ANALISIS DE RIESGO Y PLANES DE CONTINGENCIA TALLER DE GENERACIÓN DE EMPRESA

DOCENTE:

ALUMNOS: RODRIGUEZ PEREZ, YEISON RODRIGUEZ RODRIGUEZ, A. CAROLINA CICLO: IX

TRUJILLO - PERÚ 12/07/2013

tanto de origen natural (terremotos. 2 . Las amenazas a las empresas pueden provenir de muchas fuentes. no solo materiales sino aquellas derivadas de la paralización del negocio durante un período más o menos prolongado.INTRODUCCIÓN Desde los inicios de los sistemas de información se comprendió que las contingencias forman parte inherente de los mismos. del software. los mecanismos de seguridad de la información buscan proteger a la información de las diversas amenazas a las que se ve expuesta y supone un Importante avance a la hora de superar todas aquellas adversidades que pueden provocar importantes pérdidas. pueden ser catastróficas para los intereses de cualquier organización. Y es casi siempre una situación no prevista la que regularmente provoca una crisis y las consecuencias de la misma. con el suministro de energía.). de origen humano (celos profesionales. el hecho de diseñar y preparar un plan de contingencias no implica un reconocimiento de la ineficiencia en la gestión de la empresa. competencia. como de origen técnico (fallas del hardware. por lo tanto. entre otros). etc.). según su impacto y extensión. huelga. problemas laborales. etc. tormentas. sino todo lo contrario. Los fallos técnicos y humanos han hecho recapacitar a las organizaciones sobre la necesidad de auxiliarse con herramientas que le permitan garantizar una rápida vuelta a la normalidad ante la presencia de cualquier eventualidad.

¿QUÉ ES UN RIESGO? Se define como riesgo a la probabilidad de que cualquier eventualidad se aproveche de las vulnerabilidades de un sistema. pues nuevas amenazas están surgiendo diariamente. así 3 . estos deben ser identificados. este proceso debe ser constante. así como la determinación de sus causas. 2. Antes de enfrentar los riesgos. ANALISIS DE RIESGO 1. Métodos de Identificación de riesgo Disponemos de algunos métodos que nos ayudan a identificar los riesgos de una empresa.ANALISIS DE RIESGO Y PLANES DE CONTINGENCIA I. 2. de forma que imposibilite el cumplimento de un objetivo o ponga en peligro a los bienes de la organización.1. mediante el cual se pretende reconocer todos los riesgos potenciales que estén o no bajo el control de la empresa. IDENTIFICACIÓN DE RIESGOS La identificación de riesgos es un proceso. agentes generadores y principales efectos. entre estos tenemos:  Métodos comparativos Se basan en el uso de técnicas obtenidas de la experiencia adquirida en equipos e instalaciones similares existentes. el propósito es generar un flujo constante de información acerca de las actividades que desarrolla la organización. ocasionándole perdidas o daños. Un factor importante dentro de la identificación de riesgos es la comunicación dentro de la empresa.

etc. calificándolos y evaluándolos con el fin de obtener información para establecer el nivel de riesgo y las acciones que se van a implementar. Existen algunos métodos de este tipo como:      Análisis “¿Qué pasaría si?” Análisis funcional de operabilidad.  Listas de comprobación. operaciones. Análisis de modo y efecto de los fallos. errores.1. Análisis de árbol de sucesos.como en el análisis de sucesos que hayan ocurrido en establecimientos parecidos al que se analiza. Normalmente siguen un procedimiento lógico de deducción de fallos.  Análisis histórico de accidentes. ¿Qué es el Análisis de Riesgos? El análisis del riesgo busca establecer la probabilidad de ocurrencia de los riesgos y el impacto de sus consecuencias.  Métodos generalizados Estos métodos estudian las instalaciones y procesos de la empresa mucho más estructuradamente. Principalmente son cuatro métodos los existentes:  Manuales técnicos o códigos y normas de diseño. 4 . procesos. ANÁLISIS DE RIESGOS 3. 3. Análisis de árbol de fallos. instalaciones. desviaciones en equipos.  Análisis preliminar de riesgos.

