ANALISIS DE RIESGO Y PLANES DE CONTINGENCIA TALLER DE GENERACIN DE EMPRESA

DOCENTE:

ALUMNOS: RODRIGUEZ PEREZ, YEISON RODRIGUEZ RODRIGUEZ, A. CAROLINA CICLO: IX

TRUJILLO - PER 12/07/2013

INTRODUCCIN

Desde los inicios de los sistemas de informacin se comprendi que las contingencias forman parte inherente de los mismos. Las amenazas a las empresas pueden provenir de muchas fuentes, tanto de origen natural (terremotos, tormentas, etc.), de origen humano (celos profesionales, competencia, huelga, problemas laborales, entre otros), como de origen tcnico (fallas del hardware, del software, con el suministro de energa, etc.). Y es casi siempre una situacin no prevista la que regularmente provoca una crisis y las consecuencias de la misma, segn su impacto y extensin, pueden ser catastrficas para los intereses de cualquier organizacin.

Los fallos tcnicos y humanos han hecho recapacitar a las organizaciones sobre la necesidad de auxiliarse con herramientas que le permitan garantizar una rpida vuelta a la normalidad ante la presencia de cualquier eventualidad, por lo tanto, el hecho de disear y preparar un plan de contingencias no implica un reconocimiento de la ineficiencia en la gestin de la empresa, sino todo lo contrario, los mecanismos de seguridad de la informacin buscan proteger a la informacin de las diversas amenazas a las que se ve expuesta y supone un Importante avance a la hora de superar todas aquellas adversidades que pueden provocar importantes prdidas, no solo materiales sino aquellas derivadas de la paralizacin del negocio durante un perodo ms o menos prolongado.

ANALISIS DE RIESGO Y PLANES DE CONTINGENCIA

I.

ANALISIS DE RIESGO

1. QU ES UN RIESGO?

Se define como riesgo a la probabilidad de que cualquier eventualidad se aproveche de las vulnerabilidades de un sistema, de forma que imposibilite el cumplimento de un objetivo o ponga en peligro a los bienes de la organizacin, ocasionndole perdidas o daos.

2. IDENTIFICACIN DE RIESGOS

La identificacin de riesgos es un proceso, mediante el cual se pretende reconocer todos los riesgos potenciales que estn o no bajo el control de la empresa, as como la determinacin de sus causas, agentes generadores y principales efectos. Antes de enfrentar los riesgos, estos deben ser identificados, este proceso debe ser constante, pues nuevas amenazas estn surgiendo diariamente. Un factor importante dentro de la identificacin de riesgos es la comunicacin dentro de la empresa, el propsito es generar un flujo constante de informacin acerca de las actividades que desarrolla la organizacin.

2.1.

Mtodos de Identificacin de riesgo

Disponemos de algunos mtodos que nos ayudan a identificar los riesgos de una empresa, entre estos tenemos:

Mtodos comparativos Se basan en el uso de tcnicas obtenidas de la experiencia adquirida en equipos e instalaciones similares existentes, as

como en el anlisis de sucesos que hayan ocurrido en establecimientos parecidos al que se analiza. Principalmente son cuatro mtodos los existentes: Manuales tcnicos o cdigos y normas de diseo. Listas de comprobacin. Anlisis histrico de accidentes. Anlisis preliminar de riesgos.

Mtodos generalizados Estos mtodos estudian las instalaciones y procesos de la empresa mucho ms estructuradamente. Normalmente siguen un procedimiento lgico de deduccin de fallos, errores, desviaciones en equipos, instalaciones, procesos, operaciones, etc. Existen algunos mtodos de este tipo como: Anlisis Qu pasara si? Anlisis funcional de operabilidad. Anlisis de rbol de fallos. Anlisis de rbol de sucesos. Anlisis de modo y efecto de los fallos.

3. ANLISIS DE RIESGOS

3.1.

Qu es el Anlisis de Riesgos?

El anlisis del riesgo busca establecer la probabilidad de ocurrencia de los riesgos y el impacto de sus consecuencias, calificndolos y evalundolos con el fin de obtener informacin para establecer el nivel de riesgo y las acciones que se van a implementar.

Dentro del anlisis de riesgos se debe decidir que hacer con estos, obviamente no todos son iguales ni tampoco sus impactos, por ello cada riesgo se debe tratar independientemente.

A continuacin se muestran las posibles acciones que se pueden tomar frente a los riesgos analizados.

Evitar el riesgo: Significa poner en prctica las acciones orientadas a prevenir su materializacin.

Reducir el riesgo: Implica tomar las medidas encaminadas a disminuir tanto la probabilidad de que ocurra (medidas de prevencin), como el impacto que produzca (medidas de proteccin).

Compartir o Transferir el riesgo: Reduce su efecto a travs del traspaso de las prdidas a otras organizaciones, como en el caso de los contratos de seguros o a travs de otros medios que permiten distribuir una porcin del riesgo con otra empresa, como en los contratos a riesgo compartido.

