PLAN DE VALORACIN DE RIESGO. 2009
81 | P g i n a
PLAN DE VALORACIN DE RIESGO. 2009
82 | P g i n a
INTRODUCCIN
Para que una empresa desarrolladora de software funcione correctamente y
alcance los objetivos propuestos por la administracin son necesarios activos o
recursos de diferentes ndoles y con diversos fines.
Estos recursos pueden ser humanos, materiales (edificios, instalaciones,
inmuebles, papelera, hardware, etc.) e inmateriales (software, experiencia,
credibilidad, alcance de mercadeo etc.).
Todos estos recursos se encuentran en un entorno de incertidumbre, que
en ocasiones, puede mostrase agresivo y provocar interrupciones inesperadas del
funcionamiento normal de la actividad de la empresa.
La mayor parte de estas interrupciones suelen ser temporales y las
condiciones vuelven a ser normales en un perodo que no ocasiona situaciones
crticas para la actividad normal de la empresa. Sin embargo, puede haber
circunstancias que generen interrupciones prolongadas, que lleguen a influir en la
capacidad de funcionamiento de los servicios o impidan el desarrollo normal de los
mismos.
Detallar el anlisis y la valoracin de riesgos en los proyectos de
informacin de una manera estructurada por fases, como herramienta de apoyo
para las empresas desarrolladoras.
PLAN DE VALORACIN DE RIESGO. 2009
83 | P g i n a
OBJETIVO GENERAL
Proporcionar a las empresas, una herramienta que le facilite identificar,
evaluar los riesgos en los proyectos informticos que emprenda la compaa,
mejorando su servicio con el fin de disminuir el impacto y el tiempo al entrar en
produccin.
OBJETIVOS ESPECFICOS
Reconocer los riesgos en las diversas operaciones que realiza la empresa.
Determinar el mtodo de evaluacin y valoracin de riesgos para los
Proyectos informticos.
Documentar las amenazas y los posibles atentados en contra de las
actividades de la empresa.
PLAN DE VALORACIN DE RIESGO. 2009
84 | P g i n a
ALCANCES DEL PLAN
Definir y documentar la valoracin de los riesgos en los proyectos
informticos de una manera organizada que permita identificar, evaluar, controlar
y valorar los riesgos en el rea para las empresas desarrolladoras de software.
Se desarrollar documentando cada una de las fases que componen la
propuesta: Fase de identificacin, evaluacin, control y valoracin, incluyendo las
actividades que se deben ejecutar en cada fase.
Con este plan se pretende dar a conocer los riesgos encontrados en las
empresas en estudio, en relacin a frecuencia, probabilidad, severidad o impacto
en las organizaciones que se consideraron para esta investigacin.
PLAN DE VALORACIN DE RIESGO. 2009
85 | P g i n a
BENEFICIO DEL PLAN
El beneficio a obtener en la identificacin, anlisis y valoracin de riesgos es:
Dimensionar el impacto de los riesgos sobre la empresa en trminos de
interrupciones y prdida que puedan poner en riesgo la viabilidad y la
continuidad del proyecto.
PLAN DE VALORACIN DE RIESGO. 2009
86 | P g i n a
5.0. QUE ES LA VALORACIN DE RIESGOS: Proceso mediante el cual se
establece la probabilidad de que ocurran daos personales o prdidas materiales
y la cuantificacin de los mismos.
Es importante en toda organizacin contar con una herramienta, que
garantice la correcta evaluacin de los riesgos, a los cuales estn sometidos los
procesos y actividades que participan en un proyecto informtico y por medio de
una buena gestin se pueda evaluar el desempeo, desarrollo y ejecucin del
mismo.
Viendo la necesidad en el entorno empresarial de este tipo de herramientas
y teniendo en cuenta que una de las principales causas de los problemas dentro
del entorno informtico, es la inadecuada administracin de riesgos, este trabajo
sirve de apoyo para una adecuada gestin de la administracin de riesgos.
5.1. FASE 0: GESTIN DEL RIESGO
La fase 0 est destinada a identificar, evaluar, valorar y controlar los
riesgos, la frecuencia y severidad con que se pueden presentar y el grado de
aceptabilidad que tienen en el desarrollo del proyecto.
Para comenzar con el anlisis y la valoracin se requiere utilizar las
conceptualizaciones siguientes:
Amenaza: Persona, objeto, situacin o evento natural del entorno (externo
o interno) que es visto como fuente de peligro, catstrofe o interrupcin y pueden
ser de origen natural tecnolgico y social. Ejemplos: sismos, inundacin,
avalanchas, incendio, explosiones, robo de datos, sabotaje, fraude, etc. Tambin
se define como un riesgo no evaluado. Es necesario cuantificarla para poder tomar
decisiones (Administracin de Riesgos). En sntesis podemos definir que la
amenaza es una percepcin del algo que puede ocurrir.
PLAN DE VALORACIN DE RIESGO. 2009
87 | P g i n a
Riesgo: Definimos el riesgo como la probabilidad de que la amenaza se
materialice, debido a la existencia de una o varias vulnerabilidades de peso
significativo. El riesgo es difcil de medir, sobretodo, cuando no se cuenta con
datos estadsticos que lo respalden o avalen, por la tendencia de las empresas a
ocultar incidentes, la localizacin geogrfica, las culturas, leyes, criticidad,
situacin pas, etc. Tambin se define como una amenaza evaluada en cuanto a
su probabilidad de ocurrencia (Frecuencia) y a la gravedad de sus consecuencias
(Severidad).
