin del Data Center.
A continuacin se detallan las personas que asumirn los roles del equipo de recuperacin
ante desastres en primera instancia (P) y los suplentes (S) en caso hubiera asignado.
Tabla 177 - Miembros del equipo de recuperacin ante desastres de EDPYME GMG
Servicios Per
Rol Nombre Cargo
Coordinador de Recuperacin
P Arturo Yep Gerente de TI
de TI
Coordinador de Infraestructura
P Guillermo Fuentes Jefe de Servidores y Base de Datos
Tecnolgica y Redes
Coordinador de Sistemas de Jefe de Operaciones y Servicios de
P Giancarlo Vasquez
Informacin y Soporte Tcnico TI
4 3 2
Coordinador de Seguridad de la P Giselle Oviedo Gerente de Riesgos
Informacin S Jos Prieto ISA - DESK
Fuente: Adaptacin de informacin brindada
Procesos Crticos
Los procesos crticos identificados antes durante el Anlisis de impacto en el negocio son
los siguientes:
Tabla 178 - Lista de procesos crticos identificados de EDPYME GMG Servicios Per
Proceso 1er Nivel Proceso 2do Nivel
Gestin de Crditos Gestionar Evaluacin
Gestin de Crditos Gestionar Desembolso
Gestin de Crditos Gestionar Pagos
Gestin de Cobros Gestionar Cobranza Preventiva
Gestin de Cobros Gestionar Cobranza Vencidos
Gestin Contable Gestionar Cierre del Da
Gestin Contable Gestionar Cierre Contable Mensual y Reportes
Fuente: Elaboracin propia
De acuerdo a los resultados del Anlisis de Impacto en el Negocio, se han obtenido los
siguientes valores; los cuales nos indican los procesos que se deben restaurar primero en
funcin del MTD.
Tabla 179 - Valores de RTO, RPO y MTD de los procesos crticos de EDPYME GMG
Servicios Per
Procesos 1er
Procesos 2do Nivel Criticidad RTO RPO MTD
Nivel
Gestionar Evaluacin 4.33
Gestin de
Gestionar Desembolso 4.00 5 das 24 hrs 7 das
Crditos
Gestionar Pagos 4.17
Gestin de Gestionar Cobranza Preventiva 4.17
5 das 24 hrs 10 das
Cobros Gestionar Cobranza Vencidos 4.17
Gestin Contable Gestionar Cierre del Da 4.25 5 das 24 hrs 7 das
4 3 3
Procesos 1er
Procesos 2do Nivel Criticidad RTO RPO MTD
Nivel
Gestionar Cierre Contable Mensual
4.25
y Reportes
Fuente: Elaboracin propia
- Relacin de Contactos
- Relacin de Proveedores
A continuacin, se muestran los mdulos en del sistema Genesys que soportan los procesos
crticos:
Tabla 180 - Mdulo de Genesys, SAPv y SAP R/3, estrategias para el servidor de base de
datos y aplicacin utilizados para cada uno de los procesos crticos de EDPYME GMG
Servicios Per
Proceso Mdulos Mdulos Servidores Servidor
Proceso 2do Mdulos
1er de de SAP de Base de de
Nivel de SAPv
Nivel Genesys R/3 Datos Aplicacin
Gestionar Contingencia Contingencia
Portafolio - -
Evaluacin en Espera en Espera
Gestin de Gestionar Lnea de Contingencia Contingencia
Portafolio -
Crditos Desembolso Crdito en Espera en Espera
Lnea de Contingencia Contingencia
Gestionar Pagos Cobros -
Crdito en Espera en Espera
Gestionar Cobranza Contingencia Contingencia
Cobros Pagos -
Gestin de Preventiva en Espera en Espera
Cobros Gestionar Cobranza Contingencia Contingencia
Cobros Pagos -
Vencidos en Espera en Espera
4 3 4
Proceso Mdulos Mdulos Servidores Servidor
Proceso 2do Mdulos
1er de de SAP de Base de de
Nivel de SAPv
Nivel Genesys R/3 Datos Aplicacin
Gestionar Cierre del Procesos Contingencia Contingencia
- Financiero
Da Batch en Espera en Espera
Gestin
Gestionar Cierre
Contable Procesos Contingencia Contingencia
Contable Mensual y - Financiero
Batch en Espera en Espera
Reportes
Fuente: Elaboracin propia
Servidores
Se describen los servidores de contingencia necesarios para poder recuperar los procesos
crticos afectados.
Comunicacin
Se describen los recursos necesarios para poder realizar la comunicacin entre los equipos
internos y externo de EDPYME GMG Servicios Per.
4 3 5
En este apartado, se evala el desastre ocurrido para poder activar el Data Center Alterno
de EDPYME GMG Servicios Per y poder tomar las medidas necesarias. En el siguiente
Diagrama de Flujo se describe los pasos para declarar un incidente como desastre:
Los siguientes eventos pueden desencadenar un desastre dependiendo del tiempo que
duracin que tengan. Estos tiempos de intervalo entre cada uno de los niveles de eventos se
encuentran relacionados con los 5 das equivalente al RTO de los procesos crticos
identificados. Por ello, aquellos eventos que puedan ser solucionados dentro del primer da
no requieren la activacin de este plan, los eventos que llegan a tener una duracin mayor a
un da deben ser monitoreados y comunicados al comit de crisis, pero si llegarn a superar
los 5 das, se realizar la activacin del plan con la indicacin del comit de crisis.
Aplicaciones y Base
Software de Datos de soporte a
los procesos crticos
Aire acondicionado,
Infraestructura ups, , instalaciones Sedes
(Level 3) Sedes Sedes
Administrativas
Administrativas Administrativa
Denegacin de y red de
y red de s y red de
servicios, cdigo oficinas
Seguridad TI oficinas oficinas
malicioso, acceso no especiales
especiales especiales
autorizado. >1 das y 5
1 da > 5 das
Proveedores crticos das
Proveedores
de procesos urgentes.
Fuente: Elaboracin propia
Evaluacin de Daos
Este paso debe de ser realizado por el Coordinador de Sistemas de Informacin y Soporte
Tcnico, el cual debe de tener como objetivo establecer directrices para una adecuada
evaluacin de daos de la infraestructura de TI en el local del Level 3. El informe de
evaluacin de daos debe de ser reportado al Comit de Gestin de Crisis, el cual evaluar
si se debe activar o no, el Site Alterno ubicado en Costa Rica.
Para poder realizar una adecuada evaluacin de daos se deben de considerar las siguientes
situaciones:
Este paso debe de ser realizado por el Coordinador de Sistemas de Informacin y Soporte
Tcnico. En este apartado se describen aquellas actividades necesarias para poder notificar
el evento y movilizar a los miembros del Equipo de Recuperacin de TI.
Para realizar adecuadamente este apartado, se deben de realizar los siguientes puntos:
Este paso debe de ser realizado por el Coordinador de Sistemas de Informacin y Soporte
Tcnico, el cual se debe de encargar de establecer los lineamientos necesarios para realizar
la activacin del Site Alterno.
Para realizar adecuadamente este apartado, se deben de llevar a cabo los siguientes puntos:
1. Para activar el Site Alterno, primero se debe de recibir la confirmacin del Comit
de Crisis.
2. Comunicar y coordinar con el Gerente de TI del proveedor del Site Alterno en
Costa Rica.
3. Coordinar con soporte tcnico del proveedor de Costa Rica para validar el acceso a
los servicios.
4. Validar con el proveedor de comunicaciones el enlace de comunicacin.
5. Comunicar al Equipo de Recuperacin de TI y al Comit de Crisis, la activacin
del Site Alterno.
Recuperar Comunicaciones en el Level 3
4 3 8
5. Verificar que los equipos adquiridos funcionen correctamente (realizar pruebas de
comunicacin).
6. Elaborar un informe comunicando el estado de los equipos.
Recuperar de Equipos
- Coordinar con los proveedores, para verificar si se realizar un alquiler o compra de los
equipos.
1. Aplicativo Genesys
Informacin General:
Caractersticas:
Recuperacin:
2. Aplicativo SAPv
Informacin General:
Caractersticas:
Recuperacin:
4 4 0
3. Aplicativo SAP R/3
Informacin General:
Caractersticas:
Recuperacin:
4. Aplicativo Bluepoint
Informacin General:
Caractersticas:
Recuperacin:
4 4 1
- Realizar la instalacin y Configuracin de las bases de datos de Datos siguiendo
el Instructivo de Instalacin y Configuracin Base de Datos.
5. Correo Electrnico
- Restaurar o Reparar el Servidor (contactar al proveedor)
4 4 2
Notificar durante las operaciones de Recuperacin, Operacin en Contingencia
5.2.5.3.1 Introduccin
La sede principal EDPYME GMG Servicios Per SA est ubicado en Calle Antares 320,
Torre B, Oficina 605, Urb. La Alborada en el Distrito de Santiago de Surco, y se dedica al
rubro del desarrollo sostenible brindando servicios financieros. El Plan de Emergencias es
un informe donde se especifican las caractersticas de los sistemas de evacuacin, en el
cual se incluyen directivas, organizacin de brigadas, equipamientos de seguridad,
capacitacin y entrenamiento del personal, plan de evacuacin y procedimientos a seguir.
4 4 3
Tabla 184 - Lista de eventos que pueden generar una situacin de emergencia
Origen Tipo
Temblores
Natural Terremotos
Tsunamis
Incendios
Derrumbes
Tecnolgico /
Asaltos
Humano
Explosiones
Corto-Circuito
Fuente: Elaboracin propia
La creacin del presente Plan para las instalaciones que son concurridas por personas,
emerge de la necesidad de prever hecho, que debido a su naturaleza y magnitud puedan
ocasionar daos a la integridad de las personas, patrimonio y/o medio ambiente.
5.2.5.3.2 Alcance
El presente Plan de Emergencias es aplicable a todo el personal que se encuentre en las
oficinas de la EDPYME GMG Servicios Per SA, con el compromiso de dar seguridad a
las personas que laboran y acuden a las oficinas.
5.2.5.3.3 Objetivos
El presente plan tiene como objetivo principal elevar el nivel adecuado de preparacin,
control, supervisin y ejecucin de los ejercicios de seguridad de las instalaciones la
EDPYME GMG Servicios Per SA, las reas comunes de la oficina principal, facilitando y
proponiendo los recursos humanos y logsticos en la convergencia de esfuerzos, para el
cumplimiento de cada uno de los puntos detallados en el Plan. De esta forma, lograr
minimizar los peligros, vulnerabilidades y riesgos ante eventos de origen natural,
tecnolgico o humano. Por ello, se han establecido los siguientes objetivos especficos:
4 4 4
- Establecer procedimientos en el antes, durante y despus de una emergencia.
- Establecer las sealizaciones de las rutas de escape y las zonas de seguridad internas y
externas.
5.2.5.3.4 Justificacin
El Plan de Emergencias se desarrolla para obtener un proceso adecuado de evacuacin del
lugar donde se encuentre el personal al momento del siniestro, enfocado en preparar a los
colaboradores ante una situacin que normalmente no se encuentra preparado.
Mediante el desarrollo de este plan se busca que ante un evento que obligue a evacuar el
recinto, se logre de la mejor manera y siguiendo los procedimientos estructurados dentro
del Plan.
5.2.5.3.5 Vigencia
Un (01) ao, luego debe de ser actualizado por el coordinador del comit de seguridad y
salud en el trabajo.
- INDECI
4 4 5
- Direccin Calle Antares 320, Torre B.
- Telfono
La Edpyme realiza sus actividades en las oficinas 605 (97.5 m2) y 606 (96.3 m2), las
distribuciones dentro de cada local son las siguientes:
- Oficina de Directorio
- Sala de Espera
Ubicacin Urbana
El local se encuentra muy cerca de la avenida Benavides cuadra 46, distrito de Santiago de
Surco. Se puede acceder al local desde la nica entrada ubicada en la calle Antares. La
cuenta con una puerta principal con mampara que da el acceso a los ascensores de la Torre
B.
Funciones:
- Promover que todos los trabajadores reciban una formacin, instruccin y orientacin
sobre prevencin de riesgos.
4 4 7
- Realizar inspecciones peridicas en las reas administrativas, operativas con el fin de
reforzar la gestin preventiva.
- Las personas brigadistas deben de tener la capacidad de respuesta inmediata ante una
situacin de emergencia.
1. Presidente
Encargado: Cesar Calle Valdivieso
Funciones
2. Coordinador
Encargado: Rene Huamn Ludea
Funciones
4 4 8
- Llevar un libro de actas actualizado.
3. Jefe de Brigadas
Encargado: Cesar Calle Valdivieso
Antes
- Brindar apoyo a los servicios de emergencia que acudan en apoyo, dando un perfil
aproximado de la situacin.
Durante
Despus
4 4 9
- Luego de la emergencia, el Jefe de Brigadas y el presidente del Comit de
Seguridad y Salud en el Trabajo debern realizar un breve recorrido por las
instalaciones para detectar riesgos en la edificacin que pudieran haber ocasionado
el siniestro.
4. Delegados de Brigadas
La funcin principal es mantener informados a los principales integrantes acerca de la
informacin que comunicarn los jefes de brigadas.
Brigadas Operativas
Son aquellas personas responsables de dar respuesta de forma inmediata ante alguna
emergencia, con el propsito de controlarla en el menor tiempo posible.
Brigadas de Evacuacin
Cada una de las personas mencionadas anteriormente, tienen que cumplir las siguientes
funciones:
Antes
4 5 0
Durante
- Actuar con serenidad y pasar la voz a los dems sin perder la calma.
- Indicar a las mujeres que usen tacones o zapatos altos que debern quitrselos para
evitar cadas colectivas.
Despus
- Los brigadistas de evacuacin tienen que verificar segn su lista, el personal que
falta.
4 5 1
Antes
- Corregir cualquier acto inseguro que pueda originar incendios (enchufes sobre
cargados, cordones en mal estado); si es as, informar de inmediato al Jefe de
Brigadas.
- Evitar que los artefactos que generen calor se coloquen cerca de materiales y
lquidos inflamables.
Durante
Despus
- Controlar la permanencia y evacuacin del personal que ocupa los exteriores del
local.
- No ingresar ni permitir el ingreso al escenario del incendio sin antes estar seguro de
que se haya apagado totalmente el fuego.
4 5 2
5.2.5.3.10 Brigadas de Primeros auxilios
Son las personas con el conocimiento tcnico y prctico de los primeros auxilios para
la atencin de los heridos.
Antes
Durante
- Ayudar a las personas que requieran apoyo para movilizarse hacia zonas seguras.
- Reunir los recursos necesarios para brindar atencin de primeros auxilios, en las
zonas de seguridad externas.
Despus
4 5 3
Riesgos
- Incendios
- Derrumbes
- Inundaciones
- Asaltos
- Robos
Amenazas
- Sismos
- Tsunamis
Vulnerabilidades
- Desconocimiento de riesgos
- Falta de procedimientos
Riesgo de Incendio
Riesgo de derrumbe
El riesgo de derrumbe de las oficinas de la Edpyme se puede dar debido a las siguientes
causas:
- Actividad Ssmica
4 5 4
Richter, es posible que se presenten daos como rajaduras o fisuras en los muros,
columnas, vigas y/o techos.
- Explosiones
Existe la posibilidad de una explosin en las instalaciones del Centro Empresarial El Trigal
como consecuencia de un atentado con material explosivo. Los daos seran mayores si la
explosin se produce cerca o dentro de las instalaciones y que se encuentren dentro de la
onda expansiva de la detonacin.
Riesgo de Inundacin
El riesgo de inundacin en las oficinas de la Edpyme se puede dar debido a las siguientes
causas:
Para realizar el clculo del tiempo de evacuacin de las oficinas ubicadas en el sexto piso
del Centro Empresarial El Nuevo Trigal, se han solicitado los siguientes datos:
- Personal: 19 personas
- El ancho de las puertas es de 1.20 m, lo cual indica que por ella pueden pasar 2
personas de aproximadamente 60 cm cada una.
4 5 5
- Velocidad de desplazamiento horizontal: 2 m/seg.
= +
Dnde:
- Puertas de salida 01
- Cantidad de personas 19
- Visitas promedio 24
Se asume que las puertas de salida tienen un promedio de 1.20 mts de ancho por lo que se
estima que por segundo pasen dos personas por puerta (2 personas / seg).
- Ts=(N personas por piso)/(N personas que pasan por la puerta N de puertas)
- Ts=19/(2 1)
- Ts=9.5 seg
4 5 6
Tiempo Total de Evacuacin
- TE=TDh+TDv+Ts
- TE=75.13+33.70+9.5
- TE=118.33 seg
Finalmente, tomando en cuenta las distancias mximas por recorrer tanto en metros
lineales como en las escaleras hacia las Zonas de Seguridad, se estima que el tiempo total
de evacuacin para 19 personas del piso 6 del Centro Empresarial El Trigal, es de 118.33
segundos.
En caso de Incendio
Este apartado tiene como objetivo principal brindar lineamientos para responder
apropiadamente ante un incendio o amago de incendio que ocurra en las instalaciones.
Logrando de esta forma proteger la vida e integridad fsica y psquica de los ocupantes del
establecimiento, reduciendo los daos materiales y su efecto en las operaciones normales
de local.
4 5 7
Reportar datos importantes para la seguridad de las personas e instalaciones.
Antes de todo, asegurarse de que la alarma contra incendios no ha sido activada de forma
involuntaria, es decir, evitar falsos positivos. Las funciones a cumplir por cada rol son las
siguientes:
- Intentar alejar los materiales combustibles de las zonas a las que podra propagarse el
fuego.
- Antes de abrir una puerta que se encuentre cerrada comprobar su temperatura. Si est
caliente, no abrir para evitar una posible explosin.
Brigada de Evacuacin
- Ayudar y guiar al personal que se encuentre dentro de las oficinas a seguir las
sealizaciones hacia los puntos de evacuacin.
- Luego de terminar la evacuacin, pasar lista para verificar si el personal est completo.
En caso sea necesario generar el requerimiento de rescate, atencin a personas
atrapadas y/o heridas durante la emergencia.
- Estar atentos si se producen heridos para atenderlos con los primeros auxilios.
4 5 8
- Si se prende la ropa de los trabajadores, impedir que corra, tirar al suelo, y cubrir con
una prenda o manta apretndola sobre el cuerpo o hacer que ruede sobre s misma.
