Administración de riesgos en tecnología informática

SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN TECNOLOGÍA
INFORMÁTICA
INTRODUCCION
Es importante en toda organización contar con una herramienta, que garantice la correcta
evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que
participan en el área informática; y por medio de procedimientos de control se pueda
evaluar el desempeño del entorno informático.
Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en
cuenta que, una de las principales causas de los problemas dentro del entorno informático,
es la inadecuada administración de riesgos informáticos, este trabajo sirve de apoyo para
una adecuada gestión de la administración de riesgos, basándose en los siguientes aspectos:
La evaluación de los riesgos inherentes a los procesos informáticos.
La evaluación de las amenazas ó causas de los riesgos.
Los controles utilizados para minimizar las amenazas a riesgos.
La asignación de responsables a los procesos informáticos.
La evaluación de los elementos del análisis de riesgos.
PARTE I - ADMINISTRACION DE RIESGOS
1. EL PROBLEMA - ADMINISTRACION DE RIESGOS
El riesgo es una condición del mundo real en el cual hay una exposición a la adversidad,
conformada por una combinación de circunstancias del entorno, donde hay posibilidad de
perdidas.
1.1. CLASIFICACION DE LOS RIESGOS
Los negocios pueden fallar o sufrir perdidas como un resultado de un variedad de causas.
Las diferencias en esas causas y sus efectos constituyen las bases para diferenciar los
riesgos, los cuales se pueden clasificar así:
RIESGOS FINANCIEROS: El riesgo financiero envuelve la relación entre una
organización y una ventaja que puede ser perdida o perjudicada. De este modo el riesgo
financiero envuelve 3 elementos:
1. La organización que esta expuesta a perdidas
2. Los elementos que conforman las causas de perdidas financieras
3. Un peligro que puede causar la perdida (amenaza a riesgo).
RIESGOS DINAMICOS: Son el resultado de cambios en la economía que surgen de dos
conjuntos de factores :
4. Factores del entorno exterior ; la economía, la industria, competidores y clientes.
5. Otros factores que pueden producir las perdidas que constituyen las base del riesgo
especulativo son las decisiones de la administración de la organización.
RIESGOS ESTATICOS: Estos riesgos surgen de otras causas distintas a los cambios de
la economía tales como: deshonestidad o fallas humanas.
RIESGO ESPECULATIVO: Describe una situación que espera una posibilidad de
pérdida o ganancia. Un buen ejemplo es una situación aventurada o del azar.
RIESGO PURO: Designa aquellas situaciones que solamente generan o bien pérdida o
ganancia, un ejemplo es la posibilidad de rdida en la compra de un bien (automóviles,
casas, etc.). Los riesgos puros pueden ser clasificados de la siguiente forma :
Riesgo Personal : Consiste en la posibilidad de perdida sujeta a los siguientes peligros :
muerte prematura, enfermedad e incapacidades
Riesgos de las posesiones : Abarcan 2 distintos tipos de pérdida que son: pérdidas
directas por destrucción de bienes, y pérdidas indirectas causados por las consecuencias
de las pérdidas directas o gastos adicionales.
Riesgos de Responsabilidades : Su peligro básico consiste en el perjuicio de otras
personas o daño de una propiedad por negligencia o descuido.
Riesgos físicos: Se tienen en esta clase por ejemplo: El exceso de ruido, Iluminación
inadecuada, exposición a radiaciones, instalaciones eléctricas inadecuadas.
Riesgos químicos: Se tienen en esta clase por ejemplo: Exposición a vapores de los
solventes, humo de combustión y gases.
Riesgos biológicos: Hongos y bacterias.
Riesgos psicosociales: Ingresos económicos injustos, monotonía, falta de incentivos y
motivación.
Riesgos ergonómicos: Puesto de trabajo incomodo, Posición corporal forzada,
movimiento repetitivo al operar máquinas, hacinamiento.
RIESGO FUNDAMENTAL: Envuelve las pérdidas que son impersonales en origen y
consecuencia. La mayor parte son causados por fenómenos económicos, sociales. Ellos
afectan parte de una organización.
RIESGO PARTICULAR: Son perdidas que surgen de eventos individuales antes que
surjan de un grupo entero. Desempleo, guerra, inflación, terremotos son todos riesgos
fundamentales ; el incendio de una casa y el robo de un banco son riesgos particulares.
1.2. RIESGOS DE NEGOCIO RELACIONADOS CON LA INFORMATICA
Los principales riesgos informáticos de los negocios son los siguientes:
Riesgos de Integridad: Este tipo abarca todos los riesgos asociados con la autorización,
completitud y exactitud de la entrada, procesamiento y reportes de las aplicaciones
utilizadas en una organización. Estos riesgos aplican en cada aspecto de un sistema de
soporte de procesamiento de negocio y están presentes en múltiples lugares, y en múltiples
momentos en todas las partes de las aplicaciones; no obstante estos riesgos se manifiestan
en los siguientes componentes de un sistema:
Interface del usuario: Los riesgos en esta área generalmente se relacionan con las
restricciones, sobre las individualidades de una organización y su autorización de ejecutar
funciones negocio/sistema; teniendo en cuenta sus necesidades de trabajo y una razonable
segregación de obligaciones. Otros riesgos en esta área se relacionan a controles que
aseguren la validez y completitud de la información introducida dentro de un sistema.
Procesamiento: Los riesgos en esta área generalmente se relacionan con el adecuado
balance de los controles detectivos y preventivos que aseguran que el procesamiento de la
información ha sido completado. Esta área de riesgos también abarca los riesgos asociados
con la exactitud e integridad de los reportes usados para resumir resultados y tomar
decisiones de negocio.
Procesamiento de errores: Los riesgos en esta área generalmente se relacionan
con los métodos que aseguren que cualquier entrada/proceso de información de errores
(Exceptions) sean capturados adecuadamente, corregidos y reprocesados con exactitud
completamente.
Interface: Los riesgos en esta área generalmente se relacionan con controles
preventivos y detectivos que aseguran que la información ha sido procesada y transmitida
adecuadamente por las aplicaciones.
Administración de cambios: Los riesgos en esta área pueden ser generalmente
considerados como parte de la infraestructura de riesgos y el impacto de los cambios en las
aplicaciones. Estos riesgos están asociados con la administración inadecuadas de procesos
de cambios organizaciones que incluyen: Compromisos y entrenamiento de los usuarios a
los cambios de los procesos, y la forma de comunicarlos e implementarlos.
Información: Los riesgos en esta área pueden ser generalmente considerados como
parte de la infraestructura de las aplicaciones. Estos riesgos están asociados con la
administración inadecuada de controles, incluyendo la integridad de la seguridad de la
información procesada y la administración efectiva de los sistemas de bases de datos y de
estructuras de datos. La integridad puede perderse por: Errores de programación (buena
información es procesada por programas mal construídos), procesamiento de errores
(transacciones incorrectamente procesadas) ó administración y procesamiento de errores
(Administración pobre del mantenimiento de sistemas).
Riesgos de relación: Los riesgos de relación se refieren al uso oportuno de la
información creada por una aplicación. Estos riesgos se relacionan directamente a la
información de toma de decisiones (Información y datos correctos de una
persona/proceso/sistema correcto en el tiempo preciso permiten tomar decisiones
correctas).
Riesgos de acceso: Estos riesgos se enfocan al inapropiado acceso a sistemas,
datos e información. Estos riesgos abarcan: Los riesgos de segregación inapropiada de
trabajo, los riesgos asociados con la integridad de la información de sistemas de bases de
datos y los riesgos asociados a la confidencialidad de la información. Los riesgos de acceso
pueden ocurrir en los siguientes niveles de la estructura de la seguridad de la información:
Procesos de negocio: Las decisiones organizacionales deben separar trabajo
incompatible de la organización y proveer el nivel correcto de ejecución de funciones.
Aplicación: La aplicación interna de mecanismos de seguridad que provee a los usuarios
las funciones necesarias para ejecutar su trabajo.
Administración de la información: El mecanismo provee a los usuarios acceso a la
información específica del entorno.
Entorno de procesamiento: Estos riesgos en esta área están manejados por el acceso
inapropiado al entorno de programas e información.
Redes: En esta área se refiere al acceso inapropiado al entorno de red y su
procesamiento.
Nivel físico: Protección física de dispositivos y un apropiado acceso a ellos.
Riesgos de utilidad: Estos riesgos se enfocan en tres diferentes niveles de riesgo:
Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los
problemas ocurran.
Técnicas de recuperación/restauración usadas para minimizar la ruptura de los sistemas.
Backups y planes de contingencia controlan desastres en el procesamiento de la
información.
Riesgos en la infraestructura: Estos riesgos se refieren a que en las organizaciones
no existe una estructura información tecnológica efectiva (hardware, software, redes,
personas y procesos) para soportar adecuadamente las necesidades futuras y presentes de
los negocios con un costo eficiente. Estos riesgos están asociados con los procesos de la
información tecnológica que definen, desarrollan, mantienen y operan un entorno de
procesamiento de información y las aplicaciones asociadas (servicio al cliente, pago de
cuentas, etc.). Estos riesgos son generalmente se consideran en el contexto de los siguientes
procesos informáticos:
Planeación organizacional: Los proceso en esta área aseguran la definición del
impacto, definición y verificación de la tecnología informática en el negocio. Además,
verifica si existe una adecuada organización (gente y procesos) asegura que los esfuerzos
de la tecnología informática será exitosa.
Definición de las aplicaciones: Los procesos en esta área aseguran que las
aplicaciones satisfagan las necesidades del usuario y soporten el contexto de los procesos
de negocio. Estos procesos abarcan: la determinación de comprar una aplicación ya
existente ó desarrollar soluciones a cliente. Estos procesos también aseguran que cualquier
cambio a las aplicaciones (compradas o desarrolladas) sigue un proceso definido que
confirma que los puntos críticos de proceso/control son consistentes (Todos los cambios
son examinados por usuarios antes de la implementación).
Administración de seguridad: Los procesos en esta área aseguran que la organización
está adecuadamente direccionada a establecer, mantener y monitorizar un sistema interno
de seguridad, que tenga políticas de administración con respecto a la integridad y
confidencialidad de la información de la organización, y a la reducción de fraudes a niveles
aceptables.
Operaciones de red y computacionales: Los procesos en esta área aseguran que los
sistemas de información y entornos de red están operados en un esquema seguro y
protegido, y que las responsabilidades de procesamiento de información son ejecutados por
personal operativo definido, medido y monitoreado. También aseguran que los sistemas
son consistentes y están disponibles a los usuarios a un nivel de ejecución satisfactorio.
Administración de sistemas de bases de datos: Los procesos en esta área están
diseñados para asegurar que las bases de datos usadas para soportar aplicaciones críticas y
reportes tengan consistencia de definición, correspondan con los requerimientos y reduzcan
el potencial de redundancia.
Información / Negocio: Los proceso en esta área están diseñados para asegurar que
existe un plan adecuado para asegurar que la tecnología informática estará disponible a los
usuarios cuando ellos la necesitan.
Riesgos de seguridad general: Los estándar 1IEC 950 proporcionan los requisitos de
diseño para lograr una seguridad general y que disminuyen el riesgo:
Riesgos de choque de eléctrico: Niveles altos de voltaje.
