PLAN DE CONTINUIDAD DEL NEGOCIO – ISO 22301

AUTORES: DAVID FERNANDO ROSERO GUERRERO

87217075

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍAS E INGENIERÍA.
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA.
MODELOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA.
PASTO
2018
 PLAN DE CONTINUIDAD DEL NEGOCIO – ISO 22301

AUTORES: DAVID FERNANDO ROSERO GUERRERO

TRABAJO DE INVESTIGACIÓN
INGENIERO DE SISTEMAS

TUTOR
GABRIEL ALBERTO PUERTA
TÍTULO DEL DIRECTOR DEL PROYECTO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍAS E INGENIERÍA.
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA.
MODELOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA.
PASTO
2018
 CONTENIDO

LISTA DE FIGURAS ............................................................................................... 4

GLOSARIO .............................................................................................................. 5

RESUMEN ............................................................................................................... 7

INTRODUCCION ..................................................................................................... 8

1. ESQUEMA DE UNA BCM ................................................................................... 9

2. DETERMINACION DE LAS AMENZAS. ........................................................... 11

3. IDENTIFICACIÓN DE COMPONENTES CRÍTICOS. ........................................ 15

4. PLAN DE CONTINUIDAD. ............................................................................... 20

5. PLAN DE PRUEBAS ........................................................................................ 26

CONCLUSIONES .................................................................................................. 31

RECOMENDACIONES .......................................................................................... 32

BIBLIOGRAFÍA O REFERENCIAS ....................................................................... 33

ANEXOS ................................................................................................................ 34

3
 LISTA DE FIGURAS

pág.

FIG 1. CICLO DE CONTINUIDAD DE NEGOCIOS. 9

Figura 1. Ciclo Continuidad de Negocio. ISO 22301:2012 recuperado de:

https://www.gestion.com.do/pdf/018/018-nuevo-estandar-internacional.pdf

FIG 2. CATEGORIZACIÓN DE LAS CLAUSULAS GLOBALES Y

FOCALES. 1Error! Bookmark not defined.

Figura 2. Ciclo Continuidad de Negocio. ISO 22301:2012 recuperado de:

https://www.gestion.com.do/pdf/018/018-nuevo-estandar-internacional.pdf

FIG 3. CICLO DE VIDA CONTINUIDAD DEL NEGOCIO. 26

BCM. Ciclo de vida del negocio, institución del fomento al talento humano, 2013
recuperado de: ttps://www.fomentoacademico.gob.ec/wp-
content/uploads/downloads/2013/08/plan_de_continuidad_de_negocios.pdf

4
 GLOSARIO

PLAN: Se trata de una o varias ideas que son trazadas a través de un diagrama o
flujograma a seguir, donde se detallan los paso que se ven a realizar en función del
tiempo, tiene como propósito dar solución a una problemática y resolver una
situación crítica.

BCM: Proceso de administración holístico que identifica impactos potenciales que

amenazan una organización y que provee un marco de referencia flexible para una
efectiva respuesta a la emergencia protegiendo los intereses de los accionistas
(stakeholders), la reputación, marca y actividades que generen valor.

AMENAZA: Persona, situación o evento natural del entorno (externo o interno) que
es visto como fuente de peligro, catástrofe o interrupción. Ejemplos: inundación,
incendio, robo de datos, virus, sabotaje, aplicativos mal diseñados, errores
humanos, fallo de equipos, entre otros. (Gobierno en Línea, Ministerio de
Comunicaciones, 2009).

CONTROL: Cualquier acción que ayude a reducir la probabilidad de ocurrencia de

un riesgo o permita reducir el impacto en caso de que este ocurra (Gobierno en
Línea, Ministerio de Comunicaciones, 2009).

IMPACTO: Se puede definir como las consecuencias para el negocio dado el daño
del activo o como la evaluación del efecto o consecuencia del riesgo. Generalmente,
la implicación del riesgo se mide en aspectos económicos, financieros, integridad e
imagen de las personas o empresas, disminución de capacidad de respuesta y
competitividad, interrupción de operaciones, entre otros (Gobierno en Línea,
Ministerio de Comunicaciones, 2009).

PROBABILIDAD: Se puede definir como la cifra que expresa el grado de que un

hecho de que sea absolutamente seguro que ocurra o no y se expresa
cualitativamente como bajo, medio, alto y extremo y cuantitativamente como 0 y 1.
(Gobierno en Línea, Ministerio de Comunicaciones, 2009).

PROCESOS: Un proceso es un conjunto de actividades o eventos (coordinados u

organizados) que se realizan o suceden (alternativa o simultáneamente) bajo ciertas
circunstancias con un fin determinado. Este término tiene significados diferentes
según la rama de la ciencia o la técnica en que se utilice.

RESILIENCIA: Este término sirve para indicar que algo puede sufrir un fallo y a
pesar de ello seguir operando. Muchas veces se utiliza como si fuera un valor
absoluto y, sin embargo, como sucede con los términos "cerca" o "lejos" el concepto

5
de robustez es relativo y su alcance debe ser definido en cada utilización. Ejemplo:
La duplicación del suministro eléctrico mejora la robustez ó resistencia de las
instalaciones frente a cortes de electricidad, pero el lugar puede volverse inservible
si el fallo eléctrico afecta a ambos suministros.

RIESGO: El riesgo se define como el evento que puede ocasionar un daño a un

activo. Para determinar la probabilidad de ocurrencia de posibles eventos adversos,
las amenazas deben ser analizadas en conjunto con las vulnerabilidades
potenciales y los controles implementados. Es decir que el riego es directamente
proporcional a la probabilidad y el impacto. (Gobierno en Línea, Ministerio de
Comunicaciones, 2009).

TECNOLOGÍA: Es el conjunto de conocimientos técnicos, ordenados

científicamente, que permiten diseñar y crear bienes y servicios que facilitan la
adaptación al medio ambiente y satisfacer tanto las necesidades esenciales como
los deseos de las personas.

VULNERABILIDAD: Es una debilidad que puede ser ejecutada accidentalmente o

explotada intencionalmente, esta debilidad puede ser causada por la falta de uno o
varios controles, que puede permitir que la amenaza ocurra y afectar el objeto de
evaluación. Ejemplo: deficiente control de accesos, administración deficiente de la
continuidad, poco control de versiones de software, ausencia de entrenamiento 14
cruzado (respaldo de personas), políticas inexactas e insuficientes, entre otros. Una
vulnerabilidad por sí misma no produce daño, es una condición para la amenaza
afecte el activo (Gobierno en Línea, Ministerio de Comunicaciones, 2009 - Plan de
continuidad de negocio- 2009).