Luego de apagadas las llamas se les cubrir con una tela limpia, sin quitar la ropa
quemada y trasladar al centro de salud ms cercano.
Mantener aislada la zona afectada, sin retornar a ella hasta que se verifique la ausencia de
condiciones de riesgo.
En caso de Sismo
Este apartado tiene como objetivo principal brindar lineamientos para responder
apropiadamente ante un evento ssmico que ocurra en las instalaciones. Logrando de esta
forma proteger la vida e integridad de los ocupantes del establecimiento, reduciendo los
daos materiales y su efecto en las operaciones normales de local.
- Luego de la actividad ssmica, salir en forma ordenada del edificio y dirigirse a las
zonas de seguridad.
- En caso hubieran heridos, estos deben de ser atendidos por la Brigada de Primeros
auxilios. Si es de gravedad, trasladar a los heridos al centro de salud ms cercado.
Tener precaucin al abrir puertas, armarios entre otros ya que pueden haber quedado en
posicin inestable.
5.2.5.4.1 Introduccin
La sede operativa de EDPYME GMG Servicios Per SA est ubicado en Jirn Barlovento
135, Segundo Piso en el Distrito de Santiago de Surco, y se dedica al rubro del desarrollo
sostenible brindando servicios financieros. El Plan de Emergencias es un informe donde se
4 5 9
especifican las caractersticas de los sistemas de evacuacin, en el cual se incluyen
directivas, organizacin de brigadas, equipamientos de seguridad, capacitacin y
entrenamiento del personal, plan de evacuacin y procedimientos a seguir.
Tabla 185 - Lista de eventos que pueden generar una situacin de emergencia
Origen Tipo
Temblores
Natural Terremotos
Tsunamis
Incendios
Derrumbes
Tecnolgico / Asaltos
Humano Explosiones
Corto-Circuito
Fuga de gas
Fuente: Elaboracin propia
La creacin del presente Plan para las instalaciones que son concurridas por personas,
emerge de la necesidad de prever hecho, que debido a su naturaleza y magnitud puedan
ocasionar daos a la integridad de las personas, patrimonio y/o medio ambiente.
4 6 0
5.2.5.4.2 Alcance
El presente Plan de Emergencias es aplicable a todo el personal que se encuentre en las
oficinas de la EDPYME GMG Servicios Per SA, con el compromiso de dar seguridad a
las personas que laboran y acuden a la oficina de operaciones.
5.2.5.4.3 Objetivos
El presente plan tiene como objetivo principal elevar el nivel adecuado de preparacin,
control, supervisin y ejecucin de los ejercicios de seguridad de las instalaciones la
EDPYME GMG Servicios Per SA, las reas comunes de la Oficina de Operaciones,
facilitando y proponiendo los recursos humanos y logsticos en la convergencia de
esfuerzos, para el cumplimiento de cada uno de los puntos detallados en el Plan. De esta
forma, lograr minimizar los peligros, vulnerabilidades y riesgos ante eventos de origen
natural, tecnolgico o humano. Por ello, se han establecido los siguientes objetivos
especficos:
- Establecer las sealizaciones de las rutas de escape y las zonas de seguridad internas y
externas.
5.2.5.4.4 Justificacin
El Plan de Emergencias se desarrolla para obtener un proceso adecuado de evacuacin del
lugar donde se encuentre el personal al momento del siniestro, enfocado en preparar a los
colaboradores ante una situacin que normalmente no se encuentra preparado.
Mediante el desarrollo de este plan se busca que ante un evento que obligue a evacuar el
recinto, se logre de la mejor manera y siguiendo los procedimientos estructurados dentro
del Plan.
4 6 1
5.2.5.4.5 Vigencia
Un (01) ao, luego debe de ser actualizado por el coordinador del comit de seguridad y
salud en el trabajo.
- INDECI
- Telfono 612-6865
La Edpyme realiza sus actividades en todo el segundo piso (120.5 m2), las distribuciones
dentro de cada local son las siguientes:
4 6 2
- Sala de Espera
- Oficinas Administrativas
- Call de Crditos
- Call de Cobros
Ubicacin Urbana
El local se encuentra muy cerca de la avenida Benavides cuadra 34, distrito de Santiago de
Surco. Se puede acceder al local desde la nica entrada ubicada en Jirn Barlovento. La
cuenta con una puerta principal de fierro, la cual da a la escalera principal del segundo
piso.
4 6 3
Accesos de Seguridad desde el Interior
Funciones:
- Promover que todos los trabajadores reciban una formacin, instruccin y orientacin
sobre prevencin de riesgos.
- Las personas brigadistas deben de tener la capacidad de respuesta inmediata ante una
situacin de emergencia.
4 6 4
- Organizar las brigadas de emergencia
1. Presidente
Encargado: Cesar Calle Valdivieso
Funciones
2. Coordinador
Encargado: Rene Huamn Ludea
Funciones
4 6 5
- Elaborar una bitcora ordenada de las capacitaciones realizadas y los informes
de los simulacros.
3. Jefe de Brigadas
Encargado: Cesar Cavani Orihuela
Antes
Durante
Despus
4 6 6
- Garantizar la seguridad de las personas sobre todo de las mujeres embarazadas
y personas discapacitadas.
4. Delegados de Brigadas
La funcin principal es mantener informados a los principales integrantes acerca de la
informacin que comunicaran los jefes de brigadas.
5. Brigadas Operativas
Son aquellas personas responsables de dar respuesta de forma inmediata ante
alguna emergencia, con el propsito de controlarla en el menor tiempo posible.
Brigadas de Evacuacin
Cada una de las personas mencionadas anteriormente, tienen que cumplir las
siguientes funciones:
Antes
Durante
- Actuar con serenidad y pasar la voz a los dems sin perder la calma.
4 6 7
- Recomendar calma y serenidad al personal; as como tambin, orden y
disciplina para impedir el pnico y desorganizacin de la evacuacin.
- Indicar a las mujeres que usen tacones o zapatos altos que debern quitrselos
para evitar cadas colectivas.
Despus
Son los responsables de enfrentar los conatos de incendio segn las capacitaciones
realizadas, as como tambin, la verificacin de los extintores. Los miembros de la
brigada de Lucha contra Incendios son los siguientes:
Antes
- Corregir cualquier acto inseguro que pueda originar incendios (enchufes sobre
cargados, cordones en mal estado); si es as, informar de inmediato al Jefe de
Brigadas.
4 6 8
- Evitar que los artefactos que generen calor se coloquen cerca de materiales y
lquidos inflamables.
Durante
Despus
Son las personas con el conocimiento tcnico y prctico de los primeros auxilios
para la atencin de los heridos.
4 6 9
Antes
Durante
- Ayudar a las personas que requieran apoyo para movilizarse hacia zonas
seguras.
- Reunir los recursos necesarios para brindar atencin de primeros auxilios, en las
zonas de seguridad externas.
Despus
4 7 0
Riesgos
- Incendios
- Derrumbes
- Inundaciones
- Asaltos
- Robos
- Explosiones
- Fugas de gas
Amenazas
- Sismos
- Tsunamis
Vulnerabilidades
- Desconocimiento de riesgos
- Falta de procedimientos
Riesgo de Incendio
Riesgo de derrumbe
El riesgo de derrumbe de las oficinas de la Edpyme se puede dar debido a las siguientes
causas:
4 7 1
1. Actividad Ssmica
Existe la posibilidad de un derrumbe parcial o total de las instalaciones del Centro de
Operaciones debido a una actividad ssmica, con una intensidad mayor o igual a 7.5 grados
en la escala de Richter. Si la actividad ssmica es de 5.0 grados en la escala de Richter, es
posible que se presenten daos como rajaduras o fisuras en los muros, columnas, vigas y/o
techos.
2. Explosiones
Existe la posibilidad de una explosin en las instalaciones de la sede Higuereta como
consecuencia de un atentado con material explosivo o por fallas en los instrumentos
utilizados en los negocios comerciales del primer nivel (Restaurantes). Los daos seran
mayores si la explosin se produce cerca o dentro de las instalaciones y que se encuentren
dentro de la onda expansiva de la detonacin.
Riesgo de Inundacin
El riesgo de inundacin en las oficinas de la Edpyme se puede dar debido a las siguientes
causas:
Para realizar el clculo del tiempo de evacuacin de las oficinas ubicadas en el segundo
piso del Centro Comercial Higuereta, se han solicitado los siguientes datos:
- Personal: 20 personas
4 7 2
- El ancho de las puertas es de 1.20 m, lo cual indica que por ella pueden pasar 2
personas de aproximadamente 60 cm cada una.
= +
Dnde:
- Puertas de salida 01
- Cantidad de personas 20
- Visitas promedio 10
4 7 3
Tiempo de Salida del edificio:
Se asume que las puertas de salida tienen un promedio de 2.00 mts de ancho por lo que se
estima que por segundo pasen tres personas por puerta (3 personas / seg).
- Ts=(N personas por piso)/(N personas que pasan por la puerta N de puertas)
- Ts=20/(3 1)
- Ts=6.67 seg
- TE=TDh+TDv+Ts
- TE=19.13+7.00+6.67
- TE=32.8 seg
Finalmente, tomando en cuenta las distancias mximas por recorrer tanto en metros
lineales como en las escaleras hacia las Zonas de Seguridad, se estima que el tiempo total
de evacuacin para 20 personas del piso 2 del Centro Comercial Higuereta, es de 32.8
segundos.
En caso de Incendio
Este apartado tiene como objetivo principal brindar lineamientos para responder
apropiadamente ante un incendio o amago de incendio que ocurra en las instalaciones.
Logrando de esta forma proteger la vida e integridad fsica y psquica de los ocupantes del
4 7 4
establecimiento, reduciendo los daos materiales y su efecto en las operaciones normales
de local.
Antes de todo, asegurarse de que la alarma contra incendios no ha sido activada de forma
involuntaria, es decir, evitar falsos positivos. Las funciones a cumplir por cada rol son las
siguientes:
- Intentar alejar los materiales combustibles de las zonas a las que podra propagarse el
fuego.
- Antes de abrir una puerta que se encuentre cerrada comprobar su temperatura. Si est
caliente, no abrir para evitar una posible explosin.
Brigada de Evacuacin
- Ayudar y guiar al personal que se encuentre dentro de las oficinas a seguir las
sealizaciones hacia los puntos de evacuacin.
4 7 5
- Luego de terminar la evacuacin, pasar lista para verificar si el personal est completo.
En caso sea necesario generar el requerimiento de rescate, atencin a personas
atrapadas y/o heridas durante la emergencia.
- Estar atentos si se producen heridos para atenderlos con los primeros auxilios.
- Si se prende la ropa de los trabajadores, impedir que corra, tirar al suelo, y cubrir con
una prenda o manta apretndola sobre el cuerpo o hacer que ruede sobre s misma.
Luego de apagadas las llamas se les cubrir con una tela limpia, sin quitar la ropa
quemada y trasladar al centro de salud ms cercano.
Mantener aislada la zona afectada, sin retornar a ella hasta que se verifique la ausencia de
condiciones de riesgo.
En caso de Sismo
Este apartado tiene como objetivo principal brindar lineamientos para responder
apropiadamente ante un evento ssmico que ocurra en las instalaciones. Logrando de esta
forma proteger la vida e integridad de los ocupantes del establecimiento, reduciendo los
daos materiales y su efecto en las operaciones normales de local.
- Luego de la actividad ssmica, salir en forma ordenada del edificio y dirigirse a las
zonas de seguridad.
- En caso hubieran heridos, estos deben de ser atendidos por la Brigada de Primeros
auxilios. Si es de gravedad, trasladar a los heridos al centro de salud ms cercado.
4 7 6
Tener precaucin al abrir puertas, armarios entre otros ya que pueden haber quedado en
posicin inestable.
5.2.5.5.1 Propsito
Este plan tiene como principal propsito brindar un conjunto de actividades que le
permitan a la microfinanciera EDPYME GMG Servicios Per realizar la capacitacin y
entrenamiento de su personal frente a diversos eventos que afecten la continuidad del
negocio. De esta forma, se garantizar la rpida recuperacin del negocio y salvaguardar la
integridad de sus colaboradores.
5.2.5.5.2 Alcance
El alcance de este plan es establecer todas las actividades y acciones necesarias para llevar
a cabo el entrenamiento y capacitacin de todo el personal de EDPYME GMG Servicios
Per. Asimismo, establecer los temas que se abordarn, el cronograma y los ambientes de
capacitacin.
5.2.5.5.3 Objetivos
El objetivo del plan de entrenamiento y capacitacin es determinar los lineamientos y
pautas a seguir para realizar el entrenamiento y capacitacin de todo el personal de
EDPYME GMG Servicios Per, entre los principales objetivos se encuentran los
siguientes:
5.2.5.5.4 Justificacin
El recurso ms importante para EDPYME GMG Servicios Per es su personal, ya que este
es pieza clave para garantizar la entrega de los productos y servicios al cliente. Por ello,
estas personas deben encontrarse en la capacidad de responder ante cualquier incidente que
pudiera ocurrir y afecte la atencin al cliente. A partir de esto, surge la necesidad de
planificar las actividades necesarias para capacitar y entrenar a todo el personal de la
4 7 7
organizacin frente a los diversos eventos que pudieran surgir, asegurando que estos sepan
actuar de la forma correcta y menos riesgosa.
1. Responsable de capacitacin
Persona encargada de gestionar todas las tareas para la realizacin de la capacitacin al
personal. Sus principales tareas son:
2. Asistente de capacitacin
Persona encarga de apoyar a las actividades del responsable de la capacitacin. Sus
principales tareas son:
4 7 8
3. Instructor de capacitacin
Personal encargado de llevar a cabo las actividades de capacitacin al personal. Las
principales actividades que debe desarrollar este rol son:
Adems, este rol debe cumplir con las siguientes habilidades que son claves para
transmitir el tema de capacitacin de forma efectiva al pblico:
- Creatividad e innovacin.
Por ello, se han definido tres categoras de grupos que se pueden identificar. Estos son:
Grupo de personas: En esta categora solo se enfoca a un grupo reducido del personal
que participan de un proceso y el tema a capacitar est plenamente enfocado a sus
actividades.
4 7 9
5.2.5.5.7 Tipos de Capacitacin
Actualmente existente diferentes tipos de capacitacin, pero las principales que se manejan
dentro de EDPYME GMG Servicios Per son las siguientes:
Capacitacin Presencial
Este tipo de capacitacin son las ms comunes que suelen darse dentro de la organizacin.
En estas se rene al personal en un ambiente para brindarles la presentacin del tema a
capacitar y, en algunos casos, suele ir acompaado de un taller de entrenamiento.
Estas son las que toman ms tiempo planificar, ya que se deben gestionar toda la logstica
necesaria, la disponibilidad del ambiente, la preparacin del material y coordinar una fecha
segn la disponibilidad del personal.
Capacitacin Virtual
Este tipo de capacitacin est siendo cada vez ms usadas en una organizacin. En estas se
prepara el material mediante una presentacin de powerpoint, algn video u otro medio
interactivo que pueda ser accedido mediante internet. Al final de estos, se suele tomar un
pequeo test para verificar lo aprendido.
Estas son las ms rpidas de preparar, ya que solo se debe preparar el material, el test y
coordinar con las reas a capacitar la fecha de plazo en la que pueden completar la
capacitacin.
Capacitacin Presencial
- Fase 1 Antes
Durante la fase previa a la capacitacin, se debe realizar las gestiones para que todo
quede listo. Durante esta fase trabajan conjuntamente el responsable de la capacitacin
con su asistente.
4 8 0
El asistente, junto con los puntos definidos por el responsable de la capacitacin, debe
coordinar la reserva del ambiente donde se llevar a cabo la capacitacin, realizar la
gestin de todos los equipos, recursos e insumos necesarios para el da de la
capacitacin, realizar el contacto con el instructor y gestionar el pago de sus horas con
recursos humanos en caso de ser interno. El mismo da de la capacitacin, unas horas
antes, deben verificar que toda la logstica este correcta, probar los equipos de sonidos
y video, y coordinar la apertura del ambiente.
- Fase 2 Durante
- Fase 3 Despus
Luego del evento realizado, se debe realizar la medicin del conocimiento recibido
para verificar si la capacitacin tuvo el efecto esperado.
4 8 1
El asistente de la capacitacin debe consolidar el resultado obtenido de ambas
evaluaciones y presentar los resultados al responsable para que se tomen medidas al
respecto.
Capacitacin Virtual
- Fase 1 Antes
Durante la fase previa a la capacitacin virtual, se debe realizar las coordinaciones para
tener todo listo el da que comenzar el periodo de capacitacin. Durante esta fase
trabajan en conjunto el responsable de la capacitacin y su asistente.
- Fase 2 Durante
4 8 2
- Fase 3 Despus
Pizarra acrlica
Plumones para pizarra
Mota para pizarra acrlica
Folder
Insumos y Materiales
Separatas anilladas
Certificados
Lapiceros
Papel Bond A4
Proyector y ecran
Equipos Laptop
Parlantes
Auditorio o Sala
Ambiente e
Sillas
Inmobiliario
Mesas
Coffee Break
Alimentos
Agua Mineral para instructor
Instructor(es) de capacitacin
Personas
Asistente(s) de capacitacin
Fuente: Elaboracin propia
Este tema se enfoca a actos delictivos realizados por el personal que, gracias a los permisos
que tiene su puesto o con el apoyo de otras personas, realiza la apropiacin ilcita de bienes
de la organizacin perjudicndola tanto econmica como reputacionalmente. Esto
acompaado de los aspectos fundamentales de la seguridad de la informacin. Para ello, el
tema de esta capacitacin se enfoca en los siguientes puntos:
- Qu es el fraude interno?
Este tema se enfoca a dar a conocer los procedimientos a realizar durante situaciones de
emergencia, los implementos necesarios y las brigadas que cumplen un papel importante
durante estas situaciones. Para ello, el tema de esta capacitacin se enfoca en los siguientes
puntos:
- Qu es una emergencia?
- Tipos de emergencias
- Sealizacin de Seguridad
- Vas de evacuacin
4 8 4
- Equipos de Emergencia
- Qu es una brigada?
- Primeros auxilios
Procedimientos de Contingencia
Este tema se enfoca a dar a conocer los las actividades que deben realizarse ante
situaciones de indisponibilidad de los recursos que son necesarios para desarrollar de las
actividades crticas de EDPYME GMG Servicios Per. Los escenarios previstos a
capacitar son:
La Gestin de la Crisis
Este tema se enfoca en revisar la funcin del comit de crisis, sus roles y
responsabilidades, el personal asignado, los flujos de comunicacin y la informacin de
contacto.
