Administracin de Riesgos

Definiciones:

ECONOMIA DE SOFTWARE
Universidad Tecnolgica del Per

Sesin 7
METODOLOGIAS DE LA TECNOLOGIA DE INFORMACION. ENFOQUE BASADO EN RIESGOS
Expositor: Ing. Martn Blas Rivera, MA
mblas@esan.org.pe

Herramienta gerencial que apoya la toma de decisiones organizacionales facilitando con ello el cumplimiento de los objetivos del negocio. Proceso iterativo basado en el conocimiento, valoracin, tratamiento y monitoreo de los riesgos y sus impactos en el negocio
Ing. Martn Blas Rivera, MA

Expositor: Ing. Martn Blas Rivera, MA

mblas@esan.org.pe

Ing. Martn Blas Rivera, MA

Ing. Martn Blas Rivera, MA

Riesgo
Definiciones:
Naturales CLASIFICACIN

Amenazas
TIPO DE AMENAZA Pandemia y epidemias en general Terremoto Aniego e Inundaciones Incendio Disturbios sociales y/o manifestaciones Atentado terrorista Secuestro de Funcionarios Toma de local con rehenes Dao en la Reputacin Ocasionadas por el hombre Sanciones del Regulador Accidente o muerte de Direc. Falla Proveedor Clave Sabotaje Asalto y robo Huelga Interna Falla en la seguridad TI Falla Red Comunicaciones Tecnolgicas Falla Servicio Elctrico Falla Suministro Agua
5 4 3 2 1 #

Tabla de Probabilidades
Valor Frecuencia de Ocurrencia Improbable Se present menos de una vez cada 25 aos

Es la probabilidad o posibilidad de que un acontecimiento indeseado ocurra o una accin no deseada (eventos negativos) se realice de modo que afecte negativamente a la organizacin, a sus activos y/o la consecucin de sus fines, objetivos y resultado
Hoy en da se habla tambin de: - eventos positivos que podran afectar los objetivos - Riesgo Absoluto, es el nivel de riesgo en el que se considera el riesgo
inherente sin ningn control. - Riesgo Controlado, es el nivel de riesgo que incluye los controles actuales. - Riesgo Residual, es el nivel de riesgo considerando los nuevos controles. Rivera, MA Ing. Martn Blas

No Frecuente

Se present al menos una vez cada 25 aos

Moderada

Se present ms de una vez cada 10 aos en 50 aos

Frecuente

Se present ms de una vez cada 5 aos en 25 aos

Muy Frecuente

Se present ms de una vez cada ao en 5 aos

Ing. Martn Blas Rivera, MA

Ing. Martn Blas Rivera, MA

Tabla de Impatcos
Valor Valor Prdida Operativa

Matriz de Riesgos
IMPACTO

Donde
Mayor (4) Catastrfico (5)

PROBABILIDAD
1 No significativo Tiene un efecto nulo o muy pequeo en la operacin de las reas de la sede

No Significativo (1)

Menor (2)

Moderado (3)

RIESGO
Muy Frecuente (5) Moderado Alto Alto Extremo Extremo

DESCRIPCIN

Menor

Afecta hasta 4 horas la operacin de las reas de la sede

Frecuente (4) Moderado Moderado Alto Extremo Extremo

Extremo

Riesgo no deseable, se requiere accin correctiva inmediata

Moderado

Afecta hasta 24 horas la operacin de las reas de la sede

Moderado (3) Bajo Moderado Alto Alto Extremo

Alto

Riesgo no deseable que requiere de una accin correctiva, pero se permite alguna discrecin de la gerencia sobre los plazos y compromisos

Mayor

Afecta hasta 48 horas la operacin de las reas de la sede

No frecuente (2) Bajo Bajo Moderado Moderado Alto

Moderado

Riesgo aceptable con revisin de la gerencia

Catastrfico

Afecta por ms de una semana la operacin de las reas de la sede

Improbable (1) Bajo Bajo Bajo Moderado Moderado

Bajo

Riesgo aceptable sin revisin

Ing. Martn Blas Rivera, MA

Ing. Martn Blas Rivera, MA

Ing. Martn Blas Rivera, MA

Beneficios
Mejor aprovechamiento de oportunidades Fortalecimiento de la cultura de autocontrol Mayor estabilidad ante cambios del entorno Los anlisis costo - beneficio son ms justificados Genera informacin para saber a qu se le deben asignar ms recursos y ayuda a establecer prioridades