6
 RESUMEN

Exististe eventos tales que resultan en hechos incontrolables como, terremotos,

inundaciones o el mismo hecho de las huelas laborales lo que podría generar
catástrofes irrecuperables o impactar en la continuidad del negocio que se ve
afectado en su proceso productivo para el cual está destinado, es decir son una
amenaza, para ello se propone hacer un plan de continuidad de negocio (BCP en
ingles Bussines Continuity Planning), que permita recuperar y restaurar los procesos
más vitales, aun cuando se presenten eventos catastróficos, el BCP considera
contemplar la seguridad de los recursos humanos en primera instancia, luego
reconocer las actividades y recursos que garanticen las funciones críticas de la
organización, todas las practicas que se propongan en el plan deben ser probadas
antes de su puesta en marcha. El plan está basado en la norma ISO 22301 que son
los requisitos que ordenan o guían la continuidad del negocio.

Palabras clave:

Plan, continuidad, negocio, eventos catastróficos, amenazas, pruebas.

ABSTRACT

There were such events that result in uncontrollable events such as earthquakes,
floods or the very fact of labor holes, which could generate irrecoverable
catastrophes or impact the continuity of the business that is affected in the productive
process for which it is intended, ie they are a threat, for this purpose it is proposed
to make a business continuity plan (BCP in English Bussines Continuity Planning),
which allows to recover and restore the most vital processes, even when
catastrophic events occur, the BCP considers contemplating the security of the
resources human in the first instance, then recognize the activities and resources
that guarantee the critical functions of the organization, all the practices proposed in
the plan must be tested before their implementation. The plan is based on the ISO
22301 standard, which are the requirements that order or guide business continuity.

Keywords:

Plan, continuity, business, catastrophic events, threats, tests.

7
 INTRODUCCION

El Sistema de Gestión de la Continuidad del Negocio (SGCN) se ha convertido en

una exigencia para las empresas que compiten el día de hoy en los mercados
globalizados. La tendencia mundial es que ya las empresas no compitan entre sí: la
competencia es entre cadenas de suministros. Una cadena de suministros, para
mantenerse operando, no puede tener ningún eslabón débil; ninguno de sus
componentes puede dejar de operar ya que si un elemento del todo dejara de
funcionar se paraliza toda la serie, generando el caos. Cada miembro del sistema
tiene que demostrar que es un proveedor confiable. Esto se logra teniendo en cada
empresa un SGCN que proteja a los procesos esenciales que permiten originar los
productos o servicios que desea el cliente.

El nuevo estándar ISO 22301:2012 tiene por nombre “Seguridad de la Sociedad:

Sistemas de Continuidad del Negocio”. Este modelo aparece como producto de una
evolución de lineamientos, buenas prácticas y estándares en continuidad del
negocio. En la Figura Nº 1, se presenta un bosquejo de la evolución.

El lineamiento más antiguo es el NFPA 1600, publicado en 1995, el cual estableció

una serie de conjuntos de criterios para la gestión de desastres, emergencias y
programas de continuidad para las organizaciones. En 1997 el Disaster Recovery
Institute International (DRII), publicó las “Prácticas Profesionales para la Gestión del
Negocio”. En el año 2002, el Business Continuity Institute publicó los lineamientos
de “Buenas Prácticas para la Continuidad del Negocio”.

En 2003, se publica el lineamiento PAS 56. Esta guía estableció el proceso,

principios y terminología de un sistema de gestión de continuidad del negocio.
Describió las actividades y resultados involucrados en el establecimiento de un
proceso de gestión de continuidad del negocio. Desarrolló una serie de
recomendaciones para las buenas prácticas para la anticipación a incidentes, y
respuesta y técnicas para la evaluación.

En 2006, se publicó el lineamiento BS 25999-1, el cual describió de manera concreta

el ciclo de vida de la continuidad del negocio. Su enfoque representó las opciones
continuas del programa de continuidad del negocio en la organización.

8
 1. ESQUEMA DE UNA BCM

El estándar ISO 22301:2012 “Seguridad de la Sociedad: Sistemas de Continuidad

del Negocio-Requisitos” aplica el ciclo Plan-Do-Check-Act (PDCA por sus siglas en
inglés) para la planificación, establecimiento, implementación, operación,
monitoreo, revisión, mantenimiento y la mejora continua de su efectividad. El modelo
ha sido creado con consistencia con otros estándares de gestión, tales como: ISO
9001:2008, ISO 27001:2005, ISO 20000-1:2011, ISO 14001:2004 y con el ISO
28000:2007.

Figura 2. Ciclo Continuidad de Negocio. ISO 22301:2012 recuperado de: https://www.gestion.com.do/pdf/018/018-nuevo-

estandar-internacional.pdf

En la figura Nº1, se puede apreciar como el “SGCN toma insumos de las partes
interesadas, requerimientos para la gestión de la continuidad, y a través de las
necesarias acciones y procesos produce resultados de continuidad para cumplir con
los requerimientos”. (ISO 22301:2012) En esta misma figura, se observa cada
componente del modelo. El “establecimiento” es el Plan. Allí se aprecian los
principales requerimientos. Las secciones 4, 5, 6 y 7 de la norma corresponden al
establecimiento. Seguidamente se tiene la “implementación y operación”, el cual es
el Do; esta etapa del proceso está compuesta por los requerimientos de la sección
8. Contemplamos en la figura sus principales requerimientos. Luego se tiene la fase
“monitoreo y revisión”, la cual representa al Check. Allí se pueden apreciar los
principales requerimientos de esta sección. Esta fase comprende los requerimientos

9
de la sección 9 de la norma. Finalmente, se tiene la fase de “mantenimiento y
mejora”, representando a la fase Act, la cual engloba todos los requerimientos de la
cláusula 10 de la norma.

