7.

ANALISIS DEL IMPACTO AL NEGOCIO (Requisito 7: OPERACIÓN)

El análisis del impacto al negocio (BIA), se define como el proceso de análisis de funciones

organizacionales y el efecto de una interrupción en ellas.

El BIA es esencial para establecer una estrategia de recuperación, que en principio dará continuidad

a las actividades críticas y posteriormente al resto, si es posible; asimismo, permite identificar, de

todas las actividades de la empresa, cuáles son las críticas para la operación, a cuáles se les debería

dar prioridad de recuperación si son interrumpidas por un desastre y qué recursos se necesitan para

mantener en operación a estas actividades; definiendo los tiempos de recuperación, los cuales son

medidos por las consecuencias de no poder ejecutarlos (impactos).

Cada proceso de la empresa debe ser evaluado, listando las actividades desarrolladas para

determinar el propósito de las mismas y analizándolas en cuatro aspectos: Riesgo financiero de no

ejecutar la actividad.; riesgo regulatorio o legal por no dar cumplimiento a las exigencias de los

entes vigilantes y contratos con clientes; el riesgo Reputacional con el cliente por no llenar sus

requerimientos y el riesgo con su entorno interno y externo por no satisfacer el cumplimiento de

las metas trazadas.

7.1. PRIORIZACIÓN DE PROCESOS, ACTIVIDADES Y RECURSOS

7.1.1. Priorización de los Procesos del Negocio

Basado en la premisa de que existen procesos del negocio que son más críticos que otros, debido a

que tienen una mayor influencia en la consecución de los objetivos estratégicos, se los debe

priorizar para determinar que procesos se consideraran en el plan de continuidad de negocio. Para

realizar la priorización, se identifica el nivel de participación que tiene cada uno de ellos en el logro

de los objetivos estratégicos, igual que el valor agregado que da el proceso al cliente.

Para determinar el impacto que los procesos tienen sobre los objetivos organizacionales y del valor

agregado con respecto al cliente, se utiliza la escala de valoración que se encuentra en la Tabla 1:

Tabla 1: Escala de Valoraciòn de los Procesos del Negocio

ESCALA VALOR
Muy Alto 5
Alto 4
Medio 3
Bajo 2
Muy Bajo 1
 Tabla 2: Matriz de Priorización de Procesos del Negocio

Total por Análisis

impacto del del valor INTERPRET
OBJ OBJ
OBJ OBJ ACIÓN
LISTA DE PROCESOS VENTAS SERVICIOS
NUEVOS SATISFACIÓN proceso en la agregado TOTAL NIVEL DE
PRODUCTOS DEL CLIENTE estrategia del respecto PRIORIDAD
negocio al cliente

PROCESOS DIRECCIÓN
GERENCIA 5 5 5 5 20 5 100 Alto
SISTEMA DE GESTIÓN
CONTINUO 5 5 4 5 19 4 76 Medio

PROCESOS MISIONALES
PLANTA DE PRODUCCIÓN 5 5 5 5 20 5 100 Alto
PRESTACIONES DE
SERVIVIOS 4 5 4 5 18 4 72 Medio
CONTROL DE CALIDAD 5 3 5 5 18 4 72 Medio

PROCESOS DE APOYO
DEPOSITOS - ALMACENES 4 4 5 5 18 4 72 Medio
RECURSOS HUMANOS 5 5 3 3 16 2 32 Bajo
DEPARTAMENTO DE
MANTENIMIENTO 3 5 2 5 15 5 75 Medio
DEPARTAMENTO DE
CONTABILIDAD 5 5 5 4 19 5 95 Alto
AUDITORIA INTERNA 3 5 3 5 16 5 80 Alto

ESCALA DE VALORACIÓN DE PROCESOS

ESCALA VALOR RANGO = Vmax - Vmin
Muy Alto 5 = 100 - 32 = 68
Alto 4
Medio 3
Bajo 2
ANCHO 68
Muy Bajo 1 = 17
INTERVALO RANGO =
N. DE NIVELES DE ESCALA PRIORIZACION 4
INTERVALOS DE PRIORIDAD
NIVEL DE PRIORIDAD VALOR

Crítico 100 83
Alto 82 65
Medio 64 47
Bajo 46 Y menos
 7.1.2. Identificación de Activos Críticos

