ppt riesgos.pdf
-
Upload
hellen-villanueva -
Category
Documents
-
view
268 -
download
7
Transcript of ppt riesgos.pdf
-
Gestin de Riesgos
-
Que debo proteger y de que me debo de proteger?
Esto es un riesgo o es una amenaza?
Como nos preparamos para eventos no deseados?
Como minimizamos el impacto si el evento se
materializa?
Cual es el nivel de riego que estamos dispuestos a
aceptar ?
A que aplicamos los controles? A la vulnerabilidad, a
la amenaza, a ambos.
-
Marcos de Referencia
ISO/DIS 31000
IEC/DIS 31010
BS 31100
ISO/IEC 27005
ITGI- Risk IT Framework
Basilea II
Octave
NIST SP 800-30
AS/NZ 4360
Magerit
BS 7799-3
Microsoft SRMG
CRAM
M_o_R
http://www.economiapersonal.com.ar/wp-content/uploads/2009/07/risk-management-02.jpg -
Gestin del Riesgo
El Riesgo es la probabilidad de que un incidente o transaccin ocasione
prdidas financieras o daos patrimoniales a la organizacin, su personal,
sus activos o su reputacin en general obstaculizando el logro de los
objetivos estratgicos, operativos y financieros de la organizacin.
Aplicacin sistemtica de controles
Administrativos
Tcnicos
Fsicos
que permita minimizar el riesgo a un nivel aceptable.
La Gestin del Riesgo es una funcin fundamental y vital de la
Seguridad de Informacin
-
El Riesgo es una caracterstica de
la vida del negocio y debido a que
resulta imprctico y poco
econmico eliminar los riesgos,
cada organizacin tiene un nivel
de Riesgo Aceptable
-
Para la aceptacin definitiva de los riesgos la organizacin
debe tener en cuenta:
La poltica organizacional
Sensibilidad y criticidad de los activos involucrados
Niveles aceptables de los posibles impactos
Rentabilidad de la implementacin
Apetito del riesgo
Riesgo Aceptable
-
Trminos Comunes
Amenaza
Vulnerabilidad
Impacto
Apetito del Riesgo
Control
Respuesta al Riesgo
Probabilidad
Riesgo Inherente
Riesgo Residual
Valuacin
Clasificacin de Activos
Informacin Crtica
Informacin Sensible
http://images.google.com.pe/imgres?imgurl=http://incubaguate.files.wordpress.com/2009/03/conceptos-basicos.jpg&imgrefurl=http://incubaguate.wordpress.com/2009/03/07/incubadoras-de-negocios/&usg=__A2gQhpNSZcqd2c_QnTMIppXlTlc=&h=240&w=320&sz=16&hl=es&start=3&um=1&tbnid=0FYNjcnaqdS81M:&tbnh=89&tbnw=118&prev=/images?q=conceptos&hl=es&safe=active&um=1 -
Categoras de Riesgos Operativos
Riesgo ambiental operativo y de instalaciones
Riesgo de salud y seguridad
Riesgo de seguridad de informacin
Riesgo de marco de control
Riesgo legal y de incumplimiento regulatorio
Riesgo de gobierno corporativo
Riesgo reputacional o imagen
Riesgo estratgico
Riesgo de procesamiento y desempeo
-
Categoras de Riesgos Operativos
Riesgo Tecnolgico
Riesgo de administracin de proyectos
Riesgo de actos ilcitos o delictivos
Riesgo de recursos humanos
Riesgo de proveedores
Riesgo de informacin gerencial
Riesgo de tica
Riesgo Geopoltico
Riesgo Cultural
Riesgo Climtico
-
Metodologas de Evaluacin del Riesgo
Mtodo Cuantitativo (Objetivo): Basado en el impacto material,
monetario e inmediato.
Mtodo Cualitativo (Subjetivo): Basado en el criterio y
raciocinio humano capaz de definir un proceso de trabajo
para evaluar los riesgos en base a la experiencia del
proceso del negocio.
Mtodo Cuantitativo = Costo Monetario del Riesgo
-
Ventajas de los Mtodos de Evaluacin del Riesgo
Cuantitativo/Objetivo
Enfoca el anlisis mediante el uso de nmeros
Facilita la comparacin de vulnerabilidades muy distintas
Proporciona una cifra justificante para cada control.
Enfoca lo amplio que se desee
Plan de trabajo flexible y reactivo
Se concentra en la identificacin de eventos
Incluye valores intangibles
Cualitativo/Subjetivo
-
Clculos complejos
Estimacin de las prdidas slo si son valores justificables.
