Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Métodos de evaluación de riesgos
1. METODOS DE EVALUACION DE RIESGOS
ANGÉLICA MARCELA GUERRERO TORRES CÓDIGO 79088
TUTOR
OLGA LUCIAALDANA ZAMBRANO
UNIVERSIDAD ECCI
GERENCIA INTEGRAL DEL RIESGO
ESPECIALIZACIÓN GERENCIA DE LA SALUD Y SEGURIDAD EN EL
TRABAJO
BOGOTÁ D. C.
2019
2. Método Mosler
Objetivo del Método: se aplica al análisis y clasificación de los riesgos, y
tiene como objetivo identificar, analizar y evaluar los factores que puedan
influir en su manifestación, podrá hacer una evaluación ajustada de los
mismos.
Descripción del Método:
El método Mosler o Penta uno de los mas utilizados en la seguridad cuyo
es la identificación, análisis y evaluación de los factores que pueden influir en
que un riesgo llegue a manifestarse, lo que se hace es calcular el nivel o la
de un determinado riesgo, de esta forma basándonos en una metodología de
trabajo de base científica se puede obtener un indicador muy preciso de
materialización de cualquier riesgo que pueda afectar al funcionamiento
de la empresa.
3. Procedimiento:
Las cuatro fases del Método Mosler son:
• Fase 1: DEFINICIÓN DEL RIESGO
Para llevarla a cabo se requiere definir a qué riesgos está expuesta el área a
proteger (riesgo de inversión, de la información, de accidentes, o cualquier
otro riesgo que se pueda presentar), haciendo una lista en cada caso, la cual
será tenida en cuenta mientras no cambien las condiciones (ciclo de vida)
Fase 2: ANÁLISIS DE RIESGO
Se utilizan para este análisis una serie de coeficientes (criterios):
Criterio de Función (F)
Que mide cuál es la consecuencia negativa o daño que pueda alterar la
actividad y cuya consecuencia tiene un puntaje asociado, del 1 al 5, que va
desde “Muy levemente grave” a “Muy grave”:
- Muy gravemente (5)
- Gravemente (4)
- Medianamente (3)
- Levemente (2)
- Muy levemente (1)
4. Criterio de Sustitución (S)
Que mide con qué facilidad pueden reponerse los bienes en caso que se
produzcan alguno de los riesgos y cuya consecuencia tiene un puntaje
del 1 al 5, que va desde “Muy fácilmente” a “Muy difícilmente”
- Muy difícilmente (5)
- Difícilmente (4)
- Sin muchas dificultades (3)
- Fácilmente (2)
- Muy fácilmente (1)
Criterio de Profundidad o Perturbación (P)
Que mide la perturbación y efectos psicológicos en función que alguno de los
riesgos se haga presente (Mide la imagen de la firma) y cuya consecuencia tiene
un puntaje asociado, del 1 al 5, que va desde “Muy leves” a “Muy graves”.
- Perturbaciones muy graves (5)
- Graves perturbaciones (4)
- Perturbaciones limitadas (3)
- Perturbaciones leves (2)
- Perturbaciones muy leves (1)
5. Criterio de extensión (E)
Que mide el alcance de los daños, en caso de que se produzca un riesgo a nivel geográfico y cuya consecuencia tiene
puntaje asociado, del 1 al 5, que va desde “Individual” a “Internacional”.
- De carácter internacional (5)
- De carácter nacional (4)
- De carácter regional (3)
- De carácter local (2)
- De carácter individual (1)
Criterio de agresión (A)
Que mide la probabilidad de que el riesgo se manifieste y cuya consecuencia tiene un puntaje asociado, del 1 al 5, que
desde “Muy reducida” a “Muy elevada”.
