apunte matriz de riesgos

PLAN DE VALORACIN DE RIESGO. 2009

81 | P g i n a


82 | P g i n a

INTRODUCCIN

Para que una empresa desarrolladora de software funcione correctamente y

alcance los objetivos propuestos por la administracin son necesarios activos o

recursos de diferentes ndoles y con diversos fines.

Estos recursos pueden ser humanos, materiales (edificios, instalaciones,

inmuebles, papelera, hardware, etc.) e inmateriales (software, experiencia,

credibilidad, alcance de mercadeo etc.).

Todos estos recursos se encuentran en un entorno de incertidumbre, que

en ocasiones, puede mostrase agresivo y provocar interrupciones inesperadas del

funcionamiento normal de la actividad de la empresa.

La mayor parte de estas interrupciones suelen ser temporales y las

condiciones vuelven a ser normales en un perodo que no ocasiona situaciones

crticas para la actividad normal de la empresa. Sin embargo, puede haber

circunstancias que generen interrupciones prolongadas, que lleguen a influir en la

capacidad de funcionamiento de los servicios o impidan el desarrollo normal de los

mismos.

Detallar el anlisis y la valoracin de riesgos en los proyectos de

informacin de una manera estructurada por fases, como herramienta de apoyo

para las empresas desarrolladoras.


83 | P g i n a

OBJETIVO GENERAL

Proporcionar a las empresas, una herramienta que le facilite identificar,

evaluar los riesgos en los proyectos informticos que emprenda la compaa,

mejorando su servicio con el fin de disminuir el impacto y el tiempo al entrar en

produccin.

OBJETIVOS ESPECFICOS

Reconocer los riesgos en las diversas operaciones que realiza la empresa.

Determinar el mtodo de evaluacin y valoracin de riesgos para los

Proyectos informticos.

Documentar las amenazas y los posibles atentados en contra de las

actividades de la empresa.


84 | P g i n a

ALCANCES DEL PLAN

Definir y documentar la valoracin de los riesgos en los proyectos

informticos de una manera organizada que permita identificar, evaluar, controlar

y valorar los riesgos en el rea para las empresas desarrolladoras de software.

Se desarrollar documentando cada una de las fases que componen la

propuesta: Fase de identificacin, evaluacin, control y valoracin, incluyendo las

actividades que se deben ejecutar en cada fase.

Con este plan se pretende dar a conocer los riesgos encontrados en las

empresas en estudio, en relacin a frecuencia, probabilidad, severidad o impacto

en las organizaciones que se consideraron para esta investigacin.


85 | P g i n a

BENEFICIO DEL PLAN

El beneficio a obtener en la identificacin, anlisis y valoracin de riesgos es:

Dimensionar el impacto de los riesgos sobre la empresa en trminos de

interrupciones y prdida que puedan poner en riesgo la viabilidad y la

continuidad del proyecto.


86 | P g i n a

5.0. QUE ES LA VALORACIN DE RIESGOS: Proceso mediante el cual se

establece la probabilidad de que ocurran daos personales o prdidas materiales

y la cuantificacin de los mismos.

Es importante en toda organizacin contar con una herramienta, que

garantice la correcta evaluacin de los riesgos, a los cuales estn sometidos los

procesos y actividades que participan en un proyecto informtico y por medio de

una buena gestin se pueda evaluar el desempeo, desarrollo y ejecucin del

mismo.

Viendo la necesidad en el entorno empresarial de este tipo de herramientas

y teniendo en cuenta que una de las principales causas de los problemas dentro

del entorno informtico, es la inadecuada administracin de riesgos, este trabajo

sirve de apoyo para una adecuada gestin de la administracin de riesgos.

5.1. FASE 0: GESTIN DEL RIESGO

La fase 0 est destinada a identificar, evaluar, valorar y controlar los

riesgos, la frecuencia y severidad con que se pueden presentar y el grado de

aceptabilidad que tienen en el desarrollo del proyecto.

Para comenzar con el anlisis y la valoracin se requiere utilizar las

conceptualizaciones siguientes:

Amenaza: Persona, objeto, situacin o evento natural del entorno (externo

o interno) que es visto como fuente de peligro, catstrofe o interrupcin y pueden

ser de origen natural tecnolgico y social. Ejemplos: sismos, inundacin,

avalanchas, incendio, explosiones, robo de datos, sabotaje, fraude, etc. Tambin

se define como un riesgo no evaluado. Es necesario cuantificarla para poder tomar

decisiones (Administracin de Riesgos). En sntesis podemos definir que la

amenaza es una percepcin del algo que puede ocurrir.


87 | P g i n a

Riesgo: Definimos el riesgo como la probabilidad de que la amenaza se

materialice, debido a la existencia de una o varias vulnerabilidades de peso

significativo. El riesgo es difcil de medir, sobretodo, cuando no se cuenta con

datos estadsticos que lo respalden o avalen, por la tendencia de las empresas a

ocultar incidentes, la localizacin geogrfica, las culturas, leyes, criticidad,

situacin pas, etc. Tambin se define como una amenaza evaluada en cuanto a

su probabilidad de ocurrencia (Frecuencia) y a la gravedad de sus consecuencias

(Severidad).