Figura 2. Caracterización de las cláusulas globales y focales. Recuperado de: https://www.gestion.com.do/pdf/018/018-nuevo-

estandar-internacional.pdf

Cuando una organización desea iniciar la implantación del modelo ISO 22301:2012
siempre se genera la interrogante de ¿por dónde empezar? ¿Será conveniente
iniciar con el Business Impact Analysis? ¿O con la estructura para responder a
incidentes? En fin, hay una serie de opciones disponibles. La manera adecuada es
ir de lo general a lo particular. En la figura Nº 4, se han categorizado las cláusulas
de la norma en “globales” y “focales”. Para el inicio del proceso de implantación es
recomendable atender primero a las cláusulas globales y luego iniciar las focales.
Las cláusulas globales, permiten crear la plataforma inicial en la construcción del
SGCN. Las cláusulas focales son la parte netamente técnica de la norma y
requieren para su desarrollo de la infraestructura que desarrollan las globales. El
comité 223 de ISO está actualmente trabajando en la elaboración del Lineamiento
22313. Este documento consistirá en buenas prácticas y recomendaciones,
indicando qué prácticas una organización debiera desarrollar para implementar un
SGCN eficaz. Este documento podrá ser utilizado como guía para la implantación
del modelo, o también para efectos de usarlo como autoevaluación. Se estima que
este documento estará publicado a finales de 2012 o primer trimestre de 2013.

10
 2. DETERMINACION DE LAS AMENZAS.

Una Amenaza es un posible evento o acción que puede generar un riesgo para una
organización tanto en su infraestructura, como en su operatividad, es por ello que
determinar esas amenazas es indispensable para el plan de continuidad del
negocio, por ejemplo, los sucesos de origen físico como eventos naturales o daños
causados por la intervención humana son importantes en la determinación de su
causa, impacto y posible solución.

A continuación, se presenta una tabla de riesgos con su nivel de riesgo.

Límite
Nivel Límite superior
inferior
0>= Bajo <=3

3>= Medio <=6

6>= Alto <=9
9>= Crítico <=12

El análisis de las amenazas nos permite entender a qué rasgo o vulnerabilidad

puede afectar al proceso productivo, que impacte directamente a la continuidad del
negocio y para esta ocasión nos vamos a enfocar en eventos como terremotos,
inundación que son eventos de origen natural y huelgas laborales que son eventos
de origen de intervención humana o factor humano, a continuación, se listan las
posibles amenazas que se puedan presentar en la organización, las más
importantes son:

Tabla de Amenazas a la continuidad del negocio.

NIVEL
IMPORTANCIA
AMENAZAS ACTIVO AFECTADO PROBABILIDAD DEL
DEL RIESGO
RIESGO
Aplicativos Bajo 4 8
Robo o
Equipos Bajo 4 12
perdida
Hardware Medio 4 12

11
 Redes Bajo 4 6
Soportes de Datos Medio 4 8
Información Sensible Medio 4 7
Software Bajo 4 5
Equipos Alto 4 5
Acceso no
autorizado / Hardware Medio 2 5
Intrusiones / Redes de
Bajo 2 5
ataques Comunicaciones
Soportes de
Medio 3 9
Información
Instalaciones Físicas Bajo 3 5
Información Sensible Alto 4 10
Software Medio 4 5
Borrado/ Equipos Bajo 3 5
Modificación Hardware Bajo 3 5
/ Copia de Redes de
Información Medio 3 5
Comunicaciones
Soportes de
Medio 3 12
Información
Software Medio 2 5
Equipos Medio 3 12
Fallos o Hardware Medio 3 5
caídas de Comunicación de
sistema Alto 2 5
Redes
Soportes de
Medio 2 7
Información.
Información Sensible. Bajo 3 12
Software. Bajo 3 12
Equipos Bajo 3 12
Hardware Bajo 3 10
Vandalismo Redes de
Bajo 3 12
Comunicaciones.
Soportes de
Bajo 3 10
Información.
Instalación Físicas Medio 4 10
Información Sensible Bajo 3 12
Catástrofes Software. Bajo 3 12
Naturales Equipos Bajo 3 12
Hardware Bajo 3 10

12
 Redes de
Bajo 3 12
Comunicaciones
Soportes de
Bajo 3 10
Información
Instalaciones Físicas Bajo 4 12
Información Sensible Bajo 3 8
Software. Bajo 3 10
Eventos de Equipos Bajo 3 12
Factor Hardware Bajo 3 10
Humano Redes de
(huelga Bajo 3 12
Comunicaciones
Laboral) Soportes de
Bajo 3 8
Información
Instalaciones Físicas Bajo 4 12

CATEGORIZACIÓN DEL RIESGO

Los riesgos de continuidad encontrados en la fase de evaluación de riesgos serán

agrupados según la siguiente categorización:

Riesgos en Personas

• Falta de administración del conocimiento.

• Carencia de capacitación y entrenamiento.
• Insuficiente número de personas
• Inadecuada preparación ante desastres.
• Falta de seguridad laboral y salud ocupacional.
• Falta de pertenencia y cultura en continuidad.

Riesgos en Procesos

• Falta de administración
• Carencia de dueños de procesos.
• Falta de controles
• Falta de procedimientos alternos
• Dependencias entre procesos
• Limitaciones de capacidad
• Falta de definición de acuerdos de nivel de servicio.
• Falta de documentación
• Dependencia y falta de control de proveedores.

13
Riesgos en Infraestructura Tecnológica

• Carencia de procesos de administración de servicios de tecnología de

información.
• Falta de estrategias de disponibilidad.
• Inadecuadas estrategias de recuperación.
• Falta de acuerdos de servicio con proveedores.
• Puntos únicos de falla en la infraestructura de TI.
• Alta dependencia de proveedores.

Riesgos en Infraestructura Física

• Carencia de planes de emergencia y administración de crisis.

• Exposición a incendios e inundaciones.
• Fallas de potencia eléctrica.
• Fallas del aire acondicionado.
• Construcción inadecuada de edificios y centros de cómputo.
• Falta de controles ambientales.

14
 3. IDENTIFICACIÓN DE COMPONENTES CRÍTICOS.

Los procesos definidos como críticos se seleccionan con base en los resultados y
análisis de las entrevistas realizadas a los dueños de procesos. Los procesos que
no se incluyeron en el análisis de impactos y la evaluación de riesgos son aquellos
que tienen que ver con la estrategia y control y los procesos de planeación y
factibilidad.

Los factores que primaron para seleccionar los procesos críticos son: la
participación en la entrega directa de servicio a los clientes y como una interrupción
en el proceso puede afectar esta entrega e incumplir los acuerdos de servicio
pactados con los clientes actuales.

En un nivel de madurez mayor en gestión de continuidad los procesos que no tienen

relación directa con la entrega del servicio deberán ser tenidos en cuenta y definirse
estrategias que permitan mantener la continuidad de estos.