Riesgos de incendio: Inflamabilidad de materiales.
Riesgos de niveles inadecuados de energía eléctrica.
Riesgos de radiaciones: Ondas de ruido, de láser y ultrasónicas.
Riesgos mecánicos: Inestabilidad de las piezas eléctricas.
1.3. TECNICAS DE PROCEDIMIENTOS PARA ADMINISTRAR RIESGOS
EVITAR RIESGOS: Un riesgo es evitado cuando en la organización no se acepta. Esta
técnica puede ser más negativa que positiva. Si el evitar riesgos fuera usado excesivamente
el negocio sería privado de muchas oportunidades de ganancia (por ejemplo: arriesgarse a
hacer una inversión) y probablemente no alcanzaría sus objetivos.
REDUCCION DE RIESGOS: Los riegos pueden ser reducidos, por ejemplo con:
programas de seguridad, guardias de seguridad, alarmas y estimación de futuras pérdidas
con la asesoría de personas expertas.
CONSERVACION DE RIESGOS: Es quizás el más común de los métodos para
enfrentar los riesgos, pues muchas veces una acción positiva no es transferirlo o reducir su
acción. Cada organización debe decidir cuales riegos se retienen, o se transfieren basándose
en su margen de contingencia, una pérdida puede ser un desastre financiero para
organización siendo fácilmente sostenido por otra organización.
1 Estándar de la Comisión Electrónica Internacional (IEC)- en inglés, él cual es utilizado para
tecnología informática y equipos eléctricos.
COMPARTIR RIESGOS: Cuando los riesgos son compartidos, la posibilidad de perdida
es transferida del individuo al grupo.
2. SOLUCIONES EN LA ADMINISTRACION DE RIESGOS
2.1. DEFINICION DE ADMINISTRACION DE RIESGOS
La administración de riesgos es una aproximación científica del comportamiento de los
riesgos, anticipando posibles perdidas accidentales con el diseño e implementación de
procedimientos que minimicen la ocurrencia de pérdidas o el impacto financiero de las
pérdidas que puedan ocurrir.
2.2. HERRAMIENTAS DE LA ADMINISTRACION DE RIESGOS
Las principales técnicas o herramientas usadas en la administración de riesgos son :
Control de Riesgos : Técnica diseñada para minimizar los posibles costos causados por
los riesgos a que esté expuesta la organización, esta técnica abarca el rechazo de cualquier
exposición a pérdida de una actividad particular y la reducción del potencial de las posibles
perdidas.
Financiación de Riesgos : Se enfoca en garantizar la habilidad de conocer recursos
financieros y las perdidas que pueden ocurrir en ellos. Frecuentemente los riegos se
transfieren o se retienen. Cuando se retienen se acompañan de una colocación específica
del presupuesto y puede abarcar la acumulación de un recurso financiero para conocer sus
desviaciones. Cuando se transfiere abarcan los arreglos contractuales y la subcontratación
de ciertas actividades.
2.3 PROCESO DE LA ADMINISTRACION DE RIESGOS
El proceso consta de los siguientes pasos :
Determinar los Objetivos : El primer paso en la administración de riesgos es decidir
precisamente el programa de administración de riesgos. Para obtener el máximo beneficio
de los gastos asociados con la administración de riesgos un plan es necesario. De otro
modo, es ver el proceso de administración de riesgos como una serie de problemas aislados
mas bien que un problema sencillo, y no hay guías para proveer una consistencia lógica en
los procesos de la organización.
El principal objetivo de la administración de riesgos, como primera ley de la naturaleza,
garantizar la supervivencia de la organización, minimizando los costos asociados con los
riesgos. Muchos de los defectos en la administración de riesgos radica en la ausencia de
objetivos claros.
Los objetivos de la administración de riesgos están formalizados en una “política
corporativa de administración de riesgos”, la cual describe las políticas y medidas tomadas
para su consecución.
Idealmente los objetivos y las políticas de administración de riesgos deben ser producto de
las decisiones de la Junta Directiva de la compañía.
Identificación de los Riesgos : Es difícil generalizar acerca de los riesgos de una
organización porque las condiciones y operaciones son distintas, pero existen formas de
identificarlos entre las cuales están:
Herramientas de identificación de riesgos : Las más importantes herramientas usadas en
la identificación de riesgos incluyen: registros internos de la organización, listas de chequeo
para políticas de seguros, cuestionarios de análisis de riesgos, flujos de procesos, análisis
financiero, inspección de operaciones y entrevistas.
Aproximación de combinación : La aproximación preferida en la identificación de
riesgos consiste de una aproximación de combinación, en el cual todas las herramientas de
identificación de riesgos están hechas para tolerar problemas. En pocas palabras cada
herramienta puede resolver una parte del problema y combinados pueden ser una
considerable ayuda al administrador de riesgos. Los riesgos pueden surgir de muchas
fuentes, por lo cual el administrador de riesgos necesita un sistema de información de
búsqueda rápida, diseñado para proveer el flujo de información acerca de cambios en
operaciones y cambios en las relaciones con las entidades externas.
Evaluación de Riesgos : Una vez que los riesgos han sido identificados el administrador
de riesgos debe evaluarlos. Esto envuelve la medición del potencial de las pérdidas y la
probabilidad de la pérdida categorizando el orden de las prioridades. Un conjunto de
criterios puede ser usado para establecer una prioridad, enfocada en el impacto financiero
potencial de las pérdidas, por ejemplo :
Riesgos críticos : Todos las exposiciones a pérdida en las cuales la magnitud alcanza la
bancarrota.
Riesgos importantes : Son exposiciones a pérdidas que no alcanzan la bancarrota, pero
requieren una acción de la organización para continuar las operaciones.
Riesgos no importantes : Exposiciones a pérdidas que no causan un gran impacto
financiero.
Consideración de alternativas y selección de mecanismos de tratamiento de
riesgos : El próximo paso es considerar las técnicas que puedan ser usadas para tratar con
riesgos. Estas técnicas incluyen : evitar los riesgos, retención, transparencia y reducción.
Algunas políticas de la administración de riesgos de la organización establece el criterio a
ser aplicada en la elección de técnicas, haciendo un bosquejo de las reglas con las cuales el
administrador de riesgos, puede operar.
Implementación de la Decisión, Evaluación y Revisiones : Este paso debe ser incluido
por 2 razones. Primero, el proceso de administración de riesgos no es la panacea definitiva,
las cosas pueden cambiar nuevos riesgos surgen y riesgos viejos desaparecen, el programa
de administración de riesgos permite al administrador de riesgos revisar decisiones y
descubrir errores.
2.4 RESPONSABILIDADES DEL ADMINISTRADOR DE RIESGOS
1. Desarrollar políticas de administración de riesgos : El administrador de riesgos ayuda a
la organización en la identificación de objetivos y preparación de políticas junto a la alta
gerencia.
2. Identificar los riesgos : Es considerablemente la función más difícil de la administración
de riesgos. Este proceso requiere un gran sistema de información que alertará al
administrador de riesgos sobre nuevas exposiciones a pérdida.
3. Seleccionar alternativas financieras : Basado en la estructura financiera de la
organización, el administrador de riesgos recomienda el camino a tomar.
4. Negociar el alcance de la seguridad : El administrador de riesgos debe determinar que
aseguramiento es necesario y debe obtener la mejor combinación entre alcance y costo.
5. Supervisar la administración interna : Esta función incluye estadísticas de pérdida,
manuales de administración de riegos, monitorización de renovaciones y administración de
horarios.
6. Administrar funciones de riesgo : Esta función incluye : monitorización de seguros y
supervisión de contratos de seguros.
7. Supervisar la prevención a pérdidas : Sin ser expertos deben tener un conocimiento
global del área expuesta a perdida.
3. DECISIONES EN LA ADMINISTRACION DE RIESGOS
Las principales decisiones a tomar en la administración de riesgos son :
Reacciones instintivas al riesgo : El instinto natural de auto-preservación, la reacción
instintiva al peligro, son medidas de control que pueden ser clasificadas como un
comportamiento aprendido. Estas se convierten en estándares innatas al comportamiento y
representan las reglas personales para la prevención a pérdidas.
Buenas y malas decisiones en la administración de riesgos : Uno de los asuntos mas
complejos en las decisiones de la administración de riegos es distinguir las buenas
decisiones de las malas, porque la administración de riesgos abarca decisiones tomadas
bajo condiciones de incertidumbre, siendo algunas veces juzgadas inadecuadamente. La
evaluación debe ser hecha con base en información disponible y actualizada.
Análisis Costo - Beneficio: El análisis costo - beneficio procura medir la contribución
que hace la administración de riesgos, verificando si sus beneficios exceden su costo ;
actualmente el análisis de costo-beneficio puede ser utilizado para juzgar cualquier decisión
donde los beneficios son realizados sobre el tiempo estimado. Aunque el análisis costo-
beneficio es una buena técnica para tomar decisiones en la administración de riesgos, la
naturaleza de los riesgos crea impedimentos para su uso, donde los costos son generalmente
medidos, los beneficios no pueden serlos.
Teoría de la Utilidad : La teoría de la utilidad fue originalmente introducida para
explicar la naturaleza de la función de la demanda, es decir la utilidad o satisfacción
derivada del beneficio económico no se incrementa proporcionalmente con los incrementos
en el bien, usando esta técnica como base en la toma de decisiones surgen decisiones
consistentes, aunque algunas veces inadecuadas.
La Teoría de Decisión : También llamada análisis de decisión puede ser usada para
determinar estrategias opcionales cuando una decisión tomada es afrontada con algunas
decisiones alternativas y un modelo incierto de futuros eventos.
El primer paso del analista en la teoría de la decisión dado un problema es listar todas las
alternativas disponibles de decisión ; el segundo paso es listar todos los futuros eventos que
podrían ocurrir, estos futuros eventos son llamados los “Estados de la Naturaleza” del
problema. Las situaciones de decisión se dividen en 3 tipos :
a. Toma de decisiones bajo certidumbre : uno y solamente un “estado de naturaleza” existe,
y la decisión es tomada con certeza.
b. Toma de decisiones bajo riesgo : existe más de un “estado de naturaleza”, y todos los
estados disponibles son probables.
c. Toma de decisiones bajo incertidumbre : existe más de un “estado de naturaleza”, pero
nada es conocido sobre la probabilidad o elección de ocurrencia de varios estados.
3.1 REGLAS DE LA ADMINISTRACIÓN DE RIESGOS
La administración de riesgos se ha considerado como un área funcional especial de la
organización, por lo cual se han ido formalizando sus principios y técnicas. Dentro del
campo de la administración de riesgos se crearon las siguientes reglas:
No arriesgarse más de lo posible: el factor mas importante para determinar cuáles
riesgos requieren alguna acción específica es el máximo potencial de pérdida, algunas
pérdidas pueden ser potencialmente devastadoras literalmente fuera del alcance de la
organización mientras tanto otras envuelven menores consecuencias financieras si el
máximo potencial de pérdida de una amenaza es grande, la pérdida es inmanejable o el
riesgo debe ser transferido.
Considerar las diferencias : Esta regla sugiere que la probabilidad de pérdida puede ser
un importante factor para decidir qué hacer sobre un riesgo particular .
