Los escenarios son situaciones de amenazas que pueden afectar a distintas partes de nuestros procesos. Nos interesa su estudio porque nos permite sistematizar todo el trabajo de defensa de nuestros procesos y de gestión de crisis.

Retomamos todo el trabajo realizado según PCN 1.2.2. Gravedad estimada y PCN 1.2.3. Probabilidad de ocurrencia en lo que supone de calificación de las distintas amenazas o fuentes de riesgo.

En el punto anterior a los mencionados, PCN 1.2.1 Riesgos, mencionábamos ejemplos de las posibles amenazas o fuentes de riesgo que nos han servido de base en la descripción:

• Personal
  • Pandemia
  • Huelga
• Suministros e instalaciones
  • Materiales
  • Energía
  • Locales
• Ciberataques
  • Fishing
  • Denegación de servicio
• Cuellos de botella
  • Diseño
  • Problemas de calidad
• etc.

Lo que consideramos anteriormente como posibles fuentes de riesgo, los orígenes de las amenazas, aplicadas a los puntos que consideramos debilidades son lo que llamamos escenarios. Por ejemplo un escenario sería la falta de suministros clave de nuestros procesos, sin los cuales tenemos que detener la actividad, como puede ser la falta de suministro eléctrico, que nos obliga a tener los ordenadores parados.

Por extensión, como la lista de posibles amenazas para nuestros procesos ya la elaboramos pensando en nuestra situación en particular, esa misma lista o inventario nos servirá de lista de posibles escenarios.

Veamos ahora una manera de clasificar los riesgos de distintos escenarios por gravedad y probabilidad: Ya habíamos anunciado que los riesgos podíamos clasificarlos en función de la estimación de su gravedad y de la estimación de su probailidad de ocurrencia. En el cuadro que veremos a continuación hacemos una lista de tres niveles de Gravedad (en tres filas) y tres niveles de Probabilidad (en tres columnas). En cada casilla correspondiente a cada nivel de Gravedad y cada nivel de Probabilidad multiplicamos sus respectivos valores de Gravedad por Probabilidad. El resultado son nueve niveles de Escala de Riesgo (del 1 al 9, aunque falten el 5, el 7 y el 8), que van del 1 al 9, que por motivos mnemotécnicos podemos asimilar a la Escala de Richter de los terremotos.

Podemos incluso definir (arbitrariamente), ahora que tenemos un valor único para los riesgos considerados, que

• Riesgo bajo = niveles 1 y 2 (en la tabla tonos de verde)
• Riesgo medio y alto = niveles 3 y 4 (en la tabla tonos de amarillo)
• Riesgo crítico = niveles de 5 para arriba (en la tabla tonos de naranja y rojo)

Este mapa de calor que hemos construido nos lo encontraremos frecuentemente en la literatura del tema y ayuda a visualizar rápida e intuitivamente dónde está el problema.

Ahora podemos completar nuestro catálogo de escenarios con los valores de los riesgos que tienen asociados en este cuadro, asignando a cada uno de los escenarios de riesgo el valor resultante del producto de su gravedad por su probabilidad. Ejemplo de Tabla de Escenarios detallados y su escala de riesgos resultante. Esta sería una primera valoración inicial. Los datos consignados son no exhaustivos, totalmente imaginarios y solo sirven para explicar los contenidos:

Puede que no parezca gran cosa, pero hemos definido una escala de escenarios calificados según valores numéricos de sus riesgos y ya se ve a simple vista, cuáles deberán ser las prioridades de actuación, a fin de controlar la situación.

En este ejemplo, tenemos la calificación más alta para los riesgos de ciberataque (6 en nuestra particular escala de riesgos –si fuera un terremoto de nivel 6 podría producir daños notables en las infraestructuras–) y luego viene la clasificación de riesgos que afectan al personal clave (4 en la misma escala –que es grave, pero no tanto–).

Tomo para el valor de la escala de riesgo de un conjunto de escenarios como el más alto entre todos sus elementos. Por ejemplo para ‘PERSONAL’ 4 (alto) tomo la escala de ‘Pandemia’ 4, no la de ‘Huelga’ 2, o para ‘CIBERATAQUES’ 6 (crítico) la de ‘Denegación de servicio’ que afecta a los servidores de toda la compañía, no la de ‘Fishing’ 4 que casi seguro afecta a cuentas personales individuales de los empleados).

En un próximo punto PCN 1.3.1. Estrategias, como parte de las Fortalezas de nuestro sistema de gestión, empezaremos, por fin, a entrar en acción, después de todos los análisis que hemos realizado hasta aquí.

Índice

Ver el índice completo de la obra (y su estado de realización) en el siguiente enlace: PCN 0. La Continuidad de Negocio: propuesta de estudio

Este es el mapa general del libro:

—————

DISCLAIMER.- Los enlaces a otras web o páginas de empresas, entidades o particulares, se incluyen exclusivamente para facilitar la búsqueda y comprensión de conceptos importantes del texto, sin que exista ninguna relación de dependencia o suponga una aprobación de dichas fuentes.