En esta sesión Natalia Martinez, experta en gestión de riesgos, nos enseña cómo hacer un análisis del entorno, cómo planificar la contingencia, nos muestra la alta dirección como pieza clave, la relación directa con continuidad del negocio y toma de decisiones estratégicas. Además nos explica algunos escenarios.
Análisis del entorno
En un entorno empresarial cada vez más incierto, anticiparse es una ventaja competitiva, el análisis de escenarios nos permite visualizar distintos futuros posibles —desde los más favorables hasta los más críticos—, mientras que la planificación de contingencias nos prepara para actuar de forma rápida y efectiva ante eventos inesperados, este enfoque nos permite plantear escenarios que si bien no son pesimistas si nos ayudan a ver los negocios con otra visión.
Tener la posibilidad de plantear los escenarios basado en riesgos, se convierte y una herramienta estratégica porque:
- Prioriza lo que realmente podría afectar la continuidad del negocio.
- Orienta decisiones clave de inversión, operación y gestión.
- Fortalece la resiliencia organizacional.
Planificación de contingencias y controles
La planificación de contingencias consiste en definir con anticipación las acciones, recursos y responsables que se deben activar si ocurre un evento inesperado que amenaza la operación del negocio.
Es el "plan B" estructurado que se pone en marcha cuando un riesgo se materializa.
Incluye protocolos, listas de contactos clave, procedimientos alternativos y recursos mínimos para continuar operando. Su objetivo principal: minimizar interrupciones, daños y tiempos de recuperación.
- Identificar los procesos críticos de la compañía
- Definir los riesgos que pondrían detener la ejecución del proceso o el negocio
- Define los escenarios leve - horas, moderado- días y crítico detenida la operación
- Diseñar planes de contingencia - Acciones inmediatas
La alta dirección como pieza clave
Costos
Directos
- Parálisis de operaciones = pérdida de ingresos diarios
- Penalidades por incumplimiento con clientes.
- Salarios pagados mientras el equipo no puede operar
- Costos por servicios de emergencia, recuperación de datos, consultores externos.
Indirectos
- Daño reputacional: Pérdida de confianza de clientes o inversionistas.
- Tiempo de recuperación: la competencia sigue operando tu estas tratando de restaurar el servicio, dejas de percibir ingresos por el evento
- Fuga de talento: Los colaboradores perciben debilidad en la gestión.
- Aumento de primas de seguros o sanciones regulatorias.
Relación directa de la continuidad del negocio
El Plan de Continuidad es el mapa estratégico para seguir funcionando ante una crisis. La planificación de contingencias es el kit de herramientas que usamos cuando el camino se bloquea.
Maximiza el retorno sobre las inversiones en gestión de riesgos y continuidad
- Un evento disruptivo pone a prueba todos los controles, protocolos y capacidades.
- Evaluar la efectividad de la respuesta permite saber si lo invertido en planes, sistemas y entrenamientos fue adecuado.
- Transforma experiencias negativas en valor organizacional
- Cada crisis deja aprendizajes: técnicos, operativos y humanos.
- Estos se documentan y se traducen en nuevas políticas, mejores procesos, más capacitación y tecnología más robusta.
- Refuerza la cultura de preparación y resiliencia
- La organización desarrolla una mentalidad preventiva, no reactiva.
- Mejora la respuesta transversal (no solo del área afectada, sino de toda la empresa)
Plan de Continuidad del Negocio (Recuperación Estratégica)
| Elemento |
Ejemplo en este caso |
| Análisis de impacto (BIA) |
Identificación de procesos afectados: ventas, pagos, etc. |
| Solución de continuidad |
Activación de centro de respaldo en la nube |
| Tiempo objetivo de recuperación (RTO) |
Restablecer operaciones críticas en 24 horas |
| Comunicación externa |
Comunicación oficial a clientes y reguladores |
| Evaluación post-evento |
Revisión de fallos y mejora de controles |
Planificación de Contingencias (Acciones Inmediatas)
| Elemento |
Ejemplo en este caso |
| Activación del plan |
Se detecta el ataque → se activa el protocolo de contingencia. |
| Comunicación inmediata |
Se informa al comité de crisis y se comunica al personal. |
| Aislamiento de sistemas |
Desconexión de la red afectada para evitar propagación. |
| Recursos de emergencia |
Uso de sistemas alternos de correo y respaldo. |
Escenario 1
- Ciberataque a un activo no identificado como crítico, Empresa: Plataforma digital de servicios financieros pepa finanzas
- Riesgo materializado: Ataque de ransomware a un servidor “no crítico”
- Contexto: La organización fue víctima de un ataque de ransomware dirigido a un servidor inicialmente clasificado como “no crítico”. Este servidor soportaba un sistema automatizado de aprobación de créditos. Su paralización afectó seriamente la operación, evidenciando una subestimación de su criticidad.
- Que hicimos: Aplicación del plan de contingencias (respuesta inmediata
- Se activó el Comité de Crisis ante la alerta de interrupción.
- Se aisló el servidor comprometido para evitar la propagación del malware.
- Se habilitaron canales alternativos y procesos manuales para continuar con la operación básica.
- Se comunicó de forma interna la afectación a las áreas involucradas.
- Se documentaron las acciones y tiempos de respuesta para análisis posterior.
📌 Limitación clave detectada: El servidor afectado no estaba contemplado en los protocolos de contingencia, lo que provocó una reacción inicial desordena.
- Aplicación del Plan de Continuidad del Negocio (Recuperación Estratégica)
- Objetivo: restablecer procesos críticos, mitigar impactos reputacionales y financieros, y asegurar la continuidad operativa.
- Se revaluó de urgencia el Análisis de Impacto al Negocio (BIA) y se reclasificar el activo como crítico.
- Se activaron sistemas auxiliares y manuales para reanudar parcialmente la operación.
- Se implementó un canal de comunicación con clientes para informar sobre la contingencia.
- Se contrató soporte especializado en ciberseguridad para recuperación forense.
- Se actualizó el BCP con base en las lecciones aprendidas.
📌 Resultado clave: La operación fue restablecida progresivamente en 36 horas, pero se evidenció la necesidad de mejorar el mapeo de activos y dependencias operativas.
Complementa tu conocimiento 👇