- Muy alta (5)
- Alta (4)
- Normal (3)
- Baja (2)
- Muy baja (1)
Criterio de vulnerabilidad (V)
Que mide y analiza la posibilidad de que, dado el riesgo, efectivamente tenga un daño y cuya consecuencia tiene un
puntaje asociado, del 1 al 5, que va desde “Muy baja” a “Muy Alta”.
- Muy alta (5)
- Alta (4)
- Normal (3)
- Baja (2)
- Muy baja (1)
6. Fase 3: Evaluación Del Riesgo
En función del análisis (fase 2) los resultados se calculan según las siguientes
fórmulas:
Cálculo del carácter del riesgo “C”:
Se parte de los datos obtenidos, aplicando:
I. Importancia del suceso
I= F x S
D. Daños ocasionados
D= P x E
Riesgo C= I + D
Cálculo de la Probabilidad “PR”:
Se parte de los datos obtenidos en la 2ª fase, aplicando:
A. Criterio de agresión
V. Criterio de vulnerabilidad
Probabilidad PR= A x V
Cuantificación del riesgo considerado “ER”:
Se obtendrá multiplicando los valores de “C” y “PR”.
ER = C x PR
7. Fase 4: CÁLCULO Y CLASIFICACIÓN DEL RIESGO
Es importante comprender que, aunque el resultado es numérico, esta escala
es CUALITATIVA.
Calculo de Base de Riesgo:
Una de las escalas utilizable es la siguiente:
Distintos expertos consideran diferentes escalas, por ejemplo:
Puntaje Riesgo
Entre 1 y 250 Riesgo muy bajo
251 y 500 Riesgo Bajo
501 y 750 Riesgo Normal
751 y 1000 Riesgo Elevado
1001 y 1250 Riesgo muy elevado
Puntaje Riesgo
Entre 1 y 200 Riesgo Bajo
201 a 600 Riesgo Medio
601 o más Riesgo Alto
8. Ejemplo para un edificio Europeo: Riesgos causados por la naturaleza
TIPO
DE
RIESGO
ANÁLISIS RIESGO EVALUACIÓN RIESGO
RIESGO
F S P E A V
I D C PR ER
FxS PxE I+D AxV C*PR
Inundac
iones
4 2 2 2 2 2 8 4 12 4 48 Bajo
Tormen
ta/rayos
2 2 3 2 2 3 4 6 10 6 60 Bajo
Nieves/
heladas
3 1 1 2 3 2 3 2 5 4 20 Bajo
Granizo 2 2 1 2 3 2 4 2 6 6 36 Bajo
Viento 2 1 2 2 4 3 2 4 6 12 72 Bajo
9. Matriz de Leopold.
Objetivo: Útil, por enfoque y contenido, para la evaluación preliminar de
aquellos proyectos de los que se prevén grandes impactos ambientales, La
matriz sirve sólo para identificar impactos y su origen, sin proporcionarles un
valor.
Descripción del Método:
Consiste en un listado de 100 acciones que pueden causar impactos
ambientales y 88 características ambientales. Esta combinación produce una
matriz con 8.800 casilleros.
La matriz tiene un total potencial de 17.600 números a ser interpretados.
Debido a esto, a menudo esta metodología se utiliza en forma parcial o
segmentada. También puede ocurrir que en determinados proyectos las
interacciones no estén señaladas en la matriz, perdiéndose así la
identificación de ciertos impactos peculiares.
10. Procedimiento.
La forma de utilizar la matriz de Leopold puede resumirse en los siguientes pasos:
– Delimitar el área de influencia.
– Determinar las acciones que ejercerá el proyecto sobre el área.
– Determinar para cada acción, qué elemento(s) se afecta(n). Esto se logra mediante el
rayado correspondiente a la cuadricula de interacción.
– Determinar la importancia de cada elemento en una escala de 1 a 10.
– Determinar la magnitud de cada acción sobre cada elemento, en una escala de 1 a 10.
– Determinar si la magnitud es positiva o negativa.
– Determinar cuántas acciones del proyecto afectan al ambiente, desglosándolas en
negativas.