Riesgo Informtico: Es un suceso incierto que puede llegar a presentarse

en un futuro con la probabilidad de Generar Consecuencias NEGATIVAS que

afecten el ambiente informtico o la informacin.

Probabilidad/Frecuencia: Es el nmero de veces que se da un evento. Ver

tambin posibilidad y probabilidad. Tambin se define como el nmero de veces

que una amenaza deja de serlo para convertirse en realidad, a lo largo de un

determinado periodo de tiempo.

Gravedad/Severidad/Impacto: Es la evaluacin del efecto y consecuencia

del riesgo. Generalmente, la exposicin al riesgo se mide en aspectos

econmicos, imagen de las personas o empresas, disminucin de capacidad de

respuesta y competitividad, interrupcin de operaciones, etc. Efecto que causa en

la empresa la ocurrencia de un siniestro y que normalmente se ve reflejado en la

suspensin de las actividades normales del negocio.

Valor del riesgo: Riesgo = Probabilidad X Gravedad (R = PxG)

Siniestro: Todo evento accidental, sbito e imprevisto (repentino, no

planeado), que normalmente genera consecuencias negativas sobre un proyecto.

Control: es toda accin orientada a minimizar la frecuencia de ocurrencia de las

causas del riesgo o valor de las prdidas ocasionadas por ellas. Los controles

sirven para asegurar la consecucin de los objetivos de las empresas o asegurar


88 | P g i n a

el xito de un proyecto y para reducir la exposicin de los riesgos, a niveles

razonables.

Con las anteriores definiciones, este plan de anlisis y valoracin pretende

identificar y calificar los riesgos que se presentan alrededor del proyecto

Informticos.

El siguiente diagrama muestra cada una de las actividades que se llevaran

cabo en cada fase.

5.1.1. DIAGRAMA DE ADMINISTRACIN DE RIESGOS

IDENTIFICACIN

ANLISIS Y VALORACIN DEL RIESGO

CONTROL

ANLISIS DE RESULTADOS

VALORACIN DEL RIESGO


89 | P g i n a

5.2. FASE 1.- IDENTIFICACIN RIESGOS POTNCIALES

La identificacin de riesgos consiste en determinar qu tipos de riesgos es

ms probable que afecten al proyecto informtico y documentar las caractersticas

de cada uno.

Los siguientes riesgos se identificaron por medio de las cedulas de

entrevista dirigida a los administradores y el cuestionario dirigido a los

especialistas en sistemas (Programadores) de las empresas desarrolladoras de

software de la ciudad de San Miguel. (Ver anexo de instrumento de recoleccin de

informacin Cedula de entrevista, Cuestionario Anexo N 6 y 7).

Metodologa de Trabajo.

Proyectos en Desarrollo.

Mal funcionamiento de Hardware.

Falta de Seguridad fsica en sus Instalaciones.

Los Virus Informticos.

Los accesos no autorizados.

Almacenamiento de los Respaldos (Backups).

El Robo.

Las Normas y Polticas.

Desastres Naturales.


90 | P g i n a

La siguiente metodologa a seguir es, detallar los riesgos relacionados a

cada identificacin. Se irn puntualizando y desglosando segn su dependiente,

de esta manera se podr conocer su proceso en el desarrollo.

5.2.1 METODOLOGA DE TRABAJO.

Anlisis Preliminar

Diseo

Codificacin

Puesta en Funcionamiento

Evolucin

5.2.2 PROYECTOS EN DESARROLLO.

PROCESO:

El producto en desarrollo:

Cambios de requerimientos.

El proceso de Desarrollo:

Diseo inadecuado.

El equipo de Desarrollo:

Aadir ms personal a un proyecto atrasado.

Personal problemtico descontrolado.

Fricciones entre clientes y desarrolladores (poltica del desarrollo).

5.2.3 MAL FUNCIONAMIENTO DE HARDWARE.

Fallas en los equipos

Discos duros

Memorias RAM.


91 | P g i n a

5.2.4 FALTA DE SEGURIDAD FSICA EN SUS INSTALACIONES.

Polarizaciones elctricas.

Alarmas.

Infraestructura antigua.

5.2.5 LOS VIRUS INFORMTICOS.

Actualizacin de antivirus.

Firewall.

5.2.6 LOS ACCESOS NO AUTORIZADOS.

reas de trabajo.

Control de acceso a la informacin.

Nivel de acceso

5.2.7 ALMACENAMIENTO DE LOS RESPALDOS (BACKUPS).

Backups de software

Backups Data

5.2.8 EL ROBO

Medios de almacenamiento masivo

Llevndose la data, difundiendo as la informacin

5.2.9 NORMAS Y POLTICAS.

Normas para el uso de los equipos de la empresa.

