1. MÉTODOS DE EVALUACIÓN DE RIESGOS
Profesora: Olga Lucia Aldana Zambrano
Estudiante: Esperanza Plaza Valencia
Asignatura: Gestión integral del riesgo
2. METODOS DE EVALUACION DE RIESGOS
MÉTODO MOSLER:
Objetivo del Método:
Se aplica al análisis y
clasificación de los riesgos, y
tiene como objetivo
identificar, analizar y evaluar
los factores que puedan
influir en su manifestación,
podrá hacer una evaluación
ajustada de los mismos.
Descripción del Método:
El método Mosler o Penta uno de los mas
utilizados en la seguridad cuyo es la
identificación, análisis y evaluación de los
factores que pueden influir en que un riesgo
llegue a manifestarse, lo que se hace es calcular
el nivel o la de un determinado riesgo, de esta
forma basándonos en una metodología de
trabajo de base científica se puede obtener un
indicador muy preciso de materialización de
cualquier riesgo que pueda afectar al
funcionamiento de la empresa.
3. Fase 1: DEFINICIÓN DEL RIESGO
Se requiere definir a qué riesgos
está expuesta el área a proteger
(riesgo de inversión, de la
información, de accidentes, o
cualquier otro riesgo que se
pueda presentar), haciendo una
lista en cada caso, la cual será
tenida en cuenta mientras no
cambien las condiciones (ciclo de
vida)
Procedimiento: Las cuatro fases del
Método Mosler son
Fase 2: ANÁLISIS DE RIESGO
Se utilizan para este análisis una serie de
coeficientes .
(Criterios): Criterio de Función (F) Que mide
cuál es la consecuencia negativa o daño que
pueda alterar la actividad y cuya
consecuencia tiene un puntaje asociado, del 1
al 5, que va desde “Muy levemente grave” a
“Muy grave”:
-Muy gravemente (5)
- Gravemente (4)
Medianamente (3)
-Levemente (2)
- Muy levemente (1)
4. Criterio de Sustitución (S)
Mide con qué facilidad pueden reponerse los bienes en caso que se
produzcan alguno de los riesgos y cuya consecuencia tiene un puntaje del 1
al 5, que va desde “Muy fácilmente” a “Muy difícilmente”
-Muy difícilmente (5)
-Difícilmente (4)
-Sin muchas dificultades (3)
-Fácilmente (2)
-Muy fácilmente (1)
Criterio de Profundidad o Perturbación (P) Que mide la perturbación y
efectos psicológicos en función que alguno de los riesgos se haga presente
(Mide la imagen de la firma) y cuya consecuencia tiene un puntaje asociado
.del 1 al 5, que va desde “Muy leves” a “Muy graves”.
- Perturbaciones muy graves (5)
- Graves perturbaciones (4)
-Perturbaciones limitadas (3)
- Perturbaciones leves (2)
- Perturbaciones muy leves (1)
5. Criterio de extensión (E)
Que mide el alcance de los daños, en caso de que se
produzca un riesgo a nivel geográfico y cuya
consecuencia tiene puntaje asociado, del 1 al 5, que
va desde “Individual” a “Internacional”.
- De carácter internacional (5)
- De carácter nacional (4)
- De carácter regional (3)
- De carácter local (2)
De carácter individual (1)
- Criterio de agresión (A)
Que mide la probabilidad de que el riesgo se
manifieste y cuya consecuencia tiene un puntaje
asociado, del 1 al 5, que desde “Muy reducida” a
“Muy elevada”. - Muy alta (5) - Alta (4) - Normal (3) -
Baja (2) - Muy baja (1) Criterio de vulnerabilidad (V)
Que mide y analiza la posibilidad de que, dado el
riesgo, efectivamente tenga un daño y cuya
consecuencia tiene un puntaje asociado, del 1 al 5,
que va desde “Muy baja” a “Muy Alta”. - Muy alta (5) -
Alta (4) - Normal (3) - Baja (2) - Muy baja (1).
Criterio de vulnerabilidad (V)
Que mide y analiza la
posibilidad de que, dado el
riesgo, efectivamente tenga un
daño y cuya consecuencia tiene
un puntaje asociado, del 1 al 5,
que va desde “Muy baja” a
“Muy Alta”. - Muy alta (5) - Alta
(4) - Normal (3) - Baja (2) - Muy
baja (1)
6. FASE 3: EVALUACIÓN DEL RIESGO
• En función del análisis (fase 2) los
resultados se calculan según las
siguientes fórmulas: Cálculo del
carácter del riesgo “C”: Se parte de los
datos obtenidos, aplicando: I.