No arriesgar mucho por poco : Esta regla dicta que puede haber una razonable relación
entre el costo de transferencia de riesgos y el valor que acumula el entre que los transfiere.
Esta regla provee dos direcciones primero los riesgos no pueden ser retenidos cuando la
pérdida posible es relativamente grande a los beneficios obtenidos a través de la retención,
el segundo aspecto es que en algunas instancias el beneficio que es requerido para asegurar
un riesgo no es proporcional al riesgo transferido.
4. EVALUACION Y REVISION DE PROBLEMAS EN LA ADMINISTRACION DE
RIESGOS
La evaluación y la revisión son importantes para el proceso de administración de riesgos
por dos razones :
a. La primera razón es que las cosas cambian, las soluciones que eran apropiadas en el
pasado emergen y viejos riesgos desaparecen.
b. Los errores están surgiendo constantemente y una revisión persistente provee una
oportunidad de descubrir errores pasados.
4.1. EVALUACION Y REVISION GENERAL
Esta fase corresponde a la parte administrativa de control de la administración de riesgos, el
propósito del control es verificar que las operaciones están de acuerdo con lo planeado y
requiere de:
Estándares y objetivos para ser llevados a cabo.
Medir la ejecución de operaciones con estos estándares y objetivos.
Tomas acciones correctivas cuando los resultados difieran de lo deseado.
4.2 AUDITORIA EN LA ADMINISTRACION DE RIESGOS
El proceso de auditoría incluye los siguiente pasos :
Evaluar los objetivos y las políticas de la administración de riesgos : la evaluación de un
programa de administración de riesgos envuelve la medición de programas con estándares y
los objetivos del programa representan los primeros estándares lógicos. Esta evaluación
generalmente incluye una revisión de las finanzas de la organización y su habilidad de
soportar pérdidas.
Identificar y evaluar los riesgos después de que los objetivos han sido definidos y
evaluados, el próximo paso es identificar las exposiciones a riesgos existentes en la
organización, este paso consiste de un análisis de operaciones para determinar las distintas
exposiciones a pérdida
Evaluar las decisiones relacionadas a pérdida, este paso incluye una revisión de la
extensión de los riesgos.
Evaluar las medidas de la administración de riesgos que han sido implementadas. Este
paso evalúa las decisiones pasadas, verificando que la decisión fue propiamente
implementada. Este paso incluye una revisión de medidas de control y pérdidas financieras.
Recomendar cambios para el beneficio del programa de auditoría .
4.2.1. ALCANCE DE LA AUDITORIA DE LA ADMINISTRACION DE RIESGOS
Las tres principales área que se pueden auditar son :
Políticas de administración de riesgos : este aspecto esta enfocado en los objetivos del
programa, la responsabilidad y autoridad del administrador de riesgos y la consistencia de
las políticas con los objetivos.
Control de riesgos : la naturaleza especializada de la prevención de pérdidas y control
para diversos tipos de riesgos hacen necesario realizar auditorías especializadas que pueden
incluir :
Auditoria de protección
Auditoria de seguridad
Auditoría Ambiental
Auditoria de seguridad informática
Auditoria de control de pérdida de propiedades
Función de seguridad : Esta función puede ser conducida en 2 niveles : el primero es la
evaluación de su rol en el todo del programa de la administración de riesgos, el segundo es
una revisión más detallada del programa de seguridad, el cual examina su alcance, con un
detallado análisis.
5. OBJETIVOS DE LA ADMINISTRACION DE RIESGOS
Los siguientes son los objetivos más comunes:
Garantizar el mejor manejo de los recursos
Minimizar el costo del negocio causado por los riesgos
Proteger a los empleados de perjuicios
Conocer las obligaciones contractuales y legales
Eliminar preocupaciones posteriores
5.1. CLASIFICACION DE LOS OBJETIVOS
ECONOMICOS:
El objetivo es reducir el costo del negocio causado por los riesgos al más bajo nivel posible.
REDUCIR LA ANSIEDAD:
Se refiere a la tranquilidad obtenida de tener medidas utilizadas para manejar la adversidad.
Cuando catástrofes potenciales no son manejadas, la incertidumbre puede distraer a los
gerentes para tomar correctamente sus decisiones corporativas.
OBTENER ESTABILIDAD:
El objetivo de la estabilidad se apoya del efecto causado por grandes variaciones que
pueden surgir de terceros y como contribuir para reducir estas variaciones.
CONTINUAR EL DESARROLLO:
Maximizar los beneficios no siempre es el objetivo dominante en una organización. Otro
objetivo corporativo es la habilidad de continuar creciendo.
RESPONSABILIDAD SOCIAL
Se refiere a la variedad de obligaciones sociales que tiene la organización con sus
empleados y con la sociedad en general; algunas veces surgen conflictos con el objetivo de
la economía.
5.2 POLITICAS EN LA ADMINISTRACION DE RIESGOS
Una política es una guía general de acción, este es un plan estándar de la organización que
traduce los objetivos en guías mas específicas. Para determinar las políticas en la
administración de riesgos para una organización en particular se tienen en cuenta decisiones
que pueden ser hechas solamente por la gerencia de la organización. En el diseño de
políticas de administración de riesgos, algunos factores son necesarios para tomar
decisiones, que son:
Los objetivos básicos del programa de administración de riesgos: El principal objetivo
es preservar la eficiencia operativa de la organización. Este objetivo implica evitar las
pérdidas financieras causadas por desastres que impidan las funciones básicas de la
organización.
Consolidación del programa de retención: Cuando la política de administración de
riesgos específica un ximo nivel de retención (delineamiento de exposiciones o pérdidas
que no serán retenidas), se tiene un razonable direccionamiento de consolidación de
perdidas retenidas, permitiendo gran flexibilidad en las decisiones de control.
6. IDENTIFICACION DE RIESGOS
Antes de enfrentar los riesgos, alguien debe identificarlos. Esta tarea es de nunca acabar,
pues nuevas amenazas están surgiendo constantemente.
La identificación de riesgos es continua y depende de la red de comunicación dentro de la
organización, generando un flujo constante de información acerca de las actividades de la
organización.
6.1. METODOLOGIAS DE IDENTIFICACION DE RIESGOS
Las técnicas de identificación de riesgos han sido desarrolladas simultáneamente por
profesionales de diferentes disciplinas, cada uno enfocado en su propia especialidad. Estos
profesionales incluyen profesionales en seguros, especialistas en seguridad, ingenieros
industriales, contadores e ingenieros en general.
Generalmente las cnicas de identificación de riesgos se desarrollaron como parte de la
prevención de pérdidas y los esfuerzos de control:
Identificacion basada en pérdidas pasadas: Hasta hace poco tiempo, la metodología
primaria de identificación de riesgos fue la observación de las pérdidas que han ocurrido,
como regla la identificación de los riesgos no se realiza hasta que una pérdida tome lugar.
Cada vez que un riesgo ocurre, se toman medidas que posiblemente previenen la ocurrencia
de pérdidas de la misma fuente. Las compañías de seguro jugaron el mayor rol en el
desarrollo de las técnicas de identificación de riesgos y la mayoría de los métodos que ellas
desarrollaron se basaron en el análisis de pérdidas pasadas; los aseguradores también
desarrollaron listas de chequeo, que proveen una base en la cual la identificación de riesgos
puede ser construida.
Existe un proceso llamado “Suscripción” que consiste en decidir el seguro a una
exposición particular y la rata a la cual se asegurada. En este proceso se hacen
inspecciones para acumular información acerca de los riesgos; basado en estas inspecciones
se puede tomar medidas correctivas , con la base en esta experiencia se ha conformado la
ciencia de la identificación de riesgos. Basado en el análisis de experiencias pasadas, se
puede predecir pérdidas futuras, porque las pérdidas varían por las causas que las
envuelven. Adicionalmente el registro histórico de pérdidas también es usado en la
identificación de las causas de las pérdidas pasadas, lo cual sirve como base para prevenir
pérdidas y medidas de control.
Técnicas de sistemas de seguridad: En los años sesenta los ingenieros científicos
militares de los Estados Unidos desarrollaron una aproximación de la identificación de los
riesgos; históricamente los riesgos han sido identificados por la experiencia ocurrida
después de que una pérdida paso. Las actividades envueltas en el programa espacial y
militar representaron nuevas fronteras, por lo cual una nueva aproximación fué necesaria.
La mayor contribución del programa espacial y militar fue el cuerpo de conocimiento de
prevención de pérdidas y control, fue la introducción de sistemas orientados a la seguridad.
El término de “Sistemas de seguridad” es generalmente usado para describir una colección
de técnicas matemáticas y lógicas que son continuamente aplicadas a la detección y
corrección de amenazas a riesgos del estado conceptual del producto, a través de su
detallado diseño y operaciones.
Este proceso incluye un estudio de procedimientos operacionales, procedimientos
examinadores y revisiones de la alta gerencia. Los sistemas con los cuales los ingenieros
estaban ocupados eran complejos que fue necesario tener una nueva visión de identificación
de riesgos. Para enfrentar esta situación, los científicos desarrollaron una variedad de
técnicas que son conocidas como “Sistemas de Seguridad” y que son parte del arsenal del
administrador de riesgos. Algunos rasgos distinguen la aproximación de sistemas de
seguridad de la metodología tradicional de prevención de pérdidas. El principal rasgo es el
énfasis en la identificación de posibles causas de accidentes antes de que ocurran.
6.2. HERRAMIENTAS DE IDENTIFICACION DE RIESGOS
El término “Herramientas de identificación de riesgos” abarca algunas formas estándares
y listas de chequeo que son diseñadas para facilitar el proceso de identificación de riesgos
como tal, esas herramientas se distinguen como documentos que proveen una imagen de
riesgos. Las herramientas proveen una guía para organizar e interpretar la información
acumulada con las técnicas de identificación de riesgos.
Cuestionarios de análisis de riesgos: La herramienta clave en la identificación de riesgos
son los cuestionarios esos cuestionarios están diseñados para guiar al administrador de
riesgos para descubrir amenazas a través de una serie de preguntas y en algunas instancias,
este instrumento está diseñado para incluir riesgos asegurables e inasegurables. El
cuestionario de análisis de riesgos está diseñado para servir como un repositorio de la
información acumulada de documentos, entrevistas e inspecciones. Su propósito es guiar a
la persona que intenta identificar exposiciones a riesgo a través del proceso de la
identificación en un modelo lógico y consistente.
Listas de chequeo de exposiciones a riesgo: Una segunda ayuda importante en la
identificación de riesgos y una de las más comunes herramientas en el análisis de riesgos
son las listas de chequeo, las cuales son simplemente una listas de exposiciones a riesgo.
Listas de chequeo de políticas de seguridad: Esta herramienta incluye un catálogo de
varias políticas de seguridad que un negocio dado puede necesitar. El administrador de
riesgos consulta las políticas recolectadas y aplicadas a la firma.
Sistemas expertos: Un sistema experto usado en la administración de riesgos incorpora
los aspectos de las herramientas descritas en una sola herramienta. La naturaleza integrada
del programa permite al usuario generar propósitos escritos y prospectos.