Difciles de mantener o modificar
La evaluacin es un proceso subjetivo
Depende fuertemente de la habilidad y calidad del personal
involucrado.
Puede existir riesgos significantes desconocidos.
Cuantitativo/Objetivo
Cualitativo/Subjetivo
Desventajas de los Mtodos de
Evaluacin del Riesgo
http://images.google.com.pe/imgres?imgurl=http://www.monografias.com/trabajos12/cofas/Image18.gif&imgrefurl=http://www.monografias.com/trabajos12/cofas/cofas.shtml&usg=__Pio5WRfe1g61wK4UphPBbGrk14s=&h=189&w=180&sz=4&hl=es&start=2&sig2=IbtdAfK02PR2e_SUmv34tA&tbnid=K4cnrZaub6v0LM:&tbnh=103&tbnw=98&prev=/images?q=desventajas&gbv=2&hl=es&ei=RJ_WSpf4C9eytwen9-yDBw -
Proceso de Gestin del Riesgo
Tratar
los
Riesgos
Establecer
el
Contexto
Identificar
los
Riesgos
Analizar
los
Riesgos
Evaluar
los
Riesgos
Monitorear y Revisar
Comunicar y Consultar
-
ESTABLECER EL
CONTEXTO
Tratar
los
Riesgos
Establecer
el
Contexto
Identificar
los
Riesgos
Analizar
los
Riesgos
Evaluar
los
Riesgos
Monitorear y Revisar
Comunicar y Consultar
-
Establecer el contexto
Esto se desarrolla dentro de la estructura del contexto estratgico,
organizacional y de administracin de riesgos de una organizacin.
El contexto Estratgico: Relacin entre la organizacin y su entorno,
identificando el FODA de la empresa, incluye aspectos financieros, operativos,
polticos, sociales, culturales y legales.
Debera existir una relacin cercana entre la misin u objetivos estratgicos de la
organizacin y la gestin de los riesgos a los cuales esta expuesta
El contexto Organizacional: Es necesario comprender la organizacin y sus
capacidades, as como sus metas y objetivos, y las estrategias a lograr.
El Contexto de la Administracin de Riesgos: Establecer la meta, objetivos,
estrategias, alcance, y parmetros de la actividad o parte de la organizacin a la
cual se esta aplicando el proceso de gestin de riesgos.
-
Desarrollar Criterios: Contra los cuales se va a evaluar el riesgo, las
decisiones concernientes a aceptabilidad de riesgos y tratamiento de riesgos,
estos pueden basarse en criterios operativos, tcnicos, financieros, legales,
sociales, etc.
Definir la Estructura: Separar la actividad o proyecto en un conjunto de
elementos, estos proveen una estructura lgica para identificacin y anlisis
lo cual ayuda a asegurar que no se pasen por alto los riesgos significativos.
Esta estructura va depender de la naturaleza del riesgo y del alcance del
proyecto o actividad.
Establecer el contexto
-
Identificar los Riesgos
Tratar
los
Riesgos
Establecer
el
Contexto
Identificar
los
Riesgos
Analizar
los
Riesgos
Evaluar
los
Riesgos
Monitorear y Revisar
Comunicar y Consultar
-
Identificacin de riesgos
Representa una etapa crtica la Identificacin por lo tanto se necesita de un
proceso sistemtico bien estructurado, porque los riesgos potenciales que no se
identifiquen en esta etapa son excluidos de un anlisis posterior.
Qu puede suceder?
Desarrollar una lista amplia de eventos que podran afectar a cada elemento de
la estructura definida.
Como puede suceder?
Se considera causas y escenarios posibles
Herramientas y Tcnicas: Incluyen checklists, juicios expertos, registros,
diagrama de flujo, anlisis de sistemas, de escenarios, tormentas de ideas, etc.
-
Analizar los Riesgos
Tratar
los
Riesgos
Establecer
el
Contexto
Identificar
los
Riesgos
Analizar
los
Riesgos
Evaluar
los
Riesgos
Monitorear y Revisar
Comunicar y Consultar
-
Anlisis de riesgos
El anlisis de riesgo involucra prestar consideracin a las fuentes de riesgos, sus
amenazas, consecuencias y probabilidades de ocurrencia. Se analiza el riesgo
combinando estimaciones de consecuencias, amenazas y probabilidades en el
contexto de las medidas de control existente.