Para adelantar el análisis del riesgo se deben considerar los siguientes aspectos:  Calificación del Riesgo: Se logra a través de la estimación de la probabilidad de su ocurrencia y el impacto que puede 5 .Dentro del análisis de riesgos se debe decidir que hacer con estos. Es importante mencionar que el análisis de riesgos dependerá directamente de la información obtenida.  Compartir o Transferir el riesgo: Reduce su efecto a través del traspaso de las pérdidas a otras organizaciones. obviamente no todos son iguales ni tampoco sus impactos.  Reducir el riesgo: Implica tomar las medidas encaminadas a disminuir tanto la probabilidad de que ocurra (medidas de prevención). como el impacto que produzca (medidas de protección). como en los contratos a riesgo compartido.  Evitar el riesgo: Significa poner en práctica las acciones orientadas a prevenir su materialización. es decir son riesgos mínimos que la empresa prefiere sobrellevarlos en lugar de enfrentarlos. estos riegos pueden existir luego de que han sido reducidos o transferidos.  Asumir un riesgo: Quiere decir que el riesgo con su respectivo impacto serán tolerados por la empresa. como en el caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con otra empresa. por ello cada riesgo se debe tratar independientemente. A continuación se muestran las posibles acciones que se pueden tomar frente a los riesgos analizados.

La primera representa el número de veces que el riesgo se ha presentado en un determinado tiempo o puede presentarse. 6 . Deducir los posibles accidentes graves que pudieran producirse. importantes o inaceptables y fijar las prioridades de las acciones requeridas para su tratamiento. de esta forma es posible distinguir entre los riesgos aceptables. Determinar las consecuencias en el espacio y el tiempo de los accidentes. medir y prevenir los riesgos que representa una instalación industrial para los bienes de la empresa. 3.    Analizar las causas de dichos accidentes y proponer soluciones. Definir medidas y procedimientos de prevención y protección para evitar la ocurrencia y/o limitar las consecuencias de los accidentes. con los criterios definidos para establecer el grado de exposición de la entidad al riesgo.  Evaluación del Riesgo: Permite comparar los resultados de su calificación.causar la materialización del riesgo. Objetivos Gracias al análisis de riesgos podremos:    Identificar. Discernir sobre la aceptabilidad o no de las propias instalaciones y operaciones realizadas en la empresa. aplicando determinados criterios de vulnerabilidad. tolerables.2. moderados. y la segunda se refiere a la magnitud de sus efectos.

2. aún cuando alguna de sus funciones se viese dañada por un accidente interno o externo. FUNCION: Los planes de contingencia cumplen las siguientes funciones:        Determinar acciones preventivas. Los Planes de Contingencia se deben hacer de cara a futuros acontecimientos para los que hace falta estar preparado. Dimensionar el riesgo potencial. CONCEPTO: Se entiende por PLAN DE CONTINGENCIA a los procedimientos alternativos al orden normal de una empresa. cuyo fin es permitir el normal funcionamiento de esta. Asegurar la estabilidad de la organización.II. reduciendo el grado de vulnerabilidad y exposición al riesgo. sin un plan debidamente concebido y ensayado. sino que supone un avance a la hora de superar cualquier eventualidad que puedan acarrear perdidas o importantes perdidas y llegado el caso no solo materiales sino personales. no significa que reconozca la ineficacia de su empresa. caótico e ineficiente. Generar cultura de seguridad en la organización. PLAN DE CONTINGENCIA 1. Tomar decisiones rápidas ante anormalidades o falla. Hacer sistemático. ordenado y eficiente lo que. Reducir el tiempo de reacción ante la emergencia. Que una organización prepare sus planes de contingencia. sería arbitrario. 7 .

3. de forma que sólo se inviertan los recursos necesarios. es un conjunto de 8 . en aras a minimizar el impacto de manera que la correcta recuperación de los sistemas y procesos quede garantizada y se conserven los objetivos estratégicos de la empresa. CONTENIDO DE PLAN DE CONTINGENCIA: El plan de contingencias comprende tres subplanes. 4. o grado de seguridad. El nivel adecuado de seguridad física.  Optimizar los esfuerzos y recursos necesarios para atender cualquier contingencia de manera oportuna y eficiente. OBEJTIVO: Los objetivos de un plan de contingencia son:  Reanudar con la mayor brevedad posible las funciones empresariales más críticas. Su finalidad es evitar dicha materialización. definiendo las personas responsables de las actividades a desarrollar antes y durante la emergencia. Cada plan determina las contramedidas necesarias en cada momento del tiempo respecto a la materialización de cualquier amenaza: El plan de respaldo Contempla las contramedidas preventivas antes de que se materialice una amenaza. Cumplir con las normativas legales.  Evaluar los riesgos así como los costos de los procedimientos de contingencia requeridos cuando se presenta una interrupción de las operaciones.