7.1.2.1. Sistemas de Información

En esta sección se van a identificar los activos involucrados en cada proceso con prioridad

crítica y alta. Para esto, será necesario realizar entrevistas con los responsables de cada uno

de los procesos objeto de evaluación. Para cada activo se va a detallar la siguiente

información:

Proceso Proceso
Proceso Crítico
Crítico 1 Crítico 3
TIPO ACTIVO 2 PROCESO
PROCESOS PROCESOS
MISIONALES
DIRECCION DE APOYO

ID VALO NIVEL
NOMBRE Confidencialidad R DE

Confidencialidad

Confidencialidad
ACTIV DESCRIPCIÓN
Infraestructura

Disponibilidad

Disponibilidad

Disponibilidad
ACTIVO ACTI PRIORI
Información

O VO DAD
Integridad

Integridad

Integridad
Aplicación

Persona

Servicio

Se encarga de la
Administrador administración de
de Recursos bases de datos,
PRC001 X 5 4 4 5 4 5 5 4 5 41 Alto
Computacionale sistemas operativos,
s redes y
comunicaciones.
Se encarga de detectar
la presencia de virus
informáticos en los
PRC002 Antivirus X 5 5 5 5 5 5 5 5 5 45 Crítico
computadores para
posteriormente
eliminarlos.
Se incluyen
aplicaciones como
Aplicaciones de
PRC003 X Microsoft Office, 5 5 5 5 5 5 5 5 5 45 Crítico
ofimática
Microsoft Project,
Microsoft Visio, etc.
Se incluyen las
siguientes
aplicaciones:
Aplicaciones Microsoft Visual
utilizadas para Studio
PRC004 X 5 3 4 5 4 3 5 4 4 37 Medio
el desarrollo de 2012, Team
software Foundation Server
2010, Kendo, Altova
Umodel, Microsoft Sql
Server 2008, etc.
Se encarga del
seguimiento de
Asistente de compromisos y
PRC005 X 4 5 5 4 4 5 5 5 4 41 Alto
Gerencia negociaciones de la
gerencia con los
clientes.
 Se incluyen las bases
de datos tanto del
PRC006 Bases de Datos X ambiente de desarrollo 5 4 4 3 5 4 3 4 4 36 Medio
como del ambiente de
test.
Se incluyen todos los
equipos de escritorio
Computadoras
PRC007 X utilizados por los 5 5 4 3 4 5 2 3 5 36 Medio
de Escritorio
empleados de la
empresa.
Se incluyen todos los
equipos portátiles
Computadoras
PRC008 X utilizados por los 5 4 4 3 3 5 5 4 4 37 Medio
Portátiles
empleados de la
empresa.

Permite el intercambio
de mensajes entre los
Correo
PRC009 X empleados de la 4 4 5 4 3 3 4 4 5 36 Medio
Electrónico
empresa y con los
clientes.
Se incluyen todos los
Documentación entregables generados
PRC010 de las X durante el proceso de 4 4 5 5 5 5 5 5 4 42 Crítico
aplicaciones desarrollo de las
aplicaciones.
Contiene información
detallada sobre las
Documentación
pruebas que se
PRC011 de las pruebas X 5 4 4 4 4 4 4 5 5 39 Alto
llevaron a cabo en las
de software
diferentes
aplicaciones.
En donde se incluyen
los ventiladores y
equipos de aire
Equipo de
PRC012 X acondicionado 2 4 4 4 5 4 3 3 4 33 Bajo
climatización
utilizados para evitar
el sobrecalentamiento
de los servidores.
Se cuenta con dos
routers uno utilizado a
nivel gerencia y otro
Equipos de
a nivel corporativo.
PRC013 telecomunicacio X 5 3 3 4 4 3 3 3 4 32 Bajo
Además de switches
nes
para permitir la
conexión entre
equipos.
Conformado por el
líder de proyecto y los
Equipo de analistas
PRC014 X 5 3 3 5 3 4 5 5 4 37 Medio
desarrollo Programadores
asignados a un
proyecto de desarrollo.
Se encarga de negociar
con los clientes las
propuestas presentadas
PRC015 Gerente General X 5 4 4 4 4 5 5 5 5 41 Alto
y establecer los
acuerdos para lograr la
firma de contratos.
Define el modelo de
desarrollo de software
Gerente de a aplicarse en los
PRC016 X 5 3 4 5 3 4 5 5 5 39 Alto
Desarrollo proyectos y lidera los
proyectos de
desarrollo de software.
 Define el alcance
Gerente de funcional de las
PRC017 X 4 3 4 3 4 3 5 4 4 34 Medio
Produccion aplicaciones a ser
desarrolladas.
Define las políticas,
estándares,
procedimientos,
entregables y plantillas
Gerente de a ser utilizadas en los
PRC018 X 5 4 3 3 5 4 3 3 5 35 Medio
SQM proyectos de
desarrollo, de software
para garantizar la
calidad de los
productos.
Permite la conexión
PRC019 Internet X 4 5 5 3 3 5 3 4 5 37 Medio
con otras redes.
Se cuenta con dos
PRC020 Impresoras X impresoras, una en 3 4 3 5 5 4 4 3 4 35 Medio
cada piso.