Determinar los controles existentes: Identificar la administracin, sistemas
tcnicos y procedimientos existentes para controlar los riesgos y evaluar sus
fortalezas y debilidades.
Consecuencias y Probabilidades: La magnitud de las consecuencias de un
evento, si el mismo ocurriera, y la probabilidad del evento y sus consecuencias,
se evalan en el contexto de los controles existentes.
Las consecuencias y probabilidades se combinan para entregar un nivel de
riesgo.
-
DETERMINACION
DEL
ENTORNO
ACTUAL
IDENTIFICACION
DE
AMENAZAS
IDENTIFICACION
DE
VULNERABILIDAD
DETERMINACION
DE
PROBABILIDAD
ANALISIS DE
IMPACTO
VALORACION
DEL
RIESGO
Anlisis de Riesgos
-
Determinacin del Entorno Actual
Identificacin de los Procesos crticos y sensibles de la empresa
Identificacin de los activos de la Informacin y de Tecnologa
de la informacin (Hardware, Software, Aplicaciones, etc.).
Identificacin del Personal usuario y tcnico
Identificacin de procedimientos polticas y controles existentes
Clasificacin de los activos.
DETERMINACION
DEL
ENTORNO
ACTUAL
-
Determinacin del Entorno Actual
Tcnicas de Extraccin de Informacin
Cuestionarios/Plantillas: Preguntas para recolectar informacin
Entrevistas: Personal responsable
Revisin de documentos
DETERMINACION
DEL
ENTORNO
ACTUAL
-
Identificacin de Amenazas
Fuentes de amenazas comunes:
Naturales
Humanas
Ambientales
Identificar las fuentes de amenazas
Evaluaciones e informes anteriores
Revisin de bases de datos de fuentes de agencias
especializadas.
Identificar las amenazas accidentales e intencionales
Motivacin: Componente potencial de la amenaza
humana, esto hace del personal descontento, ex
empleados, clientes insatisfechos, etc.
IDENTIFICACION
DE
AMENAZAS
-
IDENTIFICACION
DE
AMENAZAS Identificacin de Amenazas
Tipos comunes de amenazas:
Errores
Accidentes
Dao/Ataque malicioso
Incidentes/Fenmenos naturales
Fraude
Robo
Falla en quipo/Software
Prdida de servicios
Fuga de informacin
Sabotaje
Terrorismo
-
Identificacin de Amenazas
Relacin de Amenazas potenciales
por cada recurso particular,
indicando su naturaleza,
caractersticas, etc.
IDENTIFICACION
DE
AMENAZAS
Resultado
http://balcon1.tripod.com/sitebuildercontent/sitebuilderpictures/terremoto-arp-colapso-torre.jpghttp://balcon1.tripod.com/sitebuildercontent/sitebuilderpictures/terremoto-arp-colapso-torre.jpg -
Identificacin de Vulnerabilidades
Revisin de Informes de auditoria
Resultados de pruebas de seguridad
Inspecciones fsicas
Revisin de informacin y boletines que
envan los fabricantes de HW y SW de
tecnologa
IDENTIFICACION
DE
VULNERABILIDAD
-
Tcnicas de Extraccin
Herramientas de Escaneo de Vulnerabilidades
automatizadas
Ethical Hacking
Test de control de calidad (scripts, checklist,
procedimientos, etc)
IDENTIFICACION
DE
VULNERABILIDAD Identificacin de Vulnerabilidades
-
Tipos comunes de vulnerabilidades:
Software defectuoso
Equipo configurado en forma inapropiada
Cumplimiento forzoso inadecuado
Diseo deficiente de redes
Procesos defectuosos o incontrolados
Administracin inadecuada
Personal insuficiente
Falta de conocimiento
Falta de mantenimiento
Tecnologa no probada
Falta de redundancia
Transmisiones de comunicaciones no protegidas
Comunicaciones gerenciales deficientes
IDENTIFICACION
DE
VULNERABILIDAD Identificacin de Vulnerabilidades
-
IDENTIFICACION
DE
VULNERABILIDAD
Lista de potenciales vulnerabilidades por activo evaluado
Valoracin relativa de cada activo respecto a su
vulnerabilidad.
Resultado
Las amenazas y vulnerabilidades que no pueden causar un
impacto son irrelevantes
Identificacin de Vulnerabilidades
-
Determinacin de Probabilidad
Determinacin de los valores de la probabilidad por activo-
amenaza, considerar en la determinacin los controles
existentes.