6.3. TECNICAS DE IDENTIFICACION DE RIESGOS
Las herramientas de identificación de riesgos describen una estructura que interpreta la
información derivada de cuatro técnicas de identificación de riesgos que son:
ORIENTACION: El primer paso en la identificación de riesgos es beneficiarse a través
del conocimiento de la organización y sus operaciones. El administrador de riesgos
necesita un conocimiento general de las ventajas y funciones de la organización.
ANALISIS DE DOCUMENTOS: La historia de la organización y sus operaciones
actuales son archivadas en una variedad de registros. Estos registros representan una fuente
básica de la información requerida por el análisis de riesgos; el auditor debe obtener los
documentos internos que contienen las actividades e historia de la organización. Los
principales documentos donde se extrae información pertinente son:
1. Informe de análisis financiero: Los informes financieros puede ser una fuente importante
de información para la función de administración de riesgos; los balances y los estados de
pérdidas y ganancias son fuentes básicas de información sobre la organización.
No obstante los informes financieros son solamente una faceta del registro del sistema de
una organización, ellos representan una fuente importante de información de la
identificación de riesgos. El balance de la organización, por ejemplo revela la existencia de
varios tipos de activos, los cuales guían al auditor para buscar información de las posibles
pérdidas a que están expuestos los activos. Simultáneamente el balance también puede
indicar cuánto dinero o capital está disponible como medida de capacidad de retención de
perdidas.
2. Diagramas de flujo: El análisis de los diagramas de flujo de las operaciones pueden
alertar al administrador de riesgos de aspectos inusuales de las operaciones de la firma, un
diagrama de flujo de las operaciones internas de la organización - revelando el tipo y
secuencia de sus actividades - viendo la firma como una unidad de procesamiento en busca
de descubrir todas las contingencias que puedan interrumpir sus procesos. El beneficio mas
positivo del uso de diagramas de flujo es probablemente que fuerza al administrador de
riesgos a familiarizarse con los aspectos técnicos de las operaciones de la organización.
3. Organigramas: Un organigrama revela las divisiones de la organización, reportando sus
relaciones, los organigramas también proveen al identificador de riesgos un entendimiento
de la naturaleza y el campo de acción de las operaciones de la organización.
4. Políticas existentes: El auditor necesitará las políticas existentes para evaluar el alcance
de la identificación de riesgos y de la información recogida.
5. Reportes de pérdidas: Otra importante fuente de información que puede ayudar en la
identificación de riesgos es el registro de la organización de sus propias pérdidas pasadas;
el examen de los registros de perdidas indicarán las clases de pérdidas que han ocurrido,
calculando el grado de riesgo de ciertas actividades u operaciones.
6. Entrevistas: Otra importante fuente de información que puede ayudar en la identificación
de riesgos son las entrevistas con personal clave con la organización; alguna información
no es registrada en documentos o registros solamente existiendo en la mente de ejecutivos y
empleados. Las siguientes son algunas de las personas claves a entrevistar: ingenieros de
planta, jefe de personal, administradores de seguridad, empleados y supervisores.
7. Inspecciones: Es la herramienta más usada para obtener un buen conocimiento de las
operaciones. La inspección es una de las más importantes partes del proceso de desarrollo
de una visión general porque:
Ayuda a familiarizar al auditor con la organización
Ayuda a indicar las posibles ratas de protección
Ayuda a revelar las posibles perdidas
6.4. SISTEMAS DE INFORMACION EN LA ADMINISTRACION DE RIESGOS
El administrador de riesgos necesita de un sistema de mantenimiento de un gran rango de
información que afecta los riesgos de la organización.
La mayoría de la información requerida para los sistemas de información de administración
de riesgos existe en gran parte de las organizaciones en una forma no estructurada . La
información se hace más útil cuando se tiene un sistema de información de administración
de riesgos - 2RMIS
2Risk Management Information Systems - En español, Sistemas de información de Administración
de Riesgos
El propósito de RMIS es soportar el proceso de decisión del análisis de riesgos
consolidando aspectos de la función de administración de riesgos en una base de datos,
aportando la materia prima de las decisiones a tomar.
6.4.1 SISTEMAS DE REGISTRO DE ADMINISTRACION DE RIESGOS
La información sobre los riesgos de la organización son la materia prima de las decisiones a
tomar en un problema. Los registros y estadísticas de las pérdidas son herramientas
esenciales de la administración de riesgos. Los principales ítems de información son:
- Programas de valor de propiedades
- Lista de equipos e inmuebles
- Petición de oferta de seguros
- Políticas y registros de seguridad
- Reporte de reclamos
- Información y comparación entre pérdidas y ganancias
6.4.2. SISTEMAS DE COMUNICACION INTERNA
Los registros de los sistemas de información de administración de riesgos necesitan crear
canales de información que aseguren que toda la información relativa a la función de
administración de riesgos sea canalizada al departamento de auditoría, el administrador de
riesgos debe estar informado de:
- Nuevas construcciones, remodelación o renovación de las propiedades de la empresa.
- Introducción de nuevos programas, productos, actividades u operaciones
- El progreso de los trabajadores
- Información de las actividades de toda la organización.
6.5. MANUAL DE POLITICAS DE ADMINISTRACION DE RIESGOS
Es un depósito central de todas las políticas corporativas de seguros y toda la
administración de riesgos, copias de manual podrían ser distribuidas a unidades de la
corporación como una manera de comunicar las expectativas que tienen los distintos
departamentos de la empresa con la administración de riesgos.
7. CONTROL DE RIESGOS
El hombre primitivo vivió en cavernas y algunas veces en árboles para protegerse el mismo
de peligrosos animales salvajes. El primer practicante de prevención de pérdidas fué el
humano que trepó un árbol para escapar de un tigre diente de sable. La historia de la
civilización es un registro del enfrentamiento del hombre con las fuerzas de la naturaleza y
otros peligros.
En esta parte se examinará el concepto de control de riesgos en un contexto genérico con
base en los principios generales de control de riesgos.
7.1 GENERALIDADES EN EL CONTROL DE RIESGOS
El control de riesgos ha sido parte integral del proceso de administración de riesgos desde
que el concepto de administración de riesgos fue concebida. Las dos principales técnicas
de control de riesgos son: evitar riesgos y reducción de riesgos.
EVITAR RIESGOS: Técnicamente, se evitan riesgos cuando las decisiones son hechas
para prevenir un riesgo antes de su existencia. “Evitar riesgos” debe ser utilizado cuando
la exposición tiene una catástrofe potencial y el riesgo no puede ser reducido o transferido.
Generalmente, estas condiciones existirán en el caso de que la frecuencia y severidad del
riesgo son altas. El otro potencial de perdida dicta que el riesgo no puede ser retenido y la
otra frecuencia virtualmente garantiza que los controles posiblemente no serán
económicamente factible.
ESTANDARES GUBERNAMENTALES: Las regulaciones de la 3(OSHA) son quizás
el mejor ejemplo de estándares institucionales de control de perdidas. OSHA fue diseñada
3OSHA - Occupational Safety and Health Act - Estándar federal de los Estados Unidos de América,
para asegurar lo mejor posible que cada persona trabajadora en la nación, tenga condiciones
seguras para realizar sus labores, asegurando así la preservación de los recursos humanos.
7.2 EL CONTROL Y EL ADMINISTRADOR DE RIESGOS
Idealmente un programa de control y prevención de pérdidas bien diseñado debe abarcar las
siguientes áreas:
- Seguridad personal.
- Seguridad de bienes.
- Control de responsabilidades de pérdidas.
- Protección de propiedades.
- Seguridad física.
La prevención de pérdidas en cada una de estas áreas es una función altamente cnica y
especializada, requiriendo algunas veces de especialistas expertos.
7.3. TEORIAS DE CAUSAS DE ACCIDENTES
Para entender porque los accidentes ocurren, puede ser útil diseñar programas para su
prevención. Hasta la fecha no se ha desarrollado una teoría general dominante para saber
como ocurren los accidentes; en cambio hay dos teorías separadas cada una con un valor
explicativo y predecible:
TEORIA DEL DOMINIO DE 4HEINRICH:
De acuerdo a Heinrich un “accidente” es un factor en una secuencia que puede dirigirse a
un perjuicio como está ilustrado en la figura No. 1, los factores pueden ser visualizados
que se hizo efectivo por el congreso, primero en Diciembre 20 de 1970 y finalmente el 28 de abril
de 1971.
4IH. W. Heinrich; Ingeniero de seguridad y pionero en el campo de la seguridad industrial.
como una serie de fichas de dominio colocadas en el borde; cuando una cae, una reacción
en cadena es completada.
Ascendencia del entorno
Falla del personal
Riesgo personal ó mecánico
Accidente
Perjuicio al personal
FIGURA No. 1 Teoría de Dominio de Heinrich
Cada uno de los factores es dependiente del factor predecesor así:
El perjuicio al personal ocurre solamente como resultado de un accidente.
Un accidente como resultado de un riesgo personal o mecánico.
Los riesgos de personal y mecánicos existen por falla del personal.
Las fallas del personal son heredadas o adquiridas dentro de su entorno.
El entorno conforma las condiciones en las cuales un individuo nace.
En los estados de la teoría del dominio cuando un perjuicio toma lugar, todos los cinco
factores son envueltos , si uno de los factores en la secuencia es removido la pérdida puede
ser prevenida. De acuerdo a Heinrich, un accidente es cualquier evento no planeado e
incontrolado en el cual la acción o reacción de un objeto o persona que puede resultar un
perjuicio o daño . Después de un estudio de 75.000 accidentes industriales, Heinrich
concluyó que el 98% de todos los accidentes son previsibles y puede ser posible reducir los
costos de accidentes industriales con alguna forma de control de perdidas el 2% restante
son calificados como “Actos Divinos”.
TEORIA DE LA ENERGIA EMITIDA DE 5WILLIAM HADDON:
En vez de concentrarse en el comportamiento humano, Haddon considera los accidentes
como un problema físico de ingeniería. Los accidentes resultan cuando la energía esta
fuera de control poniendo tensión en una estructura (propiedad o persona) más de la que
puede tolerar sin daño. Haddon sugiere diez estrategias para suprimir las condiciones que
producen accidentes o acrecentar las condiciones que retardan los accidentes:
1. Prevenir la creación del riesgo en primer lugar
2. Reducir la cantidad de producción de riesgo
3. Prevenir la emisión de los riesgos que actualmente existen
4. Modificar la rata de emisión desde la fuente de los riesgos
5. Separar en tiempo y espacio el riesgo
6. Separar el riesgo y lo que será protegido por medio de una barrera
7. Modificar las cualidades básicas del riesgo
8. Hacer que lo protegido sea más resistente que el riesgo
9. Verificar el daño con base en el riesgo
10. Estabilizar, reparar o rehabilitar el objeto dañado.
7.4. APROXIMACIONES CIENTIFICAS DEL CONTROL Y PREVENCION DE
RIESGOS
Las teorías de Heinrich y Haddon proveen bases para entender las diferentes
aproximaciones de control y prevención de riesgos. Los esfuerzos para prevenir perdidas y
reducir su impacto toman lugar virtualmente en cada fase de la actividad humana. Las
principales aproximaciones son:
APROXIMACION EN INGENIERIA: La premisa básica de la aproximación en
ingeniería es que la gente tiene poca observación de la seguridad de su personal y que es
5Dr. William Haddon, Jr. Ingeniero industrial del Insurance Institute for Highway Safety de los
E.E.U.U.
inherente en la naturaleza humana encomendarse de tareas fáciles. Esta aproximación debe
proteger a la gente de ellos mismos.