Se definen los
lineamientos para el
Políticas,
seguimiento,
PRC021 estándares y X 5 4 5 3 4 3 4 3 5 36 Medio
evaluación y gestión
procedimientos
de los proyectos de
desarrollo de software.
Red local que
comunica a todos los
PRC022 Red LAN X 5 4 5 4 3 4 5 4 3 37 Medio
dispositivos de la
empresa.
PRC023 Red WLAN X Red local inalámbrica. 5 4 5 5 4 4 4 4 5 40 Alto
Copias de seguridad
Respaldos de de las bases de datos
PRC024 las Bases de X de la empresa, se 5 4 4 5 5 5 5 4 5 42 Crítico
Datos extraen una vez al
mes.
Permite integrar en la
misma red las
PRC025 Telefonía IP X 5 4 5 5 5 5 5 3 4 41 Alto
comunicaciones de
voz y datos.

RANGO = Vmax - Vmin

= 45 - 32 = 13

ANCHO 13
INTERVALO RANGO = = 3,2
N. DE NIVELES DE ESCALA PRIORIZACION 4

INTERVALOS DE PRIORIDAD
NIVEL DE PRIORIDAD VALOR

Crítico 45 42
Alto 41 38
Medio 37 34
Bajo 33 Y menos
7.2. EVALUACION EN EL TIEMPO E IMPACTOS POR INACTIVIDAD

En términos económicos, la determinación de la criticidad de un proceso, actividad o recurso,

responde a la pregunta de cuánto perdería la organización si no estuvieran en operación,

información que ayuda a la obtención de los tiempos relacionados con la máxima interrupción que

puede tener una actividad / proceso que puede ser soportado por la organización hasta que las

pérdidas no sean asumibles y el de recuperación objetivo, que establece la urgencia que las

diferentes unidades de negocio precisan para volver a su funcionamiento habitual, asimismo,

también involucra el punto de recuperación objetivo, que se refiere al punto más reciente en el

tiempo en el que los sistemas pueden ser recuperados.

7.2.1. Determinación del Impacto de una Interrupción

En esta sección se va a determinar el impacto que tendría una interrupción en cada uno de

los procesos críticos del negocio. La determinación del impacto de una interrupción se debe

valorar basado en las siguientes categorías:

 Impacto al cliente, en la Tabla 13 se muestran los criterios a considerar en esta

categoría.

Tabla 13 – Valoración del Impacto al Cliente

Escala Valor Criterio

La interrupción puede ocasionar que el nivel de servicio se
Severo 3 vea completamente comprometido, haciendo que
el cliente opte por contratar a otra empresa.
La interrupción puede ocasionar que el nivel de servicio se
Modera 2
vea altamente comprometido.
do
La interrupción puede ocasionar que el nivel de servicio se
Mínimo 1
vea levemente comprometido.

 Impacto Financiero, en la Tabla 14 se muestran los criterios a considerar en esta

categoría.
Tabla 14 – Valoración del Impacto Financiero

Escala Valor Criterio

La interrupción puede ocasionar que se
Severo 3
vean comprometidas las ventas futuras.
La interrupción puede ocasionar que se tengan pérdidas
Modera 2
de ingresos.
do
La interrupción puede ocasionar que se tenga que
Mínimo 1
pagar multas o sanciones por incumplimiento de contrato.