Riesgo Informtico: Es un suceso incierto que puede llegar a presentarse
en un futuro con la probabilidad de Generar Consecuencias NEGATIVAS que
afecten el ambiente informtico o la informacin.
Probabilidad/Frecuencia: Es el nmero de veces que se da un evento. Ver
tambin posibilidad y probabilidad. Tambin se define como el nmero de veces
que una amenaza deja de serlo para convertirse en realidad, a lo largo de un
determinado periodo de tiempo.
Gravedad/Severidad/Impacto: Es la evaluacin del efecto y consecuencia
del riesgo. Generalmente, la exposicin al riesgo se mide en aspectos
econmicos, imagen de las personas o empresas, disminucin de capacidad de
respuesta y competitividad, interrupcin de operaciones, etc. Efecto que causa en
la empresa la ocurrencia de un siniestro y que normalmente se ve reflejado en la
suspensin de las actividades normales del negocio.
Valor del riesgo: Riesgo = Probabilidad X Gravedad (R = PxG)
Siniestro: Todo evento accidental, sbito e imprevisto (repentino, no
planeado), que normalmente genera consecuencias negativas sobre un proyecto.
Control: es toda accin orientada a minimizar la frecuencia de ocurrencia de las
causas del riesgo o valor de las prdidas ocasionadas por ellas. Los controles
sirven para asegurar la consecucin de los objetivos de las empresas o asegurar
PLAN DE VALORACIN DE RIESGO. 2009
88 | P g i n a
el xito de un proyecto y para reducir la exposicin de los riesgos, a niveles
razonables.
Con las anteriores definiciones, este plan de anlisis y valoracin pretende
identificar y calificar los riesgos que se presentan alrededor del proyecto
Informticos.
El siguiente diagrama muestra cada una de las actividades que se llevaran
cabo en cada fase.
5.1.1. DIAGRAMA DE ADMINISTRACIN DE RIESGOS
IDENTIFICACIN
ANLISIS Y VALORACIN DEL RIESGO
CONTROL
ANLISIS DE RESULTADOS
VALORACIN DEL RIESGO
PLAN DE VALORACIN DE RIESGO. 2009
89 | P g i n a
5.2. FASE 1.- IDENTIFICACIN RIESGOS POTNCIALES
La identificacin de riesgos consiste en determinar qu tipos de riesgos es
ms probable que afecten al proyecto informtico y documentar las caractersticas
de cada uno.
Los siguientes riesgos se identificaron por medio de las cedulas de
entrevista dirigida a los administradores y el cuestionario dirigido a los
especialistas en sistemas (Programadores) de las empresas desarrolladoras de
software de la ciudad de San Miguel. (Ver anexo de instrumento de recoleccin de
informacin Cedula de entrevista, Cuestionario Anexo N 6 y 7).
Metodologa de Trabajo.
Proyectos en Desarrollo.
Mal funcionamiento de Hardware.
Falta de Seguridad fsica en sus Instalaciones.
Los Virus Informticos.
Los accesos no autorizados.
Almacenamiento de los Respaldos (Backups).
El Robo.
Las Normas y Polticas.
Desastres Naturales.
PLAN DE VALORACIN DE RIESGO. 2009
90 | P g i n a
La siguiente metodologa a seguir es, detallar los riesgos relacionados a
cada identificacin. Se irn puntualizando y desglosando segn su dependiente,
de esta manera se podr conocer su proceso en el desarrollo.
5.2.1 METODOLOGA DE TRABAJO.
Anlisis Preliminar
Diseo
Codificacin
Puesta en Funcionamiento
Evolucin
5.2.2 PROYECTOS EN DESARROLLO.
PROCESO:
El producto en desarrollo:
Cambios de requerimientos.
El proceso de Desarrollo:
Diseo inadecuado.
El equipo de Desarrollo:
Aadir ms personal a un proyecto atrasado.
Personal problemtico descontrolado.
Fricciones entre clientes y desarrolladores (poltica del desarrollo).
5.2.3 MAL FUNCIONAMIENTO DE HARDWARE.
Fallas en los equipos
Discos duros
Memorias RAM.
PLAN DE VALORACIN DE RIESGO. 2009
91 | P g i n a
5.2.4 FALTA DE SEGURIDAD FSICA EN SUS INSTALACIONES.
Polarizaciones elctricas.
Alarmas.
Infraestructura antigua.
5.2.5 LOS VIRUS INFORMTICOS.
Actualizacin de antivirus.
Firewall.
5.2.6 LOS ACCESOS NO AUTORIZADOS.
reas de trabajo.
Control de acceso a la informacin.
Nivel de acceso
5.2.7 ALMACENAMIENTO DE LOS RESPALDOS (BACKUPS).
Backups de software
Backups Data
5.2.8 EL ROBO
Medios de almacenamiento masivo
Llevndose la data, difundiendo as la informacin
5.2.9 NORMAS Y POLTICAS.
Normas para el uso de los equipos de la empresa.
Polticas de seguridad para la empresa.