Polticas de seguridad para la empresa.


92 | P g i n a

5.2.10 DESASTRES NATURALES.

Fuego

Inundaciones

Sismos

Huracanes

Una vez identificadas las amenazas y los riesgos se elaboran las siguientes

matrices:

La matriz de eventos de riesgos con relacin a los procesos se construye

con las amenazas y con los procesos que tienen los proyectos informticos. La

combinacin Proceso Amenaza (fila, columna) lo nombraremos Evento de

riesgos, tal como se muestra en la Tabla N 1.

5.3 TABLA # 1. MATRIZ DE EVENTOS CON RELACIN A PROCESOS.

Procesos / Amenazas Fallas Fallas Fallas

P1 P1,A1 P1,A2 P1,An

P2 P2,A3 P2,A4 P2,An

Pn

P1= proceso 1, P2= proceso 2 Pn= proceso n

A1= amenaza 1, A2= amenaza 2.. An= amenaza n

P1, A1 = E1, es el evento 1 de que en el proceso 1 ocurra la amenaza 1.

El mtodo a seguir es la realizacin de las Matrices de procesos y amenazas.


93 | P g i n a

Las siguientes tablas de eventos se desarrollan para conocer las

amenazas o fallas bajo las cuales estn sometidos cada uno de los procesos.

5.3.1 TABLA # 2. MATRIZ DE EVENTO CON RELACIN A LA

METODOLOGA DE TRABAJO.

PROCESOS/AMENAZAS

Fallas

planificacin del

proyecto

Fallas en los

modelos del

prototipos

Fallas en la etapa

de realizar pruebas.

Fallas en la puesta en

marcha del producto

Fallas de la aplicacin

METODOLOGA DE TRABAJO.-P1

Anlisis preliminar. A1

Diseo.

A2

Codificacin. A3

Puesta en Funcionamiento. A4

Evolucin.A5

5.3.2 TABLA # 3. MATRIZ DE EVENTOS CON RELACIN AL

PROYECTO EN DESARROLLO.

PROCESOS/AMENAZAS

Fallas del producto en desarrollo

Fallas del proceso de desarrollo

Fallas del equipo de desarrollo

PROYECTOS EN DESARROLLO.- P2

Cambios de requerimientos. A6

Diseo inadecuado A7

Aadir ms personal a un proyecto atrasado. A8

Personal problemtico descontrolado. A9

Fricciones entre clientes y desarrolladores (poltica del desarrollo). A10


94 | P g i n a


MAL FUNCIONAMIENTO DE HARDWARE.

PROCESOS/AMENAZAS

Fallas en los equipos

MAL FUNCIONAMIENTO DE

HARDWARE.- P3

Discos duros

A11

Memorias RAM

A12

5.3.4 TABLA # 5. MATRIZ DE EVENTOS CON RELACIN A LA FALTA DE SEGURIDAD FSICA EN SUS INSTALACIONES.

PROCESOS/AMENAZAS

Fallas por los mtodos de

proteccin al hardware

Fallas en la

seguridad

Fallas en la

seguridad fsica

FALTA DE

SEGURIDAD FSICA

EN SUS

INSTALACIONES.-P4

Polarizaciones elctricas.

A 13

Alarmas.

A 14

Infraestruc

tura

antigua.

A 15

5.3.5 TABLA # 6. MATRIZ DE EVENTOS CON RELACIN A LOS VIRUS INFORMTICOS.

PROCESOS/AMENAZAS

Fallas en la seguridad

Fallas en el control de

acceso

LOS VIRUS

INFORMTICOS.-P5

Actualizacin de

antivirus.

A16

Firewall.

A17


95 | P g i n a

5.3.6 TABLA # 7. MATRIZ DE EVENTOS CON RELACIN A LOS

ACCESOS NO AUTORIZADOS.

PROCESOS/AMENAZAS

Fallas inadecuada medida de seguridad

Fallas por la libertad de

acceso

Fallas en el control

del acceso

LOS ACCESOS NO

AUTORIZADOS.-P6

reas de

trabajo.

A18

Control de

acceso a la

informacin.

A19

Nivel de

acceso.

A20


ALMACENAMIENTO DE LOS RESPALDOS (BACKUPS).

PROCESOS/AMENAZAS

Fallas en las plataformas de

trabajo SO

Fallas en cuanto al tiempo

que realizan los resguardos

ALMACENAMIENTO DE

LOS RESPALDOS

(BACKUPS).-P7

Backups de

software.

A21

Backups

Data.

A22

5.3.8 TABLA # 9. MATRIZ DE EVENTOS CON RELACIN AL ROBO.

PROCESOS/AMENAZAS

Fallas en el Fcil acceso

Fallas en la seguridad de

acceso

EL ROBO.- P8

Medios de

almacenamiento

masivo.