en su caso. aminorar las consecuencias que de el se puedan derivar. o inmediatamente después. Por otra parte. El plan de recuperación Contempla las medidas necesarias después de materializada y controlada la amenaza. importancia. se deduce la necesidad de contar con los medios necesarios para afrontarlo. d) Evaluación de Resultados.acciones utilizadas para evitar el fallo o. c) Ejecución de Actividades. el impacto podría ser tan grande que resultaría fatal para la organización. aunque se diera. Su finalidad es restaurar el estado de las cosas tal y como se encontraban antes de la materialización de la amenaza. b) Priorización de Actividades del Plan de Acción. de un plan de contingencia será proporcional a la complejidad. Después de ocurrido el Siniestro o Desastre es necesario realizar las actividades que se detallan. Su finalidad es paliar los efectos adversos de la amenaza. La magnitud. 9 . las cuales deben estar especificadas en el Plan de Acción: a) Evaluación de Daños. no es corriente que un negocio responda por sí mismo ante un acontecimiento como el que se comenta. El plan de emergencia Contempla las contramedidas necesarias durante la materialización de una amenaza. e) Retroalimentación del Plan de Acción. La probabilidad de que ocurra un desastre es muy baja. costo del servicio al cual está destinado a proteger y el riesgo asociado a la misma.

instalaciones y personal. Aplicaciones. Permitirá ejecutar un conjunto de normas. IMPORTANCIA: Su importancia radica en que:   Permitirá una respuesta rápida en caso de incidentes. puede implicar esfuerzos y gastos considerables. procedimientos y acciones básicas de respuesta que se debería tomar para afrontar de manera oportuna. AREAS DE APLICACIÓN Los planes de contingencia tienen una aplicación muy amplia y variada.5. sobre todo si se está partiendo de cero. incendios. administración de proyectos de cualquier índole como: construcciones y desarrollo de software u otros. 6. escasez de alimentos. accidentes o estados de emergencia. para casos muy específicos como derrame de petróleo. puede darse tanto para empresas (comerciales o industriales) a nivel gubernamental (como en el caso de emergencias regionales). En cuanto a los Sistemas de información se pueden aplicar en: Datos. 7. ante la eventualidad de incidentes. accidentes y/o estados de emergencias que pudieran ocurrir tanto en las instalaciones como fuera de ellas. Una solución comprende las siguientes actividades: 10 . adecuada y efectiva. Tecnología Hardware y Software. METODOLOGIA PARA LA ELABORACION DE UN PLAN DE CONTINGENCIA: El diseñar e implementar un plan de contingencia para recuperación de desastres no es una tarea fácil.

un método estructurado ayuda a asegurar de que se toman en cuenta todos estos factores y de que se les trata adecuadamente. Debe ser diseñada y elaborada de acuerdo con las necesidades dela empresa.  Jerarquización de las aplicaciones: Es necesario definir anticipadamente cuales son las aplicaciones primordiales para la organización.  Evaluación de riesgos: Igualmente se debe determinar el costo que representa para la organización el experimentar un desastre que afecte a la actividad empresarial.  Implicará un compromiso entre costo. Como con cualquier proyecto de diseño. el cual debe trabajar en conjunto cuando se desarrolle e implemente la solución. El primer componente del plan de contingencia debe ser una descripción del servicio y el riesgo para ese servicio. Requerirá del desarrollo y prueba de muchos procedimientos nuevos. y éstos deben ser compatibles con las operaciones existentes. El desarrollo de un plan de contingencias conlleva las siguientes etapas:  Análisis de riesgos: Durante esta etapa se identifican los procesos críticos o esenciales y sus repercusiones en caso de no estar en funcionamiento. velocidad de recuperación. medida de la recuperación y alcance de los desastres cubiertos.  Se hará participar a personal de muchos departamentos diferentes.   Puede requerir la construcción o adaptación de un sitio para los equipos computacionales. Para la determinación de las 11 .

de tal manera que se sientan que son parte del plan. el plan debe estar asesorado y respaldado por las directivas. recibido el entrenamiento e incluso participado en las modificaciones. eso los motivará a trabajar.  Difusión y capacitación: Cuando se disponga del plan definitivo y aprobado. No debe olvidarse que el éxito del Plan en alto grado depende de la disponibilidad y participación de personal bien capacitado. quienes hayan estudiado el plan.aplicaciones preponderantes. de tal forma que permita minimizar las desavenencias entre los distintos departamentos y/o divisiones. se debe volver a evaluar los sistemas de aplicación y determinar cuáles son los más importantes para la organización.  Mantenimiento: El mantenimiento del plan comienza con una revisión del plan existente y se examina en su totalidad realizando los cambios en la información que pudo haber ocasionado una variación en el sistema y realizando los cambios que sean necesarios. es necesario hacer su difusión y capacitación entre las personas encargadas de llevarlo a cargo. 12 . especificando las funciones con base en el estado actual de la organización.  Ejecución: Una vez finalizado el plan. es conveniente elaborar un informe final con los resultados de su ejecución cuyas conclusiones pueden servir para mejorar éste ante futuras nuevas eventualidades. En ese instante. si hubo.  Establecimientos de requerimientos de recuperación: En esta etapa se procede a determinar lo que se debe hacer para lograr una óptima solución.