DETERMINACION
DE
PROBABILIDAD
PROBABILIDAD DEFINICIONES
Insignificante Improbable de ocurrir
Muy bajo Posible de ocurrir dos/tres veces cada 5 aos
Bajo Posible de ocurrir cada ao o menos
Medio Posible de ocurrir cada 6 meses o menos
Alto Posible de ocurrir una vez al mes o menos
Muy alto Posible de ocurrir muchas veces en un mes
o menos
Extremo Posible de ocurrir mltiples veces en un da
-
DETERMINACION
DE
PROBABILIDAD
Listado de activos valorados
respecto a su amenaza y
probabilidad de ocurrencia
Resultado
Determinacin de Probabilidad
http://www.google.com.pe/imgres?imgurl=http://ocw.um.es/cc.-sociales/metodologias-de-la-investigacion-en-educacion/evaluacion-1/evaluacion.jpg&imgrefurl=http://ocw.um.es/cc.-sociales/metodologias-de-la-investigacion-en-educacion/evaluacion&usg=__C7eR6Zmmm_cySahrqFdV8-1dFlA=&h=386&w=342&sz=20&hl=es&start=3&zoom=1&tbnid=ZSfTYT5nhZUMtM:&tbnh=123&tbnw=109&prev=/images?q=evaluaci%C3%B3n&hl=es&safe=active&sa=X&gbv=2&tbs=isch:1&itbs=1 -
Anlisis de Impacto
Participacin de los propietarios de la Informacin
Medicin efectuada en trminos financieros
Evaluacin en base a la prdida de las caractersticas de la
seguridad. (Disponibilidad, Integridad y Confidencialidad)
ANALISIS DE
IMPACTO
Menor: No afecta la operatividad del negocio
Significativo: Impacto o dao tangible, se requieren de gasto
de recursos para reparar.
Dao: Impacta a la imagen, prdidas de la confidencialidad, se
requiere un gasto significativo de recursos para repararlo
Serio: Impacta al negocio interrumpiendo parcial o total la
operatividad. Puede afectar el compromiso de
informacin o servicio.
-
Ejemplos de impacto expresados en prdidas financieras:
Prdida directa de dinero (efectivo o crdito)
Responsabilidad penal o civil
Prdida de reputacin/buen nombre
Reduccin en el valor de las acciones
Poner en peligro al personal o a los clientes
Violaciones de la confidencialidad
Prdida de oportunidades de negocio
Reduccin en el desempeo/eficiencia operativos
Interrupcin de las actividades de negocio
ANALISIS DE
IMPACTO
Anlisis de Impacto
-
Listado de la valoracin de los
activos.
Cuantificacin del impacto
financiero.
Resultado
ANALISIS DE
IMPACTO
El Impacto es el elemento fundamental para la Gestin de
Riesgos
Anlisis de Impacto
-
Magnitud del impacto
Determinacin de los riesgos debilidad / amenaza
Probabilidad de que explote una amenaza
Valoracin del Riesgo
Extremo: Requiere de accin inmediata
Alto: Requiere de la atencin de la Direccin
Moderado: Requiere la asignacin de responsabilidades a la
Gerencia
Bajo: Requiere la administracin de procedimientos de rutina
VALORACION
DEL
RIESGO
-
VR = V x P x I
- VR: Valor del Riesgo
- V: Vulnerabilidad
Cuando el VR es calculado utilizando el impacto en trminos
econmicos, el VR es la prdida econmica probabilstica.