PLAN DE VALORACIN DE RIESGO. 2009
92 | P g i n a
5.2.10 DESASTRES NATURALES.
Fuego
Inundaciones
Sismos
Huracanes
Una vez identificadas las amenazas y los riesgos se elaboran las siguientes
matrices:
La matriz de eventos de riesgos con relacin a los procesos se construye
con las amenazas y con los procesos que tienen los proyectos informticos. La
combinacin Proceso Amenaza (fila, columna) lo nombraremos Evento de
riesgos, tal como se muestra en la Tabla N 1.
5.3 TABLA # 1. MATRIZ DE EVENTOS CON RELACIN A PROCESOS.
Procesos / Amenazas Fallas Fallas Fallas
P1 P1,A1 P1,A2 P1,An
P2 P2,A3 P2,A4 P2,An
Pn
P1= proceso 1, P2= proceso 2 Pn= proceso n
A1= amenaza 1, A2= amenaza 2.. An= amenaza n
P1, A1 = E1, es el evento 1 de que en el proceso 1 ocurra la amenaza 1.
El mtodo a seguir es la realizacin de las Matrices de procesos y amenazas.
PLAN DE VALORACIN DE RIESGO. 2009
93 | P g i n a
Las siguientes tablas de eventos se desarrollan para conocer las
amenazas o fallas bajo las cuales estn sometidos cada uno de los procesos.
5.3.1 TABLA # 2. MATRIZ DE EVENTO CON RELACIN A LA
METODOLOGA DE TRABAJO.
PROCESOS/AMENAZAS
Fallas
planificacin del
proyecto
Fallas en los
modelos del
prototipos
Fallas en la etapa
de realizar pruebas.
Fallas en la puesta en
marcha del producto
Fallas de la aplicacin
METODOLOGA DE TRABAJO.-P1
Anlisis preliminar. A1
Diseo.
A2
Codificacin. A3
Puesta en Funcionamiento. A4
Evolucin.A5
5.3.2 TABLA # 3. MATRIZ DE EVENTOS CON RELACIN AL
PROYECTO EN DESARROLLO.
PROCESOS/AMENAZAS
Fallas del producto en desarrollo
Fallas del proceso de desarrollo
Fallas del equipo de desarrollo
PROYECTOS EN DESARROLLO.- P2
Cambios de requerimientos. A6
Diseo inadecuado A7
Aadir ms personal a un proyecto atrasado. A8
Personal problemtico descontrolado. A9
Fricciones entre clientes y desarrolladores (poltica del desarrollo). A10
PLAN DE VALORACIN DE RIESGO. 2009
94 | P g i n a
5.3.3 TABLA # 4. MATRIZ DE EVENTOS CON RELACIN AL
MAL FUNCIONAMIENTO DE HARDWARE.
PROCESOS/AMENAZAS
Fallas en los equipos
MAL FUNCIONAMIENTO DE
HARDWARE.- P3
Discos duros
A11
Memorias RAM
A12
5.3.4 TABLA # 5. MATRIZ DE EVENTOS CON RELACIN A LA FALTA DE SEGURIDAD FSICA EN SUS INSTALACIONES.
PROCESOS/AMENAZAS
Fallas por los mtodos de
proteccin al hardware
Fallas en la
seguridad
Fallas en la
seguridad fsica
FALTA DE
SEGURIDAD FSICA
EN SUS
INSTALACIONES.-P4
Polarizaciones elctricas.
A 13
Alarmas.
A 14
Infraestruc
tura
antigua.
A 15
5.3.5 TABLA # 6. MATRIZ DE EVENTOS CON RELACIN A LOS VIRUS INFORMTICOS.
PROCESOS/AMENAZAS
Fallas en la seguridad
Fallas en el control de
acceso
LOS VIRUS
INFORMTICOS.-P5
Actualizacin de
antivirus.
A16
Firewall.
A17
PLAN DE VALORACIN DE RIESGO. 2009
95 | P g i n a
5.3.6 TABLA # 7. MATRIZ DE EVENTOS CON RELACIN A LOS
ACCESOS NO AUTORIZADOS.
PROCESOS/AMENAZAS
Fallas inadecuada medida de seguridad
Fallas por la libertad de
acceso
Fallas en el control
del acceso
LOS ACCESOS NO
AUTORIZADOS.-P6
reas de
trabajo.
A18
Control de
acceso a la
informacin.
A19
Nivel de
acceso.
A20
5.3.7 TABLA # 8. MATRIZ DE EVENTOS CON RELACIN AL
ALMACENAMIENTO DE LOS RESPALDOS (BACKUPS).
PROCESOS/AMENAZAS
Fallas en las plataformas de
trabajo SO
Fallas en cuanto al tiempo
que realizan los resguardos
ALMACENAMIENTO DE
LOS RESPALDOS
(BACKUPS).-P7
Backups de
software.
A21
Backups
Data.
A22
5.3.8 TABLA # 9. MATRIZ DE EVENTOS CON RELACIN AL ROBO.
PROCESOS/AMENAZAS
Fallas en el Fcil acceso
Fallas en la seguridad de
acceso
EL ROBO.- P8
Medios de
almacenamiento
masivo.
A23
Llevndose la data, difundiendo as la informacin. A24
PLAN DE VALORACIN DE RIESGO. 2009
96 | P g i n a
5.3.9 TABLA # 10. MATRIZ DE EVENTOS CON RELACIN A LAS
NORMAS Y POLTICAS.