- Qu es una crisis?
Cronograma de Capacitacin
El detalle de las actividades a realizar para cada uno de los temas de capacitacin, los
responsables de cada una y el pblico objetivo se detalla en el siguiente cuadro:
5.2.6 Implementacin
En esta seccin se ha definido un Plan de Implementacin a seguir tener los lineamientos
claros de la implementacin.
5.2.6.1.1 Propsito
El Plan de Implementacin de EDPYME GMG Servicios Per tiene la finalidad de
describir el procedimiento para realizar la implementacin de los planes de recuperacin de
los servicios de TI, de crisis y de entrenamiento y capacitacin dentro de la
microfinanciera. Tambin, medir la eficiencia y efectividad con la que estos se ejecutan
bajo una serie de pruebas que simulen situaciones de desastre.
4 8 6
5.2.6.1.2 Alcance
El Plan de Implementacin es desarrollado bajo las siguientes premisas:
5.2.6.1.3 Objetivos
Los objetivos del Plan de Implementacin son los siguientes:
5.2.6.1.4 Justificacin
Este plan surge de la necesidad de realizar la aplicacin de los planes desarrollados que
forman parte del modelo del sistema de gestin de continuidad del negocio en la
microfinanciera EDPYME GMG Servicios Per. Con ellos, se podrn evaluar los
procedimientos, actividades, recursos identificados y estrategias planteadas dentro de cada
uno de los planes obteniendo resultados cuantificables que nos permitan tomar acciones de
mejora de manera continua.
4 8 7
Jefe de Implementacin
Asistente de Implementacin
- Prepara documento donde se detalle los resultados de las pruebas para Jefe de
Implementacin.
4 8 8
Pre-Prueba
Antes de realizar las pruebas, se debe de realizar todas las actividades necesarias para
armar el escenario de la prueba. Estas actividades pueden ir desde la ubicacin de las
mesas en el centro de comando hasta la instalacin de los equipos. Estas actividades no se
realizan en el instante de la emergencia, sino que tienen que estar listo para cuando se
presente la emergencia.
Prueba
En esta fase, se realizan las pruebas reales a los planes realizados. Se prueba las cargas de
datos, llamadas por telfono, traslado de personal, y llamadas con proveedores. El equipo
designado realiza un examen del personal involucrado mientras se realizan las tareas. Ello
indica el nivel de preparacin de la organizacin para poder responder ante una
emergencia.
Post-Prueba
Esta fase consiste en dejar el lugar igual que estaba antes de realizar la prueba, es decir,
devolver todos los recursos a su lugar correcto. Adems, evaluar el plan realizado e
implementar las mejoras observadas.
Este tipo de implementacin, consiste en realizar un recorrido del plan sobre papel; es
decir, hacer participar a los principales involucrados en la ejecucin del plan. Ellos se
cuestionan lo que podra suceder en el caso de un escenario en especfico.
4 8 9
gradual la evidencia de cun bueno es el plan. Lo cual, tambin permite mejorar de forma
continua los planes establecidos.
- Recuento: El nmero de registros crticos que fueron llevados con xito a la sede de
respaldo frente al nmero requerido y el nmero de consumibles y equipo solicitado
frente al realmente recibido. Tambin puede medirse el nmero de sistemas que se
recuperaron con xito.
Fase 1 Preparacin
En esta primera fase, se realiza la coordinacin con los principales responsables de las
reas para que comuniquen a sus equipos sobre la fecha de inicio, la duracin y las
actividades que se realizarn durante la implementacin. Tambin, se debe comunicar,
transmitir y entregar los documentos de los planes para que tengan conocimientos de estos.
Fase 2 Pruebas
En esta segunda fase, se realiza la ejecucin de las actividades de pruebas segn el tipo
escogido. La secuencia definida para la realizacin de las pruebas es la siguiente:
4 9 1
- En primera instancia, se ejecutar las pruebas sobre el plan de crisis que permitir
evaluar la efectividad con la que se realiza la activacin y gestin del comit de crisis.
En esta tercera fase, se realiza la recopilacin de los resultados obtenidos pasos a paso para
evaluar la efectividad que tuvo el plan durante la ejecucin de la prueba. Todo esto ser
detallado dentro de un informe de resultados de la implementacin por cada uno de los
planes. De acuerdo a este informe, se podrn tomar acciones de mejora para los
procedimientos de cada uno de los planes de continuidad del negocio.
En esta ltima fase, se realiza la modificacin del contenido de los planes que conforman
el modelo del sistema de gestin de continuidad del negocio para mejorar la efectividad de
los mismos para la prxima prueba que se vaya a realizar. Esto es necesario para asegurar
la continuidad del sistema de gestin de continuidad del negocio y estar alineados al ciclo
PDCA sobre el cual se basa la ISO 22301.
4 9 2
5.2.6.2 Informe de Resultados Plan de Crisis
Revisar los recursos necesarios para la sesin del comit de crisis en el centro de
comando alterno (Sede CECADE).
4 9 3
Realizar las operaciones del call de crditos en el centro de comando alterno (Sede
CECADE).
Tiempos:
Organizacin:
Roles y Responsabilidades:
La participacin de Cesar Cavani como Jefe de Crditos, Cesar Calle como Jefe de
Operaciones y Ed Cadenillas como Analista de Riesgo Operacional en la prueba
de escritorio del Plan de Crisis.
Elaborar una lista del personal que conforma el Comit de Crisis para garantizar su
acceso a la sede CECADE.
4 9 4
Esta lista de acceso la debe manejar el personal de seguridad que resguarda la sede
CECADE.
Solicitar la copia de la llave de la sala del centro de comando alterno para que la
maneje tambin un miembro del comit de crisis.
Destinar una parte del presupuesto para comprar audfonos de contingencia para las
computadoras de la sede CECADE.
Configurar la carpeta compartida para que solo los analistas de crdito tengan
acceso.
Tener definido las rutas ms rpidas para llegar al centro de comando alterno desde
las sedes de El Trigal e Higuereta.
5.2.6.2.2 Objetivo
El presente informe tiene como objetivo verificar y validar la efectividad de los pasos
definidos en el plan de crisis; as como las actividades de traslado del personal crtico al
centro alterno para continuar con sus operaciones. El objetivo especfico de esta prueba es:
5.2.6.2.3 Alcance
Para la realizacin de la prueba del plan de crisis, se abarcarn los siguientes puntos:
4 9 5
La notificacin a los miembros y activacin del Comit de Crisis.
Traslado del personal del rea de Crditos a la sede CECADE y realizar sus
operaciones en modo contingencia.
1. Prueba de escritorio
- Fecha de Ejecucin: martes 29 de setiembre del 2015.
2. Prueba de preparacin
- Fecha Tentativa: jueves 15 de octubre del 2015.
4 9 6
2. Prueba de preparacin
El tiempo de duracin incluye todas las de revisin de los pasos del plan, recursos
necesarios y formas de traslado al centro alterno CECADE.
EQUIPO DE EJECUCIN
Jefatura /
Responsable ROL DEL EQUIPO
Gerencia
COMIT DE GESTIN DE CRISIS
Definir el escenario de prueba
Gerencia de
Ed Cadenillas Proponer los medios de traslado para su
Riesgos
evaluacin con los dems participantes.
Revisar los recursos necesarios para el
trabajo de los analistas en la sede
Jefatura de
Cesar Cavani CECADE.
Crditos
Revisar los aspectos para la realizacin
de la sesin del comit de crisis.
Encargado de revisar los aspectos de TI
dentro de la gestin de crisis y las
Gerencia de operaciones de crditos en la sede
Cesar Calle
Operaciones CECADE.
Revisar la forma de comunicacin
durante el evento de crisis.
Fuente: Elaboracin propia
2. Prueba de Preparacin
En el siguiente cuadro se detalla la lista de participantes para la realizacin de la prueba
de preparacin realizada en la sede CECADE.
4 9 7
Tabla 193 - Equipo de Ejecucin de la prueba de escritorio
EQUIPO DE EJECUCIN
Jefatura / Gerencia Responsable ROL DEL EQUIPO
COMIT DE GESTIN DE CRISIS
Gerencia General Alejandro Bazo Presidente del Comit de Crisis
Gerencia de
Cesar Calle Asistente Administrativo de Crisis
Operaciones
Gerencia de Riesgos Giselle Oviedo Coordinador de Logstica
EQUIPO DE CRDITOS
Jefatura de Crditos Cesar Cavani Jefe de Crditos
Jefatura de Crditos Beatriz Grados Supervisor de Crditos
Jefatura de Crditos Carla Wong Analista de Crditos
Jefatura de Crditos Nathaly Durand Analista de Crditos
Jefatura de Crditos Fabiola Pariona Analista de Crditos
Jefatura de Crditos Henry Haquehua Analista de Crditos
Jefatura de Crditos Jean Paul Rosales Analista de Crditos
APOYO PARA PRUEBA
Gerencia de Riesgos Ed Cadenillas Analista de Riesgo Operacional
Gerencia de TI Giancarlo Vsquez Jefe de Operaciones y Servicios de TI
Fuente: Elaboracin propia
Esto producira la interrupcin del Call de Crditos dejando inoperativos los procesos de
evaluacin de crditos y las ampliaciones de lnea de crditos. Tambin, sumado a esto, la
aparicin de reclamos por parte de los clientes por la indisponibilidad del servicio de call
de crditos. Por ello, se ve la necesidad de activar el comit de crisis y llevar a cabo una
sesin en el centro de comando alterno ubicado en la sede CECADE. Adems, realizar el
traslado del personal de crditos a CECADE para que realicen sus operaciones desde all
en modo de contingencia.
4 9 8
Ilustracin 66 - Escenario de prueba y los procesos afectados
EVALUACIN DE
EVALUACIN DE CRDITOS
CRDITOS
EVALUACIN DE
CRDITOS
5.2.6.2.8 Consideraciones
Para la realizacin de estas pruebas, se tiene las siguientes consideraciones:
Los recursos necesarios para llevar a cabo las operaciones en la sede alterna
CECADE y la sesin del comit de crisis.
Las formas de traslado que se emplearn desde la sede Higuereta hasta la sede
CEDADE.
4 9 9
Las gestiones de ingreso a la sede CECADE y quienes son los responsables de
manejar las llaves del local.
5.2.6.2.10 Resultados
El resultado de la prueba de preparacin dio Satisfactorio. Para revisar ms el detalle de
la evaluacin por criterios, revisar el anexo 26.
4. Resumen de Actividades
La persona de seguridad sube al segundo piso a notificar a la recepcionista
sobre el incendio para que active la alarma (10:05 am).
5 0 0
El jefe de crditos indica a la supervisora de crditos de turno, Beatriz Grados,
que se traslade junto a su equipo de analistas a la sede CECADE en taxi (10:22
am).
5 0 1
Se recibe la primera llamada desde las Oficinas Especiales para iniciar el
proceso de evaluacin de crditos en la sede CECADE (11:15 am).
5 0 2
El jefe de operaciones le informa al persona de crditos que la sede higuereta se
encuentra disponibles nuevamente (01:52 pm).
5. Cierre
La prueba finaliza con el regreso del personal de crditos a la sede higuereta, luego
de que los bomberos permitieron el ingreso.
5.2.6.2.11 Observaciones
Los miembros del comit de crisis tuvieron retrasos al llegar a la sede CECADE
por el trfico.
Tener definido las rutas ms rpidas para llegar al centro de comando alterno
desde las sedes de El Trigal e Higuereta.
5 0 3
5.2.6.3 Informe de Resultados Plan de Recuperacin de Servicios de TI
Tiempos:
Organizacin:
Roles y Responsabilidades:
5 0 4
La participacin de un gestor de plataforma de la oficina especial Comas.
Definir un contacto adicional del proveedor del Data Center Alterno en Costa Rica,
en caso de indisponibilidad del contacto principal.
5.2.6.3.2 Objetivo
El presente informe tiene como objetivo verificar y validar la efectividad de los pasos
definidos en el plan de recuperacin de los servicios de TI. Los objetivos especficos de
esta prueba son:
5.2.6.3.3 Alcance
Para la realizacin de la prueba del plan de recuperacin de los servicios de TI, se
abarcaran los siguientes puntos:
5 0 5
1. Fecha de Ejecucin: sbado 17 de octubre del 2015.
2. Hora de inicio: 04:00pm
3. Tipo de prueba: Simulacin del registro del incidente de indisponibilidad y
activacin del Data Center de Contingencia.
4. Lugar: Oficina Principal (Sede Trigal) Santiago de Surco.
Tabla 194 - Tiempo de Ejecucin de la Prueba del Plan de Recuperacin de los Servicios
de TI
5 0 6
Jefe de Crditos Cesar Cavani
Gestor de
Katherine Vega
Plataforma
Analista de Riesgo
Ed Cadenillas
Operacional
Fuente: Elaboracin propia
5.2.6.3.8 Consideraciones
Para la realizacin de esta prueba, se tiene las siguientes consideraciones:
5.2.6.3.9 Resultados
El resultado de la prueba dio Satisfactorio. Para revisar ms el detalle de la evaluacin
por criterios, revisar el anexo 30.
- Se origina un problema en los sistemas Genesys y SAPv Financiero a las 4:00 pm.
5 0 7
Resumen de Actividades
- El jefe de crditos de comunica con los supervisores de crditos para informar sobre el
problema y transmitir mensaje al call de crditos a las 4:31 pm.
5 0 8
- El jefe de operaciones notifica el gerente general, presidente del comit de crisis, sobre
el incidente de indisponibilidad indicando que el gerente de TI le dar ms detalles en
unos minutos a las 4:35 pm.
- El gerente de TI llama al gerente de riesgos para indicarle que el origen del problema
se debe a una falla elctrica en los servidores a las 4:49 pm y que la solucin demorar
ms de 5 horas.
- El gerente de riesgos se comunica con el gerente general para informa sobre el origen
del problema y que este excede el lmite y que deber ser reportado a la SBS a las 4:53
pm.
- El jefe de servidores y base de datos ejecuta una solucin temporal al sistemas, que
consiste en la activacin del data center alterno ubicado en Costa Rica a las 5:01 pm.
- El jefe de operaciones de Costa Rica realiza la ejecucin del checklist para verificar
que las bases de datos esten con la data replicada y cambiarlo a modo offline, realizar
pruebas generales y configurar los parmetros de conexin a las 5:05 pm.
5 0 9
- El jefe de operaciones de Costa Rica informa al jefe de servidores y base de datos que
se realiz el activacin del data center alterno a las 5:25 pm.
- El jefe de servidores y base de datos informa de la activacin del data center alterno al
jefe de operaciones y servicios de TI, y dems rea de negocio a las 5:27 pm.
Cierre
Se procede a dar por finalizada la prueba cuando se comunica la solucin del problema en
cada rea de la Edpyme. Tambin, el personal de TI queda a la espera de la solucin del
problema del sistema elctrico en el Level 3, para restablecer el funcionamiento del data
center principal y coordinador con el jefe de operaciones de Costa Rica para el envo del
disco backup de 2TB va DHL en un plazo de 24 horas.
5.2.6.3.10 Observaciones
No se pudo comunicar rpidamente con el contacto del proveedor del data center de
contingencia en Costa Rica, debido a que no se encontraba en su sitio en dicho momento.
5 1 0
5.2.6.3.11 Oportunidades de Mejora
Contar con un contacto adicional del proveedor de Costa Rica, aparte del que ya se tiene,
para evitar demoras en la activacin del data center alterno.
Utilizar un grupo de whatsapp que permita que los principales involucrados este
informados en tiempo real de la situacin de indisponibilidad, las medias que se tomaron y
los resultados obtenidos.
- Realizar la difusin del material y el enlace web del test a llenar mediante un
contacto en EDPYME GMG Servicios Per.
- En dos de las tres capacitaciones virtuales, ms del 60% del personal respondi
todo el test de evaluacin correctamente y las dems personas fallaron a lo mucho
en dos preguntas.
5 1 1
- Se obtuvo una calificacin promedio de 8.83 (Bueno-Muy Bueno) con respecto al
material de capacitacin y una calificacin de 8.60 (Bueno-Muy Bueno) con
respecto al test de evaluacin.
- Agregar un video informativo o animado para que les resulte ms fcil recordar los
conceptos y las ideas del tema de capacitacin.
- Para los futuros test, subir un poco la dificultad de las preguntas o establecer un
escenario de contingencia para que la persona describe el paso a paso de las
actividades que debe realzarse.
- Crear fichas didcticas o trpticos con flujos e imgenes que resuman el material de
la capacitacin.
5.2.6.4.2 Objetivo
El presente informe tiene como objetivo verificar y validar la efectividad de la capacitacin
virtual brindada al personal de EDPYME GMG Servicios Per. Los objetivos especficos
son:
- Analizar los resultados de la capacitacin y las opiniones dadas por los capacitados.
5 1 2
5.2.6.4.3 Alcance
Para la realizacin de la capacitacin virtual, se abarcaran los siguientes puntos:
Periodo de Capacitacin
Pblico objetivo
5.2.6.4.5 Consideraciones
Para la realizacin de la capacitacin virtual, se tienen las siguientes consideraciones:
- Se escogi una muestra del personal objetivo del tema a capacitar para que
completen las evaluaciones.
Con respecto a la preparacin del material, se elabor una presentacin para cada uno de
los temas identificados:
- Gestin de Crisis
- Procedimientos de Contingencia
Una vez finalizado de preparar el material para cada uno de los temas a capacitar, se
procede a realizar la elaboracin del test que nos ayudara a evaluar los conocimientos
adquiridos por el personal capacitado. Este test incluye al final una pequea encuesta de
satisfaccin que consta de tres preguntas que busca saber:
5 1 4
- La calificacin que le da la persona al material brindado.
Debido a que la capacitacin se realiz de manera virtual, se opt por usar Formularios de
Google para elaborar, distribuir y recopilar las respuestas del test de evaluacin de una
manera ms rpida y precisa.