Importancia del suceso I= F x S D.
• Daños ocasionados D= P x E Riesgo C= I
+ D Cálculo de la Probabilidad “PR”: Se
parte de los datos obtenidos en la 2ª
fase, aplicando: A. Criterio de agresión
V. Criterio de vulnerabilidad
Probabilidad PR= A x V Cuantificación
del riesgo considerado “ER”: Se
obtendrá multiplicando los valores de
“C” y “PR”. ER = C x PR
Fase 4: CÁLCULO Y CLASIFICACIÓN DEL
RIESGO
Es importante comprender que, aunque el
resultado es numérico, esta escala es
CUALITATIVA. Calculo de Base de Riesgo:
Una de las escalas utilizable es la siguiente:
Distintos expertos consideran diferentes
escalas, por ejemplo: Puntaje Riesgo Entre
1 y 250 Riesgo muy bajo 251 y 500 Riesgo
Bajo 501 y 750 Riesgo Normal 751 y 1000
Riesgo Elevado 1001 y 1250 Riesgo muy
elevado Puntaje Riesgo Entre 1 y 200
Riesgo Bajo 201 a 600 Riesgo Medio 601 o
más Riesgo Alto.
7. MATRIZ DE LEOPOLD.
Objetivo:
Útil, por enfoque y contenido,
para la evaluación preliminar de
aquellos proyectos de los que se
prevén grandes impactos
ambientales, La matriz sirve sólo
para identificar impactos y su
origen, sin proporcionarles un
valor.
MATRIZ DE LEOPOLD.
DESCRIPCION DEL MÉTODO
Consiste en un listado de 100 acciones
que pueden causar impactos
ambientales y 88 características
ambientales. Esta combinación
produce una matriz con 8.800
casilleros. La matriz tiene un total
potencial de 17.600 números a ser
interpretados. Debido a esto, a
menudo esta metodología se utiliza en
forma parcial o segmentada. También
puede ocurrir que en determinados
proyectos las interacciones no estén
señaladas en la matriz, perdiéndose así
la identificación de ciertos impactos
peculiares.
8. Procedimiento.
La forma de utilizar la matriz de Leopold puede resumirse en los
siguientes pasos: – Delimitar el área de influencia. – Determinar las
acciones que ejercerá el proyecto sobre el área. – Determinar para
cada acción, qué elemento(s) se afecta(n).
Esto se logra mediante el rayado correspondiente a la cuadricula de
interacción. – Determinar la importancia de cada elemento en una
escala de 1 a 10. – Determinar la magnitud de cada acción sobre cada
elemento, en una escala de 1 a 10. – Determinar si la magnitud es
positiva o negativa. – Determinar cuántas acciones del proyecto
afectan al ambiente, desglosándolas en negativas. – Agregar los
resultados para las acciones. – Determinar cuántos elementos del
ambiente son afectados por el proyecto, en positivos y negativos. –
Agregar los resultados para los elementos del ambiente.
9. Método de Battelle.
Objetivo Método:
Diseñado para evaluar el
impacto de proyectos
relacionados con recursos
hídricos.
Método de Battelle.
Descripción del Método:
El método contempla la
descripción de los factores la
ponderación valórica de cada
aspecto y la asignación de
unidades de importancia.
El sistema tiene cuatro niveles:
Nivel Tipo de información
Desagregación propuesta I
General Categorías Ambientales
II Intermedia Componentes
Ambientales III Especifica
Parámetros Ambientales IV Muy
especifica Medidas Ambientales.
10. PROCEDIMIENTO:
• Paso 1: Transformar los datos en su correspondiente equivalencia de
índice de calidad ambiental.
• Paso 2: Ponderar la importancia del parámetro considerado, según
su significación relativa dentro del ambiente.
• Paso 3: Expresar a partir de 1 y 2 el impacto neto como resultado de
multiplicar el índice de calidad por su peso de ponderación.
Para realizar el procedimiento que se acaba de describir, es necesario
definir el significado del índice de calidad ambiental.