Antecendentes Anlisis de Riesgos

Matriz de Riesgos vs. Controles Valoracin de Riesgos (A,M,B Indicadores)
Alineacin implcita con objetivos del negocio Uso no generalizado Uso de mltiples tcnicas Uso discontinuo de las tcnicas Documentacin no estndar o inexistente Poco nfasis en priorizacin Bajo seguimiento a compromisos Subjetividad

Mejores Prcticas
Anlisis de Riesgos Administracin de Riesgos

Alineacin explcita con objetivos del negocio Uso generalizado de la tcnica Uso continuo de la tcnica Documentacin estndar nfasis en la priorizacin Seguimiento a Planes de Mejoramiento
Ing. Martn Blas Rivera, MA

Ing. Martn Blas Rivera, MA

Ing. Martn Blas Rivera, MA

Proceso de Administracin de Riesgos

1. Establecer Marco General
Definir la relacin entre la organizacin y el ambiente en el cual sta opera - Anlisis Externo

Proceso de Administracin de Riesgos

1. Establecer Marco General

Proceso de Administracin de Riesgos

1. Establecer Marco General

2. Identificar Riesgos

3. Anlisis de Riesgos

- Aspectos financieros, operacionales, competitivos, polticos (percepcin / imagen), sociales, clientes, culturales y legales - Interesados (Organizacin, propietarios, personal, clientes, proveedores, comunidad local y sociedad)

2. Identificar Riesgos Monitorear y Revisar

-Cmo y porqu puede ocurrir?

2. Identificar Riesgos Monitorear y Revisar Monitorear y Revisar

-Valorar el Riesgo inherente -Determinar controles existentes 4. Evaluar y Priorizar Riesgos -Identificar el nivel de exposicin

3. Anlisis de Riesgos

3. Anlisis de Riesgos

4. Evaluar y Priorizar Riesgos

-Identificacin de causas y escenarios significativos 4. Evaluar y Priorizar Riesgos -Causa = Medios, circunstancias y agentes 5. Tratamiento del Riesgo que pueden contribuir a la ocurrencia de un Ing. Martn Blas Rivera, MA evento especfico

5. Tratamiento del Riesgo

Ing. Martn Blas Rivera, MA

5. Tratamiento del Riesgo

Ing. Martn Blas Rivera, MA

Proceso de Administracin de Riesgos

1. Establecer Marco General

Opciones de Tratamiento
Valorar prioridades de riesgo VALORAR Y PRIORIZAR RIESGOS IDENTIFICAR OPCIONES DE TRATAMIENTO Riesgo Aceptable? Riesgo residual no aceptable Reducir probabilidad NO Transferir total o parcialmente Evitar SI Aceptar

Reducir consecuencia

2. Identificar Riesgos Monitorear y Revisar

EVALUAR OPCIONES DE TRATAMIENTO

Sesin 7
Monitorear y Revisar

Considerar factibilidad, costos y beneficios, y niveles de riesgo Recomendar estrategias de tratamiento Seleccionar estrategia de tratamiento PREPARAR PLANES DE TRATAMIENTO

3. Anlisis de Riesgos

4. Evaluar y Priorizar Riesgos

Preparar planes de tratamiento para reducir, transferir o evitar el riesgo, financiando cuando sea apropiado Reducir probabilidad Reducir consecuencia Porcin retenida NO Riesgo residual aceptable? SI Retener Transferir total o parcialmente Evitar Porcin transferida

VULNERABILIDAD DE LOS SISTEMAS

Expositor: Ing. Martn Blas Rivera, MA
mblas@esan.org.pe

5. Tratamiento del Riesgo

Ing. Martn Blas Rivera, MA

IMPLEMENTAR PLANES DE TRATAMIENTO

Ing. Martn Blas Rivera, MA

Ing. Martn Blas Rivera, MA

Vulnerabilidad de los Sistemas

Vulnerabilidad de los Sistemas

Vulnerabilidad de los Sistemas

Riesgo

Concepto de Vulnerable Poder ser herido o recibir lesin, fsica o moralmente

(Diccionario de la Real Academia Espaola)