Impacto de una interrupción. Dentro del análisis de impactos se toman diferentes

factores de riesgo que podrían ocasionar impactos a la organización, a nivel
financiero, operacional y legal, entre otros.

Procesos Financieros

El impacto de una interrupción en la prestación de los servicios que la empresa

brinda y varía según el tipo de cliente, sin la continuidad de las ventas comerciales
que la organización realiza, sin percibir ingresos el colapsó de la misma, será en
poco tiempo.

Tabla de nivel de impacto: se presenta una tabla con el nivel de impacto en cada
proceso crítico.

Límite
Nivel Límite superior
inferior
0>= Bajo <=3

3>= Medio <=6

6>= Alto <=9
9>= Crítico <=12

15
Para comprender mejor el impacto en el proceso financiero de la empresa se
presenta la siguiente tabla con la que se pretende resumir y tener un concepto
general de lo que sucede en caso de que se presente una catástrofe natural o si por
algún motivo la organización deja de realizar su actividad comercial.

Tabla de Impacto en el proceso Financiero

Perdida Dias de
Funciones
Procesos Monetaria Impacto supervivencia
Proceso de
Ventas $35.000.000 Alto 30 días.
Ventas
Despachos $2.500.000 Alto 3 día
Facturación $150.000 Alto 10-15 días.
Proceso de
compra $7.450.000 Alto 10 días
Recepción
Compras Mercancía. $3.480.000 Alto 12 días
Facturación $100.000 Alto 10-15 días.
Calidad $10.000.000 Medio 20 días
Proceso de
Atención al Atención $4.750.000 Alto 5 días
Cliente Solución de
quejas $2.300.000 Alto 5 días

Procesos Operativo.

La organización tiene completa dependencia del proceso operativo, ya que depende

de todas las operaciones operativas para que marche todo de forma correcta,
puesto que para ello se diseñó-

Tabla de nivel de impacto: se presenta una tabla con el nivel de impacto en cada
proceso crítico.

Límite
Nivel Límite superior
inferior
0>= Bajo <=3

3>= Medio <=6

6>= Alto <=9
9>= Crítico <=12

16
Uno de los procesos fundamentales para el buen funcionamiento de la organización
es la operatividad, que implica el flujo que genera la compra y venta de productos
comerciales es por ello, que se presenta la siguiente tabla para entender de forma
general el impacto en tan vital proceso.

Dias de
Funciones
Procesos Personal Impacto supervivencia
Proceso de
Ventas Técnico Comercial Alto 30 días.
Ventas
Despachos Logística Alto 3 día
Facturación Contable Alto 10-15 días.
Proceso de
compra Técnico Comercial Alto 10 días
Recepción
Compras Mercancía. Logística Alto 12 días
Facturación Contable Alto 10-15 días.
Calidad Logística Medio 20 días
Proceso de
Atención al Atención Técnico Comercial Alto 5 días
Cliente Solución de
quejas Técnico Comercial Alto 5 días

Procesos Legales.

Después de haber analizado los impactos fundamentales del proceso productivo es

indispensable tener en cuenta el marco legal, para no tener que esperar unas
sanciones legales que respetan más cargas a una empresa.

Tabla de nivel de impacto: se presenta una tabla con el nivel de impacto en cada
proceso crítico.

Límite
Nivel Límite superior
inferior
0>= Bajo <=3

3>= Medio <=6

6>= Alto <=9
9>= Crítico <=12

17
Se presenta entonces una tabla que permita la fácil comprensión de donde el
impacto en procesos critico legal y sus consecuencias

Dias de
Funciones
Procesos Sanciones Impacto supervivencia
$
Proceso de Ventas - Alto 30 días.
$
Ventas
Despachos - Alto 3 día
-$
Facturación 7.500.000 Critico 10-15 días.
$
Proceso de compra 159.000 Alto 10 días
$
Recepción Mcia. - Alto 12 días
Compras
$
Facturación 100.000 Alto 10-15 días.
$
Calidad 700.000 Critico 20 días
$
Atención al Proceso de Atención - Alto 5 días
Cliente $
Solución de quejas - Alto 5 días

OTROS IMPACTOS

Durante el desarrollo de las encuestas se recolecta información sobre los posibles

impactos que se presentan a causa de una interrupción de los servicios que pueden
agregar pérdidas monetarias, humanas, legales, entre otras, pero que en su
evaluación son difíciles de cuantificar, por lo que se evalúa de forma cualitativa.

Los otros impactos que se dimensionaron por parte de los encuestados fueron:
Deterioro de servicio al cliente: el servicio al cliente se ve afectado desde el primer
minuto de interrupción, podríamos clasificar, en el sector de severo, los clientes
corporativos, que dependen totalmente de la organización como socio de negocio
para los servicios contratados.

Pérdida de imagen y posicionamiento de marca: la imagen de la Compañía se

ve afectada por una interrupción, principalmente en eventos mayores a un día. para
recuperar su posición en el mercado, se tiene que generar gasto en publicidad y
resarcimientos a grandes clientes, lo que generará impactos económicos
adicionales.

18
Pérdida de productividad: después de una semana de interrupción se afecta de
manera importante la productividad de las personas, que puede aumentar el
impacto económico percibido.

Pérdida de oportunidades y nuevos clientes: se puede llegar a presentar

deserción de clientes o no ingresar nuevos clientes por interrupción de los servicios,
esto principalmente se presenta en una semana de interrupción.

Penalizaciones y sanciones: el tema de multas o sanciones de los entes de

control, es un tema delicado, que según el evento y la comunicación que haga la
Compañía del mismo, podría llegar a ocasionar impactos severos en el tiempo.
Reprocesos y trascripción de documentos: en aquellos procesos donde se realizan
planes alternos de trabajo manual, se puede ver transcripciones, para otros la
pérdida de trabajo ejecutado según el evento ocasiona reprocesos significativos en
una semana de interrupción.

Interrupción a otras áreas y/o entes externos: las interrupciones de otras áreas
(clientes internos), que ocasionaría en cadena una interrupción a los clientes
externos, además de afectar socios comerciales o filiales.

Afectaciones al estado de ánimo del personal: este es uno de los impactos que
refleja menor grado de severidad en las primeras horas, sin embargo, con eventos
superiores a una semana, se vuelve crítico para encontrar soluciones.

19
 4. PLAN DE CONTINUIDAD.