Los test para cada uno de los temas a capacitar se encuentran en los siguientes archivos:
Encuesta de
Satisfaccin Edpyme
5.2.6.4.7 Resultados
5 1 5
acompaado por los pilares que conformar la seguridad de la informacin. El test fue
planteado a base de 10 preguntas, obtenindose los siguientes resultados:
33.33%
66.67%
Donde ocho de las doce personas respondieron el test completo de forma correcta y las
cuatro personas restantes se equivocaron en una pregunta. Con este resultado, podemos
concluir que la capacitacin tuvo un impacto ms que bueno logrando que las personas
aprendan y/o recuerden quienes son los principales responsables de las brigadas, amplen
sus conocimientos sobre fraude interno y conozcan sobre los pilares de la seguridad de la
informacin.
5 1 6
Ilustracin 68 - Resultados de la calificacin sobre el material de la capacitacin de
prevencin de emergencias, fraude interno y seguridad de la informacin
Con estos resultados, podemos decir que, en trmino generales, tanto el material como el
test tuvieron muy buen contenido y las preguntas correctamente formuladas. Adems,
recibimos sus comentarios y sugerencias que se muestran a continuacin:
5 1 7
Ilustracin 70 - Comentarios y sugerencias del personal capacitado de EDPYME GMG
Servicios Per
Para mayor detalle de los resultados del test de evaluacin revisar el anexo 36.
Gestin de Crisis
Ilustracin 71 - Grfico de los resultados del test de evaluacin sobre gestin de crisis
20.0%
80.0%
5 1 8
Donde cuatro de cinco tres personas respondieron el test completo de forma correcta y
una persona fall en 2 preguntas. Con este resultado, podemos concluir que la capacitacin
tuvo un impacto bueno en el personal ayudndolos a reforzar los conocimientos sobre las
funciones del comit de crisis y sus actividades.
5 1 9
Con estos resultados, podemos decir que, en trminos generales, tanto el material como el
test tuvieron muy buen contenido y las preguntas correctamente formuladas. Adems,
recibimos sus comentarios y sugerencias que se muestran a continuacin:
Para mayor detalle de los resultados del test de evaluacin revisar el anexo 37.
Procedimientos de Contingencia
5 2 1
Con este resultado, podemos decir que, en trmino generales, tanto el material como el test
tuvieron un buen contenido y las preguntas correctamente formuladas. Sin embargo, varias
personas se equivocaron en ms de dos preguntas lo que evidencia la complejidad de que
la capacitacin solo sea virtual. Adems, recibimos sus comentarios y sugerencias que se
muestran a continuacin:
Para mayor detalle de los resultados del test de evaluacin revisar el anexo 38.
5 2 2
- Agregar algn video informativo o animado para que les resulte ms fcil recordar
los conceptos y las ideas del tema de capacitacin.
- Para los futuros test, subir un poco la dificultad de las preguntas o establecer un
escenario de contingencia para que la persona describe el paso a paso de las
actividades que debe realzarse.
Crear fichas didcticas o trpticos con flujos e imgenes que resuman el material de la
capacitacin.
5.2.7.1 Propsito
Este parte tiene como propsito principal en mostrar la aplicacin de los mecanismos para
la revisin, evaluacin y mejora continua del sistema de gestin de continuidad del negocio
de EDPYME GMG Servicios Per
5.2.7.2 Alcance
El alcance es describir los procedimientos para la autoevaluacin del sistema de gestin de
continuidad del negocio de EDPYME GMG Servicios Per. Con esto, se evidenciar el
efecto de la implementacin mediante la comparacin del estado inicial y el final.
Tambin, ayuda a establecer el punto objetivo siguiente a donde la microfinanciera desea
llevar su sistema de gestin de continuidad del negocio.
5.2.7.3 Objetivos
El objetivo de este documento es brindar los lineamientos y pautas a seguir por la
organizacin para realizar la autoevaluacin de su sistema de gestin de continuidad del
negocio. Esto implica:
Definir los lineamientos para llevar a cabo el mantenimiento del SGCN de Edpyme
GMG Servicios Per.
Describir las actividades para realizar el anlisis GAP de la ISO 22301 luego de la
implementacin del SGCN.
5 2 3
Definir las acciones de mejora para lograr el estado objetivo del sistema de gestin
de continuidad del negocio definido por la organizacin.
5.2.7.4 Justificacin
Debido a que la ISO 22301 se basa en el ciclo Plan-Do-Check-Act (PDCA), se necesita
realizar una evaluacin del sistema de gestin de continuidad del negocio para identificar
puntos de mejora y plantear acciones que le permitan a la Edpyme cumplirlos. De esta
forma, se lograr cerrar el ciclo PDCA con la mejora continua.
5 2 4
Tabla 196 - Cuestionario GAP Anlisis Post-Implementacin de la ISO/IEC 22301
completado de EDPYME GMG Servicios Per
Cumple No
Seccin de la ISO 22301:2012 Cumple
parcialmente cumple
Seccin 4: Organizacin
4.1 La Organizacin y su contexto
Se han definido las causas que impulsarn
el SGCN?
Tiene el ambiente dentro del cual el SGCN
operar (interno y externo), y los resultados
que se esperan del sistema, ha identificado?
Tiene un mtodo y de la evaluacin de
riesgos adecuada y repetible niveles
aceptables de riesgo sido definidos y
documentados?
4.2 Necesidades y expectativas de las partes interesadas
Es el alcance del SGCN claro y
documentado?
Existe un procedimiento para identificar,
tomar en cuenta, documentar y mantener
informacin sobre los requisitos legales y
reglamentarios aplicables para el SGCN?
Se han comunicado estos requisitos legales,
reglamentarios y otros a los empleados
afectados y las partes interesadas
identificadas?
4.3 Alcance del SGCN
El alcance del SGCN est claro y
documentado?
Las opciones de tratamiento de riesgos han
sido identificadas y evaluadas?
Existe alguna exclusin del alcance? Si es
afirmativo, est en un rea que no afecta la
capacidad de la organizacin para proveer la
continuidad de las operaciones
Seccin 5: Liderazgo
5.1 Compromiso y gestin de liderazgo
El compromiso de liderazgo de la
organizacin para la continuidad del negocio
es visible?
Existe una poltica, programa y roles para
evidenciar el compromiso de la alta
direccin con el SGCN?
La alta gerencia est siendo correctamente
involucrada en la implementacin del SGCN
y revisado a travs de una reunin formal?
5.3 Polticas de Continuidad del Negocio
5 2 5
Cumple No
Seccin de la ISO 22301:2012 Cumple
parcialmente cumple
Existe una poltica de continuidad del
negocio que sea apropiada, mantenida,
comunicada y documentada?
La poltica se encuentra disponible para los
empleados y todas las partes interesadas?
Seccin 6: Planeamiento
6.1 Riesgos y oportunidades de la implementacin del SGCN
Se tiene un anlisis de amenazas y
oportunidades que pueden impactar en la
implementacin del SGCN?
Existe un plan para administrar los riesgos
y oportunidades de la implementacin del
SGCN? Ha sido desarrollado?
6.2 Objetivos de Continuidad del Negocio
Se han establecido objetivos medibles de
continuidad del negocio, los cuales han sido
establecidos, documentados y comunicados
a travs de la organizacin?
Es el logro de estos objetivos evaluados
tanto por la auditora interna y la revisin
por la direccin?
Seccin 7: Soporte
7.1 Recursos y Competencias del SGCN
Son las funciones dentro de la SGCN
definidas con claridad?
El SGCN est adecuadamente equipado?
Existe un proceso definido y documentado
para determinar las competencias para los
roles del SGCN?
Los roles definidos son competentes y
documentados apropiadamente?
7.2 Conciencia y Comunicacin
Est toda la organizacin consciente de la
importancia de la poltica de continuidad del
negocio?
Se ha llevado a cabo un anlisis de las
necesidades de comunicacin para el
SGCN?
Se han confirmado los procedimientos para
comunicar los incidentes? Estn
regularmente a prueba con resultados
registrados?
Se ha creado la documentacin apropiada
para demostrar la eficacia de los SGCN?
Seccin 8: Operaciones
8.1 Planificacin y control operacional
5 2 6
Cumple No
Seccin de la ISO 22301:2012 Cumple
parcialmente cumple
Se ha implementado un programa para
garantizar los resultados del SGCN?
Ha habido un anlisis de las amenazas a los
procesos externos y su impacto en el logro
de SGCN y tiempo de recuperacin
objetivo?
8.2 Anlisis de Impacto en el Negocio
Existe un proceso formal y documentado
para la comprensin de la organizacin a
travs de un BIA?
Existe un proceso formal para la
determinacin de los objetivos de
continuidad basado en comprender el
impacto de los incidentes?
Permite la priorizacin de marcos de
tiempo del BIA para la reanudacin de cada
actividad (Tiempo de recuperacin
Objetivos)?
Se han identificado los niveles mnimos
aceptables para la reanudacin de procesos?
8.2.3 Evaluacin y tratamiento de riesgos
Hay un proceso de evaluacin de riesgos
formal para analizar el riesgo de incidentes
perturbadores?
Este mtodo de evaluacin de riesgos ayuda
a identificar un tratamiento de riesgos
adecuado a los objetivos de continuidad?
Hay evidencia de dar prioridad a los
tratamientos de riesgo con los costos
identificados?
8.3 Estrategias de Continuidad del Negocio
La estrategia de continuidad del negocio
nace de los resultados del BIA y evaluacin
de riesgos?
La estrategia de continuidad del negocio
ayuda a proteger las actividades priorizadas
y proporciona una adecuada continuidad y
recuperacin de sus dependencias y
recursos?
La estrategia de continuidad del negocio
ayuda a la mitigacin, respuesta y gestin
impactos?
Se han evaluado las capacidades de los
proveedores de continuidad del negocio?
La organizacin cuenta con los recursos
necesarios para soportar las estrategias de
continuidad seleccionadas?
5 2 7
Cumple No
Seccin de la ISO 22301:2012 Cumple
parcialmente cumple
Las estrategias estn definidas de acuerdo
al apetito de riesgo de la organizacin?
8.4 Establecer y aplicar procedimientos de continuidad del negocio
Se han establecido procedimientos de
continuidad del negocio para el manejo de
incidentes, y en base a los objetivos de
recuperacin identificados en el BIA?
Estn documentados los procedimientos de
continuidad de negocio?
Se han establecido protocolos de
comunicacin internos y externos como
parte de estos procedimientos?
8.4.2 Estructura de Respuesta a Incidentes (IRS)
Existe una estructura de gestin para
responder ante un incidente?
La estructura de respuesta a incidentes
cuenta con la evaluacin, activacin,
provisin de recursos y comunicacin?
Las personas en la estructura de respuesta
ante incidentes tienen la competencia
necesaria para realizar sus deberes?
8.4.3 Comunicaciones de incidentes y advertencias
Existe un procedimiento para la deteccin y
seguimiento de incidentes?
Existe un procedimiento para la gestin de
la comunicacin interna y externa las
comunicaciones de las partes interesadas
durante un incidente?
Existe un procedimiento para recibir y
responder a las advertencias de agencias?
Existe una estructura para comunicarse con
el personal de emergencia y otras
autoridades durante un incidente?
Existe un procedimiento para el registro de
informacin vital sobre el incidente, las
medidas adoptadas y las decisiones
tomadas?
Existe un procedimiento para la emisin de
alertas y advertencias en su caso?
Son los sistemas de comunicacin y de
advertencia de la organizacin regularmente
ejercidos, y mantienen registros de los
resultados?
8.4.4 Respuesta de continuidad de negocio y planes de recuperacin
Hay planes / procedimientos documentados
para la restauracin de negocio operaciones
despus de un incidente?
5 2 8
Cumple No
Seccin de la ISO 22301:2012 Cumple
parcialmente cumple
Reflejan estos planes a las necesidades de
los que van a utilizarlos?
Los planes definen las funciones y
responsabilidades?
Los planes definen un proceso para la
activacin de la respuesta?
Los planes definen cmo comunicarse con
los diferentes interesados durante la
interrupcin?
Los planes contienen detalles sobre cmo
sern los procesos priorizadas?
Hay una respuesta de los medios planeado
un incidente?
Los planes incluyen un procedimiento
restaurar las operaciones?
Tiene cada plan la informacin esencial
para utilizarla de manera eficaz?
8.5 Ejercicio y pruebas
Se han probado los procedimientos de
continuidad de negocio para garantizar que
son consistente con sus objetivos de
continuidad del negocio?
La alta direccin participa de las pruebas y
del ejercicio del SGCN?
Son los ejercicios de prueba claramente
definidos, de acuerdo con el alcance del
SGCN y en base a escenarios?
Las pruebas realizadas han cumplido los
tiempos establecidos?
Los ejercicios de prueba son diseados para
minimizar el riesgo de interrupcin a las
operaciones?
Han informes oficiales despus de las
pruebas realizadas?
Los resultados de los ejercicios son
revisados para asegurar la mejora continua?
Los ejercicios de prueba son llevadas a
cabo en tiempos planificados?
Seccin 9: Rendimiento
9.1 Seguimiento, medicin y evaluacin
Se ha determinado como y cuando debe de
ser monitoreado el SGCN?
Se ha evaluado el rendimiento y la eficacia
de los SGCN y documentado?
Existe un procedimiento documentado y
apropiado para monitorear el SGCN?
5 2 9
Cumple No
Seccin de la ISO 22301:2012 Cumple
parcialmente cumple
Se llevan a cabo revisiones, tanto de forma
peridica y acerca de los cambios
significativos a producirse, para asegurar que
la capacidad de la continuidad del negocio es
eficaz y compatible?
Las revisiones despus de un incidente son
documentadas?
9.2 Auditora interna
Estn las auditoras internas llevadas a cabo
peridicamente para comprobar que el
SGCN es eficaz y cumple con las normas
ISO 22301?
Est la auditora realizada con un mtodo
apropiado, programa de auditora, y en base
a los resultados de las evaluaciones de
riesgos y auditoras anteriores?
Estn las acciones correctivas
implementadas y verificadas?
9.3 Revisin de gestin
Existe un foro de la alta direccin para
realizar un examen peridico del SGCN?
Las revisiones por la direccin SGCN
identifican cambios y mejoras?
Son los resultados de la revisin por la
direccin documentados, y comunicados a
las partes interesadas?
Seccin 10: Mejora
10 La accin correctiva y la mejora continua
Se han identificado acciones correctivas
para las no conformidades y se han
implementado en el SGCN?
Las revisiones resultan en una mejora de
los SGCN?
Fuente: Adaptacin de British Standards Institute
5 3 0
Luego de completar el cuestionario de preguntas, se obtuvieron los siguientes resultados
con respecto al cumplimiento de cada seccin correspondiente de la ISO 22301 mostrados
en los siguientes cuadros:
Tabla 197 - Resultados del GAP Anlisis en funcin del nmero de preguntas del
cuestionario
Cumple
Cumple No Cumple Total
Parcialmente
Seccin 4 9 0 0 9
Seccin 5 4 1 0 5
Seccin 6 1 3 0 4
Seccin 7 7 1 0 8
Seccin 8 42 2 0 44
Seccin 9 5 4 2 11
Seccin 10 2 0 0 2
Fuente: Elaboracin Propia
Tabla 198 - Resultados del GAP Anlisis en funcin del nmero de preguntas del
cuestionario (en porcentajes)
Cumple No
Cumple Total
Parcialmente Cumple
Seccin 4 100% 0% 0% 100%
Seccin 5 80% 20% 0% 100%
Seccin 6 25% 75% 0% 100%
Seccin 7 88% 13% 0% 100%
Seccin 8 95% 5% 0% 100%
Seccin 9 45% 36% 18% 100%
Seccin 10 100% 0% 0% 100%
Fuente: Adaptacin de British Standards Institute
5 3 1
En relacin con el anlisis de brechas pre-implementacin, hay una notable mejora; como
se muestra en el siguiente cuadro:
El cuadro anterior muestra el porcentaje que mejor por cada seccin de la ISO 22301. Las
secciones donde se obtuvo un mejor nivel de mejora son las siguientes: seccin 7 (75%),
seccin 4 (75%) y la seccin 8 (59%). Las secciones donde la mejora obtenida es de 0%
(seccin 6,9 y 10), es debido a que estn enfocadas a la auditoria al SGCN y a las medidas
correctivas tomadas por la organizacin.
Seccin 10 100%
Seccin 9 45% 36% 18%
Seccin 8 95% 5%
Seccin 7 88% 13%
Seccin 6 25% 75%
Seccin 5 80% 20%
Seccin 4 100%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
5 3 2
En resumen, la Edpyme cumple con el 84% de la ISO 22301:2012, cumple parcialmente
con el 13%, y no cumple con el 2% de los requerimientos. En la siguiente seccin, se
describirn acciones de mejora para los requerimientos que no se han cumplido.
13%
Cumple
Cumple Parcialmente
84% No Cumple
Propuestas de Mejora
Iniciar una nueva evaluacin de la ISO 22301:2012 para confirmar los niveles
de cumplimiento alcanzados en el ao anterior.
5 3 3
La organizacin aplique los planes de accin propuestos en este apartado, con
un monitoreo cada tres o cuatro meses.
Planes de accin
Situacin de mejora 1:
1. Actividad:
Las revisiones por la direccin deben de identificar cambios y mejoras al
SGCN.
2. Plan de accin
La Edpyme GMG Servicios Per debe de realizar reuniones peridicas (3
meses) con la gerencia para evaluar el estado actual del SGCN y proponer
mejoras de acuerdo a los resultados de la evaluacin.
1. Actividad:
Los resultados de la revisin realizada por la direccin deben de ser
documentados y comunicados a las partes interesadas
2. Plan de accin
La Edpyme debe de documentar los resultados de la revisin al SGCN mediante
el siguiente formato:
5 3 5
Tabla 202 Formato de revisin del SGCN para la Edpyme GMG Serivicios Per
Revisin del Sistema de Continuidad del Negocio
Fecha Versin
Preparado por
Historial de Revisiones
Versin Fecha Autor Descripcin
Aprobado por
3. Indicador:
Tabla 203 - Indicador para la situacin de mejora 2 de la Edpyme
Nombre Porcentaje de revisiones comunicadas
El objetivo del indicador es medir la cantidad de revisiones que
Descripcin
han logrado ser comunicadas a las partes interesadas
Formula
Frecuencia Semestral
Resultado >=75% <75 y >=50% <50%
Analizar porque las
Objetivo Identificar
Comentario revisiones no han sido
cumplido acciones de mejora
comunicadas
Fuente: Elaboracin propia
5 3 6
Situacin de mejora 3:
1. Actividad:
La alta gerencia debe de ser involucrada en la implementacin del SGCN y
revisado a travs de una reunin formal
2. Plan de Accin:
- El gerente general de la Edpyme debe de impulsar la implementacin del
SGCN dentro de la organizacin.