PROCESOS/AMENAZAS
Fallas por no contar con
normas
Fallas por no cortar con polticas
NORMAS Y POLTICAS.-P9
Normas para
el uso de los
equipos de la
empresa.
A25
Polticas de
seguridad
para la
empresa.
A26
5.3.10 TABLA # 11. MATRIZ DE EVENTOS CON RELACIN A DESASTRES NATURALES.
PROCESOS/AMENAZAS
Fallas por la falta de
equipo contra fuego
Fallas por desages, invierno
humedad,
Riesgo a ocurrir
Riesgo a ocurrir
DESASTRES NATURALES.-P10
Fuego.
A27
Inundaciones
A28
Sismos
A29
Huracanes A30
PLAN DE VALORACIN DE RIESGO. 2009
97 | P g i n a
5.4 NIVEL DE RIESGOS DE PROBLEMAS OCURRIDOS EN LAS EMPRESAS
Para evaluar esta etapa se describen los problemas con ms impacto y
probabilidad de ocurrencia que se les presentan a las empresas desarrolladoras
se describen los procesos y amenazas existentes en los cuales permiten obtener
informacin para los efectos de la toma de decisiones, estos niveles de riesgo son:
ALTO (cuando el riesgo hace altamente vulnerable a la entidad o unidad).
o (Impacto y probabilidad alta vs controles).
MEDIO (cuando el riesgo presenta una vulnerabilidad media).
(Impacto alto probabilidad baja o Impacto bajo - probabilidad alta vs
controles).
BAJO (cuando el riesgo presenta vulnerabilidad baja), (Impacto y
probabilidad baja vs controles).
El mtodo a seguir es el de realizar la matriz de nivel de riesgo de los
problemas encontrados en cada empresa desarrolladora, en las cuales se irn
dando a conocer segn su nivel de impacto y probabilidad de ocurrencia en cada
una de ellas.
PLAN DE VALORACIN DE RIESGO. 2009
98 | P g i n a
5.4.1 Matriz 1.- NIVEL DE RIESGOS DE PROBLEMAS OCURRIDOS EN LAS EMPRESAS.
ALTO
MEDIO Disoftware, Syscotel SA de CV,
Ryougan technology, Garrobito Web,
Ceminfo.
P1- Anlisis Preliminar (A1), Diseo
(A2), Codificacin (A3), Puesta en
Funcionamiento (A4), Evolucin
(A5).
BAJO
Baja Media Alta
Probabilidad
I
M
P
A
C
T
O
PLAN DE VALORACIN DE RIESGO. 2009
99 | P g i n a
5.4.1 Matriz 1.- NIVEL DE RIESGOS DE PROBLEMAS OCURRIDOS EN LAS EMPRESAS.
Probabilidad
ALTO Disoftware, Syscotel SA de CV, Ryougan technology, Garrobito Web, Ceminfo.
P3- Discos duros (A11), Memoria
RAM (A12).
MEDIO Disoftware, Syscotel SA de CV,
Ryougan technology, Garrobito Web, Ceminfo.
P2-Cambio de requerimientos (A6)
BAJO Garrobito Web
P2-Aadir ms personal a un
proyecto atrasado (A8).
Ryougan technology,
P2-Diseo inadecuado (A7), Aadir
ms personal a un proyecto atrasado (A8), Personal problemtico descontrolado (A9),Fricciones entre clientes y desarrolladores (poltica del desarrollo)
Baja Media Alta
I
M
P
A
C
T
O
PLAN DE VALORACIN DE RIESGO. 2009
100 | P g i n a
5.4.1 Matriz 1.- NIVEL DE RIESGOS DE PROBLEMAS OCURRIDOS EN LAS EMPRESAS.
ALTO Disoftware, Syscotel SA de CV, Ryougan technology, Garrobito Web, Ceminfo.
P6-Areas de trabajo (A18), Control
de acceso a la informacin (A19), Nivel de acceso (A20).
Ceminfo, Ryougan technology.
P4-Polarizaciones elctricas(A13)
MEDIO Ceminfo, Ryougan technology.
P4-Alarmas (A14)
Ryougan technology
P4- Infraestructura antigua (A15)
Disoftware, Syscotel SA de CV, Ryougan technology, Garrobito Web, Ceminfo.
P5-Actualizacion de antivirus (A16)
Firewall (A17).
BAJO
Baja Media Alta
Probabilidad
I
M
P
A
C
T
O
PLAN DE VALORACIN DE RIESGO. 2009
101 | P g i n a
5.4.1 Matriz 1.- NIVEL DE RIESGOS DE PROBLEMAS OCURRIDOS EN LAS EMPRESAS.
ALTO Disoftware, Syscotel SA de CV, Ryougan technology, Garrobito Web, Ceminfo.
P7-Backups de software (A21),
Backups de Data (A22).
Syscotel SA de CV
P8-Medios de almacenamiento
masivo (A23). Llevndose la data, difundiendo as la informacin (A24)
MEDIO Disoftware, Ryougan technology, Garrobito Web, Ceminfo.
P8-Medios de almacenamiento
masivo (A23) Llevndose la data, difundiendo as la informacin (A24)
BAJO Disoftware, Syscotel SA de CV, Ryougan technology, Garrobito Web, Ceminfo.
P9-Normas para el uso de los
equipos de la empresa (A25). Polticas de seguridad para la empresa (A26).