APROXIMACION DEL COMPORTAMIENTO HUMANO: Esta aproximación se
enfoca en la educación de seguridad y la motivación de las persona. Esta aproximación
propone que la mayoría de los accidentes son perpetrados por hechos no asegurados y que
la mayoría de ganancias en la prevención de pérdidas pueden ser alcanzadas través de los
esfuerzos en cambiar el comportamiento humano. estos esfuerzos incluyen:
1. Educación: Sirve para alertar la existencia de los riesgos y sus consecuencias y además
provee una guía para efectuar seguramente las funciones.
2. Aplicación de la ley para motivar conductas, reglas y regulaciones deseadas deben ser
forzadas por la organización.
TECNICAS DE CONTROL DE RIESGOS: Estas técnicas incluyen esfuerzos para
prevenir la ocurrencia de pérdidas y minimizar los costos no previstos, e incluyen:
1. Medidas de Control y tiempo de aplicación: Las medidas de control son clasificadas de
acuerdo a como son aplicadas de la siguiente forma: antes de un accidente, en el momento
del accidente y después del accidente. (Ver figura No. 2)
2. Medidas de control y mecanismos: Las medidas son dirigidas a cada instrumento o
dispositivo mecánico.
Antes del evento
En el momento del
evento
Después del
evento
Individuo
Maquinaria
Equipos
Tabla No. 1 Tiempos y objetivos en las medidas de control
TECNICAS ESPECIALIZADAS DE CONTROL Y PERDIDAS: Como se ha observado
las técnicas de control y prevención de pérdidas es virtualmente interminable, las anteriores
son las más comunes, pero existen técnicas especializadas que son:
1. Separación de posesiones: su propósito es limitar el valor de las posesiones expuestas
a pérdida en una sola ocurrencia.
2. Recuperación: Está diseñado para proteger propiedades de futuros daños
3. Rehabilitación: En el trabajo reduce las pérdidas financieras del perjuicio,
decrementando los costos de compensación a trabajadores perjudicados.
4. Redundancia: Esta técnica puede ayudar a prevenir los efectos adversos de los
accidentes, redundando sistemas de prevención refinando las medidas de control de
seguridad.
7.5. SISTEMAS DE SEGURIDAD
Los sistemas de seguridad son una rama y un desarrollo de la Ingeniería de Sistemas, la
aplicación de la ingeniería se necesita en el diseño y la creación de sistemas complejos; esto
en respuesta al incremento de la complejidad de los problemas que no pueden resolverse
con las aproximaciones tradicionales. Los sistemas de seguridad ven un proceso, una
situación, un problema, una máquina o cualquier otra entidad como un sistema.
Los recursos que hacen parte de una organización incluyen: materiales, personal,
procedimientos, tecnología, tiempo y otros factores. Un accidente ocurre cuando un ser
humano o un componente mecánico falla en su funcionamiento. El objeto de los sistemas
de seguridad es identificar esas fallas, eliminándolas o minimizando sus efectos; y son una
variedad de diferentes técnicas diseñadas para analizar e identificar fallas potenciales en las
organizaciones. La premisa en el desarrollo de metodologías en los sistemas de seguridad,
es que los accidentes resultan de fallas y ellos pueden ser prevenidos para identificar estas
fallas antes de que ocurran. La primera distinción entre los sistemas de seguridad y las
aproximaciones tradicionales es el énfasis en identificar las pérdidas que aun no han
ocurrido, una segunda diferencia es su permanente fe en el principio de la casualidad y otra
diferencia es el total énfasis en la prevención de accidentes.
7.5.1. TECNICAS DE SISTEMAS DE SEGURIDAD
ANALISIS DE EFECTO Y MODO DE AMENAZA 6(HMEA): Intenta identificar fallas
potenciales en los sistemas a través de un detallado análisis de identificación de riesgos. El
análisis puede ser preparado en cualquier nivel de complejidad - sistema, subsistema,
componente o parte detallada, generalmente de la siguiente forma:
Los eventos
indeseables
que pueden
ocurrir o
los eventos
deseables
que pueden
fallar
El hardware o
software que
puede causar la
falla
Las
razones
humanas o
fallas que
en el
mecanismo
puede
ocurrir.
El
resultado
funcional
inmediato
de un
riesgo
El impacto de
mal
funcionamiento
de los objetivos
del sistema
La primera
indicación o
exhibición
observable de
un mecanismo
del sistema
Una estimación
del mal
funcionamiento
Posibles
medidas de
eliminación
de
mecanismos
de riesgo
Acción
implementada
para eliminar o
controlar el
riesgo
Valor de
todos los
recursos
requeridos
para
implementar
acciones
preventivas.
MODO DE
RIESGO
MECANISMO
DE RIESGO
CAUSA
DEL
RIESGO
EFECTO
DEL
RIESGO
SEVERIDAD
DEL RIESGO
DETECCION
DEL RIESGO
PROBABILIDAD
DEL RIESGO
MEDIDAS
TOMADAS
CON EL
RIESGO
ACCION
PREVENTIVA
RECURSOS
DE
CONTROL
Tabla No.2 Columnas de entrada en el análisis de efecto y modo de amenaza.
ANALISIS JERARQUICO DE FALLAS 7(FTA). Esta diseñado para identificar fallas en
los sistemas observando las causas de los eventos. Es usualmente ejecutada por un
diagrama (conocida como jerarquía de fallas) que sigue las relaciones entre todos los
eventos menores que pueden causar eventos mayores no deseados. El diagrama gico de
análisis jerárquico de fallas puede ser el siguiente:
6 En ingles las iniciales de Hazard Mode and Effect Analysis
7En ingles las iniciales de Fault-Tree Analysis
Figura No, 2 Diagrama lógico del análisis jerárquico de fallas
El FTA es usualmente analizado en un gráfico. una jerarquía de fallas tiene dos elementos
superiores: (1) diagrama lógico, conectando con O y Y lógicos subeventos que contribuyen
a ver el último evento deseado (2) los elementos como si mismos .
La construcción del árbol comienza en la parte superior con el evento no deseado
definitivo, el árbol es construido progresivamente por repeticiones a la respuesta de la
pregunta que pasa cuando el evento ocurre? La necesidad o suficiencia de cada subevento
en la casualidad del siguiente evento es indicado por un conector lógico Y ó O cuando la
CORTARSE LOS DEDOS CON UNA SIERRA
DEDO EN EL FILO
EL FILO DE LA SIERRA GIRA
EL FILO NO ESTA
ASEGARADO
OPERADOR NO ESTA ATENTO
ESTABA
PRENDIDO
ESTABA
APAGADA
Y
Y
O
NADIE
ASEGURO LA
SIERRA
DISEÑO
INAPROPIADO DE
SEGURIDAD
OPERADOR
DISTRAIDO
OPERADOR PENSO
QUE ESTABA
APAGADO
O
O
cadena de casualidad ha sido identificado y el significado de los subeventos determinado, el
FTA provee un mapa para tomar medidas de prevención.
7.6. PLAN DE CONTINGENCIA - PLAN DE PREVENCION DE DESASTRES
La necesidad de un plan avanzado para establecer procedimientos en el evento de un
desastre es obvio. En el momento del desastre las operaciones y procedimientos normales
pueden ser interrumpidos, básicamente un plan contra desastres provee una administración
de planes de acción para guiar en caso de desastres o situaciones de emergencia. En un
plan contra desastres se debe tener en cuenta:
DETERMINACION DE LOS REQUERIMIENTOS DEL NEGOCIO: Durante esta
parte inicial del proceso, debe hacerse un análisis de impacto en el negocio para determinar
cuáles son los requerimientos de este. Muchos procesos de negocios dependen tanto del
procesamiento de datos que ya no pueden seguir llevándose a cabo en caso de un desastre.
Debe evaluarse el impacto negativo de esta falla de los procesos; es decir, pérdidas de
negocios, pérdidas de clientes, costos en dinero y de utilidades. También puede haber
razones de regulación que requieran que siempre pueda disponerse de un proceso de
negocios. Este análisis indicará cuáles son las prioridades en el proceso de negocios y cuál
es la escala de tiempo de recuperación que se necesita para cada proceso. Asimismo, un
desastre conlleva el riesgo de que la organización pierda la pista de algunas transacciones
de negocios que estaban en proceso cuando ocurrió un desastre. Los análisis de impacto en
los negocios tendrán que determinar en qué medida puede tolerarse semejante pérdida para
cada proceso del negocio.
PRIORIDADES EN LA ORGANIZACION DE DESASTRES: Esta determinación de
prioridades garantizará evitar confusiones y conflictos en el desarrollo del plan, los
siguientes son los principales tipos de prioridades en su orden de importancia:
Protección a la vida humana
Prevenir o minimizar el daño personal
Prevenir o minimizar el daño potencial a los activos físicos
Restaurar las operaciones normales lo más rápidamente posible.
DETERMINACION DE LOS REQUERIMIENTOS DE PROCESAMIENTO DE
DATOS: Una vez que se han determinado los requerimientos de negocio, se deben
convertir en términos de procesamiento de datos, con el fin de determinar cuáles
procedimientos y recursos son necesarios para dar soporte a la recuperación y al
procesamiento normal. Entre las funciones que estarán relacionadas con el análisis de los
procesos del negocio y la definición de los requerimientos se incluyen:
Alta gerencia ( Tecnología informática, Finanzas y Negocios).
Propietarios del proceso del negocio.
Propietarios de la aplicación.
Soporte y programación de sistemas de información.
Trabajo en red.
Operaciones en general.
Para realizar este proceso, posiblemente se tengan dificultades tales como:
Falta de cooperación entre los ejecutivos de alto nivel y las unidades de negocio.
Falta de prioridad dada a la recuperación de desastres.
Subestimación de los procesos del negocio.
Carencia de conciencia y buena voluntad.
Falta de un plan de procedimientos.
DISEÑO DE LA SOLUCION DE RESPALDO Y DE RECUPERACION: En este paso
se describen las características generales y los principales elementos de la solución que se
pretende. Estos elementos son los siguientes:
El alcance de la recuperación: Este elemento asegura desde el principio que no haya
confusión, sabiendo que es lo qué se intenta recuperar y dentro de qué periodo. La
definición del alcance incluye: Tipos de desastres que se incluyen o se excluyen, el tiempo
máximo de recuperación y la actualidad de la información una vez recuperada.
Estrategia de pruebas: Este elemento determina, en forma muy general, cómo se
efectuará las pruebas, para determinar la complejidad y el costo de la solución.
Procesos de respaldo y recuperación de datos: Los factores que influyen en las
decisiones acerca del respaldo y la recuperación son:
Categorización de la información: La información es el recurso más importante. Otros
recursos, como el hardware, el software y las instalaciones físicas son en última instancia
reemplazables. La información es el recurso más volátil y complejo de todos.