Asumir un riesgo: Quiere decir que el riesgo con su respectivo impacto sern tolerados por la empresa, estos riegos pueden existir luego de que han sido reducidos o transferidos, es decir son riesgos mnimos que la empresa prefiere sobrellevarlos en lugar de enfrentarlos.

Es importante mencionar que el anlisis de riesgos depender directamente de la informacin obtenida. Para adelantar el anlisis del riesgo se deben considerar los siguientes aspectos:

Calificacin del Riesgo: Se logra a travs de la estimacin de la probabilidad de su ocurrencia y el impacto que puede

causar la materializacin del riesgo. La primera representa el nmero de veces que el riesgo se ha presentado en un determinado tiempo o puede presentarse, y la segunda se refiere a la magnitud de sus efectos. Evaluacin del Riesgo: Permite comparar los resultados de su calificacin, con los criterios definidos para establecer el grado de exposicin de la entidad al riesgo; de esta forma es posible distinguir entre los riesgos aceptables, tolerables, moderados, importantes o inaceptables y fijar las prioridades de las acciones requeridas para su tratamiento.

3.2.

Objetivos

Gracias al anlisis de riesgos podremos: Identificar, medir y prevenir los riesgos que representa una instalacin industrial para los bienes de la empresa. Deducir los posibles accidentes graves que pudieran producirse. Determinar las consecuencias en el espacio y el tiempo de los accidentes, aplicando determinados criterios de vulnerabilidad. Analizar las causas de dichos accidentes y proponer soluciones. Discernir sobre la aceptabilidad o no de las propias instalaciones y operaciones realizadas en la empresa. Definir medidas y procedimientos de prevencin y proteccin para evitar la ocurrencia y/o limitar las consecuencias de los accidentes.

II.

PLAN DE CONTINGENCIA

1. CONCEPTO:

Se entiende por PLAN DE CONTINGENCIA a los procedimientos alternativos al orden normal de una empresa, cuyo fin es permitir el normal funcionamiento de esta, an cuando alguna de sus funciones se viese daada por un accidente interno o externo.

Que una organizacin prepare sus planes de contingencia, no significa que reconozca la ineficacia de su empresa, sino que supone un avance a la hora de superar cualquier eventualidad que puedan acarrear perdidas o importantes perdidas y llegado el caso no solo materiales sino personales.

Los Planes de Contingencia se deben hacer de cara a futuros acontecimientos para los que hace falta estar preparado.

2. FUNCION:

Los planes de contingencia cumplen las siguientes funciones: Determinar acciones preventivas, reduciendo el grado de vulnerabilidad y exposicin al riesgo. Reducir el tiempo de reaccin ante la emergencia. Dimensionar el riesgo potencial. Tomar decisiones rpidas ante anormalidades o falla. Generar cultura de seguridad en la organizacin. Asegurar la estabilidad de la organizacin. Hacer sistemtico, ordenado y eficiente lo que, sin un plan debidamente concebido y ensayado, sera arbitrario, catico e ineficiente.
7

Cumplir con las normativas legales.

3. OBEJTIVO:

Los objetivos de un plan de contingencia son:

Reanudar con la mayor brevedad posible las funciones empresariales ms crticas, en aras a minimizar el impacto de manera que la correcta recuperacin de los sistemas y procesos quede garantizada y se conserven los objetivos estratgicos de la empresa.

Evaluar los riesgos as como los costos de los procedimientos de contingencia requeridos cuando se presenta una interrupcin de las operaciones, de forma que slo se inviertan los recursos necesarios.

Optimizar los esfuerzos y recursos necesarios para atender cualquier contingencia de manera oportuna y eficiente, definiendo las personas responsables de las actividades a desarrollar antes y durante la emergencia.

4. CONTENIDO DE PLAN DE CONTINGENCIA:

El plan de contingencias comprende tres subplanes. Cada plan determina las contramedidas necesarias en cada momento del tiempo respecto a la materializacin de cualquier amenaza:

El plan de respaldo Contempla las contramedidas preventivas antes de que se materialice una amenaza. Su finalidad es evitar dicha materializacin. El nivel adecuado de seguridad fsica, o grado de seguridad, es un conjunto de
8

acciones utilizadas para evitar el fallo o, en su caso, aminorar las consecuencias que de el se puedan derivar.

El plan de emergencia Contempla las contramedidas necesarias durante la materializacin de una amenaza, o inmediatamente despus. Su finalidad es paliar los efectos adversos de la amenaza. La probabilidad de que ocurra un desastre es muy baja, aunque se diera, el impacto podra ser tan grande que resultara fatal para la organizacin. Por otra parte, no es corriente que un negocio responda por s mismo ante un acontecimiento como el que se comenta, se deduce la necesidad de contar con los medios necesarios para afrontarlo.

