Crear cuenta gratis
Crear cuenta gratis
Crear cuenta gratis
Escuela de Gestión de Riesgos

Cómo hacer un análisis de escenarios y planificación de contingencias

Por Escuela de Gestión de Riesgos el 6 de junio de 2025


En esta sesión Natalia Martinez, experta en gestión de riesgos, nos enseña cómo hacer un análisis del entorno, cómo planificar la contingencia, nos muestra la alta dirección como pieza clave, la relación directa con continuidad del negocio y toma de decisiones estratégicas. Además nos explica algunos escenarios.

Crear cuenta gratis

Análisis del entorno

En un entorno empresarial cada vez más incierto, anticiparse es una ventaja competitiva, el análisis de escenarios nos permite visualizar distintos futuros posibles —desde los más favorables hasta los más críticos—, mientras que la planificación de contingencias nos prepara para actuar de forma rápida y efectiva ante eventos inesperados, este enfoque nos permite plantear escenarios que si bien no son pesimistas si nos ayudan a ver los negocios con otra visión.

Tener la posibilidad de plantear los escenarios basado en riesgos, se convierte y una herramienta estratégica porque:

  • Prioriza lo que realmente podría afectar la continuidad del negocio.
  • Orienta decisiones clave de inversión, operación y gestión.
  • Fortalece la resiliencia organizacional.

Planificación de contingencias y controles

La planificación de contingencias consiste en definir con anticipación las acciones, recursos y responsables que se deben activar si ocurre un evento inesperado que amenaza la operación del negocio.

Es el "plan B" estructurado que se pone en marcha cuando un riesgo se materializa.
Incluye protocolos, listas de contactos clave, procedimientos alternativos y recursos mínimos para continuar operando. Su objetivo principal: minimizar interrupciones, daños y tiempos de recuperación.

  • Identificar los procesos críticos de la compañía
  • Definir los riesgos que pondrían detener la ejecución del proceso o el negocio
  • Define los escenarios leve - horas, moderado- días  y crítico detenida la operación
  • Diseñar planes de contingencia - Acciones inmediatas

La alta dirección como pieza clave

Costos

Directos

  • Parálisis de operaciones = pérdida de ingresos diarios
  • Penalidades por incumplimiento con clientes.
  • Salarios pagados mientras el equipo no puede operar
  • Costos por servicios de emergencia, recuperación de datos, consultores externos.

Indirectos

  • Daño reputacional: Pérdida de confianza de clientes o inversionistas.
  • Tiempo de recuperación: la competencia sigue operando tu estas tratando de restaurar el servicio, dejas de percibir ingresos por el evento
  • Fuga de talento: Los colaboradores perciben debilidad en la gestión.
  • Aumento de primas de seguros o sanciones regulatorias.

Relación directa de la continuidad del negocio

El Plan de Continuidad es el mapa estratégico para seguir funcionando ante una crisis. La planificación de contingencias es el kit de herramientas que usamos cuando el camino se bloquea.

Maximiza el retorno sobre las inversiones en gestión de riesgos y continuidad

  • Un evento disruptivo pone a prueba todos los controles, protocolos y capacidades.
  • Evaluar la efectividad de la respuesta permite saber si lo invertido en planes, sistemas y entrenamientos fue adecuado.
  • Transforma experiencias negativas en valor organizacional
  • Cada crisis deja aprendizajes: técnicos, operativos y humanos.
  • Estos se documentan y se traducen en nuevas políticas, mejores procesos, más capacitación y tecnología más robusta.
  • Refuerza la cultura de preparación y resiliencia
  • La organización desarrolla una mentalidad preventiva, no reactiva.
  • Mejora la respuesta transversal (no solo del área afectada, sino de toda la empresa)

Plan de Continuidad del Negocio (Recuperación Estratégica)

Elemento Ejemplo en este caso
Análisis de impacto (BIA) Identificación de procesos afectados: ventas, pagos, etc.
Solución de continuidad Activación de centro de respaldo en la nube
Tiempo objetivo de recuperación (RTO) Restablecer operaciones críticas en 24 horas
Comunicación externa Comunicación oficial a clientes y reguladores
Evaluación post-evento Revisión de fallos y mejora de controles

 

Planificación de Contingencias (Acciones Inmediatas)

Elemento Ejemplo en este caso
Activación del plan Se detecta el ataque → se activa el protocolo de contingencia.
Comunicación inmediata Se informa al comité de crisis y se comunica al personal.
Aislamiento de sistemas Desconexión de la red afectada para evitar propagación.
Recursos de emergencia Uso de sistemas alternos de correo y respaldo.

 

Escenario 1

  • Ciberataque a un activo no identificado como crítico, Empresa: Plataforma digital de servicios financieros pepa finanzas 
  • Riesgo materializado: Ataque de ransomware a un servidor “no crítico”
  • Contexto: La organización fue víctima de un ataque de ransomware dirigido a un servidor inicialmente clasificado como “no crítico”. Este servidor soportaba un sistema automatizado de aprobación de créditos. Su paralización afectó seriamente la operación, evidenciando una subestimación de su criticidad.
  • Que hicimos: Aplicación del plan de contingencias (respuesta inmediata
  • Se activó el Comité de Crisis ante la alerta de interrupción.
  • Se aisló el servidor comprometido para evitar la propagación del malware.
  • Se habilitaron canales alternativos y procesos manuales para continuar con la operación básica.
  • Se comunicó de forma interna la afectación a las áreas involucradas.
  • Se documentaron las acciones y tiempos de respuesta para análisis posterior.

📌 Limitación clave detectada: El servidor afectado no estaba contemplado en los protocolos de contingencia, lo que provocó una reacción inicial desordena.

  • Aplicación del Plan de Continuidad del Negocio (Recuperación Estratégica)
  • Objetivo: restablecer procesos críticos, mitigar impactos reputacionales y financieros, y asegurar la continuidad operativa.
  • Se revaluó de urgencia el Análisis de Impacto al Negocio (BIA) y se reclasificar el activo como crítico.
  • Se activaron sistemas auxiliares y manuales para reanudar parcialmente la operación.
  • Se implementó un canal de comunicación con clientes para informar sobre la contingencia.
  • Se contrató soporte especializado en ciberseguridad para recuperación forense.
  • Se actualizó el BCP con base en las lecciones aprendidas.

📌 Resultado clave: La operación fue restablecida progresivamente en 36 horas, pero se evidenció la necesidad de mejorar el mapeo de activos y dependencias operativas.

Complementa tu conocimiento 👇

Nueva llamada a la acción
Temas: Software de gestion de riesgos Gestion de riesgos
Nueva llamada a la acción
Clase previa
← Cómo automatizar el monitoreo de transacciones sospechosas
Cómo evaluar riesgos dentro del marco de la ISO 22301
como-evaluar-riesgos-dentro-del-marco-de-la-iso-22301
Gestion de riesgos

Cómo evaluar riesgos dentro del marco de la ISO 22301

25 de marzo de 2025
Cómo promover la evaluación de riesgos en la empresa
como-promover-la-evaluacion-de-riesgos-en-la-empresa
Gestion de riesgos

Cómo promover la evaluación de riesgos en la empresa

25 de noviembre de 2024
Etapas para efectuar el recorrido de procesos críticos
etapas-para-efectuar-el-recorrido-de-procesos-criticos
Gestion de riesgos

Etapas para efectuar el recorrido de procesos críticos

2 de diciembre de 2024

No hay comentarios

Díganos lo que piensa