A23

Llevndose la data, difundiendo as la informacin. A24


96 | P g i n a

5.3.9 TABLA # 10. MATRIZ DE EVENTOS CON RELACIN A LAS

NORMAS Y POLTICAS.

PROCESOS/AMENAZAS

Fallas por no contar con

normas

Fallas por no cortar con polticas

NORMAS Y POLTICAS.-P9

Normas para

el uso de los

equipos de la

empresa.

A25

Polticas de

seguridad

para la

empresa.

A26

5.3.10 TABLA # 11. MATRIZ DE EVENTOS CON RELACIN A DESASTRES NATURALES.

PROCESOS/AMENAZAS

Fallas por la falta de

equipo contra fuego

Fallas por desages, invierno

humedad,

Riesgo a ocurrir

Riesgo a ocurrir

DESASTRES NATURALES.-P10

Fuego.

A27

Inundaciones

A28

Sismos

A29

Huracanes A30


97 | P g i n a

5.4 NIVEL DE RIESGOS DE PROBLEMAS OCURRIDOS EN LAS EMPRESAS

Para evaluar esta etapa se describen los problemas con ms impacto y

probabilidad de ocurrencia que se les presentan a las empresas desarrolladoras

se describen los procesos y amenazas existentes en los cuales permiten obtener

informacin para los efectos de la toma de decisiones, estos niveles de riesgo son:

ALTO (cuando el riesgo hace altamente vulnerable a la entidad o unidad).

o (Impacto y probabilidad alta vs controles).

MEDIO (cuando el riesgo presenta una vulnerabilidad media).

(Impacto alto probabilidad baja o Impacto bajo - probabilidad alta vs

controles).

BAJO (cuando el riesgo presenta vulnerabilidad baja), (Impacto y

probabilidad baja vs controles).

El mtodo a seguir es el de realizar la matriz de nivel de riesgo de los

problemas encontrados en cada empresa desarrolladora, en las cuales se irn

dando a conocer segn su nivel de impacto y probabilidad de ocurrencia en cada

una de ellas.


98 | P g i n a

5.4.1 Matriz 1.- NIVEL DE RIESGOS DE PROBLEMAS OCURRIDOS EN LAS EMPRESAS.

ALTO

MEDIO Disoftware, Syscotel SA de CV,

Ryougan technology, Garrobito Web,

Ceminfo.

P1- Anlisis Preliminar (A1), Diseo

(A2), Codificacin (A3), Puesta en

Funcionamiento (A4), Evolucin

(A5).

BAJO

Baja Media Alta

Probabilidad

I

M

P

A

C

T

O


99 | P g i n a


Probabilidad

ALTO Disoftware, Syscotel SA de CV, Ryougan technology, Garrobito Web, Ceminfo.

P3- Discos duros (A11), Memoria

RAM (A12).

MEDIO Disoftware, Syscotel SA de CV,

Ryougan technology, Garrobito Web, Ceminfo.

P2-Cambio de requerimientos (A6)

BAJO Garrobito Web

P2-Aadir ms personal a un

proyecto atrasado (A8).

Ryougan technology,

P2-Diseo inadecuado (A7), Aadir

ms personal a un proyecto atrasado (A8), Personal problemtico descontrolado (A9),Fricciones entre clientes y desarrolladores (poltica del desarrollo)

Baja Media Alta

I

M

P

A

C

T

O


100 | P g i n a



P6-Areas de trabajo (A18), Control

de acceso a la informacin (A19), Nivel de acceso (A20).

Ceminfo, Ryougan technology.

P4-Polarizaciones elctricas(A13)

MEDIO Ceminfo, Ryougan technology.

P4-Alarmas (A14)

Ryougan technology

P4- Infraestructura antigua (A15)

Disoftware, Syscotel SA de CV, Ryougan technology, Garrobito Web, Ceminfo.

P5-Actualizacion de antivirus (A16)

Firewall (A17).

BAJO

Baja Media Alta

Probabilidad

I

M

P

A

C

T

O


101 | P g i n a



P7-Backups de software (A21),

Backups de Data (A22).

Syscotel SA de CV

P8-Medios de almacenamiento

masivo (A23). Llevndose la data, difundiendo as la informacin (A24)

MEDIO Disoftware, Ryougan technology, Garrobito Web, Ceminfo.

P8-Medios de almacenamiento

masivo (A23) Llevndose la data, difundiendo as la informacin (A24)

BAJO Disoftware, Syscotel SA de CV, Ryougan technology, Garrobito Web, Ceminfo.

P9-Normas para el uso de los

equipos de la empresa (A25). Polticas de seguridad para la empresa (A26).

Baja Media Alta

Probabilidad

I

M

P

A

C

T

O


102 | P g i n a


ALTO Garrobito Web, Ceminfo.

P10-Fuego (A27).

Syscotel SA de CV, Ryougan technology.

P10-Inundaciones (A28).

Ryougan technology.

P10-Sismos (A29.)