El valor que un determinado aspecto tiene en una situación dada es
físicamente y muy variable, por lo demás, a cada uno le corresponde un
grado de calidad, entre pésimo y óptimo. Para obtener valores de calidad
comparables, el extremo óptimo se le 1 (uno), y al pésimo 0 (cero),
quedando comprendidos entre ambos los valores intermedios para
definir los distintos estados de calidad posibles. función, puede ser lineal,
con pendiente positiva o negativa, o de cualquier otro grado. Puede,
además, ser distinta según el entorno físico y socioeconómico del
proyecto.
11. MÉTODO DELPHI.
Objetivo del Método.
El objetivo de los
cuestionarios sucesivos, es
“disminuir el espacio
intercuartil, esto es cuanto
se desvía la opinión del
experto de la opinión del
conjunto, precisando la
mediana”, de las respuestas
obtenidas El método Delphi
se engloba dentro de los
métodos de prospectiva,
que estudian el futuro, en lo
que se refiere a la evolución
de los factores del entorno
tecnosocioeconómico y sus
interacciones
Descripción del Método
Método de estructuración de un proceso
de comunicación grupal que es efectivo a
la hora de permitir a un grupo de
individuos, como un todo, tratar un
problema complejo. (Linstone y Turoff,
1975)
Dentro de los métodos de pronóstico,
habitualmente se clasifica al método
Delphi dentro de los métodos
cualitativos o subjetivos. La calidad de
los resultados depende, sobre todo, del
cuidado que se ponga en la elaboración
del cuestionario y en la elección de los
expertos consultados. Este método se
emplea bajo las siguientes condiciones.
12. PROCEDIMIENTO:
EL MÉTODO CONSTA DE 4 FASES:
1ª) Definición de objetivos: En esta primera fase se plantea la formulación del problema y
un objetivo general que estaría compuesto por el del estudio, el marco espacial de
referencia y el horizonte temporal para estudio.
2ª) Selección de expertos: Esta fase presenta dos dimensiones: – Dimensión cualitativa:
Se seleccionan en función del objetivo prefijado y atendiendo a criterios de experiencia
posición responsabilidad acceso a información y disponibilidad. – Dimensión Cuantitativa:
Elección del tamaño de la muestra en función los recursos medios y tiempo disponible.
3ª) Elaboración y lanzamiento de los cuestionarios: Los cuestionarios se elaboran de
manera que faciliten la respuesta por parte de los encuestados. Las respuestas habrán de
ser cuantificadas y ponderadas (año de realización de un evento, probabilidad de un
acontecimiento…)
4ª) Explotación de resultados: El objetivo de los cuestionarios sucesivos es disminuir la
dispersión y precisar la opinión media consensuada. En el envío del cuestionario, los
expertos son informados de los resultados de la primera consulta, debiendo dar una nueva
respuesta. Se extraen las razones las diferencias y se realiza una evaluación de ellas. Si
fuera necesario se realizaría una tercera oleada. VENTAJAS DEL MÉTODO: – Permite
obtener información de puntos de vista sobre temas muy amplios o muy específicos. Los
Ejercicios Delphi son considerados “holísticos”, cubriendo una variedad muy amplia de
campos. – El horizonte de análisis puede ser variado. – Permite la participación de un gran
número de personas, sin que se forme el caos. – Ayuda a explorar de forma sistemática y
objetiva problemas que requieren la concurrencia y opinión cualificada. – Elimina o
aminora los efectos negativos de las reuniones de grupo “Cara-
13. MÉTODO PEST-PESTEL-PESTLE
Objetivo del Método.
Esta herramienta permite prever
tendencias en el futuro a corto mediano
plazo, ofreciendo a la organización un
margen de acción más amplio y
mejorando su capacidad para adaptarse
a los cambios que se anticipan. También
les facilita los criterios objetivos para
definir su posición estratégica y aporta
información para aprovechar las
oportunidades que se presentan en
determinados mercados. Y esto se logra
a través la descripción de una serie de
variables que darán pistas sobre
comportamiento del entorno en el
futuro.
DESCRIPCIÓN DEL MÉTODO. PEST,
PESTEL
(también conocido como PESTLE) es un
instrumento que facilita la investigación
y que ayuda a las compañías a definir su
entorno, analizando una serie de cuyas
iniciales son las que le dan el nombre.
Se trata de los factores Políticos,
Económicos, Sociales y Tecnológicos.