Tener un escenario de recuperación de desastres.
Verificar las interrelaciones entre los datos.
Verificar que el transporte y almacenamiento de datos sea seguro.
Verificar las distintas opciones de respaldo de datos (Copias al momento, copias en línea
y copias incrementales).
Administrar y operar sitios alternativos de emergencia.
Descripción física y lógica de la configuración de la recuperación.
Seleccionar los productos de respaldo (cintas, disquetes, tape backup, software de
backup y utilidades de red) adecuadas para el diseño.
IMPLEMENTAR LA SOLUCION DE RESPALDO Y DE RECUPERACION: El paso
inicial en el desarrollo del plan contra desastres, es la identificación de las personas que
serán las responsables de crear el plan y coordinar las funciones. Típicamente las personas
pueden hacer parte del departamento de personal, administración de riesgos, departamento
de seguridad, y relaciones públicas. Un plan contra desastres no requiere creación de una
nueva estructura organizacional. La estructura existente, temporalmente reconfigurada para
la situación de desastre puede ejecutar las funciones en el momento de un desastre. En este
paso se lleva a la práctica la solución de recuperación de acuerdo con el diseño que se
elaboró, cubriendo dos áreas principales:
Desarrollar e implementar los procedimientos técnicos para dar soporte a la solución de
recuperación; entre los que están:
Procedimientos de respaldo de datos.
Procedimientos de almacenamiento.
Procedimientos de recuperación de datos.
Procedimientos de administración informática.
Procedimientos de recursos humanos.
Desarrollar el plan de recuperación: Un plan de recuperación de desastres se conforma
de un documento detallado, que establece todas las acciones que se tomarán antes, durante
y después de que ocurra una catástrofe. El plan de recuperación debe incluir los siguientes
elementos:
Alcance de la recuperación.
Procesos para identificar desastres.
Identificación de los equipos de trabajo de recuperación.
Definir tareas y responsabilidades de los equipos de trabajo.
Lista de teléfonos y direcciones de las personas responsables.
Información sobre compras y adquisiciones.
Diagramas de topologías de red.
Configuraciones y copias de seguridad.
Distribución y mantenimiento del plan: Una vez que se ha elaborado el plan de
recuperación de desastres y que se ha implementado la solución de recuperación, es
necesario distribuirlo a las personas que necesitan tenerlo. Los cambios en el ambiente
informático son constantes, y cualquier cambio drástico podría inutilizar el plan, entre los
cambios que pueden afectar se encuentran:
Surgimiento de nuevas tecnologías.
Cambios en la configuración actual del hardware.
Cambios en el entorno de red.
Cambios organizacionales.
Por lo cual es necesario llevar una auditoría permanente del plan, para determinar si se han
aplicado las actualizaciones ó los cambios al plan.
7.7. ESTRUCTURA DE LA SEGURIDAD INFORMATICA
La historia de la seguridad informática se remonta a los tiempos de los primeros
documentos escritos. De hecho, la necesidad de información segura tuvo su origen en el
año 2000 antes de Cristo. Los egipcios fueron los primeros en utilizar jeroglíficos
especiales para codificar la información y, según paso el tiempo, las civilizaciones de
Babilonia, Mesopotamia y Grecia inventaron formas de proteger su información escrita. La
codificación de la información, que es el base del cifrado, fue utilizada por Julio Cesar, y
durante toda la historia en periodos de guerra, incluyendo las guerras civiles y
revolucionarias, y las dos guerras mundiales. Una de las máquinas de codificación mejor
conocidas fue la alemana Enigma, utilizada por los alemanes para crear mensajes
codificados en la Segunda Guerra Mundial. Con el tiempo, y gracias a los esfuerzos del
proyecto Ultra de los Estados Unidos de América, entre otros, la capacidad de descifrar los
mensajes generados por los alemanes marcó un éxito importante para los aliados.
En los últimos diez años, la importancia de la seguridad informática se ha puesto de
manifiesto por algunas historias. Una de ellas fue la del gusano de Internet, en 1988, que
se extendió por decenas de miles de computadores, como resultado de la obra de un hacker
llamado Robert Morris. Había un pirata informático en 1995 en Alemania que se introdujo
en casi 30 sistemas a partir de un objetivo que se había propuesto a mismo de casi 500.
Más recientemente, en febrero de 1995, el arresto del pirata informático más buscado,
Kevin Nitnick, reveló las actividades criminales que incluían el robo de códigos, de
información y de otro tipo de datos secretos durante años. Claramente, la amplia
utilización de los sistemas informáticos ha puesto en evidencia la importancia de la
seguridad informática. El objetivo principal de la seguridad informática es proteger los
recursos informáticos del daño, la alteración, el robo y la pérdida. Esto incluye los equipos,
los medios de almacenamiento, el software, los listados de impresora y en general, los
datos. Una efectiva estructura de seguridad informática se basa en cuatro técnicas de
administración de riesgos, mostradas en el siguiente diagrama:
Figura No. 3 Estructura de la seguridad informática
Estrategias y políticas: Estrategias de administración para seguridad informática y
políticas, estándares, guías o directivos usados para comunicar estas estrategias a la
organización.
Administración de la organización: Procesos que se dirigen hacia políticas
profesionales y programas de capacitación, administración de cambios y control,
administración de seguridad y otras actividades necesarias.
Monitorización de eventos: Procesos reactivos que permite a la administración
medir correctamente la implementación de políticas e identificar en que momento las
políticas necesitan cambios.
Técnología informática: Es la tecnología necesaria para proveer la apropiada
protección y soporte en los distintos procesos involucrados en la organización. La
seguridad informática abarca un amplio rango de estrategias y soluciones, tales como:
Control de acceso: Una de las líneas de defensa más importantes contra los intrusos
indeseados es el control de acceso. Básicamente, el papel del control de acceso es
identificar la persona que desea acceder al sistema y a sus datos, y verificar la identidad de
dicha persona. La manera habitual de controlar el acceso a un sistema es restringir la
entrada a cualquiera que no tenga un nombre de usuario y una contraseña válidos. Las
contraseñas son un ejemplo de una forma simple pero efectiva de control de acceso.
El control de acceso es efectivo para mantener a las personas desautorizadas fuera del
sistema. Sin embargo, una vez que alguien está dentro, la persona no debería tener acceso
libre a todos los programas, archivos e información existente en el sistema. El control de
acceso discrecional, a veces abreviado por el acrónimo DAC, se realiza en muchos
sistemas, y es una parte importante de cualquier acceso donde el acceso a los archivos y
programas se concede en función de la clase de permisos otorgados a un usuario o un perfil
de usuarios. Es discrecional en tanto que un administrador puede especificar la clase de
acceso que decide dar a otros usuarios del sistema. Esto difiere de otra clase de controles
más restrictiva, control de acceso obligatorio (MAC), que proporciona un control mucho
más rigido de acceso a la información del sistema.
Virus informáticos: La prevención y control de los efectos producidos por las diferentes
clases de virus y programas destructivos que existen.
Planificación y administración del sistema: Planificación, organización y administración
de los servicios relacionados con la informática , así como políticas y procedimientos para
garantizar la seguridad de los recursos de la organización.
Cifrado: La encriptación y la desencriptación de la información manipulada, de forma
que sólo las personas autorizadas pueden acceder a ella.
Seguridad de la red y de comunicaciones: Controlar problemas de seguridad a través de
las redes y los sistemas de telecomunicaciones.
Seguridad física: Otro aspecto importante de la seguridad informática es la seguridad
física de sus servicios, equipos informáticos y medios de datos reales; para evitar problemas
que pueden tener como resultado: Pérdida de la productividad, pérdida de ventaja
competitiva y sabotajes intencionados. Algunos de los métodos de prevenir el acceso
ilegal a los servicios informáticos incluyen:
Claves y contraseñas para permitir el acceso a los equipos.
Uso de cerrojos y llaves.
Fichas ó tarjetas inteligentes.
Dispositivos biométricos ( Identificación de huellas dactilares, lectores de huellas de
manos, patrones de voz, firma/escritura digital, análisis de pulsaciones y escáner de retina,
entre otros).
8. LA ADMINISTRACION DE RIESGOS Y LOS DELITOS
No se sabe exactamente cuánto pierden los negocios a causa de delitos cada año. Se estima
que las pérdidas causadas por los efectos negativos de los delitos ascienden a un 2% y 5%
de los ingresos en los negocios.
8.1. DELITOS CONTRA LOS NEGOCIOS
Los delitos contra los negocios son clasificados de acuerdo al perpetrador del crimen
generalmente así:
HURTO: Consiste en el apoderamiento o sustracción de un bien ajeno con el ánimo de
aprovechase de él, por cualquier acto fuera de la ley ó sin autorización de la persona dueña.
FRAUDE: Sinónimo de engaño y simulación, que se emplea, para sorprender la buena
fe, confianza o ignorancia de la víctima, haciéndole creer lo que no es. Por ejemplo: Un
delito cometido cuando alguien falsifica una firma autorizada de cualquier instrumento
financiero (un cheque, por ejemplo), incrementando o alterando su valor.
8.2 ASPECTOS DEL CONTROL DE PERDIDAS Y LA DESHONESTIDAD DE LOS
EMPLEADOS
Selección del personal: Una medida estándar para la prevención de pérdidas con
respecto a los delitos cometidos por los empleados, es un chequeo a fondo del trabajo
individual de las personas. Basado en la presunción de que una persona que ha cometido
un delito, vuelva a cometerlo; se verifica el registro criminal de la persona. Sin embargo lo
anterior no es el único factor de decisión, pues muchos delitos se cometen por tentación de
trabajadores de confianza.
Controles Internos: El término control interno se refiere a los elementos que son
incorporados dentro de la organización, diseñado para prevenir delitos dentro de la
empresa. El primer elemento es una clara asignación de responsabilidades, en las cuales
personas identificables se les asignan funciones definidas. El segundo elemento divide los
deberes de los empleados de manera que separe la ejecución de una función de acuerdo a
las políticas de la empresa. El tercer elemento es hacer una pista de auditoría para asegurar
un continuo control.
Basándose en lo anterior se diseñan controles internos en:
Procedimientos de gastos.
Procedimientos en ventas.
Procedimientos de recepción y envío de activos.
Procedimientos de control del manejo del dinero.
Auditorías: Después de tener procedimientos de control en el área financiera, un
efectivo programa de auditoría ayuda a asegurar que los requerimientos de control sean
cumplidos.
Un programa de auditoría es una función importante, a pesar de que la compañía tenga un
sistema de control interno excepcional. Esto hace imperativo chequear los sistemas
periódicamente para asegurar que éstos actualmente están trabajando adecuadamente.
PARTE II - ELEMENTOS DE GESTION DE RIESGOS EN INFORMATICA
La función de la gestión de riesgos es identificar, estudiar y eliminar las fuentes de los
eventos perjudiciales antes de que empiecen a amenazar los procesos informáticos.
La gestión de riesgos se divide generalmente en:
1. ESTIMACION DE RIESGOS
La estimación de riesgos describe cómo estudiar los riesgos dentro de la planeación general
del entorno informático y se divide en los siguientes pasos:
La identificación de riesgos genera una lista de riesgos capaces de afectar el
funcionamiento normal del entorno informático.