Implementar un sistema de gestión de continuidad de negocio [SGCN]. Un sistema

para administrar la continuidad se fundamenta en el ciclo de sistemas de gestión y
mejora continua (PHVA) y define el conjunto de políticas, procesos, funciones y
estructura que ayudan a establecer el marco de actuación bajo el cual se administra
la continuidad. Tanto las políticas como los procesos de administración de la
continuidad, son base fundamental para alcanzar un ambiente mejorado y dispuesto
en organizaciones que buscan constantemente mantener y facilitar la continuidad
de sus operaciones claves que son soporte del negocio. Lograr mantener la
continuidad del negocio es una habilidad que requiere la definición de un marco de
referencia proactivo que facilite la alineación de las personas, los procesos, la
tecnología y las actividades del día a día.

El marco de referencia se establece mediante la implantación, adopción y

cumplimiento de un sistema para administrar la continuidad, enmarcado en:

• Políticas para Administrar la Continuidad.

• Procesos para Administrar la Continuidad.
• Estructura organizacional para Administrar la Continuidad.
• Administración del Cambio en Continuidad (Cultura).

POLÍTICAS PARA ADMINISTRAR LA CONTINUIDAD

Las políticas referentes a las acciones y actividades que ayudan a mantener la

continuidad deberán ser ampliadas en el sistema de gestión de continuidad – SGCN
–a ser implementado por la organización. Estas políticas deberán estar definidas
para cada una de las dimensiones que de alguna forma inciden o impactan la
continuidad de las operaciones de los servicios y/o procesos críticos del negocio.

A continuación, se enuncian los componentes que deben de contener políticas que

sirvan como base para establecer el programa de continuidad de negocio.

• Compromisos directivos y de participantes.

• Personas.
• Procesos de negocio.
• Instalaciones físicas.
• Infraestructura tecnológica.

20
 PROCESOS DE ADMINISTRACIÓN DE LA CONTINUIDAD

Los procesos de administración de la continuidad se definen como la gestión

disciplinada de mejoramiento y monitoreo continuo con el fin de proporcionar niveles
de continuidad acorde con las necesidades del negocio.

Los procesos de administración de la continuidad se componen de cuatro fases

basadas en el ciclo de sistemas de gestión de calidad, como ilustra la siguiente
gráfica del marco de actuación del sistema de administración de la continuidad:

ROLES Y RESPONSABILIDADES PARA

Dadas las definiciones de las alternativas por parte de la organización, se debe

proceder con la identificación de los participantes y dueños del sistema.
Independientemente de la alternativa de estructura elegida por la organización, el
equipo de continuidad es el encargado de definir las políticas de continuidad en
todos sus aspectos (procesos, personas, tecnología e infraestructura física),
participar en las definiciones de estrategias de continuidad a ser incorporadas en
organización, advertir sobre riesgos que afectan la continuidad y motivar acciones
de control que disminuyan el impacto de interrupciones, además de asesorar en los
temas de continuidad. Este equipo, según las características de organización y los
procesos del SGCN, podrá estar conformado por un líder de continuidad de negocio

21
y de tres a seis analistas de continuidad, con fortalezas en los diferentes temas y
dimensiones de continuidad (riesgos, impactos, procesos, cultura, tecnología,
infraestructura física, proveedores); sin embargo, en la implementación del sistema
de gestión de continuidad se determinará el número más adecuando de personas.

Los roles se describen a continuación: Líder del sistema de continuidad de negocio

(LSCN) El Líder del Sistema Continuidad es el encargado de dirigir y liderar todas
las actividades relacionadas con el Sistema de Gestión de Continuidad de Negocio
(SGCN). 101 Perfil: el líder del sistema de continuidad de negocios debe contar con
experiencia certificada en temas de continuidad de negocio y debe tener
conocimientos detallados de la metodología para gestión de continuidad de negocio
implementada en organización.

El rol requiere de habilidades administrativas y técnicas, comunicación intensa e

información precisa sobre todos los aspectos de continuidad implementados en
organización, contar con la visión integral del negocio y liderazgo en cada uno de
los niveles de la organización.

Responsabilidades:

• Planear las actividades periódicas ejecutadas por el proceso.

• Velar por la definición y aplicación de las políticas de continuidad de negocio de
organización.
• Servir de guía metodológica a los líderes de los procesos, cuando estos quieran
actualizar, mantener, mejorar, probar y auditar el plan de recuperación de cada
proceso.
• Coordinar la actualización y mantenimiento del SGCN.
• Liderar el presupuesto y aprobación de inversiones requeridas para establecer y
mantener las estrategias del SGCN.
• Ejecutar las tareas de administración de los recursos (tiempo, personas, equipos,
oficinas, sedes, y suministros) y la logística del SGCN.
• Direccionar la planificación y control del SGCN.
• Realizar seguimiento a los indicadores de gestión de los planes del SGCN.
• Mantener el compromiso y participación del equipo de trabajo.
• Delegar de manera expresa en los líderes de los procesos la responsabilidad de
actualizar, mantener y probar el Plan de Continuidad.
• Propender por mantener actualizado y vigente el Plan de Continuidad.
• Advertir sobre nuevos riesgos que afectan la continuidad de la operación normal
de organización y que ponen al descubierto debilidades del Plan de Continuidad.

Los analistas del sistema de continuidad de negocio (ASCN) Los analistas del
sistema de continuidad serán responsables por la coordinación y ejecución de las

22
actividades relacionadas con el sistema de gestión de continuidad de negocio. Perfil:
los analistas del sistema de continuidad de negocios deben tener conocimientos
detallados de la metodología implementada para la gestión de continuidad de
negocio en organización, ser líderes en ejecución de actividades, tener
conocimiento del funcionamiento de los procesos, la tecnología, los productos y
servicios entregados por organización. Responsabilidades

• Alinear y orientar a los dueños de los procesos para alcanzar los resultados de
continuidad proyectados y finalizar adecuadamente las actividades definidas en la
planeación. • Ejecutar, en trabajo de campo las actividades específicas definidas en
el plan de trabajo, diseñado por el líder de continuidad, con su asesoría y liderazgo.

• Diseñar, coordinar las pruebas de continuidad y monitorear los planes de

continuidad.

• Motivar la actualización permanentemente de los planes de continuidad, debido a

que estos son dinámicos y se deben alinear continuamente con los cambios
presentados dentro de la organización.