- P: Probabilidad
- I : Impacto
VALORACION
DEL
RIESGO Valoracin del Riesgo
-
Matrices de Riesgo
ACTIVOS AMENAZA PROBABILIDAD IMPACTO RIESGO
Base de Datos de
Cobranzas Fraude Muy Alta Seria Extremo
Base de Datos de
Finanzas
Incumplimiento
legales Alta Significativa Alto
Base de Datos de
Marketing
Fuga de
informacin Medio Menor Bajo
-
Activo Amenaza Proceso Vulnerabilidad Probabilidad Impacto Valor del Riesgo
Base de Datos
Finanzas Fraude Negociaciones 0,2 0,01 100000 200
Base de Datos
Marketing Robo Fidelizacion de Clientes 0,1 0,01 50000 50
Matrices de Riesgo
-
BAJO MEDIO ALTO
ALTO3 6 9
MEDIO2 5 8
BAJO1 4 7
IMPACTOPRO
BA
BIL
IDA
D
Matrices de Riesgo
-
ALTA 3
15
Zona de Riesgo Moderado
30
Zona de Riesgo Importante
60
Zona de Riesgo Inaceptable
MEDIA 2
10
Zona de Riesgo Tolerable
20
Zona de Riesgo Moderado
40
Zona de Riesgo Importante
BAJA 1
5
Zona de Riesgo Aceptable
10
Zona de Riesgo Tolerable
20
Zona de Riesgo Moderado
5 10 20
LEVE MODERADO CATASTROFICO
IMPACTO
PR
OB
AB
ILID
AD
Matrices de Riesgo
-
Casi Cierto
5 5 - 20% 10 - 40% 15 - 60% 20 - 80% 25 - 100%
Probable
4 4 - 16% 8 - 32% 12 - 48% 16 - 64% 20 - 80%
Posible
3 3 - 12% 6 - 24% 9 - 36% 12 - 48% 15 - 60%
Improbable
2 2 - 8% 4 - 16% 6 - 24% 8 - 32% 10 - 40%
Raro
1 1 - 4% 2 - 8% 3 - 12% 4 - 16% 5 - 20%
Insignificante
1
Menor
2
Moderada
3
Mayor
4
Catastrfico
5
IMPACTO
PR
OB
AB
ILID
AD
Matrices de Riesgo
-
Valor
RIESGO EXTREMO Se requiere de acciones inmediatas Entre 51% - 100%
RIESGO ALTO Se requiere de acciones a corto plazo Entre 31% - 50%
RIESGO MODERADO Se requiere de acciones a mediano plazo Entre 16% - 30%
RIESGO BAJO Se requiere de acciones a largo plazo Entre 1% - 15%
ZONA DE RIESGO
Matrices de Riesgo
-
Conceptos
Factor de Exposicin (EF): Porcentaje de prdida o impacto
causada por una amenaza. Este valor es necesario para el clculo
del SLE
0% < EF < 100 %
Expectativa de prdida individual (SLE).- Es el valor monetario
perdido por la ocurrencia de evento.
SLE = Valor del activo ($) * EF
Otras frmulas de Anlisis de Riesgos
-
Conceptos (Cont)
Tasa de Ocurrencia Anual (ARO).- Representa la frecuencia en el
cual un evento ocurre dentro del periodo de un ao.
El ARO es considerado como cantidad o probabilidad (segn el
anlisis)
Expectativa de Prdida Anualizada (ALE): Representa la prdida
anual producida por una amenaza individual.
ALE = SLE * ARO
Frmulas de Anlisis de Riesgos
Amenaza Valor del Activo
x FE = SLE x ARO = ALE
Fuego $ 1.0 M x 0.5 = $ 500,000 x 0.1 = $ 50,000
Robo $ 1.0 M x 0.00005 = $ 50 x 1000 = $ 50,000
Ejemplo
-
Evaluar los Riesgos
Tratar
los
Riesgos
Establecer
el
Contexto
Identificar
los
Riesgos
Analizar
los
Riesgos
Evaluar
los
Riesgos
Monitorear y Revisar
Comunicar y Consultar
-
Evaluacin de Riesgos
Involucra comparar el nivel de riesgo detectado durante el proceso de
anlisis con criterios de riesgo establecido previamente.
El resultado de la evaluacin es una lista priorizada para una accin
superior y se considera para ello los objetivos del negocio y el grado de
oportunidad que podra resultar de tomar el riesgo.
Los riesgos resultantes que caen dentro de las categoras de riesgos
bajos y aceptables pueden ser aceptados con un tratamiento futuro
mnimo pero deben ser monitoreados y revisados peridicamente para
asegurar su aceptabilidad.
Los riesgos que no caen dentro de la categora de riesgos bajos o
aceptables debern ser tratados para controlarlos.
http://www.google.com.pe/imgres?imgurl=http://werina2000.files.wordpress.com/2008/11/evaluacion-fullinit_1.jpg&imgrefurl=http://werina2000.wordpress.com/2008/11/17/%C2%BFque-es-la-evaluacion-curricular-y-porque-es-importante/&usg=__lbNa8ayzkPdcIscQrG8fDSIEZls=&h=338&w=368&sz=23&hl=es&start=4&zoom=1&tbnid=p_z5URGKubL3lM:&tbnh=112&tbnw=122&prev=/images?q=evaluaci%C3%B3n&hl=es&safe=active&sa=X&gbv=2&tbs=isch:1&itbs=1 -
Tratar los Riesgos
Tratar
los
Riesgos
Establecer
el
Contexto
Identificar
los
Riesgos
Analizar
los
Riesgos
Evaluar
los
Riesgos
Monitorear y Revisar
Comunicar y Consultar
-
Tratar los Riesgo
Riesgo Evaluado y
Priorizado
Mitigar Transferir Evitar
Ejecucin del Plan de Tratamiento
del Riesgo
Seleccin de Estrategia y Elaboracin
del Plan de Tratamiento de Riesgo
Aceptable
Co
mu
nic
ar y
Co
nsu
ltar
Mo
nito
rea
r y R
evis
ar
Riesgo
Aceptable?