El análisis de riesgos mide su probabilidad de ocurrencia y su impacto en la
organización.
La asignación de prioridades a los riesgos.
1.1. IDENTIFICACION DE RIESGOS
En este paso se identifican los factores que introducen una amenaza en la planificación del
entorno informático. Los principales factores que se ven afectados son:
Creación de la planificación, que incluye: Planificación excesivamente optimista,
planificación con tareas innecesarias, y organización de un entorno informático sin tener en
cuenta áreas desconocidas y la envergadura del mismo.
La organización y gestión, que incluye: Presupuestos bajos, El ciclo de revisión/decisión
de las directivas es más lento de lo esperado.
El entorno de trabajo, que incluye: Mal funcionamiento de las
herramientas de desarrollo, espacios de trabajo inadecuados y la curva de
aprendizaje de las nuevas tecnologías es más larga de lo esperado.
Las decisiones de los usuarios finales, que incluye: Falta de participación de los
usuarios finales y la falta de comunicación entre los usuarios y el
departamento de informática
El personal contratado, que incluye: Falta de motivación, falta de trabajo
en equipo y trabajos de poca calidad.
Los procesos, que incluye: La burocracia, falta de control de calidad y la
falta de entusiasmo.
1.2. ANALISIS DE RIESGOS
Una vez hayan identificado los riesgos en la planificación, el paso siguiente es analizarlos
para determinar su impacto, tomando así las posibles alternativas de solución. La
explicación de Análisis de riesgos se extenderá posteriormente.
1.2.1. EXPOSICION A RIESGOS
Una actividad útil y necesaria en el análisis de riesgos es determinar su nivel de exposición
en cada uno de los procesos en que se hayan identificado.
1.2.2 ESTIMACION DE LA PROBABILIDAD DE PERDIDA
Las principales formas de estimar la probabilidad de pérdida son las siguientes:
Disponer de la persona que está más familiarizada con el entorno informático para que
estime la probabilidad de ocurrencia de eventos perjudiciales.
Usar técnicas Delphi o de consenso en grupo. El método Delphi consiste en reunir a un
grupo de expertos para solucionar determinados problemas. Dicho grupo realiza la
categorización individual de las amenazas y de los objetos del riesgo.
Utilizar la calibración mediante adjetivos, en la cuál las personas involucradas eligen un
nivel de riesgo entre (probable, muy probable) y después se convierten a estimaciones
cuantitativas.
1.2.3. PRIORIZACION DE RIESGOS
En este paso de la estimación de riesgos, se estiman su prioridad de forma que se tenga
forma de centrar el esfuerzo para desarrollar la gestión de riesgos. Cuando se realiza la
priorización (elementos de alto riesgo y pequeños riesgos), estos últimos no deben ser de
gran preocupación, pues lo verdaderamente crítico se puede dejar en un segundo plano.
1.3 CONTROL DE RIESGOS
Una vez que se hayan identificado los riesgos del entorno informático y analizado su
probabilidad de ocurrencia, existen bases para controlarlos que son:
Planificación
Resolución de riesgos
Monitorización de riesgos
1.3.1. PLANIFICACION DE RIESGOS
Su objetivo, es desarrollar un plan que controle cada uno de los eventos perjudiciales a que
se encuentran expuestos las actividades informaticas.
1.3.2. RESOLUCION DE RIESGOS
La resolución de los riesgos está conformado por los métodos que controlan el problema de
un diseño de controles inadecuado, los principales son:
1. Evitar el Riesgo : No realizar actividades arriesgadas.
2. Conseguir información acerca del riesgo.
3. Planificar el entorno informático de forma que si ocurre un riesgo, las actividades
informáticas sean cumplidas.
4. Eliminar el origen delriesgo, si es posible desde su inicio.
5. Asumir y comunicar el riesgo.
Para ilustrar la forma en que puede controlar algunos de estos riesgos, la tabla No.3 ilustra
los métodos de control más comunes:
RIESGO
METODOS DE CONTROL
Cambio de la prestación del servicio
Uso de técnicas orientadas al cliente.
Diseño para nuevos cambios
Recorte de la calidad
Dejar tiempo a las actividades de
control.
Planificación demasiado optimista
Utilización de técnicas y herramientas
de estimación.
Problemas con el personal contratado
Pedir referencias personales y laborales.
Contratar y planificar los miembros
clave del equipo mucho antes de que
comience el proyecto.
Tener buenas relaciones con el personal
contratado.
Tabla No. 3 Métodos de control de riesgos mas habituales
1.3.3 MONITORIZACION DE RIESGOS
La vida en el mundo informático sería más fácil si los riesgos apareciesen después de que
hayamos desarrollado planes para tratarlos. Pero los riesgos aparecen y desaparecen dentro
del entorno informático, por lo que se necesita una monitorización para comprobar cómo
progresa el control de un riesgo e identificar como aparecen nuevos eventos perjudiciales
en las actividades informáticas.
PARTE III - ANALISIS DE RIESGOS
El objetivo general del análisis de riesgos es identificar sus causas potenciales, en la figura
No. 4 se aprecia por ejemplo, los principales riesgos que amenazan el entorno informático.
Esta identificación se realiza en una determinada área para que se pueda tener información
suficiente al respecto, optando así por un adecuado diseño e implantación de mecanismos
de control; a fin de minimizar los efectos de eventos no deseados, en los diferentes puntos
de análisis.
Además el análisis de riesgos cumple los siguientes objetivos:
Analizar el tiempo, esfuerzo y recursos disponibles y necesarios para atacar los
problemas.
Llevar a cabo un minucioso análisis de los riesgos y debilidades.
Identificar, definir y revisar los controles de seguridad.
Determinar si es necesario incrementar las medidas de seguridad.
Cuando se identifican los riesgos, los perímetros de seguridad y los sitios de mayor
peligro, se pueden hacer el mantenimiento mas fácilmente.
Hardware Organización
Fallas en la protección. Separación
funcional nula.
Daños físicos. Falta de responsabilidad
de seguridad.
Software
Manejo sin autorización. AMBIENTE
Destrucción. INFORMATICO Operaciones en
Internet
Hurto. Entrada de
hackers y crackers.
Fraude y omisiones. Transacciones con tarjeta
crédito.
Externas Seguridad física
Desastres naturales. Acceso sin autorización.
Vandalismo. Error en transmisiones.
Extorsión.
Computación vía satélite
Computación en red
Procesos batch y en línea
Dispositivos de E/S y otros
USUARIOS
EN GENERAL
Figura No. 4 Principales amenazas que afectan el ambiente informático
Antes de realizar el análisis de riesgos hay que tener en cuenta los siguientes aspectos:
Se debe tener en cuenta las políticas y las necesidades de la organización así como la
colaboración con todas las partes que la conforman y que intervienen en los procesos
básicos.
Debe tenerse en cuenta los nuevos avances tecnológicos y la astucia de intrusos
expertos.
Tener en cuenta los costos vs. la efectividad del programa que se va a desarrollar de
mecanismos de control.
El comité o la junta directiva de toda organización debe incluir en sus planes y
presupuesto los gastos necesarios para el desarrollo de programas de seguridad, así como
tener en cuenta que esta parte es fundamental de todo proceso de desarrollo de la empresa,
especificar los niveles de seguridad y las responsabilidades de las personas relacionadas, las
cuales son complemento crucial para el buen funcionamiento de todo programa de
seguridad.
Otro aspecto que se debe tener en cuenta es la sobrecarga adicional que los mecanismos
y contramedidas puedan tener sobre el entorno informático, sin olvidar los costos
adicionales que se generan por su implementación.
El análisis de riesgos utiliza el método matricial llamado MAPA DE RIESGOS, para
identificar la vulnerabilidad de un servicio o negocio a riesgos típicos, El método contiene
los siguientes pasos:
Localización de los procesos en las dependencias que intervienen en la prestación del
servicio (Ver figura No. 5).
FIGURA No. 5 Matriz de dependencias vs. procesos
Localización de los riesgos críticos y su efecto en los procesos del Negocio. En este
paso se determina la vulnerabilidad de una actividad a una amenaza. Para asignar un peso a
cada riesgo ; se consideran tres categorías de vulnerabilidad (1 baja, 2 media, 3 alta) que se
asignarán a cada actividad de acuerdo a su debilidad a una amenaza (causa de riesgo). Por
ejemplo, si afirmamos que el riesgo a una Decisión equivocada tiene alto riesgo de
vulnerabilidad, entonces tendría alta prioridad dentro de nuestras políticas de seguridad
(Ver figura No. 6).
RIESGO
(%) Obtenido
Vulnerabilidad
Decisiones
equivocadas
59
ALTA
Fraude
55
MEDIA
Hurto
54
MEDIA
FIGURA No. 6 Matriz de riesgos vs. vulnerabilidad
Dentro del entorno informático las amenazas (causas de riesgo) se pueden clasificar así:
Naturales: Incluyen principalmente los cambios naturales que pueden afectar de una
manera u otra el normal desempeño del entorno informático; por ejemplo, la posibilidad de
un incendio en el sitio donde se encuentran los concentradores de cableado dado que
posiblemente están rodeados de paredes de madera es una amenaza natural.
Accidentales: Son las más comunes que existen e incluyen:
Errores de los usuarios finales: Por ejemplo, El usuario tiene permisos de administrador
y posiblemente sin intención modifica información relevante.
Errores de los operadores: Por ejemplo, si un operador tenía un sesión abierta y olvidó
salir del sistema; alguien con acceso físico a la máquina en cuestión puede causar estragos.
Error administrativo: Por ejemplo, Instalaciones y configuraciones sin contar con
mecanismos de seguridad para su protección.
Errores de salida: Por ejemplo, Impresoras u otros dispositivos mal configurados.
Errores del sistema: Por ejemplo, daños en archivos del sistema operativo.
Errores de comunicación: Por ejemplo, permitir la transmisión de información violando
la confidencialidad de los datos.
Deliberadas: Estas amenazas pueden ser: activas (accesos no autorizados,
modificaciones no autorizadas, sabotaje) ó pasivas(son de naturaleza mucho más técnica,
como: emanaciones electromagnéticas y/o microondas de interferencia).
Localización de los riesgos críticos en las dependencias de la empresa y procesos que
intervienen en el negocio (Ver figura No. 7 y figura No. 8).
Proceso / Riesgo
Decisiones
equivocadas
Fraude
Hurto
Gestión de centros
transaccionales
X
X
Administración de
sistemas
X
X
Atención al cliente
X
X
Conciliación de
cuentas
X
X
X
FIGURA No. 7 Matriz de Procesos vs. riesgo
Riesgos Vs.
Dependencias.
División
Financiera
Sistemas
Cartera
Contabilidad
Decisiones
equivocadas
X
X
Fraude
X
X
X
X
Hurto
X
X
X
X
FIGURA No. 8 Matriz de riesgo vs. dependencia
Identificar los controles necesarios: En este paso se precisan los controles, los
cuales son mecanismos que ayudan a disminuir el riesgo a niveles mínimos o en algunos
casos eliminarlos por completo. Se debe tener en cuenta que dichas medidas tienen tres
diferentes capacidades que incluyen: mecanismos de prevención, mecanismos de detección
y mecanismos de corrección; y que dentro de un proceso ó negocio funcionan como se
describe en la figura No. 9. En este paso se incluye la funcionalidad y utilidad del control,
y se identifican las personas responsables de la implantación de los controles.
