1

Plan de Gestión de Riesgo para el Proyecto de Contingencia y Recuperación ante Desastres en

Tech Solutions.s.r.l.

Angel Gabriel Gil Rojas 2024-0790

Alexander Sánchez Pérez 2024-0958

Luis David Santana Pérez 2024-1036

Sebastián Galván Pinales 2024-0808

Instituto Tecnológico de Las Américas (ITLA)

TI-501: Introducción a la Gerencia de Proyectos

Virginia Mercedes Rymer Pérez

04 de julio de 2024

ASAD CYBSEC
 2

Índice

Índice ..........................................................................................................................................2
Introducción ................................................................................................................................4
Entradas, Técnicas y Salidas para la Gestión de Riesgos ................................................................5
Entradas ..................................................................................................................................5
1. Propuesta del Proyecto: Accionamiento de un Plan de Contingencia y Recuperación ante
Desastres en Tech Solutions S.R.L. ........................................................................................5
2. Acta del Proyecto ...........................................................................................................5
3. Presupuesto ..................................................................................................................5
4. Gestión de Calidad ........................................................................................................5
5. Gestión de Comunicación ..............................................................................................6
Técnicas...................................................................................................................................6
1. Reuniones de Equipo .....................................................................................................6
2. Levantamiento de Información .......................................................................................6
3. Análisis de Riesgos ........................................................................................................6
4. Brainstorming ................................................................................................................6
5. Talleres y Seminarios .....................................................................................................6
Salidas .....................................................................................................................................7
Plan de Gestión de Riesgos .......................................................................................................7
1. Identificación de Riesgos ...............................................................................................7
2. Evaluación de Riesgos....................................................................................................7
3. Planes de Mitigación ......................................................................................................7
4. Monitoreo y Control de Riesgos ......................................................................................7
Recuadro que resume lo estipulado ..........................................................................................8
Análisis FODA ..............................................................................................................................9
Relación Fortalezas-Oportunidades ..........................................................................................9
Relación Debilidades-Amenazas ..............................................................................................9
Análisis Cualitativo .................................................................................................................... 10
Implementación Técnica de la Solución .................................................................................. 10
1. Evaluación de Riesgos Inicial ........................................................................................ 10
2. Desarrollo de Procedimientos ...................................................................................... 11
3. Implementación de Sistemas de Respaldo y Recuperación ........................................... 11
 3

4. Capacitación del Personal ........................................................................................... 11

5. Pruebas y Mantenimiento ............................................................................................. 11
Análisis Cuantitativo .................................................................................................................. 12
Descripción de Probabilidades e Impactos .............................................................................. 12
1. Ciberataques sofisticados............................................................................................ 12
2. Fallos en los sistemas de respaldo ............................................................................... 12
3. Resistencia al cambio por parte del personal ................................................................ 12
4. Cambios en las normativas de seguridad ...................................................................... 13
5. Desastres naturales ..................................................................................................... 13
6. Dependencia de proveedores de servicios TI ................................................................. 13
7. Incremento en la frecuencia de incidentes.................................................................... 13
Estrategias de Mitigación (Basado en los riesgos identificados) ................................................ 13
1. Ciberataques sofisticados............................................................................................ 13
2. Fallos en los sistemas de respaldo ............................................................................... 13
3. Resistencia al cambio por parte del personal ................................................................ 13
4. Cambios en las normativas de seguridad ...................................................................... 13
5. Desastres naturales ..................................................................................................... 13
6. Dependencia de proveedores de servicios TI ................................................................. 13
7. Incremento en la frecuencia de incidentes.................................................................... 13
Conclusión ................................................................................................................................ 14
 4

Introducción

En el entorno empresarial actual, la seguridad de la información y la capacidad de

recuperación ante desastres son aspectos críticos para la continuidad de las operaciones. La

creciente sofisticación de los ciberataques, junto con la posibilidad de desastres naturales y fallos

tecnológicos, ha incrementado la necesidad de implementar soluciones robustas y efectivas para

la protección de datos y la recuperación ante incidentes.

Tech Solutions S.A., una empresa líder en tecnología, reconoce esta necesidad y ha

decidido establecer un plan de contingencia y recuperación ante desastres. Este proyecto no solo

busca proteger la integridad de la información y asegurar la continuidad del negocio, sino

también reforzar la confianza de sus clientes y socios comerciales.

El presente documento detalla el análisis de riesgos, la implementación técnica y los

beneficios esperados de este plan, proporcionando un marco claro y estructurado para gestionar

eficazmente los desafíos que puedan surgir en el futuro.

 5

Entradas, Técnicas y Salidas para la Gestión de Riesgos

Entradas

Las entradas para la gestión de riesgos son los documentos ya desarrollados para el

proyecto, los cuales proporcionan la información necesaria para identificar y analizar los riesgos.