Aceptable Riesgo
Aceptable?
SI
NO
NO
SI
-
CONTROLES
Polticas, procedimientos, prcticas y estructuras
organizacionales que estn diseados para brindar una confianza
razonable de que se alcanzarn los objetivos del negocio y que
se evitarn, detectarn y corregirn los incidentes
Activos, Informacin
de la Organizacin
Controles Administrativos
Controles Tcnicos
Controles Fsicos
Controles
Administrativos
Polticas, estndares,
procedimientos,
guas, seleccin de
Personal,
Entrenamiento y
Educacin de Seguridad
Controles
Tcnicos
Controles de acceso
Lgico, Encriptacin,
Dispositivos de seguridad,
Identificacin y
Autenticacin
Controles
Fsicos
Proteccin de las
Facilidades, guardias
de seguridad, cerraduras,
Control ambiental,
Deteccin de Intrusos
Los controles deben ser
seleccionados basados en
el costo de
implementacin, el costo
de riesgo reducido y la
prdida potencial si un
incidente de seguridad
ocurre
-
Disuasivos: Para reducir la probabilidad de las amenazas o
la susceptibilidad a estas a travs de una variedad de medios
para reducir el riesgo
Preventivos: Para reducir las vulnerabilidades y hacer que
un ataque no tenga xito o reducir el impacto que tendra.
Correctivos: Reduce el impacto
Deteccin: Identifica ataques o investigaciones que
conduzcan a un ataque o que desencadenen controles
preventivos
Los Controles pueden ser:
-
Tratar los riesgos
Involucra identificar la Estrategia acorde para tratar los
riesgos, evaluar las opciones dentro de ellas, elaborar los
planes para el tratamiento de los riesgos y ejecutarlos.
Identificacin de Estrategias para el tratamiento de los
riesgos
Evitar el riesgo
Mitigar los riesgos
Transferir los riesgos
Retener o Aceptar los riesgos
-
Evaluacin de opciones de tratamiento de los riesgos
Esta son evaluadas sobre la base del alcance de la reduccin del riesgo,
pueden considerarse y aplicarse una cantidad de opciones individual o
combinada.
Siempre se considera los costos y beneficios de implementar cada opcin.
Cuando el costo acumulado de implementacin de todos los tratamientos de
riesgos excede el presupuesto disponible, el plan debera identificar
claramente el orden de prioridad bajo el cual deberan implementarse.
Las opciones de tratamiento de los riesgos deberan considerar como es
percibido el riesgo por las partes afectadas y las formas mas apropiadas de
comunicrselo a dichas partes.
(Anexos A,B,C,D)
Tratar los riesgos
-
Elaborar Planes de Tratamiento del Riesgo
Estos van a documentar como deben ser implementadas las opciones
seleccionadas. Este plan identifica las responsabilidades, el programa, los
resultados esperados, el presupuesto, las medidas de desempeo y el proceso
de revisin a establecer.
Debe incluir los mecanismos para evaluar la implementacin de las opciones
contra criterios de desempeo, las responsabilidades individuales y otros
objetivos.
Ejecutar Planes de tratamiento del Riesgo
Este debe ser administrada por aquellas personas con mejor posibilidad de
controlar los riesgos.
El xito del Plan de tratamiento del riesgo requiere un sistema efectivo de
administracin que especifique los mtodos seleccionados, asigne
responsabilidades y compromisos.
Se deber decidir si se retiene o repite el proceso de tratamiento con los riesgos
residuales.
Tratar los riesgos
-
Seleccin segn nivel de riesgo evaluado y el orden de
importancia.
Anlisis costo/beneficio
Capacidad de implantar las medidas de mitigacin
Seleccin de controles mas efectivos y eficientes.