Estar propenso a o ser susceptible de sufrir dao o perjuicio

Vulnerabilidad de un sistema Punto o aspecto del sistema susceptible de ser atacado o de seguridad del mismo. Representan las debilidades o falibles o atacables en el informtico

que es daar la aspectos sistema

Es la probabilidad o posibilidad de que un acontecimiento indeseado ocurra o una accin no deseada se realice de modo que afecte negativamente a la organizacin, a sus activos y/o la consecucin de sus fines, objetivos y resultado

Ing. Martn Blas Rivera, MA

19

Ing. Martn Blas Rivera, MA

20

Ing. Martn Blas Rivera, MA

21

Vulnerabilidad de los Sistemas

Area Crtica de Riesgo
El Area Crtica de Riesgo es aqulla en (o para) la cual no existen los controles clave imprescindibles para que el sistema de CONTROL Interno resulte efectivo (eficaz y eficiente)

Vulnerabilidad de los Sistemas

Vulnerabilidad de los Sistemas

Vulnerabilidad fsica
Se encuentra en el nivel del edificio o entorno fsico del sistema Se relaciona con la posibilidad de entrar o acceder fsicamente al sistema para robar, modificar o destruir el mismo

Vulnerabilidad natural
Se refiere al grado en que el sistema puede verse afectado por desastres naturales o ambientales que pueden daar el sistema, tales como: fuego, inundaciones, rayos, terremotos o, quizs ms comnmente, fallas elctricas o picos de tensin Tambin el polvo, la humedad o la temperatura excesiva son aspectos a tener en cuenta
23 24

Ing. Martn Blas Rivera, MA

22

Ing. Martn Blas Rivera, MA

Ing. Martn Blas Rivera, MA

5. Vulnerabilidad de los Sistemas

Vulnerabilidad de los Sistemas

Vulnerabilidad de los Sistemas

Vulnerabilidad de las comunicaciones
La conexin de las computadoras a redes aumenta enormemente la escala del riesgo a que est sometido, al aumentar la cantidad de personas que pueden tener acceso al mismo o intentar tenerlo Surge el riesgo de intercepcin de las comunicaciones ya que, gracias a las comunicaciones, se puede:
penetrar al sistema a travs de la red en forma remota interceptar informacin que es transmitida desde o hacia el sistema

Vulnerabilidad del hardware y del software

Ciertos tipos de dispositivos pueden ser ms vulnerables que otros Ciertos sistemas requieren la posesin de algn tipo de elemento para poder acceder a los mismos Ciertos fallos o debilidades del software facilitan el acceso a la informacin y lo hacen menos fiable (ejemplo: bugs)

Vulnerabilidad de los medios o dispositivos

Se refiere a la posibilidad de robar o daar los discos, cintas, listados de impresora, etc.

Vulnerabilidad por irradiacin o emisin

Existen dispositivos y medios de interceptar las emisiones electromagnticas y descifrar o reconstruir la informacin almacenada o transmitida

Ing. Martn Blas Rivera, MA

25

Ing. Martn Blas Rivera, MA

26

Ing. Martn Blas Rivera, MA

27

Vulnerabilidad de los Sistemas

Vulnerabilidad humana
Las personas que administran y utilizan el sistema representan la mayor vulnerabilidad del mismo Toda la seguridad del sistema descansa sobre su administrador, quien tiene acceso irrestricto al mismo Los usuarios del sistema tambin suponen un gran riesgo para el sistema, ya que pueden acceder al mismo tanto en forma local como mediante conexin remota La mayora de los estudios demuestra que ms del 50% de los problemas de seguridad detectados en los sistemas son debidos a sus propios usuarios
mblas@esan.org.pe

Economia de Software

Gracias por su atencin

Expositor: Ing. Martn Blas Rivera, MA

Ing. Martn Blas Rivera, MA

28

Ing. Martn Blas Rivera, MA