Baja Media Alta
Probabilidad
I
M
P
A
C
T
O
PLAN DE VALORACIN DE RIESGO. 2009
102 | P g i n a
5.4.1 Matriz 1.- NIVEL DE RIESGOS DE PROBLEMAS OCURRIDOS EN LAS EMPRESAS.
ALTO Garrobito Web, Ceminfo.
P10-Fuego (A27).
Syscotel SA de CV, Ryougan technology.
P10-Inundaciones (A28).
Ryougan technology.
P10-Sismos (A29.)
Syscotel SA de CV
P10- Huracanes (A30)
MEDIO
BAJO
Baja Media Alta
Probabilidad
I
M
P
A
C
T
O
Ver anexo de instrumento de recoleccin de informacin Cedula de entrevista, Cuestionario. Anexo N 6 y 7
PLAN DE VALORACIN DE RIESGO. 2009
103 | P g i n a
5.5 FASE 2. - ANLISIS Y VALORACIN RIESGO
Una vez que los riesgos han sido identificados y descrito sus procesos y
amenazas, se llevara a cabo su evaluacin.
El paso a seguir es hacer el anlisis y la valoracin.
En esta actividad se tiene como objetivo, una vez definidos los riesgos, la
determinacin y clculo de los criterios que, con posterioridad, nos facilitarn la
evaluacin y valoracin del riesgo.
Como procedimiento a seguir se identificarn las variables especficas y se
analizarn los factores obtenidos. Los criterios de anlisis del riesgo para este
caso en particular que usaremos son: Probabilidad o frecuencia, gravedad o
impacto y la aceptabilidad del riesgo.
Para poder hacer el anlisis y la valoracin del riesgo es necesario elaborar
las escalas de probabilidad y gravedad en que se pueden presentar las amenazas.
Estas dos tablas tienen como finalidad obtener una calificacin del riesgo en
cuanto a frecuencia o posibilidad de ocurrencia y en cuanto a la consecuencia o
gravedad si se llegara a materializar la amenaza.
PLAN DE VALORACIN DE RIESGO. 2009
104 | P g i n a
5.5.1 Tabla # 12. Contiene una Escala de Probabilidad.
VALOR PROBABILIDAD (FRECUENCIA) DEFINICIN
1
Improbable
Se presenta bajo circunstancias extremas de orden pblico en el pas, de catstrofe o bajo situaciones excepcionales fuera del alcance de la organizacin o del proyecto. Como paros, huelgas, sabotajes o amenazas de terrorismo.
2
Remoto
Se presenta por situaciones atribuibles a las personas, y pueden ser causadas por hechos internos de la organizacin hacia el proyecto como suspenderlo, no apoyarlo, abortarlo, entre otras.
3
Ocasional
El evento se clasifica como no- rutinario y no es inherente a la tecnologa, su frecuencia se asocia con variables externas a la tecnologa, los procesos o componentes del proyecto.
4
Moderado
Se presenta por situaciones atribuibles al descuido o error humano que afectan la ejecucin del proyecto.
5
Frecuente
Se presenta con cierta regularidad, y su causa es atribuible a los recursos mnimos del proyecto (Personas, presupuesto, tiempo, tecnologa) los cuales son necesarios para su ejecucin.
6
Constante
Se presenta en el da a da, su origen es atribuible a situaciones normales del proyecto como interrupciones menores de los procesos, los servicios de la tecnologa, la desviacin de los recursos y otros similares.
PLAN DE VALORACIN DE RIESGO. 2009
105 | P g i n a
Definicin Aplicativa.
IMPROBABLE: Cuando el riesgo evaluado no ha sucedido hasta ahora y es muy
difcil que ocurra.
REMOTO: Cuando el riesgo evaluado ha sucedido slo en forma excepcional y se
tiene una posibilidad de ocurrencia muy baja.
OCASIONAL: Cuando el riesgo evaluado ha sucedido pocas veces y tiene baja
posibilidad de ocurrencia.
MODERADO: Si el riesgo sucede en forma espordica y tiene limitada posibilidad
de ocurrencia.
FRECUENTE: Si el riesgo sucede algunas veces y tiene una significativa
posibilidad de ocurrencia.
CONSTANTE: Cuando el riesgo evaluado sucede en forma reiterada y tiene alta
posibilidad de ocurrencia.
El termino Gravedad: se refiere a la magnitud en trminos relativos de las
consecuencias que pueden generarse al ocurrir la amenaza evaluada.
La tabla de gravedad, debe construirse en forma estndar para las empresas.
PLAN DE VALORACIN DE RIESGO. 2009
106 | P g i n a
5.5.2 TABLA # 13. ESCALA DE GRAVEDAD.
VALOR GRAVEDAD
1 Insignificante: La duracin de la interrupcin es menor a 1 Hora.
2 Marginal: La duracin de la interrupcin esta entre 1-4
Horas.
5 Grave: La duracin de la interrupcin esta entre 4-8 Horas.
10 Crtico: La duracin de la interrupcin esta entre 8-24 Horas.
20 Desastroso: La duracin de la interrupcin esta entre 24-36 Horas.
50 Catastrfico: La duracin de la interrupcin es mayor a 36 Horas.
PLAN DE VALORACIN DE RIESGO. 2009
107 | P g i n a
INSIGNIFICANTE: Cuando las consecuencias (impacto) pueden ser consideradas
como despreciables porque que no afectan el funcionamiento del proyecto.