Participacin de las unidades afectadas
Seleccin de Controles
(Anexo A)
-
Controles para reducir la Probabilidad
(Anexo B)
Programas de auditoria y cumplimiento
Condiciones contractuales
Revisiones formales de requerimientos, especificaciones,
diseo, ingeniera y operaciones
Inspecciones y controles de procesos
A}dministracin de inversiones y carteras
Mantenimiento preventivo
Aseguramiento de calidad, administracin y estndares
Investigacin y desarrollo, desarrollo tecnolgico
Supervisin
Capacitacin estructurada y otros programas
Comprobaciones
Acuerdos organizacionales
Controles tcnicos
-
Planeamiento de contingencia
Arreglos contractuales
Condiciones contractuales
Caractersticas de diseo
Planes de recuperacin de desastres
Planeamiento de control de fraudes
Minimizar la exposicin a fuentes de riesgo
Planeamiento de cartera
Poltica y control de precios
Separacin o reubicacin de una actividad y recursos
Relaciones pblicas
Otros.
Controles para reducir el Impacto
(Anexo C)
-
Se debe considerar el TCO para el ciclo de vida total del
control o contramedidas:
Costos por adquisicin, si los hubiere
Costos por utilizacin e implementacin
Costos por mantenimiento y soporte
Costo de Licencias
Costos de prueba y evaluacin
Monitoreo y exigibilidad del cumplimiento
Inconvenientes para los usuarios
Costo por actualizaciones
Capacitacin sobre nuevos procedimientos
Capacitacin en tecnologas que sean aplicables
(TCO: Total Cost of Ownership)
Costo de Controles
(Anexo D)
-
Riesgo Residual
+ RIESGO
EVALUADO
CONTROLES
APROBADOS =
CONTROLES
IMPLEMENTADOS
RIESGO RESIDUAL
Luego de la implementacin de los controles
queda un riesgo residual debido a que en la prctica no hay
retorno sin riesgo y los controles no lo eliminan totalmente
por diversos factores, entre ellos el equilibrio costo/beneficio.
-
Para la aceptacin definitiva de los riesgos la organizacin
debe tener en cuenta:
La poltica organizacional
Sensibilidad y criticidad de los activos involucrados
Niveles aceptables de los posibles impactos
Rentabilidad de la implementacin
Riesgo Aceptable
http://www.google.com.pe/imgres?imgurl=http://es.dreamstime.com/muestra-aceptable-thumb8271727.jpg&imgrefurl=http://es.dreamstime.com/fotograf-iacutea-de-archivo-libre-de-regal-iacuteas-muestra-aceptable-image8271727&usg=__zcSh0zANFZ7tzy1wBD5ZdSNCF1Y=&h=350&w=233&sz=16&hl=es&start=12&zoom=1&tbnid=JQ4Io76M1-9FzM:&tbnh=120&tbnw=80&prev=/images?q=aceptable&hl=es&safe=active&gbv=2&tbs=isch:1&itbs=1 -
Matriz de Controles
-
Monitorear y Revisar
Tratar
los
Riesgos
Establecer
el
Contexto
Identificar
los
Riesgos
Analizar
los
Riesgos
Evaluar
los
Riesgos
Monitorear y Revisar
Comunicar y Consultar
-
Monitorear y Revisar
Es necesario monitorear los riesgos, la efectividad del plan de
tratamiento de los riesgos, las estrategias y el sistema de
administracin que se establece para controlar la implementacin.
Los riesgos y los controles implementados necesitan ser
monitoreados para asegurar que las circunstancias cambiantes no
alteren las prioridades de los riesgos.
La Revisin es esencial para asegurar que el plan de
administracin se mantiene relevante y vigente. Esta actividad es
una parte integral del plan de tratamiento de la administracin de
riesgos.
http://www.google.com.pe/imgres?imgurl=http://www.ubergizmo.com/photos/2008/8/dr-touch.jpg&imgrefurl=http://www.ubergizmo.com/es/tecnologia-medica/index.php?page=3&usg=__MUbDTW6d2jvs30eQ1vezSAjWdaY=&h=477&w=468&sz=27&hl=es&start=2&zoom=1&tbnid=QbXmjM8pPTNUIM:&tbnh=129&tbnw=127&prev=/images?q=monitorear+y+revisar&hl=es&safe=active&gbv=2&tbs=isch:1&itbs=1 -
Comunicar y Consultar
Tratar
los
Riesgos
Establecer
el
Contexto
Identificar
los
Riesgos
Analizar
los
Riesgos
Evaluar
los
Riesgos
Monitorear y Revisar
Comunicar y Consultar
-
Comunicar y Consultar
Consideracin importante en cada paso del proceso de la gestin de
riesgos. Es importante desarrollar un plan de comunicacin con los
interesados internos y externos en la etapa mas temprana del proceso.