• Capacitar y liderar campañas de sensibilización constantes que se dirijan al

personal, tanto interno como externo, para asegurar el entendimiento de la
relevancia de las prácticas de continuidad y reforzar la habilidad de uso de los
planes definidos.

• Acompañar a los dueños de los procesos en la Identificación y desarrollo de las

estrategias de continuidad.

VENTAJAS DE LA IMPLEMENTACIÓN DEL SGCN

Las ventajas que se destacan en la implementación del Sistema de Gestión de

Continuidad son las siguientes:

• Ayuda a la organización a establecer estrategias para mantener la continuidad,

según los requerimientos del mercado.

• El sistema se convierte en un diferenciador de mercado, la compañía estará

preparada para superar importantes interrupciones.

• Mantenerse en cumplimiento de las diferentes leyes y exigencias de los entes

reguladores. • Ayuda a organización a convertirse en un proveedor estratégico.

23
• Apalanca las estrategias para establecer una cultura de continuidad de negocio
dentro de organización. • Permite mantener actualizados los planes de respuesta
(continuidad, contingencia, crisis, emergencias) de organización. • Mayor confianza
en las actividades de cumplimiento como resultado del seguimiento y la
actualización continúa de los planes de respuesta.

• Soporta la estrategia organizacional al apoyar el cumplimiento de la MEGA de la

compañía, ya que disminuye la afectación por interrupciones disminuyendo el
impacto financiero.

•Mejoramiento en la toma de decisiones debido a mayor disponibilidad de

información.

• Mayor flexibilidad frente a los cambios del entorno.

ASPECTOS A CONSIDERAR

Los siguientes ítems son fundamentales para la implementación del Sistema de

Gestión de Continuidad de Negocio:

Se requiere de personas con una asignación de tiempo completo, que velen por el
cumplimiento y mantenimiento del sistema.

Se puede ver afectada la estructura organizacional actual. El sistema requiere de

un presupuesto para ejecutar las actividades de entrenamiento, sensibilización y
mantener actualizado los planes de respuesta. 3.1.2 estrategia 2: establecer la
estructura para el manejo de crisis del plan de continuidad de negocio – BCP. La
estructura para el manejo de crisis del Plan de Continuidad busca definir los equipos
y el personal responsable por ejecutar las actividades de administración de crisis,
recuperación y contingencias de tecnología y negocio. Se debe asegurar que todos
los participantes asignados tienen el perfil adecuado para ejecutar las actividades
asignadas. La estructura contiene los siguientes equipos:

• Comité Gerencial de Continuidad – Nivel Estratégico.

• Comité de Administración de Crisis – Nivel Táctico.

• Equipos de Recuperación – Nivel Operativo.

24
 EQUIPOS DE RECUPERACIÓN

Estos equipos componen el nivel operativo del plan de continuidad, están

encargados de la ejecución de los procedimientos y actividades necesarias para
salvaguardar la vida de las personas, los activos de la compañía y recuperar las
operaciones de los procesos críticos del negocio, administrativo y de la tecnología.
Además, deben colaborar con el Comité de Administración de Crisis (CAC) para
mantener actualizado y probado el Plan de Continuidad. Estos equipos se
conforman así: Equipo de Recuperación de Negocio Administrativo • Coordinador
de Recuperación de Negocio Administrativo.

• Líder Facturación y Recaudo.

• Líder Gestión Financiera Y Contable.
• Líder Administrativo.
• Líder Talento Humano.

Equipo de Negocio Cliente:

• Coordinador de Recuperación de Negocio Cliente.

• Líder de Manejo de órdenes.
• Líder de Aprovisionar soluciones.
• Líder de Atender clientes.
• Manejo de Incidentes. Equipo de Recuperación de Tecnología
• Líder de Operar y mantener la infraestructura TIC- Agregación y Backbone.
• Líder de Operar y mantener la infraestructura TIC- IDC.
• Líder de Operar y mantener la infraestructura TIC- Equipos auxiliares.
• Líder de Operar y mantener la infraestructura TIC- Servicios de voz.
• Líder NOC. Equipo de Comunicaciones
• Coordinador de Comunicaciones en Crisis.
• Líder de Comunicación con Empleados y sus Familias.
• Líder de Comunicación con Clientes, Proveedores y Prensa.
• Líder de Comunicación con Junta Directiva.
• Líder de Comunicación entes de control. Equipo de Manejo de Emergencias
• Jefe de Emergencias.
• Comandante Operativo en el Sitio.
• Brigada de emergencias.
• Líder de Seguridad Física.

25
 5. PLAN DE PRUEBAS

En las sesiones de Comité de Desarrollo Administrativo se aprobará y monitoreará

el plan de continuidad; las acciones preventivas se llevarán a cabo en toda la
entidad según la planificación de las dependencias de Talento Humano
(relacionadas con las personas), de Administrativa (relacionadas con la
infraestructura) y de Gestión Documental (relacionadas con la información), las
cuales estarán coordinadas por la Secretaria General, la Oficina de Tecnologías de
la Información y las Comunicaciones (lo relacionado con la infraestructura
tecnológica y la seguridad de la información)

Durante la definición de la planificación se definirán y aprobarán los simulacros,

interrupción del servicio, evacuación de emergencia o pruebas aleatorias del plan
de continuidad, según los recursos económicos con los que se cuente en cada
vigencia, los cuales se harán de manera planificada y concertada con el Comité de
Crisis; de igual manera los resultados y el seguimiento se realizará dos veces al año
ellos Comité Institucional de Desarrollo Administrativo y Directivos.

BCM. Ciclo de vida del negocio, institución del fomento al talento humano, 2013 recuperado de:
ttps://www.fomentoacademico.gob.ec/wp-content/uploads/downloads/2013/08/plan_de_continuidad_de_negocios.pdf

Se tomará en cuenta el ciclo de vida de la continuidad del negocio descrito en la

gráfica anterior, como referencia del procedimiento a seguir en temas de
mantenimiento y actualización del Plan de Continuidad, además para tener éxito en
integrar los principios de continuidad de negocio dentro de la organización se deberá
tener definidas una serie de políticas y procedimientos, todo esto deberá estar
principalmente apoyado por:

26
  Liderazgo de la alta administración
 Definición de responsabilidades
 Creciente conocimiento
 Capacitación
 Ejercicios.