3. Indicador
Tabla 204 - Indicador para la situacin de mejora 3 de la Edpyme
Nombre Porcentaje de reuniones formales realizadas
El objetivo del indicador es medir el nmero de reuniones formales
Descripcin
que se han llevado a cabo en el ao.
( )
Formula
Frecuencia Anual
Resultado >=75% <75 y >=50% <50%
Situacin de mejora 4:
1. Actividad:
Se debe realizar un anlisis de amenazas y oportunidades que pueden impactar
en la implementacin del SGCN
2. Plan de Accin:
- El analista de riesgo operacional debe de identificar las situaciones de riesgo
basndose en los antecedentes ocurridos durante aos anteriores.
5 3 7
- Documentar los resultados del anlisis FODA.
3. Indicador:
Tabla 205 - Indicador 1 para la situacin de mejora 4 de la Edpyme
Nombre Porcentaje de amenazas materializadas
El objetivo del indicador es medir la efectividad de la identificacin
Descripcin
de amenazas.
Formula
Frecuencia Anual
Resultado <50% <75 y >=50% <75%
Analizar por qu no se han
Objetivo Identificar acciones
Comentario identificado todas las
cumplido de mejora
amenazas
Fuente: Elaboracin propia
1. Actividad:
Se debe de crear y desarrollar un plan para administrar los riesgos y
oportunidades de la implementacin del SGCN
2. Plan de Accin:
- En base al anlisis FODA, crear el plan denominado "Administracin de
riesgos y oportunidades del SGCN".
- Incluir dentro del plan, los riesgos y los controles asociados; y, las
oportunidades de implementar el SGCN.
5 3 8
- Con la ayuda del rea de Riesgos, implementar el plan en la organizacin.
3. Indicador:
Tabla 207 - Indicador para la situacin de mejora 5 de la Edpyme
Nombre Porcentaje de riesgos no materializados
El objetivo del indicador es medir el porcentaje de riesgos
Descripcin
identificados que no se han materializado
Formula
Frecuencia Anual
Resultado >=75% <75 y >=50% <50%
1. Actividad:
El logro de los objetivos de continuidad es evaluado tanto por la auditora interna y la
revisin por la direccin
2. Plan de Accin:
- Documentar formalmente los objetivos de continuidad del negocio por el rea
de riesgos.
3. Indicador
Tabla 208 Indicador para la situacin de mejora 6 de la Edpyme
Nombre Cantidad de reuniones realizadas
El objetivo del indicador es medir el nmero de reuniones para la
Descripcin
revisin de los objetivos de continuidad
Formula
Frecuencia Anual
Resultado 2 1 0
1. Actividad:
Llevar a cabo un anlisis de las necesidades de comunicacin para el SGCN
2. Plan de Accin:
- Identificar la necesidad de comunicar el SGCN.
3. Indicador
Tabla 209 - Indicador para la situacin de mejora 7 de la Edpyme
Nombre Porcentaje de necesidad de comunicacin del SGCN
El objetivo del indicador es medir el porcentaje de conocimiento
Descripcin
acerca del SGCN en la organizacin
70%
Formula
Frecuencia Anual
Resultado >=75% <75 y >=50% <50%
Analizar porque no se ha
Objetivo Identificar acciones
Comentario concientizado en
cumplido de mejora
continuidad del negocio.
Fuente: Elaboracin propia
Situacin de mejora 8:
1. Actividad:
Evaluar las capacidades de los proveedores con respecto a la continuidad del negocio
2. Plan de Accin:
- Verificar los SLAs con el proveedor Level 3, Claro y Telefnica.
- Analizar si los SLAs y las pruebas de contingencia son suficientes para asegurar
la continuidad.
5 4 0
- Realizar requerimientos a incluir en las pruebas de contingencia y SLAs
necesarios.
3. Indicador
Tabla 210 - Indicador para la situacin de mejora 8 de la Edpyme
Nombre Porcentaje de SLAs cumplidos
El objetivo del indicador es medir la capacidad de los proveedores
Descripcin para asegurar la continuidad del servicio en la Edpyme.
El indicador debe de realizarse por proveedor
Formula
Frecuencia Trimestral
Resultado >=75% <75 y >=50% <50%
Analizar porque no se ha
Objetivo Identificar acciones
Comentario concientizado en
cumplido de mejora
continuidad del negocio.
Fuente: Elaboracin propia
Situacin de mejora 9:
1. Actividad:
Los sistemas de comunicacin y de advertencia de la organizacin son regularmente
utilizados, y mantienen registros de los resultados
2. Plan de Accin:
- Registrar las incidencias siguiendo el formato establecido en el Plan de Crisis.
- Guardar los registros en una bitcora para que los incidentes repetidos sean ms
accesibles de solucionar en un menor tiempo.
3. Indicador
Tabla 211 - Indicador para la situacin de mejora 9 de la Edpyme
Nombre Porcentaje de incidentes comunicados
El objetivo del indicador es medir el porcentaje de los incidentes
Descripcin que han seguido el flujo correcto, es decir, se ha utilizado el
formato establecido en el Plan de Crisis.
Formula
Frecuencia Trimestral
Resultado >=75% <75 y >=50% <50%
Analizar porque los
Objetivo Identificar acciones
Comentario incidentes no son canalizados
cumplido de mejora
de forma correcta.
Fuente : Elaboracin Propia
5 4 1
Situacin de mejora 10:
1. Actividad:
Las auditoras internas deben de llevarse a cabo peridicamente para comprobar que el
SGCN es eficaz y cumple con las normas ISO 22301
2. Plan de Accin:
- Realizar semestralmente auditoras al SGCN siguiendo el anlisis de brechas
realizado.
3. Indicador
Tabla 212 - Indicador para la situacin de mejora 10 de la Edpyme
Nombre Cantidad de informes de auditora al SGCN
El objetivo del indicador es medir la cantidad de informes de
Descripcin
auditora al SGCN realizados en el ao
Formula
Frecuencia Anual
Resultado 2 1 0
1. Actividad:
Las auditoras son realizadas con un mtodo apropiado, programa de auditora, y en
base a los resultados de las evaluaciones de riesgos y auditoras anteriores
2. Plan de Accin:
- Mediante el proceso de auditora, verificar que se estn mitigando
adecuadamente los riesgos identificados.
5 4 2
3. Indicador
Tabla 213 - Indicador para la situacin de mejora 11 de la Edpyme
Nombre Porcentaje de observaciones corregidas
El objetivo del indicador es medir el porcentaje de observaciones
Descripcin
corregidas con respecto a la auditoria anterior
Formula
Frecuencia cada 5 meses
Resultado >=75% <75 y >=50% <50%
Analizar porque no se han
Objetivo Identificar acciones de
Comentario corregido las observaciones
cumplido mejora
de la auditoria anterior
Fuente: Elaboracin propia
Situacin de mejora 12:
1. Actividad:
Se debe realizar foro con la alta direccin para realizar un examen peridico del SGCN
2. Plan de Accin:
- Convocar a reuniones trimestrales para analizar los resultados del Anlisis de
brechas realizado.
3. Indicador
Tabla 214 - Indicador para la situacin de mejora 12 de la Edpyme
Nombre Cantidad de foros realizados con la alta direccin
El objetivo del indicador es medir la cantidad de foros realizado
Descripcin
con la alta direccin
Formula
Frecuencia Anual
Resultado >=2 1 0
Analizar porque no se han
Objetivo Identificar acciones
Comentario realizado foros con la alta
cumplido de mejora
direccin
Fuente: Elaboracin propia
5 4 3
5.2.7.6.2 Anlisis de Brechas Circular G-139-2009
Para realizar el anlisis post-implementacin, se utiliz el mismo cuestionario de
preguntadas del anlisis pre-implementacin. El cuestionario de preguntas se hizo en base
a los requerimientos descritos en la Circular G-139-009. El siguiente cuestionario ha sido
aprobado por la Gerente de Riesgos de la Edpyme GMG Servicios Per, siendo el
resultado el siguiente
5 4 4
Cumple No
Seccin de la Circular G-139 Cumple
parcialmente cumple
Seccin 8.2
8.2 Estrategias de Continuidad del Negocio
Las estrategias han sido realizadas
considerando los resultados del anlisis de
impacto en el negocio y de la evaluacin
de riesgos?
Las estrategias de continuidad permiten
mantener las actividades y procesos de
negocio?
8.2.a Evaluacin y seleccin de estrategias de continuidad
Las estrategias se encuentran dentro del
tiempo objetivo de recuperacin?
Las estrategias seleccionadas incluyen
aspectos de seguridad del personal?
Las estrategias de continuidad incluyen
habilidades y conocimientos asociados al
proceso?
Las estrategias de continuidad incluyen
instalaciones alternas de trabajo?
Las estrategias de continuidad incluyen
una infraestructura alterna de TI que
soporte los procesos?
Las estrategias de continuidad incluyen
aspectos de seguridad de informacin?
Las estrategias de continuidad incluyen el
equipamiento necesario?
Seccin 8.3
8.3 Desarrollo e implementacin de la estrategia de continuidad
Se han desarrollado planes de respuesta?
8.3.a Plan de Gestin de Crisis
El plan de gestin de crisis incluye el
propsito y alcance?
El plan de gestin de crisis incluye los
roles y responsabilidades?
El plan de gestin de crisis incluye los
criterios de invocacin y activacin?
El plan de gestin de crisis incluye al
responsable de actualizacin?
El plan de gestin de crisis incluye las
acciones a tomar?
El plan de gestin de crisis incluye las
comunicaciones con el personal, familiares
y contactos de emergencia?
El plan de gestin de crisis incluye la
interaccin con los medios de
comunicacin?
5 4 5
Cumple No
Seccin de la Circular G-139 Cumple
parcialmente cumple
El plan de gestin de crisis incluye la
comunicacin con los grupos de inters?
El plan de gestin de crisis incluye el
centro de comando?
Planes de Continuidad del Negocio (Plan de Emergencia , Plan de Recuperacin
8.3.b
de los servicios de Tecnologa de Informacin)
Los planes de continuidad del negocio
incluyen el propsito y alcance?
Los planes de continuidad del negocio
incluyen roles y responsabilidades?
Los planes de continuidad del negocio
incluyen los criterios de activacin?
Los planes de continuidad del negocio
incluyen los responsables de su
actualizacin?
Los planes de continuidad del negocio
permiten reanudar los procesos de acuerdo
a las estrategias?
Los planes de continuidad del negocio
incluyen los recursos necesarios?
Los planes de continuidad del negocio
incluyen informacin vital y donde
encontrarla?
Seccin 8.4
8.4 Pruebas y actualizacin
Los planes de continuidad del negocio
son probados una vez al ao?
8.4.a Ejecucin de pruebas
El alcance de las pruebas es de acuerdo a
los planes de continuidad del negocio?
Las pruebas tienen objetivos definidos?
Los reportes de las pruebas resumen los
resultados alcanzados?
Los reportes de las pruebas incluyen las
recomendaciones?
Los resultados de las pruebas son
tomadas en cuenta para mejorar los planes
de continuidad?
Los proveedores de servicios cuentan con
planes de continuidad?
8.4.b Actualizacin de planes
Se han establecido polticas y
procedimientos para la actualizacin de los
planes?
Seccin 8.5
8.5 Integrar la gestin de la continuidad del negocio a la cultura organizacional
5 4 6
Cumple No
Seccin de la Circular G-139 Cumple
parcialmente cumple
8.5.a Evaluacin del grado de conocimiento sobre la gestin de continuidad
La organizacin ha determinado el nivel
de conocimiento actual sobre continuidad
de negocio de los empleados?
Se han diseado planes de capacitacin y
entrenamiento?
Se ha revisado peridicamente el nivel de
entendimiento de la gestin de continuidad
del negocio?
Fuente: Adaptacin de la circular G-139-2009
Tabla 216 - Resultados del GAP Anlisis en funcin del nmero de preguntas del
cuestionario
Cumple Cumple Parcialmente No Cumple Total
Seccin 8.1 12 0 0 12
Seccin 8.2 8 1 0 9
Seccin 8.3 17 0 0 17
Seccin 8.4 8 0 0 8
Seccin 8.5 3 0 0 3
Fuente: Elaboracin Propia
Tabla 217 - Resultados del GAP Anlisis en funcin del nmero de preguntas del
cuestionario (en porcentajes)
Cumple Cumple Parcialmente No Cumple Total
Seccin 8.1 100% 0% 0% 100%
Seccin 8.2 89% 11% 0% 100%
Seccin 8.3 100% 0% 0% 100%
Seccin 8.4 100% 0% 0% 100%
Seccin 8.5 100% 0% 0% 100%
Fuente: Adaptacin de British Standards Institute
5 4 7
De los dos cuadros anteriores, se puede observar que, luego de la implementacin, la
Edpyme cumple totalmente en promedio el 98%, cumple parcialmente el 2% y no cumple
el 0% con las secciones de la Circular G-139-2009. Adems, la microfinanciera cumple en
mayor parte al 100% con las seccin 8.1, 8.3, 8.4, 8.5 y al 89% con la seccin 8.2.
El cuadro anterior muestra el porcentaje que mejor por cada seccin de la Circular G-139-
2009. Las secciones donde se obtuvo un mejor nivel de mejora son las siguientes: seccin
8.5 (100%), seccin 8.2 (77.78%) y la seccin 8.1 (58.33%).
82% 84% 86% 88% 90% 92% 94% 96% 98% 100%
5 4 8
En resumen, la Edpyme cumple con el 98% de la Circular G-139-2009 y no cumple con el
2% de los requerimientos. En la siguiente seccin, se describirn acciones de mejora para
los requerimientos que no se han cumplido.
Cumple
Cumple Parcialmente
No Cumple
98.0%
Propuestas de Mejora
5 4 9
Planes de accin
Situacin de mejora 1:
1. Actividad:
Las estrategias de continuidad incluyen habilidades y conocimientos relacionados
al proceso.
2. Plan de accin :
- La Edpyme GMG Servicios Per debe de realizar revisiones de las
estrategias de continuidad de los procesos (cada 6 meses) para verificar su
correcto alineamiento a las habilidades y conocimiento de sus
colaboradores.
3. Indicador:
Tabla 219 - Indicador para la situacin de mejora 1 de la Edypme de la G-139-2009
Nombre Porcentaje de estrategias de continuidad alineadas correctamente
El objetivo del indicador es permitir identificar el porcentaje de
Descripcin estrategias de continuidad planteadas acorde a las habilidades y
conocimientos del personal que participa del proceso
Formula
Frecuencia Semestral
Resultado >=75% <75 y >=50% <50%
Analizar el porqu de la no alineacin a
Objetivo Identificar acciones
Comentario cumplido de mejora
las habilidades y conocimientos de los
colaboradores del proceso.
Fuente: Elaboracin propia
5 5 1
Nombre del Dia de Tipo de Pblico
Tiempo Horario Responsable
Curso Capacitacin Capacitacin Objetivo
Plan de
Recuperacin
10:00 am - Guillermo Gerencia de
de los 1 hora 23-mar-16 Presencial
11:00 am Fuentes TI
Servicios de
TI
Todo el
Seguridad de 11:00 am - Edu
1 hora 23-mar-16 Presencial Personal de
Informacin 12:00 am Cadenillas
la Edpyme
Todo el
10:00 am - Edu
Fraude Interno 1 hora 25-mar-16 Presencial Personal de
11:00 am Cadenillas
la Edpyme
Comit de
11:00 am - Giselle Crisis,
Plan de Crisis 1 hora 25-mar-16 Presencial
12:00 am Oviedo Responsables
de Gerencias
Fuente: Elaboracin propia
(Antes) 0.4745
5 5 2
Tabla 223 Resultado del indicador de efectividad del SGCN post-implementacin en
Edpyme GMG Servicios Per
Indicador de
Resultado
Efectividad
(Despus) 0.9452
Segn esto resultados, podemos decir que la aplicacin del modelo de sistema de gestin
de continuidad del negocio mejor la efectividad de cmo se gestionaba la continuidad
dentro de Edpyme GMG Servicios Per. Esto se refleja en un incremento de 47.07% entre
el valor antes de la implementacin y el valor despus de la implementacin. Con esto
podemos concluir que el SGCN de Edpyme GMG Servicios Per se encuentra alienado a
casi las tres cuartas partes de lo que exige la normativa internacional ISO/IEC 22301.
5 5 3
Captulo 6 : Gestin del proyecto
En este captulo se describe todas las actividades realizadas para la gestin del proyecto
en trminos de tiempo, costos, alcance y recursos.
5 5 4
6.1 Producto Final
Como resultado del proyecto, se obtuvo un modelo de sistema de gestin de continuidad
del negocio siguiendo el estndar internacional de la ISO/IEC 22301 y la normativa
peruana circular G-139-2009 publicada por la Superintendencia de Banca, Seguros y
AFP. Para definir este modelo, se realiz lo siguientes pasos:
El seguimiento del mismo, se puede evidenciar en las actas de reunin con el profesor
cliente, el profesor gerente y clientes externos.
