ANÁLISIS DE RIESGO

A partir de los objetivos estratégicos y plan de negocios, la administración de riesgos debe desarrollar un proceso para la “identificación” de las actividades principales y los riesgos a los cuales están expuestas; entendiéndose como: Riesgo : al evento, el cual es incierto y tiene un impacto negativo. También se puede definir  como la posibilidad de sufrir un daño por la exposición a un peligro. Peligro : es la fuente del  riesgo y se refiere a una substancia o a una acción que puede causar daño.  Las metodologías de  análisis de riesgos existentes describen sus etapas en forma teórica, se presentan pocos ejemplos o  es necesario una herramienta para realizarlo, cuyo costo normalmente es elevado.  Por lo anterior es necesario establecer una metodología cualitativa práctica para realizar un análisis  de riesgos a las áreas de TI, estableciendo cómo puede ejecutarse el análisis.Un ejemplo de esto, puede ser el siguient...

El análisis de procedimientos de riesgo es adecuado tanto par una etapa de diseño, como en la etapa de operación, evaluando en ambos casos las consecuencias de posibles desviaciones en todas las unidades de proceso, tanto si es continuo como discontinuo.  La técnica consiste en analizar sistemáticamente las causas y las consecuencias de unas desviaciones de las variables de proceso, planteadas a través de unas "palabras guía". El metodo es adecuado tanto par una etapa de diseño, como en la etapa de operación, evaluando en ambos casos las consecuencias de posibles desviaciones en todas las unidades de proceso, tanto si es continuo  como discontinuo , a instalaciones simples o complejas. VENTAJAS DE UN ESTUDIO  Un análisis de riesgos con metodología no sólo permite mejorar la seguridad de una instalación, sino que también sirve para poner de relieve los posibles problemas de diseño y/o de operatividad en una fase temprana del desarrollo del proyecto. También se empl...

La Empresa ha decidido implementar una política que permita reconocer de forma sistemática los eventos internos o externos a ella que pueden representar riesgos para el logro de los objetivos del negocio.  Lo anterior requiere la implementación de herramientas para evaluarlos de manera consistente, determinar sus consecuencias y poder desarrollar acciones de mitigación que permitan mantenerlos en un nivel aceptable. Es política de la Empresa: • Establecer, formalizar y poner en práctica una metodología integral para la gestión del riesgo. • Definir y establecer el nivel aceptable de los riesgos. • Contar con la aprobación explícita de los planes de mitigación de los riesgos. • Realizar evaluaciones periódicas de los procedimientos en uso para el control de los riesgos. • Mantener informadas a las partes involucradas sobre el estado y el perfil de riesgos de la Empresa.  La política debe ser aplicada por toda la empresa.  Los lineamientos, principios y definicione...

La implementación de un plan de Gestión de Riesgos, produce, entre otros, los siguientes  beneficios : La organización aumenta sus probabilidades de alcanzar las metas propuestas. Permite el cumplimiento de requisitos legales en varias áreas. Mejora el conocimiento en administración. Protege los recursos de la organización. Aumenta la eficacia y la eficiencia operativa de la organización. Establece una base de datos confiable para la toma de decisiones. Hace que la Alta Dirección de la organización, sea consciente de la importancia de controlar e identificar y gestionar los riesgos. Establecer el contexto En esta etapa, calificamos los riesgos y establecemos si son de  contexto interno o externo . Se entiende por  contexto  externo, aquel riesgo que se deriva de factores culturales, sociales, políticos, jurídicos, reglamentarios, financieros, tecnológicos, económicos, o relativos a la competencia. El riesgo de control interno, está relacionado con el c...

El  análisis del riesgo  ayuda a las personas encargadas de  tomar decisiones  y a los directivos a entender la gestión de riesgos y cómo pueden afectar a la consecución de sus objetivos, y a la capacidad de  eficiencia de los controles  ya implantados. Los resultados de este análisis, nos servirán de referencia a la hora de tomar decisiones en la empresa.  Por qué usar GAP Análisis en la implementación de ISO 9001 Los  pasos para la evaluación  del riesgo son: Identificación Análisis Valoración del riesgo La forma de aplicar este procedimiento va en función del contexto en el que nos encontremos, incluso depende de las  técnicas que empleemos  para llevar a cabo el análisis. Identificación del riesgo Es la parte del proceso de gestión de riesgos en la que  conocemos e inspeccionamos los riesgos. El objetivo de la identificación del riesgo es  conocer los sucesos que se pueden producir  en la organ...