Estos documentos son:

1. Propuesta del Proyecto: Accionamiento de un Plan de Contingencia y Recuperación

ante Desastres en Tech Solutions S.R.L.

o Detalles del proyecto y sus objetivos

o Alcance del proyecto

o Recursos necesarios

2. Acta del Proyecto

o Objetivos específicos

o Cronograma del proyecto

o Responsabilidades de los miembros del equipo

3. Presupuesto

o Costos estimados para la implementación del plan

o Recursos financieros asignados

4. Gestión de Calidad

o Criterios y estándares de calidad

o Procedimientos para asegurar la calidad

 6

5. Gestión de Comunicación

o Estrategias de comunicación

o Planes y procedimientos de comunicación

Técnicas

Las técnicas utilizadas para la gestión de riesgos incluyen métodos para identificar,

evaluar y mitigar los riesgos asociados con el proyecto. Algunas de estas técnicas son:

1. Reuniones de Equipo
o Frecuencia: Semanales y mensuales

o Objetivo: Identificar y discutir riesgos potenciales, revisar el progreso y ajustar

planes según sea necesario

2. Levantamiento de Información
o Encuestas y entrevistas con miembros del equipo y partes interesadas

o Revisión de documentos y análisis de datos históricos

3. Análisis de Riesgos
o Análisis cualitativo: Evaluación de la probabilidad e impacto de los riesgos

o Análisis cuantitativo: Modelos matemáticos y simulaciones para cuantificar los

riesgos

4. Brainstorming
o Sesiones grupales para identificar riesgos potenciales y desarrollar estrategias de

mitigación

5. Talleres y Seminarios
o Capacitación sobre la identificación y gestión de riesgos

o Simulacros para preparar al equipo para posibles contingencias

 7

Salidas

La única salida del proceso de gestión de riesgos es:

Plan de Gestión de Riesgos

Este incluye:

1. Identificación de Riesgos

o Lista de riesgos identificados

o Descripción detallada de cada riesgo

2. Evaluación de Riesgos

o Matriz de probabilidad e impacto

o Análisis cualitativo y cuantitativo

3. Planes de Mitigación

o Estrategias para reducir la probabilidad y el impacto de los riesgos

o Planes de contingencia

4. Monitoreo y Control de Riesgos

o Procedimientos para el seguimiento de los riesgos

o Mecanismos de control y ajustes necesarios

 8

Recuadro que resume lo estipulado:

Entradas Técnicas Salidas
Propuesta del Proyecto: Reuniones de Equipo Plan de
Accionamiento de un Plan Gestión de
de Contingencia y Riesgos
Recuperación ante
Desastres en Tech
Solutions S.R.L.
Acta del Proyecto Levantamiento de
information
Presupuesto Análisis de Riesgos
Gestión de Calidad Brainstorming
Gestión de Comunicación Talleres y Seminarios
 9

Análisis FODA

Fortalezas Oportunidades
• Experiencia y conocimientos técnicos • Avances tecnológicos para mejorar
del equipo de TI sistemas de respaldo
• Infraestructura tecnológica avanzada • Incremento en la inversión en
ciberseguridad
• Cultura organizacional orientada a la • Colaboraciones con empresas
seguridad especializadas en DRP
• Soporte de la alta dirección para el • Capacitación y desarrollo continuo del
proyecto personal
• Protocolos de seguridad bien • Implementación de nuevas normativas
establecidos de seguridad

Relación Fortalezas-Oportunidades:
Las fortalezas del equipo y la infraestructura tecnológica avanzada permiten aprovechar

oportunidades como la adopción de nuevas tecnologías de respaldo y colaboración con empresas

especializadas. La cultura de seguridad y el apoyo de la alta dirección facilitan la

implementación de normativas y mejoras continuas.

Debilidades: Amenazas:

• Recursos financieros limitados para • Incremento en la sofisticación de los

inversión en tecnologías avanzadas ciberataques
• Falta de experiencia en gestión de • Cambios en las normativas de
desastres seguridad
• Dependencia de un número reducido de • Riesgos de fallos en la cadena de
proveedores de servicios de TI suministro
• Resistencia al cambio por parte del • Aumento en la frecuencia de desastres
personal naturales

Relación Debilidades-Amenazas:

La limitación de recursos financieros y la falta de experiencia en gestión de desastres

aumentan la vulnerabilidad ante ciberataques sofisticados y cambios en normativas. La

dependencia de proveedores y la resistencia al cambio también incrementan los riesgos

relacionados con fallos en la cadena de suministro y desastres naturales.