MARGINAL: Cuando las consecuencias (impacto) se consideran tolerables
(moderadas) porque afectan en forma leve al proyecto.
GRAVE: Cuando las consecuencias (impacto) afectan parcialmente el
funcionamiento del proyecto, pero no ponen en peligro su ejecucin.
CRTICO: Se valora la consecuencia (impacto) en trminos considerables porque
dichas consecuencias afectan parcialmente al proyecto desplazando su ejecucin.
DESASTROSO: Las consecuencias afectan totalmente al proyecto, desplazando
su ejecucin y aumentando los costos del mismo de lo inicialmente
presupuestado.
CATASTRFICO: Cuando las consecuencias se consideran de gran magnitud
porque afectan en forma total el proyecto pudiendo poner en riesgo la estabilidad
del mismo e inclusive impidiendo su terminacin.
Podemos hablar con el trmino riesgo cuando la amenaza se evala con las
escalas de probabilidad y gravedad. El prximo paso entonces, de esta etapa, es
calificar los riesgos multiplicando el valor del riesgo en cuanto a probabilidad por el
valor del riesgo en cuanto a gravedad.
Riesgo = Probabilidad X Gravedad (R = PxG).
Tal como se muestra en la Tabla # 14 tomando como referencias las Matrices de
Eventos o escenarios en cuanto a Procesos:
PLAN DE VALORACIN DE RIESGO. 2009
108 | P g i n a
5.5.3 TABLA #14 CALIFICACIN DEL RIESGO CON RELACIN A LOS PROCESOS.
ENTORNO DE PROCESOS PROBABILIDAD P GRAVEDAD G RIESGO (PxG)
METODOLOGA DE TRABAJO.-P1- A1, A2, A3, A4, A5.
OCASIONAL
3
CRTICO
10
30
PROYECTOS EN DESARROLLO.- P2-A5, A6, A7, A8, A9, A10.
OCASIONAL
3
GRAVE
5
15
MAL FUNCIONAMIENTO DE HARDWARE.- P3- A11, A12.
OCASIONAL 3 CATASTRFICO 50 150
FALTA DE SEGURIDAD FSICA EN SUS INSTALACIONES.-P4-A13, A14, A15.
OCASIONAL
3
MARGINAL
2
6
LOS VIRUS INFORMTICOS.-P5 A16, A17.
REMOTO 2 GRAVE 5 10
LOS ACCESOS NO AUTORIZADOS.-P6 A19,A19,A20
OCASIONAL 3 GRAVE 5 15
ALMACENAMIENTO DE LOS RESPALDOS (BACKUPS).-P7-A21, A22.
REMOTO 2 CRTICO
10 20
EL ROBO. - P8-A23, A24. OCASIONAL 3 DESASTROSO 20 60
NORMAS Y POLTICAS.-P9-A25, A26.
OCASIONAL 3 CRTICO
10 30
DESASTRES NATURALES.-P10-A27, A28, A29, A30.
REMOTO 2 CATASTRFICO 50 100
Riesgo = P X G Donde: P = Probabilidad de ocurrencia (frecuencia) G = Gravedad o intensidad de las consecuencias (impacto)
PLAN DE VALORACIN DE RIESGO. 2009
109 | P g i n a
5.6 FASE 3. - ANALISIS DE RESULTADOS
5.6.1 Elaborar la Matriz de Aceptabilidad, que nos permita
determinar el nivel de aceptabilidad hacia el riesgo.
La Matriz de Aceptabilidad de Riesgos nos determina el nivel de
aceptabilidad del evento o escenario (combinacin de Riesgo proceso, o
combinacin de riesgo tecnologa) que pueda suceder en el proyecto.
Esta matriz est conformada por cuatro zonas de acuerdo con la escala de
probabilidad y de gravedad definida en los pasos anteriores:
Zona Aceptable: Donde la probabilidad de ocurrencia del riesgo es muy baja, es
decir, un evento o escenario situado en esta regin de la matriz, significa que la
combinacin frecuencia consecuencia no implica una gravedad significativa, por lo
que no amerita la inversin de recursos y no requiere acciones adicionales para la
gestin sobre el factor de vulnerabilidad considerado, diferentes a las ya aplicadas
en el proyecto.
Zona Tolerable: Un evento o escenario situado en esta regin de la matriz,
significa que, aunque deben desarrollarse actividades para la gestin sobre el
riesgo en el proyecto, tienen una prioridad de segundo nivel, pudiendo ser a
mediano plazo.
Zona Inaceptable: Donde la probabilidad de ocurrencia del riesgo es alta, y su
consecuencia es considerable, es decir, un evento o escenario situado en esta
regin de la Matriz, significa que se requiere siempre desarrollar acciones
prioritarias a corto plazo para su gestin, debido al alto impacto que tendran sobre
el proyecto.
Zona Inadmisible: Un riesgo identificado situado en esta regin de la matriz,
significa que bajo ninguna circunstancia se deber mantener un escenario con esa
capacidad potencial de afectar la estabilidad del proyecto e inclusive su
PLAN DE VALORACIN DE RIESGO. 2009
110 | P g i n a
terminacin. Por ello estos escenarios requieren una atencin de alta prioridad
para buscar disminuir en forma inmediata su vulnerabilidad.