 Impacto Operacional, en la Tabla 15 se muestran los criterios a considerar en

esta categoría.

Tabla 15 – Valoración del Impacto Operacional

Escala Valor Criterio

La interrupción puede ocasionar que no se puedan cumplir
Severo 3
con los plazos establecidos.
La interrupción puede ocasionar que se reduzca el nivel de
Modera 2
servicio ofrecido.
do
La interrupción puede ocasionar que se vea interrumpido el
Mínimo 1
flujo de trabajo de la organización.
 Impacto Reputacional, en la Tabla 16 se muestran los criterios a considerar en

esta categoría.

Tabla 16 – Valoración del Impacto Reputacional

Escala Valor Criterio

La interrupción puede ocasionar que se tenga atención
Severo 3
negativa de los medios de comunicación.
La interrupción puede ocasionar que se pierda la confianza
Modera 2
de los accionistas.
do
La interrupción puede ocasionar que el competidor tome
Mínimo 1
ventaja de la atención negativa que tiene la empresa.
 Tabla 17 – Matriz de impacto de una interrupción en los procesos críticos del negocio

Proceso del Negocio Impacto Total

(Suma de
Al Financiero Operacional Reputacional
impactos)
Cliente
PROCESO DE DIRECCION 1 2 2 2 7
PROCESOS MISIONALES 3 3 3 3 12
PROCESOS DE APOYO 3 3 3 3 12

Los procesos críticos identificados son los siguientes. Proceso misionales y Proceso de apoyo

los cuales requieren intervención prioritaria.

7.2.2. Determinación de los Parámetros de Recuperación

En esta sección se deben especificar el máximo tiempo de inactividad, el tiempo objetivo de

recuperación y el punto objetivo de recuperación de cada uno de los procesos del negocio,

basado en la secuencia cronológica de los acontecimientos perjudiciales y la cantidad de daño

a esperar.

 Tiempo Máximo de Inactividad (MTD, por sus siglas en inglés): representa la cantidad

total de tiempo que un proceso crítico del negocio puede estar inactivo (interrumpido) antes

de que haya efectos perjudiciales para la organización. La determinación de MTD es

importante porque ayuda en la selección de un método de recuperación apropiada, y permite

determinar la profundidad del detalle que se requiere en el desarrollo de los procedimientos de

recuperación.

 Tiempo Objetivo de Recuperación (RTO, por sus siglas en inglés): define la cantidad

máxima de tiempo en el que un recurso debe reanudar su operación antes de que haya un

impacto inaceptable en otros recursos del sistema, procesos del negocio soportados y el

MTD. La determinación del RTO de los recursos del sistema de información es importante

para la selección de las tecnologías que son los más adecuadas para el cumplimiento de los

MTD.
 Puntos Objetivos de Recuperación (RPO, por sus siglas en inglés): representa el punto en

el tiempo a partir del cual se va a iniciar la recuperación de los datos del proceso del negocio

(por ejemplo: una hora antes, un día antes, una semana antes de que se produzca la

interrupción). A diferencia del RTO, RPO no se considera como parte del MTD. Más bien, es

un factor de la cantidad de datos perdidos que el proceso del negocio puede tolerar durante el

proceso de recuperación.

Tabla 18 – Matriz de parámetros de recuperación de los procesos del negocio

Procesos del negocio MTD RTO RPO

PROCESO DE DIRECCION 3 2 48 HORAS

PROCESOS MISIONALES 1 0 2 HORAS

PROCESOS DE APOYO 1 0 2 HORAS

Priorización de Procesos

Dentro los procesos priorizados por ventanas del caribe estrechamente relacionados con el objeto
final de la satisfacción del cliente destacamos tres:

 Corte del aluminio: Proceso por el cual se transforma la materia prima en perfiles acordes a
las necesidades del cliente.

 Transporte del producto: Por medios de transporte terrestre se envían las ventanas o
módulos según la necesidad del solicitante.

 Instalación: Ventanas del caribe cuenta con un grupo de oficiales y ayudantes de instalación
para implementar los sistemas arquitectónicos en vidrio y aluminio, en las diferentes
edificaciones y en el plano residencial.