 10

Análisis Cualitativo

Clasificación de riesgos basada en impacto y probabilidad:

ID Riesgo Impacto Probabilidad Nivel de Estrategia Responsable

Riesgo
R1 Ciberataques Alto Alta Crítico Implementar Equipo de
sofisticados medidas Seguridad TI
avanzadas de
ciberseguridad
R2 Fallos en los Alto Media Alto Realizar Equipo de TI
sistemas de pruebas
respaldo periódicas y
mantenimiento
R3 Resistencia al Medio Alta Alto Programas de Recursos
cambio por capacitación y Humanos
parte del sensibilización
personal
R4 Cambios en Alto Baja Medio Monitoreo y Departamento
las actualización Legal
normativas de constante
seguridad
R5 Desastres Alto Baja Medio Plan de Gerente de
naturales respuesta y Proyecto
recuperación
robusto
R6 Dependencia Medio Media Medio Diversificación Equipo de
de de Compras
proveedores proveedores
de servicios
de TI
R7 Incremento Medio Alta Alto Incremento en Equipo de
en la la frecuencia Seguridad TI
frecuencia de de simulacros
incidentes

Implementación Técnica de la Solución

1. Evaluación de Riesgos Inicial:

o Realizar una evaluación completa de los riesgos potenciales utilizando software

de gestión de riesgos.

o Identificar los puntos críticos y áreas vulnerables.

 11

2. Desarrollo de Procedimientos:

o Crear procedimientos claros y detallados para respuesta y recuperación ante

incidentes.

o Documentar todos los procesos y asegurar que estén accesibles para el personal.

3. Implementación de Sistemas de Respaldo y Recuperación:

o Instalar y configurar soluciones de respaldo automatizado y almacenamiento en la

nube.

o Implementar sistemas de recuperación ante desastres con alta disponibilidad.

4. Capacitación del Personal:

o Organizar programas de capacitación para el personal en gestión de desastres y

recuperación.

o Realizar simulacros periódicos para evaluar la preparación del personal.

5. Pruebas y Mantenimiento:

o Realizar pruebas regulares de los sistemas de respaldo y recuperación.

o Monitorear continuamente la infraestructura y realizar mantenimiento preventivo.

 12

Análisis Cuantitativo

Evaluación numérica de los riesgos para priorización:

ID Amenaza Probabilidad (1-5) Impacto (1-5) Severidad

(Probabilidad x
Impacto) (0-25)
R1 Ciberataques 4 5 20
sofisticados

R2 Fallos en los 4 4 16
sistemas de
respaldo

R3 Resistencia al 3 4 12
cambio por parte del
personal

R4 Cambios en las 2 3 6
normativas de
seguridad

R5 Desastres naturales 3 5 15

R6 Dependencia de 3 3 9
proveedores de
servicios de TI

R7 Incremento en la 4 3 12
frecuencia de
incidentes

Descripción de Probabilidades e Impactos

1. Ciberataques sofisticados: Probabilidad alta (4) e impacto muy alto (5) debido a la

creciente sofisticación de los ataques y las posibles consecuencias severas.

2. Fallos en los sistemas de respaldo: Probabilidad alta (4) e impacto alto (4) debido a la

importancia crítica de los sistemas de respaldo en la continuidad del negocio.

3. Resistencia al cambio por parte del personal: Probabilidad media (3) e impacto alto (4)

debido a la necesidad de aceptación de nuevas políticas y tecnologías.

 13

4. Cambios en las normativas de seguridad: Probabilidad baja (2) e impacto moderado (3)

debido a la necesidad de adaptarse a nuevas regulaciones.

5. Desastres naturales: Probabilidad media (3) e impacto muy alto (5) debido a la

imprevisibilidad y las graves consecuencias de los desastres naturales.

6. Dependencia de proveedores de servicios TI: Probabilidad media (3) e impacto

moderado (3) debido a la dependencia de proveedores externos.

7. Incremento en la frecuencia de incidentes: Probabilidad alta (4) e impacto moderado (3)

debido a la mayor frecuencia de incidentes que afectan la operación diaria.

Estrategias de Mitigación (Basado en los riesgos identificados)

1. Ciberataques sofisticados: Implementar medidas avanzadas de ciberseguridad.

2. Fallos en los sistemas de respaldo: Realizar pruebas periódicas y mantenimiento.

3. Resistencia al cambio por parte del personal: Programas de capacitación y

sensibilización.

4. Cambios en las normativas de seguridad: Monitoreo y actualización constante.

5. Desastres naturales: Plan de respuesta y recuperación robusto.

6. Dependencia de proveedores de servicios TI: Diversificación de proveedores.

7. Incremento en la frecuencia de incidentes: Incremento en la frecuencia de simulacros.

 14

Conclusión

La implementación de un plan de contingencia y recuperación ante desastres en Tech

Solutions S.A. es fundamental para asegurar la continuidad de las operaciones y la protección de

datos críticos. Un plan de comunicación efectivo y una gestión de riesgos adecuada son esenciales

para garantizar el éxito del proyecto. A través de la evaluación de riesgos, el desarrollo de

procedimientos detallados, la implementación de soluciones tecnológicas y la capacitación del

personal, Tech Solutions S.A. estará mejor preparada para enfrentar cualquier incidente y

mantener la confianza de sus clientes y socios comerciales.