Para determinar los lmites de cada una de las zonas de aceptabilidad en la
matriz, se utilizan los siguientes criterios de valoracin:
5.6.1.1 Tabla # 15 Matriz de Zona de Aceptabilidad.
ZONA CRITERIO DE ACEPTABILIDAD
(% de vulnerabilidad).
Aceptable Hasta el 3.0
Tolerable Del 3.1 al 5.0
Inaceptable Del 5.1 al 25.0
Inadmisible Ms del 25.0
5.6.1.2 Tabla # 16 PROBABILIDAD RELATIVA.
Constante 6 6 (2.0%) 12 (4.0%) 30 (10.0%) 60 (20.0%) 120 (40.0%) 300 (100.0%)
Frecuente 5 5 (1.6%) 10 (3.3%) 25 (8.3%) 50 (16.6%) 100 (33.3%) 250 (83.3%)
Moderado 4 4 (1.3%) 8 (2.6%) 20 (6.6%) 40 (13.3%) 80 (26.6%) 200 (66.6%)
Ocasional 3 3 (1.0%) 6 (2.0%) 15 (5.0%) 30 (10.0%) 60 (20.0%) 150 (50.0%)
Remoto 2 2 (0.6%) 4 (1.3%) 10 (33.3%) 20 (6.6%) 40 (13.3%) 100(33.3%)
Improbable 1 1(0.3%) 2 (0.6%) 5 (1.6%) 10 (3.3%) 20 (6.6%) 50 (16.6%)
1 2 5 10 20 50
Insignificante Marginal Grave Crtico Desastroso Catastrfico
GRAVEDAD RELATIVA
PLAN DE VALORACIN DE RIESGO. 2009
111 | P g i n a
Cada riesgos encontrados (Pn An), resultante de la matriz de eventos con
relacin a los procesos informticos, se sita dentro de la matriz de aceptabilidad
para poder determinar los requerimientos de medidas de control como insumos
necesarios para la prxima etapa o fase que es la de Control.
La Matriz de Aceptabilidad del riesgo est determinada por la escala de
probabilidad tomada de la Tabla #12 y la escala de gravedad basada en la Tabla
#13 con la definicin de los valores de aceptable, tolerable, inaceptable e
inadmisible como se muestra a continuacin en la Tabla # 17:
5.6.1.3 Tabla # 17 Matriz de Aceptabilidad.
PROBABILIDAD RELATIVA Constante 6 Aceptable Tolerable Inaceptable Inaceptable Inadmisible Inadmisible
Frecuente 5 Aceptable Tolerable Inaceptable Inaceptable Inadmisible Inadmisible
Moderado 4 Aceptable Aceptable Inaceptable Inaceptable Inadmisible Inadmisible
Ocasional 3 Aceptable Aceptable Tolerable Inaceptable Inaceptable Inadmisible
Remoto 2 Aceptable Aceptable Tolerable Inaceptable Inaceptable Inadmisible
Improbable 1 Aceptable Aceptable Aceptable Tolerable Inaceptable Inaceptable
1 2 5 10 20 50
Insignificante Marginal Grave Crtico Desastroso Catastrfico
GRAVEDAD RELATIVA.
PLAN DE VALORACIN DE RIESGO. 2009
112 | P g i n a
5.6.1.4 Tabla #18. Matriz de Aceptabilidad para el entorno de Procesos.
PROBABILIDAD RELATIVA.
Constante 6
Frecuente 5
Moderado 4
Ocasional 3 Falta de seguridad fsica en sus instalaciones.-P4-A13, A14, A15.
Proyectos en desarrollo.- P2-A5, A6, A7, A8, A9, A10.
Metodologa de trabajo.-P1- A1, A2, A3, A4, A5.
El robo.- P8-
A23, A24.
Mal funcionamiento de hardware.- P3- A11, A12. Normas y
polticas.-P9-A25, A26.
Los accesos no autorizados.-P6 A19,A19,A20
Remoto 2 Los virus informticos.-P5 A16, A17.
Almacenamiento de los respaldos (backups).-P7-A21, A22.
Desastres naturales.-P10-A27, A28, A29, A30.
Improbable 1
1 2 5 10 20 50
Insignificante Marginal Grave Crtico Desastroso Catastrfico
GRAVEDAD RELATIVA.
PLAN DE VALORACIN DE RIESGO. 2009
113 | P g i n a
Perfil de los riesgos.
El conjunto de todos los riesgos encontrados ubicados en la matriz de
aceptabilidad configura el perfil de los riesgos para el proyecto o sistema y que se
realiza para el entorno de los procesos y los proyectos informticos: Metodologa
de trabajo, Proyectos en desarrollo, Mal funcionamiento de hardware, Falta de
seguridad fsica en sus instalaciones, Los virus informticos, Los accesos no
autorizados, Almacenamiento de los respaldos (backups), El robo, Normas y
polticas, Desastres naturales.
5.7 FASE 4.- CONTROL
Esta fase consiste en identificar y analizar las soluciones disponibles para
tratar los riesgos estudiados en las etapas anteriores, con el fin de reducir la
frecuencia y severidad de las prdidas, en caso de que los riesgos identificados se
materialicen.
Control es toda accin orientada a minimizar la frecuencia de ocurrencia de
las causas del riesgo o valor de las prdidas ocasionadas por ellas.
