Gestión de Riesgos de Continuidad del Negocio

por Susurradores_Blog

De acuerdo con las mejores prácticas y la ISO 22301, la Gestión de Riesgos de continuidad del negocio es una actividad   primordial de la construcción y prueba del Plan de Continuidad del Negocio (PCN).

Dentro del marco del PCN, esta etapa no dista mucho, ni tendría porque distar, del proceso de administración de riesgos para toda la organización o para componentes y procesos específicos.

Una vez la empresa ha determinado que va a diseñar el PCN, se inicia el proceso con la identificación de los riesgos, teniendo como referencia que el criterio de aceptabilidad y tratamiento de la amenaza es la continuidad del negocio.

Lo anterior quiere decir sencillamente que una amenaza no podrá ser ignorada si atenta contra la continuidad del negocio.

Un Riesgo de Negocio se define como la amenaza de que un evento o acción pueda afectar adversamente la habilidad de una organización para lograr sus objetivos de negocio y la ejecución de sus estrategias, con éxito.

Las amenazas pueden clasificarse de diferente forma: Naturales, ocasionadas por el hombre, tecnológicas, físicas, operacionales, sociales.

Una amenaza natural puede ser una tormenta, un terremoto, una avalancha o lo que estamos viviendo en este 2020, un virus que contagie a la población. Una ocasionada por el hombre puede ser la colocación de una bomba o el robo de recursos y componentes. Una tecnológica puede ser un ataque cibernético o el daño de un servidor o de otro recurso tecnológico. Una física puede ser un incendio o el hundimiento de una construcción. Una operacional puede ser la falta de materia prima o un fraude y una social puede ser una huelga en alguno de los servicios públicos o una guerra.

La clasificación que se escoja facilita el análisis de las amenazas, sin embargo lo más importante es que logremos identificar el mayor número de riesgos a que esta expuesta la empresa, con el fin de asegurar que no queden por fuera amenazas que puedan interrumpir todo el negocio o sus procesos críticos.

El siguiente paso dentro de la gestión de riesgos de continuidad del negocio es identificar las vulnerabilidades de la organización o de la unidad de negocio. Las vulnerabilidades son debilidades que pueden ser explotadas para convertir una amenaza en un riesgo real que puede causar daños graves en una compañía.

Para identificar las vulnerabilidades que pueden afectar a una compañía debemos responder a la pregunta: ¿Por qué puede ocurrir una amenaza? Un ejemplo es el contagio con el coronavirus (SARS-coV-2) debido a la ausencia de medidas de protección o el ataque cibernético a la infraestructura tecnológica debido a la falta de un Firewall.

El siguiente paso es determinar los controles existentes o la falta de ellos, para mitigar las amenazas. Podemos aplicar un modelo de medición en el que por ejemplo:

0: No se evidencia un control
1: El control está documentado pero no da cumplimiento al estándar
2: El control está documentado y da cumplimiento total al estándar

La valoración de la amenaza se hace a partir de la probabilidad de ocurrencia y el impacto para la organización. Idealmente se debe hacer una valoración cuantitativa, pero ante la ausencia de números o estadísticas, se puede optar por una valoración cualitativa o una semi –cuantitativa. Se debe tener en cuenta que la existencia de vulnerabilidades, ante la ausencia o deficiencia de los controles, incrementa la probabilidad de materialización de la amenaza.

Aplicando una valorización cualitativa, la probabilidad de que la amenaza se materialice puede ser:

Alto: Muy probable
Medio: Algunas veces
Bajo: Rara vez

El impacto es la consecuencia para la empresa de la materialización del riesgo. El contagio con el SARS-coV-2 implica un impacto que puede ser económico, social o de otro tipo. A manera de ejemplo en este caso, el impacto económico puede ser:

Alto: Más del 75% de pérdida en los ingresos
Medio: Más del 50% de pérdida en los ingresos
Bajo: Más del 25% de pérdida en los ingresos

El nivel de amenaza será ALTO, MEDIO O BAJO de acuerdo con la relación probabilidad – impacto:

Según el criterio de evaluación definido, el riesgo que pueda interrumpir la continuidad del negocio debe ser gestionado hasta el punto en que se reduzca al máximo la probabilidad de que ocurra o que su impacto sea el menor posible.

Tomando como ejemplo el contagio con el coronavirus, que conlleva medidas de contención que afecta la empresa como un todo, la probabilidad de ocurrencia del evento es ALTA y el impacto es ALTO, la evaluación de la amenaza es ALTA.

Aplicando el criterio de continuidad, la materialización de la amenaza afecta la continuidad del negocio porque interrumpe la operación de la empresa.

La amenazas de alto peligro, como el virus SARS-coV-2 o los ciberataques, deben ser analizadas e incluidas dentro de PCN de acuerdo con la forma como afecten la organización y sus recursos procesos críticos.

Las amenazas que pueden afectar la continuidad del negocio, pero que son de medio o bajo peligro se incluirán, a criterio de la gerencia, dentro del análisis de alternativas de continuidad, sin pasar por alto el costo que puede significar incluir una amenaza de mediano o bajo peligro en el PCN.

Las amenazas de alto, medio o bajo peligro que no afectan la continuidad del negocio, deben ser tratadas dentro de la administración de riesgos del Sistema de Control Interno.

Por Fernando Ramírez Duque

 

 

Related Posts