5 5 5
Para mayor detalle Vase:
- Anexo 56: Actas de reunin con el cliente externo Edpyme GMG Servicios Per
5 5 6
%
EDT Nombre de Tarea Duracin Fin
completado
1.1.2.2.5 Plan de Gestin del Cronograma 0.31 das mi 08/04/15 100%
1.1.2.2.6 Plan de Gestin de RRHH 0.19 das mi 08/04/15 100%
1.1.2.2.7 Matriz de Trazabilidad de Requerimientos 0.31 das mi 08/04/15 100%
1.1.2.2.8 Matriz RAM 0.25 das jue 09/04/15 100%
1.1.2.2.9 Matriz de Riesgos 0.19 das jue 09/04/15 100%
1.1.2.2.1
Matriz de Comunicaciones 0.19 das jue 09/04/15 100%
0
1.1.2.2.1
Reunin con Profesor Gerente 0.13 das mar 07/04/15 100%
1
1.1.2.2.1
Reunin con David Mauricio 0.25 das jue 09/04/15 100%
2
1.1.2.2.1
Cronograma EDT 1 da jue 09/04/15 100%
3
1.1.2.2.1
Diccionario EDT 0.5 das vie 10/04/15 100%
4
1.1.2.2.1
Capitulo 1 Memoria del Proyecto 0.38 das vie 10/04/15 100%
5
1.1.2.2.1
Project Charter 0.13 das sb 11/04/15 100%
6
1.1.2.2.1
Presentacin de Entregables 0.06 das sb 11/04/15 100%
7
1.1.2.3 Semana 4 5.02 das dom 19/04/15 100%
1.1.2.3.1 Envo de Entregables de Gestin a QS 4.15 das dom 19/04/15 100%
1.1.2.3.2 Reunin con Profesor Gerente 0.13 das mar 14/04/15 100%
1.1.2.3.3 Exposicin con Profesor Gerente 1.06 das jue 16/04/15 100%
1.1.2.3.4 Reunin con David Mauricio 0.25 das jue 16/04/15 100%
1.1.2.3.5 Reunin con Profesor Cliente 0.11 das sb 18/04/15 100%
1.1.3 Anlisis 75.04 das mar 07/07/15 100%
1.1.3.1 Semana 5 6 das sb 25/04/15 100%
1.1.3.1.1 Levantamiento de observaciones de QS 0.19 das lun 20/04/15 100%
1.1.3.1.2 Reunin con Profesor Gerente 0.13 das mar 21/04/15 100%
Fuentes bibliogrficas sobre la seleccin de
1.1.3.1.3 0.19 das mar 21/04/15 100%
procesos crticos
1.1.3.1.4 Reunin con David Mauricio 0.25 das jue 23/04/15 100%
1.1.3.1.5 Correccin de la presentacin ante comit 0.25 das jue 23/04/15 100%
Documento de las mejores prcticas para la
1.1.3.1.6 0.38 das vie 24/04/15 100%
identificacin de los procesos crticos
1.1.3.1.7 Reunin con Profesor Cliente 0.06 das sb 25/04/15 100%
1.1.3.2 Semana 6 6.38 das dom 03/05/15 100%
Revisin del documento de las mejores
1.1.3.2.1 prcticas para la identificacin de los procesos 0.25 das lun 27/04/15 100%
crticos
Versin Final del Documento de
1.1.3.2.2 0.38 das lun 27/04/15 100%
Identificacin de Procesos Crticos
1.1.3.2.3 Reunin con Profesor Gerente 0.13 das mar 28/04/15 100%
Fuentes bibliogrficas sobre anlisis del
1.1.3.2.4 0.19 das mar 28/04/15 100%
impacto en el negocio
Presentacin inicial del proyecto ante
1.1.3.2.5 0.04 das mar 28/04/15 100%
comit
Reunin con Cliente Externo GMG
1.1.3.2.6 0.13 das mi 29/04/15 100%
Servicios S.A.
5 5 7
%
EDT Nombre de Tarea Duracin Fin
completado
1.1.3.2.7 Realizar Correcciones a PPT 0.25 das mi 29/04/15 100%
Realizar Presentacin del Proyecto al
1.1.3.2.8 0.04 das jue 30/04/15 100%
Comit
Avance del Capitulo 2 de la Memoria del
1.1.3.2.9 0.75 das dom 03/05/15 100%
Proyecto
1.1.3.3 Semana 7 6.19 das dom 10/05/15 100%
1.1.3.3.1 Reunin con Profesor Cliente 0.06 das lun 04/05/15 100%
Revisin del avance del documento para el
1.1.3.3.2 0.44 das lun 04/05/15 100%
anlisis del impacto en el negocio (BIA)
1.1.3.3.3 Envo de entregable de investigacin a QS 5.25 das dom 10/05/15 100%
1.1.3.3.4 Reunin con Profesor Gerente 0.11 das mar 05/05/15 100%
1.1.3.3.5 Reunin con EdPyme GMG Servicios S.A. 0.19 das mi 06/05/15 100%
Documento para el anlisis del impacto en
1.1.3.3.6 0.44 das jue 07/05/15 100%
el negocio (BIA)
1.1.3.3.7 Revisin mensual de documentos de gestin 0.03 das vie 08/05/15 100%
1.1.3.3.8 Reunin con Profesor Cliente 1 da sb 09/05/15 100%
1.1.3.3.9 Captulo 2 de la Memoria del Proyecto 0.75 das dom 10/05/15 100%
1.1.3.4 Semana 8 6 das sb 16/05/15 100%
Documento de las mejores prcticas para la
1.1.3.4.1 1 da lun 11/05/15 100%
identificacin de los riesgos de continuidad
1.1.3.4.2 Reunin con Profesor Cliente 1 da mi 13/05/15 100%
Revisin del documento de las mejores prcticas
1.1.3.4.3 0.44 das jue 14/05/15 100%
para la identificacin de los riesgos de continuidad
1.1.3.4.4 Reunin con Profesor Cliente 1 da sb 16/05/15 100%
1.1.3.5 Semana 9 5.52 das dom 24/05/15 100%
1.1.3.5.1 Levantamiento de observaciones de QS 0.13 das lun 18/05/15 100%
Documento para la evaluacin de los riesgos
1.1.3.5.2 0.5 das lun 18/05/15 100%
identificados
1.1.3.5.3 Envo de entregables de investigacin a QS 4.05 das dom 24/05/15 100%
1.1.3.5.4 Reunin con Profesor Gerente 0.13 das jue 21/05/15 100%
1.1.3.5.5 Captulo 2 Memoria del Proyecto 0.06 das jue 21/05/15 100%
Reunin con Cliente Externo (EdyFicar
1.1.3.5.6 0.19 das vie 22/05/15 100%
S.A.)
1.1.3.5.7 Reunin con Profesor Cliente 1 da sb 23/05/15 100%
1.1.3.6 Semana 10 6 das sb 30/05/15 100%
Revisin del documento para la evaluacin
1.1.3.6.1 0.31 das lun 25/05/15 100%
de los riesgos identificados
1.1.3.6.2 Levantamiento de observaciones de QS 0.13 das lun 25/05/15 100%
1.1.3.6.3 Reunin con Profesor Gerente 0.16 das mar 26/05/15 100%
Primer Avance del Captulo 3 de la
1.1.3.6.4 0.38 das mi 27/05/15 100%
Memoria del Proyecto
1.1.3.6.5 Reunin con David Mauricio 0.25 das jue 28/05/15 100%
1.1.3.6.6 Reunin con Profesor Cliente 1 da sb 30/05/15 100%
1.1.3.7 Semana 11 6.02 das dom 07/06/15 100%
Documento de evaluacin y seleccin de
1.1.3.7.1 1 da lun 01/06/15 100%
estrategias de continuidad
1.1.3.7.2 Envo de entregable de investigacin a QS 4.05 das dom 07/06/15 100%
1.1.3.7.3 Reunin con Profesor Gerente 0.13 das mar 02/06/15 100%
5 5 8
%
EDT Nombre de Tarea Duracin Fin
completado
Segundo Avance del Captulo 3 de la
1.1.3.7.4 1 da mar 02/06/15 100%
Memoria del Proyecto
Primer Avance del Captulo 4 de la
1.1.3.7.5 0.5 das mi 03/06/15 100%
Memoria del Proyecto
1.1.3.7.6 Reunin con Cliente Externo (EdyFicar) 0.19 das mi 03/06/15 100%
1.1.3.7.7 Reunin con David Mauricio 0.25 das jue 04/06/15 100%
1.1.3.7.8 Revisin mensual de documentos de gestin 1 da vie 05/06/15 100%
1.1.3.8 Semana 12 7.27 das lun 15/06/15 100%
Revisin del documento de evaluacin y
1.1.3.8.1 0.25 das lun 08/06/15 100%
seleccin de estrategias de continuidad
1.1.3.8.2 Levantamiento de observaciones de QS 0.19 das lun 08/06/15 100%
1.1.3.8.3 Captulo 3 Memoria del Proyecto 1 da mar 09/06/15 100%
Primer Avance del Captulo 4 de la
1.1.3.8.4 0.5 das mi 10/06/15 100%
Memoria del Proyecto
1.1.3.8.5 Reunin con Cliente Externo Edyficar 0.11 das mi 10/06/15 100%
1.1.3.8.6 Reunin con David Mauricio 0.25 das jue 11/06/15 100%
1.1.3.8.7 Reunin con Profesor Gerente 0.13 das jue 11/06/15 100%
1.1.3.8.8 Reunin con Profesor Cliente 1 da sb 13/06/15 100%
1.1.3.8.9 Correccin del Captulo 3 - Estado del Arte 1.5 das dom 14/06/15 100%
1.1.3.8.1
Enviar entregable de investigacin a QS 0.3 das lun 15/06/15 100%
0
1.1.3.9 Semana 13 6 das dom 21/06/15 100%
1.1.3.9.1 Reunin con Profesor Gerente 0.15 das mar 16/06/15 100%
1.1.3.9.2 Levantamiento de observaciones de QS 0.04 das jue 18/06/15 100%
1.1.3.9.3 Reunin con Profesor Cliente 1 da sb 20/06/15 100%
1.1.3.9.4 Captulo 4 Memoria del Proyecto 0.5 das dom 21/06/15 100%
1.1.3.10 Semana 14 5 das sb 27/06/15 100%
1.1.3.10.
Elaboracin de Presentacin Final del ciclo 0.38 das mar 23/06/15 100%
1
1.1.3.10.
Gestin de certificados de QS 0.13 das mar 23/06/15 100%
2
1.1.3.10.
Reunin con Profesor Gerente 0.11 das mar 23/06/15 100%
3
1.1.3.10.
Memoria Parcial 0.25 das jue 25/06/15 100%
4
1.1.3.10.
Reunin con Profesor Cliente 1 da sb 27/06/15 100%
5
1.1.3.11 Semana 15 5 das sb 04/07/15 100%
1.1.3.11.
Reunin con Profesor Gerente 1 da mar 30/06/15 100%
1
1.1.3.11.
Exposicin con Profesor Gerente de SSIA 0.04 das mar 30/06/15 100%
2
1.1.3.11.
Reunin con Profesor Cliente 1 da sb 04/07/15 100%
3
1.1.3.12 Semana 16 0.04 das mar 07/07/15 100%
1.1.3.12.
Presentacin de fin de ciclo ante comit 0.04 das mar 07/07/15 100%
1
1.2 Ciclo 2015 - 2 85.06 das vie 27/11/15 100%
1.2.1 Ejecucin del Anlisis 9.18 das jue 27/08/15 100%
1.2.1.1 Semana 1 6 das dom 23/08/15 100%
5 5 9
%
EDT Nombre de Tarea Duracin Fin
completado
1.2.1.1.1 Identificacin de procesos crticos 0.26 das lun 17/08/15 100%
Modelado de los procesos crticos
1.2.1.1.2 0.64 das lun 17/08/15 100%
identificados
1.2.1.1.3 Anlisis del Impacto en el Negocio (BIA) 1 da mar 18/08/15 100%
1.2.1.1.4 Reunin con Cliente Externo (Edyficar) 0.18 das mi 19/08/15 100%
Reunin con Cliente Externo (GMG
1.2.1.1.5 0.18 das jue 20/08/15 100%
Servicios Per)
1.2.1.1.6 Identificacin de los riesgos de continuidad 1 da vie 21/08/15 100%
1.2.1.1.7 Reunin con Profesor Gerente 0.06 das vie 21/08/15 100%
1.2.1.1.8 Reunin con Profesor Cliente 0.18 das sb 22/08/15 100%
Correccin de los entregables desarrollados
1.2.1.1.9 0 das dom 23/08/15 100%
en Semana 1
1.2.1.2 Semana 2 3.18 das jue 27/08/15 100%
1.2.1.2.1 Evaluacin de los riesgos identificados 1 da lun 24/08/15 100%
Evaluacin y seleccin de estrategias de
1.2.1.2.2 0.19 das mar 25/08/15 100%
continuidad
Primer paquete de entregables para
1.2.1.2.3 0.54 das mi 26/08/15 100%
validacin y verificacin de QS
1.2.1.2.4 Taller de asesora de Paper 0.38 das mar 25/08/15 100%
1.2.1.2.5 Reunin con Cliente Externo (Edyficar) 0.18 das mi 26/08/15 100%
Reunin con Cliente Externo (GMG
1.2.1.2.6 0.18 das jue 27/08/15 100%
Servicios Per)
1.2.2 Diseo 20 das dom 20/09/15 100%
1.2.2.1 Semana 2 2 das dom 30/08/15 100%
1.2.2.1.1 Reunin con Profesor Gerente 0.08 das vie 28/08/15 100%
1.2.2.1.2 Plan de Crisis 0.4 das vie 28/08/15 100%
Levantamiento de incidencias del primer
1.2.2.1.3 1.02 das sb 29/08/15 100%
paquete de entregables
1.2.2.1.4 Reunin con Profesor Cliente 0.18 das sb 29/08/15 100%
Correccin de los entregables desarrollados
1.2.2.1.5 0 das dom 30/08/15 100%
en Semana 2
1.2.2.2 Semana 3 6 das dom 06/09/15 100%
1.2.2.2.1 Plan de Recuperacin de los Servicios de TI 1 da lun 31/08/15 100%
1.2.2.2.2 Taller de asesora de Paper 0.38 das mar 01/09/15 100%
1.2.2.2.3 Reunin con Cliente Externo (Edyficar) 0.18 das mi 02/09/15 100%
Reunin con Cliente Externo (GMG
1.2.2.2.4 0.18 das jue 03/09/15 100%
Servicios Per)
1.2.2.2.5 Reunin con Profesor Gerente 0.08 das vie 04/09/15 100%
Segundo paquete de entregables para
1.2.2.2.6 0.42 das sb 05/09/15 100%
validacin y verificacin de QS
1.2.2.2.7 Reunin con Profesor Cliente 0.18 das sb 05/09/15 100%
Correccin de los entregables desarrollados
1.2.2.2.8 0 das dom 06/09/15 100%
en Semana 3
1.2.2.3 Semana 4 6 das dom 13/09/15 100%
1.2.2.3.1 Plan de Entrenamiento y Capacitacin 1 da lun 07/09/15 100%
Levantamiento de incidencias del segundo
1.2.2.3.2 0.06 das mi 09/09/15 100%
paquete de entregables
1.2.2.3.3 Taller de asesora de Paper 0.38 das mar 08/09/15 100%
1.2.2.3.4 Reunin con Cliente Externo (Edyficar) 0.18 das mi 09/09/15 100%
5 6 0
%
EDT Nombre de Tarea Duracin Fin
completado
Reunin con Cliente Externo (GMG
1.2.2.3.5 0.16 das jue 10/09/15 100%
Servicios Per)
1.2.2.3.6 Reunin con Profesor Gerente 0.08 das vie 11/09/15 100%
Tercer paquete de entregables para
1.2.2.3.7 0.54 das sb 12/09/15 100%
validacin y verificacin de QS
1.2.2.3.8 Reunin con Profesor Cliente 0.18 das sb 12/09/15 100%
Correccin de los entregables desarrollados
1.2.2.3.9 0 das dom 13/09/15 100%
en Semana 4
1.2.2.4 Semana 5 6 das dom 20/09/15 100%
Modelo del sistema de gestin de
1.2.2.4.1 1 da lun 14/09/15 100%
continuidad del negocio (SGCN)
1.2.2.4.2 Captulo 4 0.13 das lun 14/09/15 100%
Levantamiento de incidencias del tercer
1.2.2.4.3 0.06 das mi 16/09/15 100%
paquete de entregables
1.2.2.4.4 Taller de asesora de Paper 0.38 das mar 15/09/15 100%
1.2.2.4.5 Reunin con Cliente Externo (Edyficar) 0.18 das mi 16/09/15 100%
Reunin con Cliente Externo (GMG
1.2.2.4.6 0.18 das jue 17/09/15 100%
Servicios Per)
1.2.2.4.7 Reunin con Profesor Gerente 0.08 das vie 18/09/15 100%
1.2.2.4.8 Plan de Implementacin 1 da vie 18/09/15 100%
1.2.2.4.9 Plan de Emergencias 0 das vie 18/09/15 100%
1.2.2.4.1
Reunin con Profesor Cliente 0.18 das sb 19/09/15 100%
0
1.2.2.4.1 Correccin de los entregables desarrollados
0 das dom 20/09/15 100%
1 en Semana 5
1.2.3 Implementacin 55.06 das vie 27/11/15 100%
1.2.3.1 Semana 6 6 das dom 27/09/15 100%
Plantilla de Informe de resultados de la
1.2.3.1.1 0.06 das lun 21/09/15 100%
implementacin del Plan de Crisis
1.2.3.1.2 Taller de asesora de Paper 0.38 das mar 22/09/15 100%
1.2.3.1.3 Reunin con Cliente Externo (Edyficar) 0.23 das mi 23/09/15 100%
Reunin con Cliente Externo (GMG
1.2.3.1.4 0.23 das jue 24/09/15 100%
Servicios Per)
Cuarto paquete de entregables para
1.2.3.1.5 0.42 das sb 26/09/15 100%
validacin y verificacin de QS
1.2.3.1.6 Reunin con Profesor Gerente 0.08 das vie 25/09/15 100%
Informe de Resultados de la primera etapa
1.2.3.1.7 0.25 das vie 25/09/15 100%
de la implementacin del plan de crisis
1.2.3.1.8 Reunin con Profesor Cliente 0.17 das sb 26/09/15 100%
Retroalimentacin de la primera etapa de
1.2.3.1.9 0 das dom 27/09/15 100%
implementacin del Plan de Crisis
1.2.3.2 Semana 7 5 das dom 04/10/15 100%
1.2.3.2.1 Avance del Captulo 5 de la Memoria 0.38 das lun 28/09/15 100%
Levantamiento de incidencias del cuarto
1.2.3.2.2 0.07 das mar 29/09/15 100%
paquete de entregables
1.2.3.2.3 Taller de asesora de Paper 0.38 das mar 29/09/15 100%
1.2.3.2.4 Reunin con Cliente Externo (Edyficar) 0.23 das mi 30/09/15 100%
Reunin con Cliente Externo (GMG
1.2.3.2.5 0.23 das jue 01/10/15 100%
Servicios Per)
1.2.3.2.6 Reunin con Profesor Gerente 0.08 das vie 02/10/15 100%
5 6 1
%
EDT Nombre de Tarea Duracin Fin
completado
Informe de Resultados de la segunda etapa
1.2.3.2.7 0.25 das vie 02/10/15 100%
de la implementacin del plan de crisis
1.2.3.2.8 Reunin con Profesor Cliente 0 das sb 03/10/15 100%
Retroalimentacin de la segunda etapa de
1.2.3.2.9 0 das dom 04/10/15 100%
implementacin del Plan de Crisis
1.2.3.3 Semana 8 5 das dom 11/10/15 100%
Plantilla de Informe de resultados de la
1.2.3.3.1 implementacin del Plan de Recuperacin de los 0 das lun 05/10/15 100%
Servicios de TI
1.2.3.3.2 Reunin con Cliente Externo (Edyficar) 0.29 das mi 07/10/15 100%
Reunin con Cliente Externo (GMG
1.2.3.3.3 0.29 das jue 08/10/15 100%
Servicios Per)
Informe de Resultados de la primera etapa de la