Los controles sirven para asegurar la consecucin de los objetivos de la
organizacin o asegurar el xito de un sistema y para reducir la exposicin de los
riesgos, a niveles razonables. Los objetivos bsicos de los controles son:
Prevenir las causas del riesgo, detectar la ocurrencia de las causas del
riesgo, retroalimentando el sistema de control interno con medios correctivos para
establecer las respectivas medidas de proteccin y permitiendo as la continuidad
de la organizacin o el proyecto que est en ejecucin.
PLAN DE VALORACIN DE RIESGO. 2009
114 | P g i n a
En el siguiente grafico muestra cuales son las actividades que se deben
seguir para tener un buen control de riesgos en el proyecto que se est
desarrollado.
5.7.1 C O N T R O L DEL R I E S G O S
Control Fsico/Lgico: En esta actividad se definen dos alternativas
fundamentales para obtener un buen control del riesgo:
Prevencin: Estudio exhaustivo de las alternativas lgicas conducentes a reducir
en la medida de lo posible, las causas que originan la materializacin de un riesgo.
Son aquellas medidas tendientes a minimizar las causas que puedan
provocar una prdida teniendo en cuenta los procesos, la gente y la tecnologa.
Proteccin: Conjunto de actividades encaminadas a reducir la severidad del
impacto causado por la materializacin de un riesgo. Actan sobre las
consecuencias.
PLAN DE VALORACIN DE RIESGO. 2009
115 | P g i n a
Son aquellas medidas tendientes a reducir la severidad de la prdida, es
decir en caso de que sta suceda, reduzca las consecuencias al mnimo, teniendo
en cuenta los procesos, la gente y la tecnologa.
Control Financiero: En esta actividad se definen dos alternativas fundamentales
la de retener y la de transferir el riesgo:
Retener: Consiste en proveer los medios hoy, para el estado de necesidad, que la
materializacin de un riesgo pueda causar en el futuro. De acuerdo con la
capacidad financiera de la organizacin, se pueden asumir los riesgos que se
determinen despus de analizar la matriz de riesgos. Se asumen generalmente los
riesgos de baja probabilidad de ocurrencia y baja severidad (riesgos no
catastrficos).
Uno de los mecanismos que se pueden definir en la empresa o en el
proyecto para tratar los riesgos que se consideren, se pueden asumir el fondo en
reservar de dinero para anticiparse a las consecuencias de una prdida que se
podra generar al materializarse el riesgo asumido y previamente calculado su
posible costo.
Transferir: Es el traslado del riesgo a una compaa aseguradora mediante el
pago de una prima. (Contrato de seguro). Consiste tambin en la transferencia
contractual de los riesgos a los contratistas y subcontratistas de la organizacin o
de los que interviene en el desarrollo del proyecto.
Anlisis de resultados: Cualquier proceso requiere de una retroalimentacin,
para mantenerse en el tiempo y hacerse flexible ante los mltiples y vertiginosos
cambios que se viven en las organizaciones y con mayor razn en los proyectos y
especialmente en los de tecnologa de informacin.
PLAN DE VALORACIN DE RIESGO. 2009
116 | P g i n a
Cuando ocurren cambios en el proyecto, es ciclo bsico de identificacin,
evaluacin, anlisis y valoracin de riesgos se repite.
Es importante comprender que incluso el anlisis ms profundo y completo
no puede identificar todos los riesgos y probabilidades correctamente se requiere
un control y una iteracin.
Los riesgos son dinmicos y deben ser monitoreados permanentemente
PLAN DE VALORACIN DE RIESGO. 2009
117 | P g i n a
5.8. RECOMENDACIONES.
La metodologa aqu definida y documentada se convierte en una
herramienta clave para las empresas desarrolladoras de software de la
ciudad de san Miguel. Porque a travs de su utilizacin y aplicacin le
facilita identificar, evaluar, controlar y valorar los riesgos de en proyectos
informticos que emprenda la compaa, mejorando la gestin con el fin de
disminuir el impacto de la tecnologa en los costos, recursos y el tiempo al
entrar en produccin.
La aplicacin de esta metodologa, deber realizarse en todas las etapas de
los proyectos informticos, hacindola extensiva a que la empresa en
adelante pueda emplearla en cada aspecto especfico.
El plan cubre una gama de aspectos ticos, econmicos, administrativos y
tecnolgicos que le permitirn al administrador o especialistas en
informtica (programadores) tener un dominio integral sobre cada aspecto
de la ejecucin del proyecto garantizando su continuidad.
PLAN DE VALORACIN DE RIESGO. 2009
118 | P g i n a
5.9. CONCLUSIONES.
Para definir la metodologa de anlisis y valoracin de riesgos en proyectos
informticos se tuvo en cuenta las tres dimensiones fundamentales que
componen una organizacin informtica a nivel mundial: Los procesos la
gente y la tecnologa, sin olvidar que la parte ms importante es la gente, la
que hace que los procesos y la tecnologa funcionen.
Desde los comienzos de la computacin, los recursos informticos
incluyendo la informacin, han estado expuestos a una serie de peligros o
riesgos que han aumentado y evolucionado
Proteger los activos ms valiosos de las empresas frente a posibles
amenazas que ofrece permanentemente el medio, es un gran desafo. Este
inters crece aun ms cuando la informacin cobra importancia para
sobrevivir frente a la competencia y permanecer en el mercado.