El potencial mantenimiento del Plan de Continuidad del Negocio se evaluará cada

vez que existan modificaciones o cambios importantes en:

 Procesos,
 Estructura,
 Servicios,
 Proveedores,
 Unidades o líneas de negocios, Productos, etc.
 Eventos externos (ej. cambios en normativas o políticas financieras o de
gobierno, desastres naturales, etc.), que afecten la continuidad del negocio.

Además, el mantenimiento del Plan de Continuidad se deberá realizar por las

siguientes causas:

 Fase Crítica debido a cambios frecuentes en la institución tanto externos

como internos
 Necesidad de estructurar un esquema de procedimientos para el
mantenimiento del PCN
 Evaluación periódica de la realización de los mantenimientos al PCN

Adicionalmente, será revisado cuando se materialice una amenaza (evento de

riesgo), actuando de la siguiente manera:

27
  En caso que una amenaza fuera detectada y los controles de riesgo resulten
eficaces: se corrigen solamente aspectos menores del plan para mejorar la
eficacia.
 En caso que la amenaza esté prevista pero los controles de riesgo sean
ineficaces: debe analizarse la causa del fallo y proponer nuevos controles de
riesgo.
 En caso de que la amenaza no esté prevista: debe promoverse un nuevo
análisis de la Matriz de riesgos. Es posible que los controles de riesgo
adoptados sean eficaces para un evento de riesgo no previsto, no obstante,
esto no es justificativo para evitar el análisis de lo ocurrido.

Para la realización de ensayos se considerarán los siguientes tipos de pruebas a

aplicar dependiendo de la factibilidad y el tipo de plan de contingencia:

a.- Lista de chequeo Ensayo básico revisa la disponibilidad de recursos para la

ejecución del plan

b.- Paseo de Revisión Se realizará previo al ensayo de simulación Reunión de

equipos y descripción verbal de los pasos

c.- Simulación Simula el tipo de alteración, permite practicar el plan y validar una o
más partes del plan

d.- Interrupción completa Activa todos los componentes Parte del hecho de que
todos los procesos esenciales se han alterado

En cada plan de contingencia y procedimiento se detalla el tipo de prueba

seleccionada que se ejecutará, además de identificar:

 Recursos requeridos para la prueba

o Recursos Humanos
o Recursos Tecnológicos

28
 o Recursos no tecnológicos
o Documentación formularios de respaldo, Etc.

 Tiempos y actividades detalladas

 Responsables de ejecución de la prueba

 Responsables de control de la ejecución (Internos y Externos)

Todas las líneas o unidades de negocio y operativas comprometidas con los

procesos críticos, tienen la responsabilidad de intervenir en los simulacros de
contingencia que se programen, a fin de evaluar la eficacia de los procedimientos
ya sean manuales y/o automáticos establecidos y estar debidamente capacitados
para afrontar cualquier evento y dar una solución rápida, oportuna y simple.

Esquema de Proceso de Pruebas.

PRE-PRUEBA PRUEBA POST PRUEBA

 Acciones para preparar  Regresar todo a su
 Prueba Real
la condición de prueba lugar
 Movimiento de
 Aviso a usuarios  Desconectar equipos
Personal
 Checklist de condiciones,  Traslado de equipo
 Regresar personal
contrato, equipos, otros y datos.
 Simulación de
 Definición de medidas  Documentar y evaluar
condiciones de
de retorno por si algo Resultados
desastre
falla en la prueba y
afecta fuertemente la  Ejecución de
operación. procedimientos del
plan

29
 Cronograma de Pruebas

Al inicio de cada año se elaborará un cronograma para la realización de las pruebas

y verificación de puesta en marcha del Plan de Continuidad de Negocios, para un
período de dos años. Para el cumplimiento del Cronograma se deberá tener en
cuenta los siguientes aspectos:

En el cronograma se especificará:

- Número de tarea: Número del Ítem de la prueba.

- Nombre de la tarea: Nombre de la prueba a realizarse. Para un mejor control de
las pruebas podrá agruparse varias pruebas en una sola tarea.
- Escenario: oficina o agencia donde se llevará a cabo la prueba.
- Coordinador: nombre de la persona responsable de realizar la prueba.
- Duración: Tiempo de duración de la prueba.
- Fecha de inicio: la fecha de inicio de la prueba.
- Fecha de fin: fecha de término de la prueba.

Tabla del Cronograma.

PLAN Escenario Coordinador Duración Fecha Inicio Fecha Final

Preparación Líder de Junta
Pruebas Directivas Directiva 1 semana 23-nov-18 1-dic-18
Capacitación Recursos Líder Continuidad
Personal Humanos Negocio 1 semana 1-dic-18 7-dic-18
Medidas de Área de
Retorno Sistemas Ingeniero Líder 2 semanas 1-dic-18 15-dic-18
Lista de Líder de Aprobación
Chequeo Organización de Soluciones 4h 15-dic-18 15-dic-18
Simulacro Zonas de
Evacuación Evacuación Jefe de Emergencias 2h 16-dic-18 16-dic-18
Contingencia Organización Líder Operativo 3 semana 16-dic-18 23-ene-19

30
 CONCLUSIONES

 El plan de continuidad de Negocio, permite que una empresa siga un flujograma

de instrucciones delimitada por la junta directiva con el objetivo de mantener viva
a la empresa y sobrevivir mediante contingencias las emergencias que se
pudieran manejar

 Con la nueva regulación que el gobierno ha estado implementando para las

compañías prestadoras de servicios; especialmente en el mercado de las TIC,
donde se exigen ciertas garantías y características de calidad en la entrega de
sus productos y donde las penalizaciones por no cumplir con la promesa de
venta exigen a las compañías compensar el cliente, algunas veces, hasta con
grandes cantidades de dinero; se ha vuelto necesario que las compañías
adquieran conciencia de la importancia de garantizar una operación continua.

 Es indispensable para la continuidad del negocio identificar los componentes

críticos de la empresa, puesto que esto son los que definen una organización,
son los engranajes que permiten que los procesos para la cual esta destinada
una organización funcione adecuadamente.

 Las pruebas de un plan de continuidad de negocios son un factor decisivo para

el futuro de una empresa porque representan una experiencia que se probo en
la realidad, que no solo queda en el trazo de un plan sobre el papel, sino que es
un acercamiento a lo que podría llegar a acontecer y saber que hacer durante
una emergencia es la diferencia entre continuar o terminar con el proceso
productivo, es decir, el fin o la continuidad del negocio.