Syscotel SA de CV

P10- Huracanes (A30)

MEDIO

BAJO

Baja Media Alta

Probabilidad

I

M

P

A

C

T

O

Ver anexo de instrumento de recoleccin de informacin Cedula de entrevista, Cuestionario. Anexo N 6 y 7


103 | P g i n a

5.5 FASE 2. - ANLISIS Y VALORACIN RIESGO

Una vez que los riesgos han sido identificados y descrito sus procesos y

amenazas, se llevara a cabo su evaluacin.

El paso a seguir es hacer el anlisis y la valoracin.

En esta actividad se tiene como objetivo, una vez definidos los riesgos, la

determinacin y clculo de los criterios que, con posterioridad, nos facilitarn la

evaluacin y valoracin del riesgo.

Como procedimiento a seguir se identificarn las variables especficas y se

analizarn los factores obtenidos. Los criterios de anlisis del riesgo para este

caso en particular que usaremos son: Probabilidad o frecuencia, gravedad o

impacto y la aceptabilidad del riesgo.

Para poder hacer el anlisis y la valoracin del riesgo es necesario elaborar

las escalas de probabilidad y gravedad en que se pueden presentar las amenazas.

Estas dos tablas tienen como finalidad obtener una calificacin del riesgo en

cuanto a frecuencia o posibilidad de ocurrencia y en cuanto a la consecuencia o

gravedad si se llegara a materializar la amenaza.


104 | P g i n a

5.5.1 Tabla # 12. Contiene una Escala de Probabilidad.

VALOR PROBABILIDAD (FRECUENCIA) DEFINICIN

1

Improbable

Se presenta bajo circunstancias extremas de orden pblico en el pas, de catstrofe o bajo situaciones excepcionales fuera del alcance de la organizacin o del proyecto. Como paros, huelgas, sabotajes o amenazas de terrorismo.

2

Remoto

Se presenta por situaciones atribuibles a las personas, y pueden ser causadas por hechos internos de la organizacin hacia el proyecto como suspenderlo, no apoyarlo, abortarlo, entre otras.

3

Ocasional

El evento se clasifica como no- rutinario y no es inherente a la tecnologa, su frecuencia se asocia con variables externas a la tecnologa, los procesos o componentes del proyecto.

4

Moderado

Se presenta por situaciones atribuibles al descuido o error humano que afectan la ejecucin del proyecto.

5

Frecuente

Se presenta con cierta regularidad, y su causa es atribuible a los recursos mnimos del proyecto (Personas, presupuesto, tiempo, tecnologa) los cuales son necesarios para su ejecucin.

6

Constante

Se presenta en el da a da, su origen es atribuible a situaciones normales del proyecto como interrupciones menores de los procesos, los servicios de la tecnologa, la desviacin de los recursos y otros similares.


105 | P g i n a

Definicin Aplicativa.

IMPROBABLE: Cuando el riesgo evaluado no ha sucedido hasta ahora y es muy

difcil que ocurra.

REMOTO: Cuando el riesgo evaluado ha sucedido slo en forma excepcional y se

tiene una posibilidad de ocurrencia muy baja.

OCASIONAL: Cuando el riesgo evaluado ha sucedido pocas veces y tiene baja

posibilidad de ocurrencia.

MODERADO: Si el riesgo sucede en forma espordica y tiene limitada posibilidad

de ocurrencia.

FRECUENTE: Si el riesgo sucede algunas veces y tiene una significativa


CONSTANTE: Cuando el riesgo evaluado sucede en forma reiterada y tiene alta


El termino Gravedad: se refiere a la magnitud en trminos relativos de las

consecuencias que pueden generarse al ocurrir la amenaza evaluada.

La tabla de gravedad, debe construirse en forma estndar para las empresas.


106 | P g i n a

5.5.2 TABLA # 13. ESCALA DE GRAVEDAD.

VALOR GRAVEDAD

1 Insignificante: La duracin de la interrupcin es menor a 1 Hora.

2 Marginal: La duracin de la interrupcin esta entre 1-4

Horas.

5 Grave: La duracin de la interrupcin esta entre 4-8 Horas.

10 Crtico: La duracin de la interrupcin esta entre 8-24 Horas.

20 Desastroso: La duracin de la interrupcin esta entre 24-36 Horas.

50 Catastrfico: La duracin de la interrupcin es mayor a 36 Horas.


107 | P g i n a

INSIGNIFICANTE: Cuando las consecuencias (impacto) pueden ser consideradas

como despreciables porque que no afectan el funcionamiento del proyecto.

MARGINAL: Cuando las consecuencias (impacto) se consideran tolerables

(moderadas) porque afectan en forma leve al proyecto.

GRAVE: Cuando las consecuencias (impacto) afectan parcialmente el

funcionamiento del proyecto, pero no ponen en peligro su ejecucin.

CRTICO: Se valora la consecuencia (impacto) en trminos considerables porque

dichas consecuencias afectan parcialmente al proyecto desplazando su ejecucin.