La comunicacin y consulta involucra un dilogo en ambas direcciones
entre los interesados.
Las percepciones de los riesgos pueden variar debido a diferencias en los
supuestos, conceptos, necesidades, aspectos y preocupaciones de los
interesados. Los interesados probablemente harn juicios de aceptabilidad
de los riesgos basados en su percepcin de los mismos.
Dado que los intereses pueden tener un impacto significativo en las
decisiones tomadas, es importante que sus percepciones de los riegos, as
como, sus percepciones de los beneficios, sean identificadas y
documentadas y las razones subyacentes para las mismas comprendidas
y tenida en cuenta.
http://www.google.com.pe/imgres?imgurl=http://4.bp.blogspot.com/_driYGq7m0nc/SyqymWL-3JI/AAAAAAAADiQ/m2klG_aevwU/s320/comunicar.jpg&imgrefurl=http://tiempodebachatas.blogspot.com/2009_12_17_archive.html&usg=__AYG7XevRljZ93ogi3K2SkclkiiM=&h=300&w=300&sz=22&hl=es&start=1&zoom=1&tbnid=gKFSxf3LDL8iEM:&tbnh=116&tbnw=116&prev=/images?q=comunicar&hl=es&safe=active&gbv=2&tbs=isch:1&itbs=1 -
Documentacin
Es necesario documentar cada etapa del proceso de gestin de riesgos y
deben incluir los supuestos, los mtodos, las fuentes de datos y los
resultados
Razones para la documentacin:
Demostrar que el proceso es conducido apropiadamente
Proveer evidencia de un enfoque sistemtico de identificacin y
anlisis de riesgos
Proveer un registro de los riesgos y desarrollar la base de datos de
conocimiento de la organizacin
Proveer a los tomadores de decisin relevantes, de un plan de
gestin de riesgos para aprobacin y subsiguiente implementacin
Facilitar el continuo monitoreo y revisin
Proveer una pista de auditoria
Compartir y comunicar informacin
-
Documentacin de la Gestin del Riesgo
Documentacin mnima necesaria para la gestin de la riesgo:
1. Un registro de riesgo para cada riesgo identificado, contiene:
- Fuente y naturaleza del riesgo
- Controles existentes
2. Consecuencia y probabilidad
- Prdida de ingresos, gastos inesperados
- Riesgo legal (de incumplimiento regulatorio y contractual)
- Procesos Interdependientes
- Clasificacin inicial del riesgo
3. Plan de accin y Mitigacin de riesgos, que proporcione:
- Responsabilidad de implementar el plan
- Recursos que se van a utilizar y asignacin del presupuesto
- Frecuencia de cumplimiento
- Detalle de mecanismos/medidas de control
http://images.google.com.pe/imgres?imgurl=http://web.educastur.princast.es/ies/llanera/portal/images/stories/profesorado/documentos.jpg&imgrefurl=http://web.educastur.princast.es/ies/llanera/portal/index.php?option=com_content&view=section&layout=blog&id=3&Itemid=5&usg=__Qtc6uJhM6sD1L9v3yBgpoduxGiw=&h=294&w=272&sz=12&hl=es&start=2&sig2=OmNFH6nJKsra-pZ-ac2XGA&tbnid=MnVBp-Gf85Ng3M:&tbnh=115&tbnw=106&prev=/images?q=documentos&gbv=2&hl=es&ei=UrbXSubUG9OetweL2vT9Bg -
4. Documentos de Auditoria y Monitoreo que
incluyan:
- Resultado de auditorias/revisiones y otros
procedimientos de monitoreo
- Seguimiento de las recomendaciones de la
revisin y el estado de su
implementacin
Documentacin de la Gestin del Riesgo
-
Software para la Gestin de Riesgos
http://images.google.com.pe/imgres?imgurl=http://www.ceta.ufm.edu/uploads/assets/images/excel.jpg&imgrefurl=http://www.ceta.ufm.edu/cms/es/cursos-microsoft-office-2007&usg=__1tuVp48g0kJwkdGiXFygMMn1wFY=&h=267&w=262&sz=9&hl=es&start=1&sig2=8K8Lnk4wKwexKhppy85zXw&tbnid=B0VqQAEQZ8MK1M:&tbnh=113&tbnw=111&prev=/images?q=excel&gbv=2&hl=es&ei=L9TXSufzJZSetwf3_un6Bg