31
 RECOMENDACIONES

 Debe crearse un comité de emergencias, en el menor tiempo posible para el

trazado del plan de continuidad del negocio, garantizando que, en caso de
presentarse una situación adversa, se cuente con la contingencia necesaria
para seguir adelante.

 Es necesario realzar pruebas y simulacros constantemente puesto que esta

es la única forma de estar preparado antes las eventualidades que se
pudieran presentar, esto no garantiza el control de los desastres, pero
minimiza el impacto, un factor de los más importantes es garantizar los
recursos humanos.

 La capacitación al personal es un importante factor en la garantía de la

continuidad del negocio, sino se hace, lo más probables es que el caos sea
el que gobierne y se termine con consecuencias lamentables.

32
 BIBLIOGRAFÍA O REFERENCIAS

 Gómez, V. Á. (2014). Gestión de incidentes de seguridad informática. Madrid,

ES: RA-MA Editorial. Recuperado de
http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?ppg=1&docID
=11046422&tm=1465232638601

 Modelo para el gobierno de las TIC basado en las normas ISO. (2012). España:
AENOR - Asociación Española de Normalización y Certificación. Recuperado de
http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?ppg=1&docID
=10637138&tm=1456691942576

 Ross, J. W., & Weill, P. (2004). Seis decisiones de TI que no debe dejar en
manos del departamento de TI. España: Ediciones Deusto - Planeta de Agostini
Profesional y Formación S.L. Recuperado de
http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?ppg=1&docID
=10063648&tm=1456691972039

 Rojas, C. I. S. (2009). Trabajo de auditoría normas COBIT. Argentina: El Cid

Editor | apuntes. Recuperado de
http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?ppg=1&docID
=10317247&tm=1456692028784

33
 ANEXOS

Anexo A. Los anexos

34
 Definición de Términos

Plan de Continuidad. - Esta orientado a asegurar la continuidad del negocio, la

satisfacción del cliente y la productividad a pesar de eventos inesperados. Se
ejecuta permanentemente como parte de la administración de riesgos tanto en la
información como en la operación. Un plan de continuidad incluye:

- Un plan de contingencia,
- Un plan de reanudación,
- Un plan de recuperación.

Plan de Contingencia. - Es el conjunto de procedimientos alternativos a la

operatividad normal de la entidad cuya finalidad es la de permitir su funcionamiento,
buscando minimizar el impacto financiero que pueda ocasionar cualquier evento
inesperado específico. El plan de contingencia se ejecuta al momento en que se
produce un evento.

Plan de reanudación. - Especifica los procesos y recursos para mantener la

continuidad de las operaciones en la misma ubicación del problema.

Plan de recuperación. - Especifica los procesos y recursos para recuperar las

funciones del negocio en una ubicación alterna dentro o fuera de la institución.
Denominamos continuidad del negocio al proceso que permite de modo planificado,
sistemático y organizado resguardar la capacidad de la institución de proveer un
nivel aceptable de servicios en la eventualidad de una falla grave o emergencia que
comprometa de modo significativo la continuidad de las operaciones.

El éxito del manejo de los procesos frente a cualquier evento estará en función de
la respuesta técnica y la competencia en el manejo de la situación. Está orientado
a asegurar la continuidad del negocio, la satisfacción del cliente y la productividad
a pesar de eventos inesperados. Se ejecuta permanentemente como parte de la
administración de riesgos tanto en la información como en la operación.

Riesgos de Tecnología de Información. - Son los riesgos de operación asociados

a los sistemas informáticos y a la tecnología relacionada a dichos sistemas, que
pueden afectar el desarrollo de las operaciones y servicios que realiza la empresa
al atentar contra la confidencialidad, integridad y disponibilidad de la información,
entre otros criterios.

35
Seguridad de la Información. - Característica de la información que se logra
mediante la adecuada combinación de políticas, procedimientos, estructura
organizacional y herramientas informáticas especializadas a efectos que dicha
información cumpla los criterios de confidencialidad, integridad y disponibilidad.

Sistemas de Información. - Un Sistema Informático utiliza ordenadores para

almacenar los datos de una organización y ponerlos a disposición de su personal.
Los datos pueden ser registros simples y/o complejos. Los sistemas de información
tienen muchas cosas en común. La mayoría de ellos están formados por personas,
equipos y procedimientos. Al conjugar una serie de elementos como hombres y
computadoras se hace imprescindible tomar medidas que nos permitan una
continuidad en la operatividad de los sistemas para no ver afectados los objetivos
de las mismas y no perder la inversión de costos y tiempo.

Información. - Cualquier forma de registro electrónico, óptico, magnético o en otros

medios similares, susceptible de ser procesada, distribuida y almacenada.

Confidencialidad. - La información debe ser accesible sólo a aquellos que se

encuentren debidamente autorizados.

Cumplimiento Normativo. - La información debe cumplir con los criterios y

estándares internos de la empresa, las regulaciones definidas externamente por el
marco legal aplicable y las correspondientes entidades reguladoras, así como los
contenidos de los contratos pertinentes.

Disponibilidad. - La información debe estar disponible en forma organizada para

los usuarios autorizados cuando sea requerida.

Eficacia. - La información debe ser relevante y pertinente para los objetivos de

negocio y ser entregada en una forma adecuada y oportuna conforme las
necesidades de los diferentes niveles de decisión y operación de la empresa.

Eficiencia: La información debe ser producida y entregada de forma productiva y

económica.

Impacto: El impacto de una actividad crítica se encuentra clasificado, dependiendo

de la importancia dentro de los procesos organizacionales, en:

36
Integridad. - La información debe ser completa, exacta y válida.

Objetivo de Control. - Una declaración del propósito o resultado deseado mediante

la implementación de controles apropiados en una actividad de tecnología de
información particular.

Proceso Crítico. - Proceso considerado indispensable para la continuidad de las

operaciones y servicios de la empresa, y cuya falta o ejecución deficiente puede
tener un impacto financiero significativo en la Organización.

Riesgos de Operación: La posibilidad de ocurrencia de pérdidas financieras por

deficiencias o fallas en los procesos internos, en la tecnología de información, en
las personas o por ocurrencia de eventos externos adversos.

Riesgo Residual. - El nivel restante de riesgo luego de tomar medidas de

tratamiento del riesgo.

Probabilidad. - Se define como la frecuencia con que se espera que ocurra un

determinado evento en el futuro. Para su cálculo o determinación cualitativa, se
utiliza la experiencia que se tiene sobre la ocurrencia del mismo evento en el
pasado.

37