DESASTROSO: Las consecuencias afectan totalmente al proyecto, desplazando

su ejecucin y aumentando los costos del mismo de lo inicialmente

presupuestado.

CATASTRFICO: Cuando las consecuencias se consideran de gran magnitud

porque afectan en forma total el proyecto pudiendo poner en riesgo la estabilidad

del mismo e inclusive impidiendo su terminacin.

Podemos hablar con el trmino riesgo cuando la amenaza se evala con las

escalas de probabilidad y gravedad. El prximo paso entonces, de esta etapa, es

calificar los riesgos multiplicando el valor del riesgo en cuanto a probabilidad por el

valor del riesgo en cuanto a gravedad.

Riesgo = Probabilidad X Gravedad (R = PxG).

Tal como se muestra en la Tabla # 14 tomando como referencias las Matrices de

Eventos o escenarios en cuanto a Procesos:


108 | P g i n a

5.5.3 TABLA #14 CALIFICACIN DEL RIESGO CON RELACIN A LOS PROCESOS.

ENTORNO DE PROCESOS PROBABILIDAD P GRAVEDAD G RIESGO (PxG)

METODOLOGA DE TRABAJO.-P1- A1, A2, A3, A4, A5.

OCASIONAL

3

CRTICO

10

30

PROYECTOS EN DESARROLLO.- P2-A5, A6, A7, A8, A9, A10.

OCASIONAL

3

GRAVE

5

15

MAL FUNCIONAMIENTO DE HARDWARE.- P3- A11, A12.

OCASIONAL 3 CATASTRFICO 50 150

FALTA DE SEGURIDAD FSICA EN SUS INSTALACIONES.-P4-A13, A14, A15.

OCASIONAL

3

MARGINAL

2

6

LOS VIRUS INFORMTICOS.-P5 A16, A17.

REMOTO 2 GRAVE 5 10

LOS ACCESOS NO AUTORIZADOS.-P6 A19,A19,A20

OCASIONAL 3 GRAVE 5 15

ALMACENAMIENTO DE LOS RESPALDOS (BACKUPS).-P7-A21, A22.

REMOTO 2 CRTICO

10 20

EL ROBO. - P8-A23, A24. OCASIONAL 3 DESASTROSO 20 60

NORMAS Y POLTICAS.-P9-A25, A26.

OCASIONAL 3 CRTICO

10 30

DESASTRES NATURALES.-P10-A27, A28, A29, A30.

REMOTO 2 CATASTRFICO 50 100

Riesgo = P X G Donde: P = Probabilidad de ocurrencia (frecuencia) G = Gravedad o intensidad de las consecuencias (impacto)


109 | P g i n a

5.6 FASE 3. - ANALISIS DE RESULTADOS

5.6.1 Elaborar la Matriz de Aceptabilidad, que nos permita

determinar el nivel de aceptabilidad hacia el riesgo.

La Matriz de Aceptabilidad de Riesgos nos determina el nivel de

aceptabilidad del evento o escenario (combinacin de Riesgo proceso, o

combinacin de riesgo tecnologa) que pueda suceder en el proyecto.

Esta matriz est conformada por cuatro zonas de acuerdo con la escala de

probabilidad y de gravedad definida en los pasos anteriores:

Zona Aceptable: Donde la probabilidad de ocurrencia del riesgo es muy baja, es

decir, un evento o escenario situado en esta regin de la matriz, significa que la

combinacin frecuencia consecuencia no implica una gravedad significativa, por lo

que no amerita la inversin de recursos y no requiere acciones adicionales para la

gestin sobre el factor de vulnerabilidad considerado, diferentes a las ya aplicadas

en el proyecto.

Zona Tolerable: Un evento o escenario situado en esta regin de la matriz,

significa que, aunque deben desarrollarse actividades para la gestin sobre el

riesgo en el proyecto, tienen una prioridad de segundo nivel, pudiendo ser a

mediano plazo.

Zona Inaceptable: Donde la probabilidad de ocurrencia del riesgo es alta, y su

consecuencia es considerable, es decir, un evento o escenario situado en esta

regin de la Matriz, significa que se requiere siempre desarrollar acciones

prioritarias a corto plazo para su gestin, debido al alto impacto que tendran sobre

el proyecto.

Zona Inadmisible: Un riesgo identificado situado en esta regin de la matriz,

significa que bajo ninguna circunstancia se deber mantener un escenario con esa

capacidad potencial de afectar la estabilidad del proyecto e inclusive su


110 | P g i n a

terminacin. Por ello estos escenarios requieren una atencin de alta prioridad

para buscar disminuir en forma inmediata su vulnerabilidad.

Para determinar los lmites de cada una de las zonas de aceptabilidad en la

matriz, se utilizan los siguientes criterios de valoracin:

5.6.1.1 Tabla # 15 Matriz de Zona de Aceptabilidad.

ZONA CRITERIO DE ACEPTABILIDAD

(% de vulnerabilidad).

