The webinar covers: • ¿Qué es riesgo? • Componentes del riesgo • Gestión de Riesgo vs Riesgo gestionado • Respuestas ante el riesgo • Actitud hacia el riesgo vs Apetito por el riesgo • Importancia del riesgo Residual Presenter: Esta sesión será presentada por el entrenador certificado y partner de PECB Daniel Elías Robles, Gerente General de Cyborg Consultores. Link of the recorded session published on YouTube: https://youtu.be/12E6XG-mlxQ

2. Principios de Gestión de
Riesgo basados ISO
31000
Daniel Elías Robles
CISSP, CISA, CISM, ISO 27001 LI/LA
ISO 31000/27005 Risk Manager
República Dominicana
www.cyborg.com.do
d.robles@cyborg.com.do

3. Philip Pettit, un gestor de riesgo extremo

4. Contenido
 ¿Qué es el riesgo?
 ¿Cómo reaccionamos al riesgo?
 La necesidad de la gestión de riesgo
 Diferentes tipos de riesgo
 Gestión de Riesgo vs Gestión del Riesgo
 ¿Como tratar el riesgo?
 Estructura de un programa de Gestión de Riesgo
 Gestión de Riesgo. ¿Un rol o una función?

5. Abstracto
• Dado que el riesgo es inherente a la existencia, siempre
va a existir riesgo en cualquier actividad humana, aun
cuando sea solo observar.
• La manera de responder al riesgo es a través de un
Marco de Manejo de Riesgo.
• Cuando se implementa apropiadamente en cada
actividad, las organizaciones no solo se hacen mas
resilente, sino que son mas capaces de asegurar que se
alcancen los objetivos del negocio.

6. Pero, Qué es el RIESGO?
• NOTA 1 Un efecto, es una deviación de lo esperado –
positivo y/o negativo.
• NOTA 2 Los Objetivos pueden tener diferentes aspectos
(tal como el financiero, salud y seguridad, y metas
ambientales) y pueden aplicarse a diferentes niveles
(como el estratégico, a toda la organización, Proyecto,
Producto, Proceso).
• NOTA 3 El Riesgo a menudo está caracterizado por
referencia a eventos potenciales (2.17) y consecuencias
(2.18), o una combinación de ambos.
• NOTA 4 El Riesgo muchas veces es expresado en
términos de una combinación de las consecuencias de
un evento (incluyendo cambio en las circunstancias) y la
probabilidad de ocurrencia asociada(2.19).

7. Alcance de ISO 31000
Este estándar internacional provee principios y directrices
genéricas sobre la gestión del riesgo… puede ser usado por
cualquier empresa publica, privada o comunitaria, asociación,
grupo o individuo.
Por lo tanto, este estándar no es especifico a una industria o
sector.
Por el uso del termino directriz se quiere decir que estos no son
requerimientos, por lo tanto no hay certificación relacionada a
este proceso.
No es una metodología acerca de como lograr una cierta meta

8. Que es la Gestión de Riesgo?
• La gestión del riesgo es solo un termino de lujo para la
compensación del costo-beneficio asociado con cualquier
decisión de seguridad. Es lo que hacemos cuando
reaccionamos al miedo, o tratamos de sentirnos seguros.
• Cometemos errores sistemáticos de gestión de riesgo, al
calcular mal la probabilidad de eventos raros, reaccionando
mas a historias que a datos, en respuesta a la sensación de
seguridad en lugar de la realidad, y haciendo decisiones
basadas en un contexto irrelevante.
Bruce Schneier
Information Security Magazine, Oct 2008

9. Apetito y Actitud
• Apetito por el Riesgo
“cantidad y tipo de riesgo que una organización esta dispuesta
a perseguir o retener”
• Actitud al Riesgo
“el enfoque de la organización para evaluar y
eventualmente perseguir, retener, tomar o apartarse del
riesgo “

10. La Actitud es todo

11. El Riesgo puede y debe ser medido
• Cuantitativo expresado en términos de números,
unidades
• Cualitativo expresado en valores relativos, como alto,
bajo, medio