Cuando un activo es víctima de una amenaza, no se ve afectado en todas sus dimensiones, ni en la misma cuantía. Una vez determinado que una amenaza puede perjudicar a un activo, hay que valorar su influencia en el valor del activo, en dos sentidos: degradación: cuán perjudicado resultaría el [valor del] activo probabilidad: cuán probable o improbable es que se materialice la amenaza La degradación mide el daño causado por un incidente en el supuesto de que ocurriera. La degradación se suele caracterizar como una fracción del valor del activo y así aparecen expresiones como que un activo se ha visto “totalmente degradado”, o “degradado en una pequeña fracción”. Cuando las amenazas no son intencionales, probablemente baste conocer la fracción físicamente perjudicada de un activo para calcular la pérdida proporcional de valor que se pierde. Pero cuando la amenaza es intencional, no se puede pensar en proporcionalidad alguna pues el atacante puede causar muchísimo daño de forma selectiva...

Documentar la evaluación de riesgos es un proceso que podemos dividir en dos etapas: El registro de riesgos. El esquema del tratamiento de los riesgos. Vemos cómo realizar cada uno de estas etapas: El registro de riesgos El registro de riesgos es un  documento para tener un control de los posibles riesgos  que pudieran afectar a la organización. En este registro de riesgos, además de anotar los riesgos potenciales identificados, se detallarán las  medidas definidas para minimizar tales riesgos  y se irá haciendo un seguimiento de los mismos. Además, en el registro de riesgos, se incluirá unos  planes de contingencia  a los que acudir en caso de que el riesgo potencial acabe sucediendo. Igualmente, debe incorporar un  detalle de los costes  que supondrá la eliminación de cada riesgo identificado. Este documento, también será  útil de cara a las auditorías , ya que permitirá demostrar que se ha realizado una gestió...

Muchas veces se comete el error de pensar que la seguridad consiste, básicamente, en evitar las intrusiones en nuestro sistema. Según diversos estudios en los últimos cuatro años los ataques para robar información de las empresas han aumentado  46%, y en México el 60%   de las empresas tiene problemas por fugas internas de información. Con estas cifras, sin duda, una de las principales preocupaciones de dueños, inversionistas, directores y empleados de las compañías es tomar las medidas de seguridad informática adecuadas para proteger los datos del negocio. A continuación te presentamos una lista de las mejores prácticas de seguridad informática que se debe seguir: Sensibilización y capacitación de empleados.  Estas prácticas incluyen abrir correos electrónicos con programas malintencionados, uso de WiFi libre que puede comprometer la transferencia de información e incluso la pérdida de dispositivos de almacenamiento, teléfonos inteligentes o tab...

Los resultados obtenidos  nos ayudaran a interpretar los resultados obtenidos en cualquier organización o proyecto  y de esta manera poner marcha en la implementación de buenas prácticas que mitigara las vulnerabilidades y amenazas que han sido identificadas. El ejemplo referente a la tesis consultada: Análisis de Riesgos de la Seguridad de la Información para la Institución Universitaria Colegio Mayor Del Cauca , proporcionamos algunos puntos: los controles son adaptados de acuerdo al resultado obtenido de diferentes formas de recolección de resultados, ya sean tablas, encuestas, análisis, etc… de determinado problema sobre estimación de riesgo teniendo en cuenta las necesidades y características de cada uno de ellos. Ejemplificamos este punto en base al Análisis de Riesgos de la Seguridad de la Información para la Institución Universitaria Colegio Mayor Del Cauca, algunos puntos clave que nos muestra son: En el Hardware.- No se tienen definidas restriccione...

El análisis funcional es un instrumento utilizado para garantizar que los estándares de competencia estén bien elaborados, sean claros y comparables. Las organizaciones experimentan la necesidad de definir estrategias efectivas que garanticen una gestión segura de los procesos del negocio a fin de darle mayor resguardo a la información, y al mismo tiempo no obstáculos para adaptarse a los continuos cambios de la organización como consecuencia de las exigencias del mercado. Tal necesidad ha impulsado el énfasis en el planteamiento de nuevos paradigmas de la administración del entorno de TI basada en políticas y procedimientos. Esto ha llevado a la creación de estándares, códigos de buenas prácticas, desarrollos de políticas, etc., con motivo de resguardar uno de los activos más valiosos de las organizaciones como es la información. En base a la Tesis acerca de  Análisis de Riesgos de la Seguridad de la Información para la Institución Universitaria Colegio Mayor Del Cauca...