1.2.3.3.4 implementacin del plan de recuperacin de los 0.25 das vie 09/10/15 100%
servicios de TI
1.2.3.3.5 Reunin con Profesor Cliente 0.17 das sb 10/10/15 100%
Retroalimentacin de la primera etapa de
1.2.3.3.6 implementacin del Plan de Recuperacin de los 0 das dom 11/10/15 100%
Servicios de TI
1.2.3.4 Semana 9 5 das dom 18/10/15 100%
1.2.3.4.1 Taller de asesora de Paper 0.38 das mar 13/10/15 100%
1.2.3.4.2 Reunin con Cliente Externo (Edyficar) 0.23 das mi 14/10/15 100%
Reunin con Cliente Externo (GMG
1.2.3.4.3 0.23 das jue 15/10/15 100%
Servicios Per)
1.2.3.4.4 Reunin con Profesor Gerente 0.08 das vie 16/10/15 100%
Informe de Resultados de la segunda etapa de la
1.2.3.4.5 implementacin del plan de recuperacin de los 0.25 das vie 16/10/15 100%
servicios de TI
1.2.3.4.6 Reunin con Profesor Cliente 0.17 das sb 17/10/15 100%
Retroalimentacin de la segunda etapa de
1.2.3.4.7 implementacin del Plan de Recuperacin de los 0 das dom 18/10/15 100%
Servicios de TI
1.2.3.5 Semana 10 6 das dom 25/10/15 100%
Plantilla de Informe de resultados de la
1.2.3.5.1 implementacin del Plan de Entrenamiento y 0 das lun 19/10/15 100%
Capacitacin
1.2.3.5.2 Avance del Captulo 5 de la Memoria 0.38 das lun 19/10/15 100%
1.2.3.5.3 Taller de asesora de Paper 0.38 das mar 20/10/15 100%
1.2.3.5.4 Reunin con Cliente Externo (Edyficar) 0.23 das mi 21/10/15 100%
Reunin con Cliente Externo (GMG
1.2.3.5.5 0.23 das jue 22/10/15 100%
Servicios Per)
1.2.3.5.6 Reunin con Profesor Gerente 0.08 das vie 23/10/15 100%
Informe de Resultados de la primera etapa de la
1.2.3.5.7 implementacin del plan de entrenamiento y 0.25 das vie 23/10/15 100%
capacitacin
1.2.3.5.8 Reunin con Profesor Cliente 0.17 das sb 24/10/15 100%
Retroalimentacin de la primera etapa de
1.2.3.5.9 implementacin del Plan de Entrenamiento y 0 das dom 25/10/15 100%
Capacitacin
1.2.3.6 Semana 11 5 das dom 01/11/15 100%
1.2.3.6.1 Taller de asesora de Paper 0.38 das mar 27/10/15 100%
5 6 2
%
EDT Nombre de Tarea Duracin Fin
completado
1.2.3.6.2 Reunin con Cliente Externo (Edyficar) 0.23 das mi 28/10/15 100%
Reunin con Cliente Externo (GMG
1.2.3.6.3 0.23 das jue 29/10/15 100%
Servicios Per)
1.2.3.6.4 Reunin con Profesor Gerente 0.08 das vie 30/10/15 100%
Informe de Resultados de la segnda etapa de la
1.2.3.6.5 implementacin del plan de entrenamiento y 0.25 das vie 30/10/15 100%
capacitacin
Quinto paquete de entregables para
1.2.3.6.6 0.42 das sb 31/10/15 100%
validacin y verificacin de QS
1.2.3.6.7 Reunin con Profesor Cliente 0.17 das sb 31/10/15 100%
Retroalimentacin de la segunda etapa de
1.2.3.6.8 implementacin del Plan de Entrenamiento y 0 das dom 01/11/15 100%
Capacitacin
1.2.3.7 Semana 12 20.06 das vie 27/11/15 100%
1.2.3.7.1 Avance del Captulo 5 de la Memoria 0.38 das lun 02/11/15 100%
1.2.3.7.2 Taller de asesora de Paper 0.38 das mar 03/11/15 100%
Levantamiento de incidencias del quinto
1.2.3.7.3 0.02 das mi 04/11/15 100%
paquete de entregables
1.2.3.7.4 Reunin con Cliente Externo (Edyficar) 0.23 das mi 04/11/15 100%
Reunin con Cliente Externo (GMG
1.2.3.7.5 0.23 das jue 05/11/15 100%
Servicios Per)
1.2.3.7.6 Exposicin ante comit 0.06 das vie 27/11/15 100%
Avance de Informe de mejora continua del
1.2.3.7.7 0.25 das vie 06/11/15 100%
SGCN
1.2.3.7.8 Reunin con Profesor Cliente 0 das sb 07/11/15 100%
Retroalimentacin del informe de mejora
1.2.3.7.9 0 das dom 08/11/15 100%
continua desarrollado
1.2.3.8 Semana 13 5.17 das sb 14/11/15 100%
1.2.3.8.1 Captulo 5 de la Memoria 0.25 das lun 09/11/15 100%
1.2.3.8.2 Captulo 6 de la Memoria 0.38 das lun 09/11/15 100%
1.2.3.8.3 Taller de asesora de Paper 0.38 das mar 10/11/15 100%
Informe de mejora continua del modelo de
1.2.3.8.4 0.25 das mi 11/11/15 100%
SGCN
1.2.3.8.5 Reunin con Profesor Gerente 0.08 das vie 13/11/15 100%
1.2.3.8.6 Reunin con Profesor Cliente 0.17 das sb 14/11/15 100%
1.2.4 Cierre 15.31 das mar 24/11/15 100%
1.2.4.1 Semana 12 0.19 das mar 03/11/15 100%
1.2.4.1.1 Perfil del Proyecto 0.19 das mar 03/11/15 100%
1.2.4.2 Semana 13 0.38 das mar 10/11/15 100%
1.2.4.2.1 Poster del Proyecto 0.38 das mar 10/11/15 100%
1.2.4.3 Semana 14 4.88 das vie 20/11/15 100%
Gestin de firma de entregables del
1.2.4.3.1 0.25 das lun 16/11/15 100%
proyecto
1.2.4.3.2 Memoria Final 0.38 das mar 17/11/15 100%
1.2.4.3.3 Gestionar Certificado de QS 0.06 das mar 17/11/15 100%
1.2.4.3.4 Paper del Proyecto 1 da jue 19/11/15 100%
1.2.4.3.5 Lecciones Aprendidas 0.25 das vie 20/11/15 100%
1.2.4.4 Semana 15 0.13 das lun 23/11/15 100%
1.2.4.4.1 Acta de Aceptacin y Cierre del Proyecto 0.13 das lun 23/11/15 100%
5 6 3
%
EDT Nombre de Tarea Duracin Fin
completado
1.2.4.5 Semana 16 0.13 das mar 24/11/15 100%
1.2.4.5.1 Presentacin final del Proyecto 0.13 das mar 01/12/15 100%
Fuente: Elaboracin propia
5 6 4
- Se cambi de recurso de QS, debido al nuevo procedimiento de solicitud de
recursos que rigieron en el ciclo 2015-2.
5 6 5
Tabla 226 - Riesgos materializados e Impacto
5 6 6
Cdigo Riesgo Medida de accin Impacto materializado
5 6 7
6.7 Plan de Gestin de Calidad
En el documento Plan de Gestin de Calidad, nicamente se actualiz el ttulo final del
proyecto y el cdigo respectivo a partir de la solicitud de cambios elaborada. Tambin,
se detallaron los entregables faltantes que no fueron identificados con precisin en el
ciclo 2015-1. El seguimiento de todos los entregables del proyecto se puede evidenciar
en las actas con el profesor gerente, profesor cliente y cliente externo.
- Anexo 56: Actas de reuniones con Cliente Externo de Edpyme GMG Servicios
Per
5 6 8
Conclusiones
Este modelo se mantien actualizado en el tiempo, debido a que tiene como base el
ciclo PDCA que busca la mejorar continua del sistema de gestin de continuidad del
negocio mediante diversos mecanismos que ponen a prueba la efectividad del
mismo.
5 6 9
Recomendaciones
Para la aplicacin de este modelo, se recomienda que las empresas del sector
financiero sean cooperativas de ahorro y crdito, cajas rurales de ahorro y crdito
(CRAC), empresas de desarrollo de la pequea y microempresa (Edpyme),
financieras especializadas, caja metropolitana y cajas municipales de ahorro y
crdito porque esta enfocado de acuerdo a sus necesidades y tamao de negocio.
La implementacin del modelo de SGCN puede ser llevado a cabo por el propio
personal de la microfinanciera que cuente con conocimientos solidos en continuidad
del negocio o se puede contratar un equipo de consultoria que realic el trabajo por
fases (Anlisis, Diseo e Implementacin). Esto depender mucho del presupuesto
asignado para la continuidad del negocio de la microfinanciera.
5 7 0
actividades de anlisis, diseo y pruebas dentro de una aplicacin. La herramienta
ms conocida actualmente es GlobalSuite y solo bastara adquirir el producto de
Business Continuity bajo un costo aproximado de entre 1,700 a 2,000 USD mensual
dependiendo del tipo de distribucin a seleccionar (SaaS Audisec, SaaS Privado u
On Premise). Para mayor detalle se puede revisar la seccin de licencias y
distribucin de GlobalSuite (http://www.globalsuite.es/es/distribucion-y-
licencias/)
5 7 1
Glosario
Continuidad del Negocio. Es la capacidad que tiene una empresa para poder responder
de manera eficiente ante incidentes o interrupciones producidas en el negocio y
restaurar los procesos crticos de la empresa para poder seguir entregando los productos
y/o servicios en los niveles aceptables.
ISO/IEC 22301. Es el estndar brindado por la ISO que tiene por nombre Seguridad
de la Sociedad: Sistemas de Continuidad del Negocio y que brindan con conjunto de
lineamientos, estndares internacionales y buenas prcticas para la adecuada gestin de
la continuidad del negocio empleando el ciclo PDCA para su planificacin,
implementacin, monitoreo, revisin y mejora continua.
Circular G-139-2009. Es una norma publicada por la SBS que abarca temas de gestin
de continuidad del negocio y seguridad de la informacin. Esta detalla el cumplimiento
de carcter obligatorio de un conjunto de criterios mnimos que deben tener las
empresas financieras peruanas desde bancos, cajas municipales de ahorro y crdito,
financieras y administradoras de fondos de pensiones para garantizar su efectividad de
reaccionar frente a eventos externos que puedan afectar el normal funcionamiento de los
procesos crticos.
Memoria. Artculo del estado del arte donde se resume y organiza los resultados de
investigacin reciente en una forma novedosa que integra y agrega claridad al trabajo en
un campo especfico.
BS British Standard
FODA Fortalezas-Oportunidades-Debilidades-Amenazas
PDCA Plan-Do-Check-Act
QS Quality Services
TI Tecnologa de Informacin
5 7 3
Bibliografa
Referencias bibliogrficas
R. Knight, D. Pretty. The impact of catastrophes on shareholder value. The oxford
executive research briefings (1996) Templeton College
M. Nemzow. Business continuity planning. International Journal of Network
Management 7 (1997) 127-136
G. Vancoppenolle. What are we planning for? In A. Hiles, P. Barnes. The definitive
handbook of business continuity management. (2001) Chichester: Wiley.
K. Doughty. Business Continuity Planning Protecting Your Organizations Life. Best
practice series. Auerbach, Boca Raton (2001)
Steiner, R (2002). Woolwich growing paints hit costumers. Sunday Times Business, 27
October, 1, 13
Computer Crime Research Center (2003). Hackers in attack on RBS credit card firm.
L. Riolli, V. Savicki. Information Systems Organizational Resilience. Omega (2003)
227-233
B. Herbane, D. Elliott, E. M. Swartz. Business Continuity Management: time for a
strategic role? Long Range Planning (2004) 435-457
V. Cerullo, M.J. Cerullo. Business Continuity Planning: A Comprehesive Approach,
Information Systems Management, (2004) 70-78
F. Gibb, S. Buchanan. A framework for business continuity management. International
Journal of Information Management 26 (2006) 128-141
M. Sayal. Business Impact Analysis Using Time Correlations, DEECS, LNCS (2006)
167-181
D. E. Snediker, A. T. Murray, T. C. Matisziw. Decision support for network
disruption mitigation. Decision Support Systems, (2008) 954-969.
G. Asnar. Analyzing Business Continuity through a Multi-layers Model. Proceeding
BPM. 6th International Conference on Business Process Management (2008) 212-227
T. Lumpp, J. Schneider, J. Holtz, M. Mueller, N. Mueller, A. Biazetti. From high
availability and disaster recovery to business continuity solutions. IBM Systems Journal
47 (2008) 605-619.
C. A. Peterson. Business Continuity Management & Guidelines. Information Security
Curriculum Development Conference (2009) 114-120
5 7 4
S. Wan. Service impact analysis using business continuity planning processes. Campus-
Wide Information System (2009) 2042
W. Boehmer. Survivability and Business Continuity Management System According to
BS 25999. Third International Conference on Emerging Security Information, Systems
and Technologies (2009) 142-147
U. Winkler, M. Fritzsche, W. Gilani, A. Marshall. A Model-Driven Framework for
Process-centric Business Continuity Management. Seventh International Conference on
the Quality of Information and Communications Technology (2010) 248-252
C. Losada, M. P. Scaparra, J. R. OHanley. Optimizing system resilience: a facility
protection model with recovery time. European Journal of Operational Research (2012)
519-530.
M. Niemimaa, J. Jrvelinen. IT Service Continuity. International Conference on
Availability, Reliability and Security (2013)
H. Brotherton, J. E. Dietz. Data Center Business Continuity Best Practice. 11th
International Conference on Information Technology: New Generations (ITNG) (2014)
496-501
N. Sahebjamnia, S. A. Torabi, S. A. Mansouri. Integrated business continuity and
disaster recovery planning: Towards organizational resiliency. European Journal of
Operational Research 242 (2014) 261-273
S. A. Torabi, H. R. Soufi, N. Sahebjamnia. A new framework for business impact
analysis in business continuity management (with a case study). Safety Science 68
(2014) 309-323
S. Kulkarni, G. J. Hidding, S. Cicekoglu. A Framework for Post-Crisis Business
Continuity Plans. 48th Hawaii International Conference on System Sciences (2015)
143-152
Andina. SBS: Sistema financiero peruano est resguardado ante desastres naturales.
(2015)
5 7 5
Referencias electrnicas.
ALEXANDER, ALBERTO y AMBCI (2012) Nuevo Estndar Internacional En
Continuidad Del Negocio ISO 22301:2012 (consulta: 16 de mayo de 2015)
(http://www.gestion.com.do/pdf/018/018-nuevo-estandar-internacional.pdf )
ASOCIACIN DE INSTITUCIONES DE MICROFINANZAS DEL PER
(ASOMIF PER) (2010) Sitio web oficinal de ASOMIF Per; contiene informacin
sobre estadsticas, noticias, eventos, proyectos realizados por las entidades
microfinancieras asociadas (consulta: 31 de mayo de 2015)
(http://asomifperu.com/home.html)
AXELOS (2006) Glosario de Trminos ITIL , Definiciones y Acrnimos (consulta:
16 de mayo de 2015) (http://www.best-management-
practice.com/gempdf/itilv3_glossary_spanish_v3.1.24.pdf)
BANCO DE ESPAA EUROSISTEMA (2006) Recomendaciones relativas a la
continuidad del negocio (consulta: 03 de mayo de 2015)
(http://www.bde.es/f/webbde/COM/Supervision/politica/ficheros/es/Recomendaciones_
relativas_a_la_continuidad_del_negocio.pdf)
BSC CONSULTORES (2012) Continuidad del Negocio y Recuperacin de Desastres
(consulta: 17 de mayo de 2015)
(http://www.bscconsultores.cl/descargas/D.5%20%20Continuidad%20del%20Negocio
%20y%20%20recuperacin%20de%20desastres%20ISACA.pdf)
BSI GROUP (2015) Sitio Web oficial de bsi; continene informacin relacionada a las
normas 9001 y 22301 brindando lineamiento para su implementacin a las
organizaciones interesadas (consulta: 27 de noviembre) (http://www.bsigroup.com/es-
ES/ISO-22301-continuidad-de-negocio/)
BOEHM BARRY (1991) Software Risk Management: Principles and Practices
(consulta: 17 de mayo 2015) (http://csse.usc.edu/csse/TECHRPTS/1991/usccse91-
500/usccse91-500.pdf)
CALIDAD FEAPS (2007) Buenas Prcticas FEAPS Qu son y cmo se valoran?