Aceptable Hasta el 3.0

Tolerable Del 3.1 al 5.0

Inaceptable Del 5.1 al 25.0

Inadmisible Ms del 25.0

5.6.1.2 Tabla # 16 PROBABILIDAD RELATIVA.

Constante 6 6 (2.0%) 12 (4.0%) 30 (10.0%) 60 (20.0%) 120 (40.0%) 300 (100.0%)

Frecuente 5 5 (1.6%) 10 (3.3%) 25 (8.3%) 50 (16.6%) 100 (33.3%) 250 (83.3%)

Moderado 4 4 (1.3%) 8 (2.6%) 20 (6.6%) 40 (13.3%) 80 (26.6%) 200 (66.6%)

Ocasional 3 3 (1.0%) 6 (2.0%) 15 (5.0%) 30 (10.0%) 60 (20.0%) 150 (50.0%)

Remoto 2 2 (0.6%) 4 (1.3%) 10 (33.3%) 20 (6.6%) 40 (13.3%) 100(33.3%)

Improbable 1 1(0.3%) 2 (0.6%) 5 (1.6%) 10 (3.3%) 20 (6.6%) 50 (16.6%)

1 2 5 10 20 50

Insignificante Marginal Grave Crtico Desastroso Catastrfico

GRAVEDAD RELATIVA


111 | P g i n a

Cada riesgos encontrados (Pn An), resultante de la matriz de eventos con

relacin a los procesos informticos, se sita dentro de la matriz de aceptabilidad

para poder determinar los requerimientos de medidas de control como insumos

necesarios para la prxima etapa o fase que es la de Control.

La Matriz de Aceptabilidad del riesgo est determinada por la escala de

probabilidad tomada de la Tabla #12 y la escala de gravedad basada en la Tabla

#13 con la definicin de los valores de aceptable, tolerable, inaceptable e

inadmisible como se muestra a continuacin en la Tabla # 17:

5.6.1.3 Tabla # 17 Matriz de Aceptabilidad.

PROBABILIDAD RELATIVA Constante 6 Aceptable Tolerable Inaceptable Inaceptable Inadmisible Inadmisible

Frecuente 5 Aceptable Tolerable Inaceptable Inaceptable Inadmisible Inadmisible

Moderado 4 Aceptable Aceptable Inaceptable Inaceptable Inadmisible Inadmisible

Ocasional 3 Aceptable Aceptable Tolerable Inaceptable Inaceptable Inadmisible

Remoto 2 Aceptable Aceptable Tolerable Inaceptable Inaceptable Inadmisible

Improbable 1 Aceptable Aceptable Aceptable Tolerable Inaceptable Inaceptable

1 2 5 10 20 50


GRAVEDAD RELATIVA.


112 | P g i n a

5.6.1.4 Tabla #18. Matriz de Aceptabilidad para el entorno de Procesos.

PROBABILIDAD RELATIVA.

Constante 6

Frecuente 5

Moderado 4

Ocasional 3 Falta de seguridad fsica en sus instalaciones.-P4-A13, A14, A15.

Proyectos en desarrollo.- P2-A5, A6, A7, A8, A9, A10.

Metodologa de trabajo.-P1- A1, A2, A3, A4, A5.

El robo.- P8-

A23, A24.

Mal funcionamiento de hardware.- P3- A11, A12. Normas y

polticas.-P9-A25, A26.

Los accesos no autorizados.-P6 A19,A19,A20

Remoto 2 Los virus informticos.-P5 A16, A17.

Almacenamiento de los respaldos (backups).-P7-A21, A22.

Desastres naturales.-P10-A27, A28, A29, A30.

Improbable 1

1 2 5 10 20 50


GRAVEDAD RELATIVA.


113 | P g i n a

Perfil de los riesgos.

El conjunto de todos los riesgos encontrados ubicados en la matriz de

aceptabilidad configura el perfil de los riesgos para el proyecto o sistema y que se

realiza para el entorno de los procesos y los proyectos informticos: Metodologa

de trabajo, Proyectos en desarrollo, Mal funcionamiento de hardware, Falta de

seguridad fsica en sus instalaciones, Los virus informticos, Los accesos no

autorizados, Almacenamiento de los respaldos (backups), El robo, Normas y

polticas, Desastres naturales.

5.7 FASE 4.- CONTROL

Esta fase consiste en identificar y analizar las soluciones disponibles para

tratar los riesgos estudiados en las etapas anteriores, con el fin de reducir la

frecuencia y severidad de las prdidas, en caso de que los riesgos identificados se

materialicen.

Control es toda accin orientada a minimizar la frecuencia de ocurrencia de

las causas del riesgo o valor de las prdidas ocasionadas por ellas.