El plan de recuperacin Contempla las medidas necesarias despus de materializada y controlada la amenaza. Su finalidad es restaurar el estado de las cosas tal y como se encontraban antes de la materializacin de la amenaza. Despus de ocurrido el Siniestro o Desastre es necesario realizar las actividades que se detallan, las cuales deben estar especificadas en el Plan de Accin: a) Evaluacin de Daos. b) Priorizacin de Actividades del Plan de Accin. c) Ejecucin de Actividades. d) Evaluacin de Resultados. e) Retroalimentacin del Plan de Accin.

La magnitud, de un plan de contingencia ser proporcional a la complejidad, importancia, costo del servicio al cual est destinado a proteger y el riesgo asociado a la misma.

5. IMPORTANCIA:

Su importancia radica en que: Permitir una respuesta rpida en caso de incidentes, accidentes o estados de emergencia. Permitir ejecutar un conjunto de normas, procedimientos y acciones bsicas de respuesta que se debera tomar para afrontar de manera oportuna, adecuada y efectiva, ante la eventualidad de incidentes, accidentes y/o estados de emergencias que pudieran ocurrir tanto en las instalaciones como fuera de ellas.

6. AREAS DE APLICACIN

Los planes de contingencia tienen una aplicacin muy amplia y variada, puede darse tanto para empresas (comerciales o industriales) a nivel gubernamental (como en el caso de emergencias regionales), para casos muy especficos como derrame de petrleo, incendios, escasez de alimentos, administracin de proyectos de cualquier ndole como: construcciones y desarrollo de software u otros. En cuanto a los Sistemas de informacin se pueden aplicar en: Datos, Aplicaciones, Tecnologa Hardware y Software, instalaciones y personal.

7. METODOLOGIA PARA LA ELABORACION DE UN PLAN DE CONTINGENCIA:

El disear e implementar un plan de contingencia para recuperacin de desastres no es una tarea fcil; puede implicar esfuerzos y gastos considerables, sobre todo si se est partiendo de cero. Una solucin comprende las siguientes actividades:

10

Debe ser diseada y elaborada de acuerdo con las necesidades dela empresa.

Puede requerir la construccin o adaptacin de un sitio para los equipos computacionales. Requerir del desarrollo y prueba de muchos procedimientos nuevos, y stos deben ser compatibles con las operaciones existentes.

Se har participar a personal de muchos departamentos diferentes, el cual debe trabajar en conjunto cuando se desarrolle e implemente la solucin.

Implicar un compromiso entre costo, velocidad de recuperacin, medida de la recuperacin y alcance de los desastres cubiertos.

Como con cualquier proyecto de diseo, un mtodo estructurado ayuda a asegurar de que se toman en cuenta todos estos factores y de que se les trata adecuadamente. El desarrollo de un plan de contingencias conlleva las siguientes etapas:

Anlisis de riesgos: Durante esta etapa se identifican los procesos crticos o esenciales y sus repercusiones en caso de no estar en funcionamiento. El primer componente del plan de contingencia debe ser una descripcin del servicio y el riesgo para ese servicio.

Evaluacin de riesgos: Igualmente se debe determinar el costo que representa para la organizacin el experimentar un desastre que afecte a la actividad empresarial.

Jerarquizacin de las aplicaciones: Es necesario definir anticipadamente cuales son las aplicaciones primordiales para la organizacin. Para la determinacin de las

11

aplicaciones preponderantes, el plan debe estar asesorado y respaldado por las directivas, de tal forma que permita minimizar las desavenencias entre los distintos departamentos y/o divisiones. Establecimientos de requerimientos de recuperacin: En esta etapa se procede a determinar lo que se debe hacer para lograr una ptima solucin, especificando las funciones con base en el estado actual de la organizacin. Ejecucin: Una vez finalizado el plan, es conveniente elaborar un informe final con los resultados de su ejecucin cuyas conclusiones pueden servir para mejorar ste ante futuras nuevas eventualidades. Difusin y capacitacin: Cuando se disponga del plan definitivo y aprobado, es necesario hacer su difusin y capacitacin entre las personas encargadas de llevarlo a cargo. No debe olvidarse que el xito del Plan en alto grado depende de la disponibilidad y participacin de personal bien capacitado, quienes hayan estudiado el plan, recibido el entrenamiento e incluso participado en las modificaciones, si hubo, de tal manera que se sientan que son parte del plan, eso los motivar a trabajar. Mantenimiento: El mantenimiento del plan comienza con una revisin del plan existente y se examina en su totalidad realizando los cambios en la informacin que pudo haber ocasionado una variacin en el sistema y realizando los cambios que sean necesarios. En ese instante, se debe volver a evaluar los sistemas de aplicacin y determinar cules son los ms importantes para la organizacin.

12