12. Componentes del riesgo
• Probabilidad
• Impacto

13. Principios
Mandato &
Compromiso
Diseño de marco
para la Gestión del
Riesgo
Marco Referencia Proceso
Gestión de Riesgo
Implementa
Gestión de Riesgo
Monitorea y revisa
el marco de
referencia
Continuamente
mejora el marco
de referencia
Establece el
contexto
ComunicayConsulta
Monitoreayrevisa
Identificación del Riesgo
Análisis del Riesgo
Tratamiento del Riesgo
Evaluación del Riesgo
Estimación del Riesgo
• Crea valor
• Parte Integral de
los procesos de
la organización
• Parte de la toma
de decisión
• Aborda
explícitamente la
incertidumbre
• Sistemático,
estructurado &
oportuno
• Basado en la
mejor
información
disponible
• Adaptado
• Toma en cuenta
factores
humanos &
culturales
• Transparente &
inclusivo
• Dinámico,
iterativo &
responde al
cambio
• Facilita la mejora
continua &
desempeño de la
organización

14. Proceso de Gestión del Riesgo
Establece el
contexto
Comunicayconsulta
Monitoreayrevisa
Identificación del Riesgo
Análisis del Riesgo
Tratamiento del Riesgo
Evaluación del Riesgo
Estimación del Riesgo

15. Matrix del Riesgo
Probabilidad Consecuencias
Insignificante
(Problema menor
fácilmente
atendido en un
proceso del día a
día )
Menor
(Alguna posible
interrupción, e.g.
daño igual a
$500k )
Moderada
(Tiempo y
Recursos
significantes
requeridos e.g.
daño igual a
$1million)
Mayor
(Operaciones
severamente
dañadas, e.g.
daño igual a $10
millón )
Catastrófica
(Sobrevivencia del
negocio en riesgo.
Perdidas iguales a
$25 Millón)
Casi cierta(e.g.
>90% chance)
Alta Alta Extrema Extrema Extrema
Probable
(e.g. entre 50% y
90% chance)
Moderada Alta Alta Extrema Extrema
Moderada (e.g.
entre 10% y 50%
chance)
Baja Moderada Alta Extrema Extrema
Improbable
(e.g. entre 3% y 10%
chance)
Baja Baja Moderada Alta Extrema
Raro (e.g.
<3% chance) Baja Baja Moderada Alta Alta

16. Proceso del Gestión del Riesgo
ID Riesgo Consecuencia Probabilidad Rating
Actual Meta Actual Meta Nivel
de
Riesgo
1 Perdida de IT (data) Mayor Insignificante Moderada Improbable Extremo
2 Perdida de Precinto Mayor Menor Rara Rara Alto
3 Perdida de Edificación Mayor Menor Improbable Improbable Alto
4
Denegación de Acceso al
Edificio
Mayor Menor Improbable Improbable Alto
5
Perdidas de Dependencias
Claves
Mayor Menor Improbable Improbable Alto
6
Perdidas de Records
Vitales
Mayor Insignificante Improbable Rara Alto
7 Perdida de Staff Clave Moderada Menor Improbable Improbable Bajo
8 Perdida de IT (voz) Menor Insignificante Improbable Improbable Bajo
Identificación
Análisis
Evaluación

17. Tratamiento del Riesgo
• Aceptación
• Rechazo
• Transferencia
• Mitigación

18. Mitigación
“La respuesta tiene que ser del tamaño del riesgo”
Smoking man, The X-Files

19. Aceptación del Riesgo
Ciudad de Quito, Ecuador, está rodeada de volcanes,
agradable estar aquí

20. Rechazo del Riesgo
Ciudad de Quito, Ecuador, está rodeada de volcanes, no te
mudes allá

21. Transferencia del Riesgo
Ciudad de Quito, Ecuador, está rodeada de volcanes, no
hay opción factible para la transferencia, solo asegurar

22. Mitigación del Riesgo
Ciudad de Quito, Ecuador, está rodeada de volcanes, no
hay mucho que puedas hacer, solo evacuar para reducir el
impacto

23. Riesgo Residual
• Nivel de riesgo que aun existe luego de insertar un
control
• Debe ser medido
Fuente
del
Riesgo
Reduce
impacto

24. Riesgo Residual
• Ahora sabemos que los diques no son un Control
Efectivo, a causa del riesgo residual

25. Riesgo Residual