Figura No. 9 Función de las medidas de control preventivas, de detección y correctivas.
Diseñar los controles definitivos: En este paso se tienen los productos necesarios para
iniciar el proceso de implantación de los controles utilizados o bien para empezar la
construcción de dichos mecanismos.
Los siguientes criterios permiten evaluar en un monto simbólico los mecanismos de
control:
Confidencialidad: Se refiere a la protección de la información principalmente de accesos
no autorizados. Información del personal, investigaciones y reportes de desarrollo son
algunos de los ejemplos de información que necesita confidencialidad.
Integridad: Es el servicio ofrecido por el departamento de informática. Debe ser
adecuado, completo y auténtico en el momento de ser procesada, presentada, guardada o
transmitida la información.
Disponibilidad: Indica la disponibilidad que pueden tener en un determinado momento
las actividades informáticas. Esta disponibilidad debe ser inmediata.
Resultados del análisis de riesgos: Los resultados del análisis de riesgos, deben dados a
conocer oportunamente para que sean incorporados, desde las primeras fases del proceso.
Verificar por parte de la auditoría informática, la incorporación oportuna de los
controles: La auditoría informática debe conocer el resultado del análisis de riesgos y
verificar su implantación oportuna, para asegurar los mejores niveles de calidad, seguridad
y efectividad de los procesos informáticos.
GLOSARIO
ERGONOMIA
Disciplina científica que pone las necesidades y capacidades humanas como el foco del
diseño de sistemas tecnológicos. Su propósito es asegurar que los humanos y la tecnología
trabajan en completa armonía, mantiendo los equipos y las tareas en acuerdo con las
características humanas.
RIESGO
Es el valor de las pérdidas a que se exponen las empresas por la ocurrencia de eventos
perjudiciales.
AMENAZA
Las amenazas o causas del riesgo, se refieren a los medios o alternativas posibles que
generan cada uno de los riesgos.
CONTROL
Control es toda acción orientada a minimizar la frecuencia de ocurrencia de las causas del
riesgo o valor de las pérdidas ocasionadas por ellas. Los controles sirven para asegurar la
consecución de los objetivos de la organización o asegurar el éxito de un sistema y para
reducir la exposición de los riesgos, a niveles razonables. Los objetivos básicos de los
controles son : Prevenir las causas del riesgo, detectar la ocurrencia de las causas del riesgo
, y retroalimentando el sistema de control interno con medios correctivos.
INHERENTE
Esencial, permanente, que, por su naturaleza, no se puede separar de otra cosa.
ACTIVIDAD
Ente que necesita ser realizado para completar una o varias tareas específicas.
NEGOCIO
Empresa privada o pública que provee productos y servicios, para satisfacer los
requerimientos de un cliente determinado.
BIBILIOGRAFIA
COLOMBIA.Instituto Colombiano de Normas técnicas y certificación (ICONTEC).
Sistemas de calidad. Santa Fe de Bogotá D.C.: 1994. 21p. NTC-ISO 9001.
COREY Michael y ABBEY Michael, ORACLE Data Warehousing: La seguridad de los
datos, primera edición, España: Editorial McGraw Hill, 1997. 313 p. ISBN: 84-481-0998-8.
DERRIEN Yann, Técnicas de la Auditoría Informática: La dirección de la misión de la
auditoría, México D.F.: Ediciones Alga Omega S.A., 1995. 228 p. ISBN 970-15-0030-X.
Equipo de economistas DVE, Curso completo de auditoría: Introducción, Barcelona -
España: Editorial De Vecchi, S.A., 1991, 206 p., ISBN : 84-315-0957-0.
FARLEY Marc, Guía de LAN TIMES® de seguridad e integridad de datos: Seguridad
informática, primera edición, Madrid(España): Editorial Mc Graw-Hill, 1996. 342 p. ISBN:
0-07-882166-5.
IBM Education and Training, Internet Security and firewalls concepts - Student Notebook.
1995. Course code IN30.
IBM Corporation, S.O.S. en su sistema de computación, primera edición, México: Editorial
Prentice-Hall Hispanoamericana, S.A., 1998. 211 p. ISBN: 970-17-0110-0.
MC CONNELL STEVE, Desarrollo y gestión de proyectos informáticos: Gestión de
riesgos, primera edición, Aravaca(Madrid): Editorial Mc. Graw Hill, 1996. 691 p.
ISBN:84-481-1229-6.
MENDEZ Carlos E., Metodología-Guía para elaborar diseños de investigación en ciencias
económicas, contables y administrativas, segunda edición, Santa Fe de Bogotá: Editorial
Mc Graw Hill, 1993. 170 p. ISBN: 958-600-446-5.
PINILLA José Dagoberto, Auditoría Informática - Aplicaciones en Producción: Análisis de
riesgos, primera edición, Santa Fe de Bogotá: ECOE Ediciones, 1997. 238 p. ISBN: 958-
648-139-5.
SALLENAVE Jean Paul, Gerencia y Planeación Estratégica: El método Delfi, segunda
edición, Colombia: Editorial Norma, 1996. 280 p. ISBN: 958-04-3162-0.
SCAROLA Robert, NOVELL Netware, primera edición, Madrid: Editorial Mc Graw Hill,
1992. 294 p. ISBN 84-7615-945-5.
SENN James A., Análisis y Diseño de Sistemas de Información, Segunda edición:
Editorial Mc Graw Hill.
VAUGHAN EMMETT J., Risk Management, Primera edición, Estados Unidos de
America: Editorial John Wiley & Sons, 1997. 812 p. ISBN 0-471-10759-X.
Alberto Cancelado González:
Estudios realizados: Ingeniería de Sistemas con énfasis en auditoría de sistema y
gerencia informática.
Plan Becarios/400 de IBM
Seminarios de Java y ASP.Net
Cursos de Rational Unified Process
Proyectos informáticos de en los que he participado:
Sistemas de información Financieros, Administrativos y Contables.
Ssitemas de información de Talento Humano
Sistemas de información Médica.
miércoles, 26 de noviembre de 2003
SISTEMA DE ADMINISTRACION DE RIESGOS EN TECNOLOGIA
INFORMATICA
TABLA DE CONTENIDO
INTRODUCCION
PARTE I - ADMINISTRACION DE RIESGOS
1. EL PROBLEMA - ADMINISTRACION DE RIESGOS
1.1 . CLASIFICACION DE LOS RIESGOS
1.2. RIESGOS DE NEGOCIO RELACIONADOS CON LA INFORMATICA
1.3. TECNICAS DE PROCEDIMIENTOS PARA ADMINISTRAR RIESGOS
2. SOLUCIONES EN LA ADMINISTRACION DE RIESGOS
2.1. DEFINICION DE ADMINISTRACION DE RIESGOS
2.2. HERRAMIENTAS DE LA ADMINISTRACION DE RIESGOS
2.3. PROCESO DE LA ADMINISTRACION DE RIESGOS
2.4 RESPONSABILIDADES DEL ADMINISTRADOR DE RIESGOS
3. DECISIONES EN LA ADMINISTRACION DE RIESGOS
3.1. REGLAS DE LA ADMINISTRACIÓN DE RIESGOS
4. EVALUACION Y REVISION DE PROBLEMAS EN LA ADMINISTRACION DE
RIESGOS
4.1. EVALUACION Y REVISION GENERAL
4.2 AUDITORIA EN LA ADMINISTRACION DE RIESGOS
4.2.1. ALCANCE DE LA AUDITORIA DE LA ADMINISTRACION DE RIESGOS
5. OBJETIVOS DE LA ADMINISTRACION DE RIESGOS
5.1. CLASIFICACION DE LOS OBJETIVOS
6. IDENTIFICACION DE RIESGOS
6.1. METODOLOGIAS DE IDENTIFICACION DE RIESGOS
6.2 HERRAMIENTAS DE IDENTIFICACION DE RIESGOS
6.3. TECNICAS DE IDENTIFICACION DE RIESGOS
6.4. SISTEMAS DE INFORMACION EN LA ADMINISTRACION DE RIESGOS
6.4.1. SISTEMAS DE REGISTRO DE ADMINISTRACION DE RIESGOS
6.4.2. SISTEMAS DE COMUNICACION INTERNA
6.5. MANUAL DE POLITICAS DE ADMINISTRACION DE RIESGOS
7. CONTROL DE RIESGOS
7.1. GENERALIDADES EN EL CONTROL DE RIESGOS
7.2. EL CONTROL Y EL ADMINISTRADOR DE RIESGOS
7.3. TEORIAS DE CAUSAS DE ACCIDENTES
7.4. APROXIMACIONES CIENTIFICAS DEL CONTROL Y PREVENCION DE
RIESGOS
7.5. SISTEMAS DE SEGURIDAD
7.5.1. TECNICAS DE SISTEMAS DE SEGURIDAD
7.6. PLAN DE CONTINGENCIA - PLAN DE PREVENCION DE DESASTRES
7.7. ESTRUCTURA DE LA SEGURIDAD INFORMATICA
8. LA ADMINISTRACION DE RIESGOS Y LOS DELITOS
8.1. DELITOS CONTRA LOS NEGOCIOS
8.2 ASPECTOS DEL CONTROL DE PERDIDAS Y LA DESHONESTIDAD DE LOS
EMPLEADOS
PARTE II - ELEMENTOS DE GESTION DE RIESGOS EN INFORMATICA
1. ESTIMACION DE RIESGOS
1.1. IDENTIFICACION DE RIESGOS
1.2. ANALISIS DE RIESGOS
1.2.1. EXPOSICION A RIESGOS
1.2.2. ESTIMACION DE LA PROBABILIDAD DE PERDIDA
1.2.3. PRIORIZACION DE RIESGOS
1.3 CONTROL DE RIESGOS
1.3.1. PLANIFICACION DE RIESGOS
1.3.2. RESOLUCION DE RIESGOS
1.3.3 MONITORIZACION DE RIESGOS
PARTE III - ANALISIS DE RIESGOS

Compártelo con tu mundo

Cita esta página
Cancelado González Alberto. (2003, noviembre 27). Administración de riesgos en tecnología informática. Recuperado de http://www.gestiopolis.com/administracion-de-riesgos-en-tecnologia-informatica/
Cancelado González, Alberto. "Administración de riesgos en tecnología informática". GestioPolis. 27 noviembre 2003. Web. <http://www.gestiopolis.com/administracion-de-riesgos-en-tecnologia-informatica/>.
Cancelado González, Alberto. "Administración de riesgos en tecnología informática". GestioPolis. noviembre 27, 2003. Consultado el 3 de Agosto de 2015. http://www.gestiopolis.com/administracion-de-riesgos-en-tecnologia-informatica/.
Cancelado González, Alberto. Administración de riesgos en tecnología informática [en línea]. <http://www.gestiopolis.com/administracion-de-riesgos-en-tecnologia-informatica/> [Citado el 3 de Agosto de 2015].
Copiar
Imagen del encabezado cortesía de gcbadata en Flickr