Volver al Dashboard
Factores Externos

R-09

Caída o incidente del proveedor (M365 / Sabre / Turismatica / TMA)

4

Severidad
Evaluación Detallada
Acción Prioritaria / Recomendada
Inventario de proveedores críticos, definición de SLA mínimos y procedimiento de contingencia operativa.
Activos Críticos en Riesgo
Tecnología (Plataformas SaaS), Procesos (Reservas/Facturación) y Datos (Almacenados en la nube).
Controles Existentes
Soporte estándar del proveedor, comunicaciones de estado del servicio y contratos comerciales básicos.
Costos de Oportunidad
Pérdida de clientes que migran a competidores con sistemas activos durante la caída del proveedor de Neptuno.
Descripción de la Amenaza
Indisponibilidad de servicios esenciales debido a fallas técnicas, ataques cibernéticos o problemas operativos del proveedor externo.
Dimensión de Seguridad
Disponibilidad y Confidencialidad: El riesgo principal es la detención operativa y la posible exposición de datos en manos del tercero.
Disparador (Trigger)
Notificación de "Service Outage" por el proveedor o imposibilidad de acceso por más de 30 minutos.
Estrategia de Tratamiento
Mitigar/Aceptar: Establecer planes B operativos y exigir mayores garantías contractuales a los terceros.
Evidencias de Control
Listado de proveedores críticos con contactos de soporte y acta de revisión anual de servicios.
Identificación del Riesgo
EXT-09: Interrupción del servicio cloud o incidente de seguridad en la infraestructura de un tercero crítico .
Impacto Financiero (Ventas)
Pérdida de facturación por cada hora de inactividad de las plataformas de reserva y emisión.
Impacto Reputacional
Quejas de clientes por interrupción del servicio y caída de la confianza en la capacidad de respuesta de la agencia.
Impacto en Continuidad
Detención de la operación (reservas, facturación y comunicación) hasta la restauración del servicio por el tercero.
Impacto en Cumplimiento
Incapacidad de presentar evidencias ante auditorías de clientes estratégicos debido a fallas del proveedor.
Impacto en Datos
Pérdida temporal de acceso a información crítica y riesgo de integridad si el incidente del proveedor es un ciberataque.
Mecanismos de Mitigación
Administrativo: Listado de contactos de soporte y escalamiento. Operativo: Procedimiento de trabajo manual temporal .
Métrica de Seguimiento (KPI)
Tiempo de respuesta del soporte del proveedor y porcentaje de disponibilidad anual (Uptime) reportado.
Plazo de Ejecución
Ventana de implementación definida entre 30 y 60 días.
Responsables (Owners)
Dirección (Gestión contractual), Administración (Evidencias) y Proveedor IT (Técnico).
Riesgo Material (Cuantificar)
Costos por compensaciones a clientes y posibles multas contractuales por incumplimiento de servicios.
Severidad (Exposición)
Riesgo MODERADO (3): Requiere medidas preventivas y seguimiento regular.
Vulnerabilidades Detectadas
Dependencia del 100% de terceros, ausencia de SLA formales documentados y desconocimiento de planes de recuperación del proveedor.