En algunos casos, se han añadido otros
dos factores, los Ecológicos y los Legales,
aunque es muy común que se integren
en alguna de las variables anteriores si
así lo requieren las características del
proyecto de la organización. Incluso hay
algunos estudios que suman otro más,
el de al peso que este ámbito puede
tener en el resultado del generando las
siglas PESTELI.
14. PROCEDIMIENTO:
Procedimiento. Dentro de cada variable, es necesario
identificar los aspectos que tendrán más peso en el
entorno futuro y otros que serán menos decisivos e
irrelevantes funcionamiento de la compañía, unidad de
negocio o proyecto. Es comenzar el análisis por los
factores más generales y terminar por los que son más
específicos o característicos de la empresa. El estudio
también puede los ámbitos locales, regionales o
estatales, si se considera necesario. Estos son los
factores PEST o PESTEL que sirven para conocer las
grandes tendencias y rediseñar la estrategia
empresarial: Variables políticas. Son los aspectos
gubernamentales que inciden de forma directa en la
empresa. Aquí entran las políticas impositivas o de
incentivos empresariales en determinados sectores,
regulaciones sobre empleo, el fomento del comercio
exterior, la estabilidad gubernamental, el sistema de
gobierno, los tratados internacionales o la existencia
de conflictos internos o con otros países actuales o
futuros. También la manera de la que se las distintas
administraciones locales, regionales y nacionales. Los
partidos mayoritarios sobre la empresa también se
incluyen en este apartado.
15. MÉTODO NIST SP 800-30
Objetivo del Método
Identificar: -las amenazas a las
organizaciones (es decir,
operaciones, activos o
individuos) o amenazas dirigidos
a través de organizaciones en
contra de otras organizaciones o
la Nación. Las vulnerabilidades
internas y externas a las
organizaciones. -El daño (es decir,
el impacto adverso) que puede
ocurrir dado el potencial las
amenazas explotando
vulnerabilidades. -La
probabilidad de que el daño se
producirá. El resultado final es
una determinación del riesgo (es
decir, por lo general en función
del grado de daño y la
probabilidad de que se
produzcan daños).
MÉTODO NIST SP 800-30
Descripción del Método. La guía tiene
distintas secciones, son un proceso
iterativo que comprende varios pasos
ejecutados en forma secuencial: -La
sección 2,proporciona una visión
general sobre la gestión de riesgos,
conceptualización de amenazas y
riesgos, explica cómo encaja dentro del
ciclo vida de desarrollo de un proyecto o
programa así como los roles de las que
soportan y utilizan este proceso. -La
sección 3, describe la metodología de
evaluación del riesgo y los 9 pasos
primarios para dirigir una evaluación de
riesgos de un sistema de IT.
16. MÉTODO NIST SP 800-30
Descripción del Método.
La sección 4, describe el proceso
de mitigación de riesgos,
incluyendo de mitigación de
riesgos, enfoque a
implementación y categorías de
control, análisis coste-beneficios
y riesgos residuales. -La sección
5, discute las buenas prácticas y
la necesidad de evaluar la de los
riesgos, y los factores que
conducirán a un programa de
gestión de exitoso.
MÉTODO NIST SP 800-30 PROCEDIMIENTO
1.CARACTERIZACIÓN DE SISTEMAS: Por ejemplo,
podríamos elegir como sistema el correo
electrónico, software cuya finalidad sería
comunicarnos con clientes o proveedores.
Determinaríamos su criticidad para ver hasta qué
punto está expuesto al peligro, y sensibilidad, de
qué manera está protegido ante una amenaza.
2. IDENTIFICACIÓN DE LAS AMENAZAS:
Revisaríamos el histórico de ataques, datos de
agencias de inteligencia (NIPC, FedCIRC), datos de
medios de comunicación. Por ejemplo, errores
intencionados, introducción de virus en los
sistemas, corrupción de datos o incumplimientos
legales intencionados.
3.IDENTIFICACIÓN DE LAS VULNERABILIDADES
Analizaríamos Informes de evaluaciones de
riesgos anteriores, resultados de auditorías,
requerimientos de seguridad, resultados de
pruebas de seguridad para confeccionar una lista
de vulnerabilidades potenciales. Por ejemplo,
personal sin la formación adecuada, carencia de
software antivirus, ausencia de políticas de
restricción de personal para uso de licencias de o
derechos de acceso incorrecto.