(consulta: 18 de mayo de 2015) (http://www.feapsmurcia.org/feaps/FeapsDocumentos
.NSF/08db27d07184be50c125746400284778/84163cd187586d72c1256ffd003e699f/$F
ILE/queesBBPP.pdf)
CARRERAS, Roberto (2008) Gestin de Crisis (consulta: 17 de mayo de 2015)
(http://es.slideshare.net/robertocarreras/gestin-de-crisis-plan-de-crisis-presentation)
5 7 6
CARRILLO SANCHEZ, JONATHAN (2013) Gestin del riesgo en las metodologas
de proyectos de tecnologas de informacin y comunicaciones (consulta: 17 de mayo
2015) (http://oaji.net/articles/2015/1783-1426290171.pdf )
CGAP (2014) Sitio web oficinal de CGAP Portal de Microfinanzas; contiene
informacin sobre eventos, entrenamiento, anuncios y biblioteca virtual sobre temas de
microfinanzas (consulta: 31 de mayo de 2015)
(http://www.microfinancegateway.org/es/)
DINTEL (2012) Congreso Continuidad de Negocio 2012 (Consulta: 20 de abril del
2015)
(http://www.dintel.org/Documentos/2012/CONTINUIDAD/ponencias/maestre.pdf)
ESPIEIRA, SHELDON Y ASOCIADOS (2008) Desarrollo de un plan de
continuidad del Negocio: Aplicando un enfoque rpido, econmica y efectivo (consulta:
03 de mayo de 2015) (https://www.pwc.com/ve/es/asesoria-
gerencial/boletin/assets/boletin-advisory-edicion-09-2008.pdf)
FEPCMAC (2012) Cajas Municipales: Una realidad en micro finanzas con rol social
(Consulta: 10 de Abril del 2015) (http://www.fpcmac.org.pe/files/librofepcmac.pdf)
FERRER, RODRIGO (2010) Metodologa Para El Diseo De Un Plan De
Recuperacin Ante Desastres O DRP (consulta: 17 de mayo de 2015)
(http://www.sisteseg.com/files/Microsoft_Word_-_METODOLOGIA_PLAN_RECUPE
RACION_ANTE_DESASTRES_DRP.pdf )
FINANCIERA EDYFICAR (2014) Memoria Anual 2013: Lderes en Microfinanzas
(consulta: 02 de octubre de 2015)
(http://www.edyficar.com.pe/cms/UserFiles/File/MEMORIA2013.pdf)
FOCUS (2012) Proteccin de defensores de derechos humanos: buenas prcticas y
lecciones a partir de la experiencia (consulta: 16 de mayo de 2015)
(http://focus.protectionline.org/files/2012/05/anexo_1-2.pdf)
GENERALITAT VALENCIANA (2001) Mejora Continua y Resolucin de
Problemas de Calidad (consulta: 16 de mayo de 2015)
(http://portales.gva.es/fvq/docs/publicaciones/mejoracontinua.pdf)
HITPASS, Berhard (2014) Business Process Management: Fundamentos y Conceptos
de Implementacin. Tercera Edicin (Consulta: 16 de mayo de 2015)
(http://books.google.com.pe/books?id=Dm4-
MGAy5vMC&pg=PR3&lpg=PR3&dq=historia+del+bpmn&source=bl&ots=zVdRNc3r
-
5 7 7
L&sig=S6PqSf69hdlncDRnAluGDG2bQ7M&hl=es&sa=X&ei=W0UGVKiTH9exggS
VooLwDA&ved=0CDcQ6AEwBDgK#v=onepage&q&f=false)
INSTITUTO NACIONAL DE DESENSA CIVIL (INDECI) (2015)
(http://www.indeci.gob.pe/) Web oficial del Instituto Naciona de Defensa Civil.
Contiene informacin referente a la prevencin, planificacin y datos estadsticos sobre
diferentes desastres naturales y provocados por el hombre (consulta: 16 de mayo de
2015)
INSTITUTO DE AUDITORES INTERNOS DE ESPAA (IAIE) (2013) Buenas
Prcticas en Gestin de Riesgos (consulta: 16 de mayo de 2015)
(http://auditoresinternos.es/uploads/media_items/apetito-de-riesgo-libro.original.pdf)
INSTITUTO GEOFSICO PERUANO (2014) Boletines Ssmicos 2014 (Consulta:
10 de Abril del 2015)
(http://www.igp.gob.pe/portal/index.php?option=com_content&view
=article&id=1180%3A2014-01-14-13-45-
41&catid=46%3Asismologia&Itemid=1&lang=es )
INSTITUTO GEOFSICO PERUANO (2015) Boletines Ssmicos 2015 (Consulta:
10 de Abril del 2015)
(http://www.igp.gob.pe/portal/index.php?option=com_content&view=article&id=1730
%3A2015-01-06-20-14-38&catid=46%3Asismologia&lang=es)
INTERNATIONAL ELECTROTECHNICAL COMMISSION (IEC) (2015)
Bienvenidos a IEC (consulta: 31 de mayo)
(http://www.iec.ch/about/brochures/pdf/about_iec/welcome_to_the_iec-s.pdf)
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO) (2009)
Risk Management Vocabulary (consulta: 17 de mayo 2015)
(https://www.iso.org/obp/ui/#iso:std:iso:guide:73:ed-1:v1:en)
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO) (2009)
Societal Security - Terminology (consulta: 17 de mayo 2015)
(https://www.iso.org/obp/ui/#iso:std:iso:22300:ed-1:v1:en)
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO) (2010)
Organismos Nacionales de Normalizacin en Pases de Desarrollo (consulta: 31 de
mayo de 2015) (http://www.iso.org/iso/fast_forward-es.pdf)
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO) (2012)
Seguridad de la Sociedad: Sistemas de Continuidad del Negocio Requisitos (consulta:
03 de mayo 2015) (https://www.pea.co.th/BCM/DocLib/ISO_22301_2012.pdf )
5 7 8
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO) (2015)
(http://www.iso.org/iso/home.htm?) Sitio web oficial de la ISO; contiene informacin
sobre la organizacin y estndares internacionales (consulta: 18 de mayo de 2015)
JUYAR, Lorena (2011) Polticas de la organizacin (consulta: 17 de mayo de 2015)
(http://es.slideshare.net/LORENAJUYAR/politicas-de-la-organizacin-9276820)
LACALLE, Maricruz y OTROS (2010) Glosario bsico sobre microfinanzas
(consulta: 31 de mayo de 2015) (http://nantiklum.org/doc/monograficos/CM12.pdf)
MAFRE (2014) Los desastres y planes de continuidad de negocio en las empresas de
seguro (Consulta: 10 de Abril del 2015)
(http://www.mapfre.com/documentacion/publico/i18n/catalogo_imagenes/imagen.cmd?
path=1080004&posicion=1)
MEDINA, ALEJANDRO (2005) Gestin de procesos y creacin de valor pblico: un
enfoque analtico (Consulta: 23 de Abril de 2015) (https://books.google.com.pe/
books?id=7wiHn_kmWvkC&pg=PA175&lpg=PA175&dq=IDENTIFICACION+DE+P
ROCESOS+CRITICOS&source=bl&ots=LKqOJdNikF&sig=kGNyZRa98Xa692AA03
fnxIL7_Q8&hl=es&sa=X&ei=VRM1VeeDGsSMNvjVgJgI&ved=0CEMQ6AEwBg#v
=onepage&q=IDENTIFICACION%20DE%20PROCESOS%20CRITICOS&f=false)
MICROFINANCE INFORMATION EXCHANGE (MIX) (2015) Preguntas
frecuentes sobre microfinanzas (consulta: 31 de mayo de 2015)
(http://www.themix.org/espa%C3%B1ol/preguntas-frecuentes-sobre-microfinanzas)
MICROFINANZAS (2013) Se reunirn expertos de las microfinanzas mundiales en
cumbre de IMF (consulta: 31 de mayo de 2015) (http://microfinanzas.pe/trujillo-
realizara-cumbre-de-imf.html)
MINISTERIO DE FOMENTO DE ESPAA (2005) Modelos para implantar la
mejora continua en la gestin de empresas de transporte por carretera (Consulta: 23 de
Abril de 2015) (http://www.fomento.es/NR/rdonlyres/9541ACDE-55BF-4F01-B8FA-
03269D1ED94D/19421/CaptuloIVPrincipiosdelagestindelaCalidad.pdf)
MUOZ, Diego (2008) Procesos Crticos de Negocios (Consulta: 23 de Abril de 2015)
(http://www.surlatina.cl/contenidos/archivos_articulos/11-
procesoscriticosdenegocios.pdf)
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (2002) Risk
Management Guide for Information Technology Systems (consulta: 26 de Abril del
2015) (http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf )
5 7 9
PEA IBARRA, JOSE ANGEL (2010) Metodologas y Normas para el Anlisis de
Riesgos: Cul debo Aplicar? (consulta: 17 de mayo 2015)
(http://www.isaca.org/chapters7/Monterrey/Events/Documents/20100302%20Metodolo
g%C3%ADas%20de%20Riesgos%20TI.pdf )
PREZ, Claudia y ALVAREZ, Juan (2011) PMBOK. Presentacin PowerPoint
(consulta: 18 de mayo de 2015) (http://es.slideshare.net/JoseSandoval9/pmbok-
9825141)
PORTER, MICHAEL (1985) Ventaja competitiva: Creacin y sostenimiento de un
desempeo superior. Captulo 2: La Cadena de Valor y la Ventaja Competitiva
(Consulta: 26 de Abril de 2015) (http://biblio3.url.edu.gt/Libros/2011/ven_comp /cap2-
ven.pdf)
PRICEWATERHOUSECOOPERS (PWC) (2006) Auditora de procesos con alto
grado de automatizacin (consulta: 16 de mayo de 2015)
(http://www.cec.uchile.cl/~mcarter/Auditoria/trabajo%20oas/NO%20SIRVEN/Auditori
aProcesos%20TI.pdf)
RAMON, Jos (2013) Business Process Management: Como alcanzar la agilidad y la
eficiencia operacional a travs de BPM y la organizacin orientada a procesos.
(Consulta: 06 de Septiembre de 2015)
(http://books.google.com.pe/books?id=07NJBAAAQBAJ&pg=PA217&lpg=PA217&d
q=elementos+de+la+notacion+bpmn&source=bl&ots=E-
3BIInuvi&sig=UC4jS6eCq0J9U5Dv5F8Ec8lsWWU&hl=es&sa=X&ei=wgQMVLOXA
qTjsAT6joCQDg&ved=0CF0Q6AEwCTgU#v=onepage&q&f=false )
ROCHA VARGAS, MARCELO (2011) Modelado de Procesos (consulta: 17 de mayo
2015) (http://e-conomicas.eco.unc.edu.ar/archivos/_2/U3-ModProc-11.pdf )
SISTESEG (2009) Business Impact Analysis (consulta: 17 de mayo 2015)
(http://www.sisteseg.com/files/Microsoft_Word_-
_BIA_BUSINESS_IMPACT_ANALYSIS.pdf )
SOLANO REDONDO, MAURICIO (20123) Definicin del universo auditable y
valoracin de riesgos de TI (consulta: 17 de mayo 2015)
(http://www.ccpa.or.cr/file/mayo_2013/charlas/21-riesgos-de-tecnologia-de-
informacion-implicaciones-y-retos-para-la-auditoria.pdf )
SUPERINTENDENCIA DE BANCA, SEGUROS Y AFP (SBS) (2009) Circular N
G-139-2009 Gestin de la continuidad del negocio (http://intranet1.sbs.gob.pe/IDXALL
/FINANCIERO/DOC/CIRCULAR/PDF/G-139-2009.C.PDF)
5 8 0
TABOADA ALLENDE, VICTOR y TABOADA BORMIOLI, VICTOR (2012)
Gestin Integral del Riesgo / Sistema de Control Interno (consulta: 17 de mayo 2015)
(http://www.unjbg.edu.pe/transparenciainst/pdf/131012sistemacontrol.pdf )
THE ECONOMIST INTELLIGENCE UNIT (EIU) (2015) Sitio web oficina de
Economist Intelligence Unit; contiene informacin sobre estudios, soluciones para
clientes, servicios, entre otros (consulta: 31 de mayo de 2015)
(http://www.eiu.com/home.aspx)
UNIVERSIDAD DE MEDELLIN (UDEM) (2011) Definicin de estrategias para la
implementacin de continuidad de negocio. Tesis de Daniel y Cristian (consulta: 17 de
mayo de 2015) (http://cdigital.udem.edu.co/TESIS/CD-
ROM61502011/08.Capitulo3.pdf)
UNIVERSIDAD NACIONAL TECNOLOGICA DE ARGENTINA (2010)
evaluacin e Inventario de Riesgos Crticos en Proceso Operativos (Consulta: 23 de
Abril de 2015)
(http://industrial.frba.utn.edu.ar/MATERIAS/seguridad/archivos/pres_inv entario.pdf)
UREA, Mario (2011) Sistema de Gestin de Continuidad del Negocio de Acuerdo
con BS 25999 e ISO 22301 (consulta: 17 de mayo de 2015) (http://sas-
origin.onstreammedia.com/origin/isaca/LatinCACS/cacs-
lat/forSystemUse/papers/133.pdf)
VEGA, gueda (2014) Mejora Continua: Que es y cmo aplicarla (consulta: 16 de
mayo de 2015) (http://es.slideshare.net/AguedaVega/mejora-continua-
34916477?qid=fb066cf9-9870-403e-bab2-
bf9cf7e0b8ae&v=default&b=&from_search=75)
5 8 1
Anexos
Anexo 1 - Cuestionario para el Anlisis del Impacto en el
Negocio (BIA)
Vase el archivo en: SIGESCON/Anexos y Memoria/Anexos/Anexos de la Memoria
5 8 2
Anexo 5 - Informacin De Contacto De Los Miembros
Del Comit De Crisis
Vase el archivo en: SIGESCON/Anexos y Memoria/Anexos/Anexos de la Memoria
5 8 3
Anexo 13 - Datos de contactos usados para la prueba del
Plan de Crisis
Vase el archivo en: SIGESCON/Anexos y Memoria/Anexos/Anexos de la Memoria
5 8 4
Aproximadamente el da 25 de Setiembre del 2015 a las 11:00 am aproximadamente
ocurri un incendio en los pisos 4 y 5 en la Oficina Principal de Edyficar ubicada en
Av. Paseo de la Republica 3717.
En este momento no se puede cuantificar la magnitud del dao, solo podemos detallar
que ha afectado las instalaciones donde se encontraban nuestra rea de servidores y no
ha habido personas afectadas. La prioridad para la institucin es asegurar el bienestar y
seguridad de nuestros empleados y clientes.
Esta informacin es todo lo que podemos brindarles hasta el momento. Estamos seguros
de que entienden la situacin por la que estamos pasando, y de los esfuerzos que
estamos realizando para solucionar este incidente en la brevedad posible. Tan pronto
como tengamos ms informacin, se la transmitiremos mediante los medios de noticias.
Muchas gracias.
5 8 5
Criterios Descripcin Factor Descripcin
Mauricio Rabanal
Gerente de Riesgos Coordinador de Crisis 923446456
Moya
5 8 6
Anexo 18 - Detalle del error informado en la agencia
Santa Anita
5 8 7
Anexo 20 - Correo de distribucin del material y test de
Fraude Interno y Gestin de Crisis
5 8 8
Anexo 21 - Resultados del test de evaluacin de fraude
interno
Respuestas del Test de Evaluacin
2. Cuando una
persona se
3. Cul es 4. Es una idea
apodera de un 5. Cul no
1. Cul no es una un indicio de relacionada a la
Marca bien de la es un tipo
idea referente al una situacin fuga de
temporal empresa de de fraude
fraude interno? de fraude informacin
manera ilegal, interno?
interno? intencional:
estamos
hablando de:
Se violan las
11/6/2015 No est penalizado Apropiacin polticas de
Slo I y II Extorsin
11:01:14 por las empresas ilcita confidencialidad
de la informacin
Se violan las
11/6/2015 No est penalizado Apropiacin polticas de
Slo I y II Extorsin
14:38:44 por las empresas ilcita confidencialidad
de la informacin
Se violan las
11/6/2015 No est penalizado Apropiacin polticas de
Slo I y II Extorsin
14:49:29 por las empresas ilcita confidencialidad
de la informacin
Cmo calificas el
material recibido Cmo calificas el
Nombre Completo Comentarios y sugerencias
para la test de evaluacin?
capacitacin?
El material es conciso y claro,
podran agregar ms ejemplos
Deissy Girn Silva 9 9
sobre cada tipo de fraude para
que sea ms didctico.
Agregar ms tipos de casos de
Maria Iglesias Ruiz 9 9
fraude interno
5 8 9
Jorge Salvador Detallar un poco ms cada parte
8 9
Mantilla de la capacitacin
5 9 0
Criterios Descripcin Factor Descripcin
Tiempo Objetivo vs Tiempo Real
Se restablece el proceso del call Se restableci el proceso del call
de crditos en la sede CECADE Satisfactorio de crditos en el lapso de 1 hora
en el lapso de 60 minutos desde la exactamente.
ocurrencia del incidente.
No se encontraban disponibles el
Se cuenta con todos los recursos
validador de telfonos BTT y el
disponibles, actualizados y Aceptable
acceso al correo electrnico desde
completos.
la aplicacin web
Organizacin
Se valid que la secuencia de
Se sigui el flujo de
actividades realizadas en la prueba
Satisfactorio comunicacin y pasos acorde a lo
se cumpli conforme a lo
definido en el plan.
establecido.
El Equipo actu de acuerdo a sus Los participantes siguieron las
Roles y
roles y responsabilidades Satisfactorio funciones indicadas para cada
Responsabilidades
designadas. uno de sus respectivos roles.
5 9 1
Anexo 28 - Evidencia de Prueba de Escritorio
5 9 2
DNI Cliente Oficina Especial Estado Analista
45856804 ABRAHAM OREB ARANDA PEA 21-Ica Aprobado
PAUL HAMILTON VASQUEZ 11-San Juan de
41228276
AMAO Miraflores Rechazado
Fabiola
44292176 EDISON QUISPE MAMANI 19-Puno Rechazado
Pariona
46279642 MARIA ISABEL PEREZ CASTRO 17-Pisco Rechazado
42288031 YONEL ALVARADO AGUIRRE 02-Carabayllo Rechazado
42919483 DANIEL ANGEL ROJAS TOMAS 01-Ate Devuelto
FERNANDO MARCOS BORJAS Test
48510488 QUIROZ 12-Caete Pendiente
Jean Paul
YORDI ALFONSO RAMOS Test
Rosales
48305411 MALCA 20-Puente Piedra Pendiente
42142538 LEONCIO FLORES SURICALLO 19-Puno Rechazado
5 9 3
Anexo 31 - Actividades de coordinacin con Costa Rica
5 9 4
5 9 5
Anexo 33 - Correo de distribucin de material y test de
Prevencin de Emergencias y Seguridad de la Informacin
5 9 6
Anexo 34 - Correo de distribucin de material y test de
Gestin de Crisis
5 9 7
Anexo 35 - Correo de distribucin de material y test de
Procedimientos de Contingencia
5 9 8
Anexo 36 - Resultados del test de evaluacin de prevencin
de emergencias, frade interno y seguridad de la informacin
Vase el archivo en: SIGESCON/Anexos y Memoria/Anexos/Anexos de la Memoria
Anexo 42 - Cronograma
Vase el archivo en: SIGESCON/Documentos de Gestin/Cronograma
5 9 9
Anexo 45 - Matriz de Comunicaciones
Vase el archivo en: SIGESCON/Documentos de Gestin/Matriz de Comunicaciones
6 0 1