Los controles sirven para asegurar la consecucin de los objetivos de la

organizacin o asegurar el xito de un sistema y para reducir la exposicin de los

riesgos, a niveles razonables. Los objetivos bsicos de los controles son:

Prevenir las causas del riesgo, detectar la ocurrencia de las causas del

riesgo, retroalimentando el sistema de control interno con medios correctivos para

establecer las respectivas medidas de proteccin y permitiendo as la continuidad

de la organizacin o el proyecto que est en ejecucin.


114 | P g i n a

En el siguiente grafico muestra cuales son las actividades que se deben

seguir para tener un buen control de riesgos en el proyecto que se est

desarrollado.

5.7.1 C O N T R O L DEL R I E S G O S

Control Fsico/Lgico: En esta actividad se definen dos alternativas

fundamentales para obtener un buen control del riesgo:

Prevencin: Estudio exhaustivo de las alternativas lgicas conducentes a reducir

en la medida de lo posible, las causas que originan la materializacin de un riesgo.

Son aquellas medidas tendientes a minimizar las causas que puedan

provocar una prdida teniendo en cuenta los procesos, la gente y la tecnologa.

Proteccin: Conjunto de actividades encaminadas a reducir la severidad del

impacto causado por la materializacin de un riesgo. Actan sobre las

consecuencias.


115 | P g i n a

Son aquellas medidas tendientes a reducir la severidad de la prdida, es

decir en caso de que sta suceda, reduzca las consecuencias al mnimo, teniendo

en cuenta los procesos, la gente y la tecnologa.

Control Financiero: En esta actividad se definen dos alternativas fundamentales

la de retener y la de transferir el riesgo:

Retener: Consiste en proveer los medios hoy, para el estado de necesidad, que la

materializacin de un riesgo pueda causar en el futuro. De acuerdo con la

capacidad financiera de la organizacin, se pueden asumir los riesgos que se

determinen despus de analizar la matriz de riesgos. Se asumen generalmente los

riesgos de baja probabilidad de ocurrencia y baja severidad (riesgos no

catastrficos).

Uno de los mecanismos que se pueden definir en la empresa o en el

proyecto para tratar los riesgos que se consideren, se pueden asumir el fondo en

reservar de dinero para anticiparse a las consecuencias de una prdida que se

podra generar al materializarse el riesgo asumido y previamente calculado su

posible costo.

Transferir: Es el traslado del riesgo a una compaa aseguradora mediante el

pago de una prima. (Contrato de seguro). Consiste tambin en la transferencia

contractual de los riesgos a los contratistas y subcontratistas de la organizacin o

de los que interviene en el desarrollo del proyecto.

Anlisis de resultados: Cualquier proceso requiere de una retroalimentacin,

para mantenerse en el tiempo y hacerse flexible ante los mltiples y vertiginosos

cambios que se viven en las organizaciones y con mayor razn en los proyectos y

especialmente en los de tecnologa de informacin.


116 | P g i n a

Cuando ocurren cambios en el proyecto, es ciclo bsico de identificacin,

evaluacin, anlisis y valoracin de riesgos se repite.

Es importante comprender que incluso el anlisis ms profundo y completo

no puede identificar todos los riesgos y probabilidades correctamente se requiere

un control y una iteracin.

Los riesgos son dinmicos y deben ser monitoreados permanentemente


117 | P g i n a

5.8. RECOMENDACIONES.

La metodologa aqu definida y documentada se convierte en una

herramienta clave para las empresas desarrolladoras de software de la

ciudad de san Miguel. Porque a travs de su utilizacin y aplicacin le

facilita identificar, evaluar, controlar y valorar los riesgos de en proyectos

informticos que emprenda la compaa, mejorando la gestin con el fin de

disminuir el impacto de la tecnologa en los costos, recursos y el tiempo al

entrar en produccin.

La aplicacin de esta metodologa, deber realizarse en todas las etapas de

los proyectos informticos, hacindola extensiva a que la empresa en

adelante pueda emplearla en cada aspecto especfico.

El plan cubre una gama de aspectos ticos, econmicos, administrativos y

tecnolgicos que le permitirn al administrador o especialistas en

informtica (programadores) tener un dominio integral sobre cada aspecto

de la ejecucin del proyecto garantizando su continuidad.


118 | P g i n a

5.9. CONCLUSIONES.

Para definir la metodologa de anlisis y valoracin de riesgos en proyectos

informticos se tuvo en cuenta las tres dimensiones fundamentales que

componen una organizacin informtica a nivel mundial: Los procesos la

gente y la tecnologa, sin olvidar que la parte ms importante es la gente, la

que hace que los procesos y la tecnologa funcionen.

Desde los comienzos de la computacin, los recursos informticos

incluyendo la informacin, han estado expuestos a una serie de peligros o

riesgos que han aumentado y evolucionado

Proteger los activos ms valiosos de las empresas frente a posibles

amenazas que ofrece permanentemente el medio, es un gran desafo. Este

inters crece aun ms cuando la informacin cobra importancia para

sobrevivir frente a la competencia y permanecer en el mercado.

apunte matriz de riesgos

Documents