– Agregar los resultados para las acciones.
– Determinar cuántos elementos del ambiente son afectados por el proyecto,
en positivos y negativos.
– Agregar los resultados para los elementos del ambiente.
11. Método de Battelle.
Objetivo Método: Diseñado para evaluar el impacto de proyectos
relacionados con recursos hídricos.
Descripción del Método:
El método contempla la descripción de los factores
la ponderación valórica de cada aspecto y la asignación de
unidades de importancia. El sistema tiene cuatro niveles:
Nivel Tipo de
información
Desagregación propuesta
I General Categorías Ambientales
II Intermedia Componentes Ambientales
III Especifica Parámetros Ambientales
IV Muy especifica Medidas Ambientales
12. Las categorías representan grandes agrupaciones.
Los componentes están contenidos en grupos de parámetros similares (agua,
aire, suelo, etc.).
Los parámetros representan unidades o aspectos significativos del ambiente
(ruido, metales, etc.).
Las medidas corresponden a los datos que son necesarios para estimar
correctamente un parámetro.
Las variables ambientales son organizadas en 4 categorías, 17 componentes y
78 parámetros ambientales para la evaluación de proyectos hídricos.
Obtenida la lista de variables, el modelo de Battelle establece un sistema en el
que ellas se evalúan en unidades comparables, utilizando las denominadas
Unidades de Impacto Ambiental (UIA).
13. Procedimiento:
• Paso 1: Transformar los datos en su correspondiente equivalencia de índice
de calidad ambiental.
• Paso 2: Ponderar la importancia del parámetro considerado, según su
significación relativa dentro del ambiente.
• Paso 3: Expresar a partir de 1 y 2 el impacto neto como resultado de
multiplicar el índice de calidad por su peso de ponderación.
Para realizar el procedimiento que se acaba de describir, es necesario definir
el significado del índice de calidad ambiental.
El valor que un determinado aspecto tiene en una situación dada es
físicamente y muy variable, por lo demás, a cada uno le corresponde un
grado de calidad, entre pésimo y óptimo.
Para obtener valores de calidad comparables, el extremo óptimo se le
1 (uno), y al pésimo 0 (cero), quedando comprendidos entre ambos los
valores intermedios para definir los distintos estados de calidad posibles.
función, puede ser lineal, con pendiente positiva o negativa, o de cualquier
otro grado. Puede, además, ser distinta según el entorno físico y
socioeconómico del proyecto.
14. En este método, se estima la calidad ambiental esperada sin y con proyecto.
La diferencia en unidades de impacto ambiental entre las dos condiciones puede
resultar:
Positiva
Negativa,
Cero
Las ventajas más destacadas del método son:
Los resultados son cuantitativos y pueden ser comparables.
Es un método sistematizado para la comparación de alternativas.
Presenta validez “para apreciar la degradación del medio como resultado del
proyecto, tanto totalmente como en sus distintos sectores”.
La asignación de pesos se realiza mediante procedimientos que minimizan la
subjetividad.
15. Método Delphi.
Objetivo del Método.
El objetivo de los cuestionarios sucesivos, es “disminuir el espacio
intercuartil, esto es cuanto se desvía la opinión del experto de la
opinión del conjunto, precisando la mediana”, de las respuestas
obtenidas
El método Delphi se engloba dentro de los métodos de
prospectiva, que estudian el futuro, en lo que se refiere a la
evolución de los factores del entorno tecno-socioeconómico y sus
interacciones
Descripción del Método:
Método de estructuración de un proceso de comunicación grupal
que es efectivo a la hora de permitir a un grupo de individuos,
como un todo, tratar un problema complejo. (Linstone y Turoff,
1975)
16. Dentro de los métodos de pronóstico, habitualmente se clasifica al método
Delphi dentro de los métodos cualitativos o subjetivos.
La calidad de los resultados depende, sobre todo, del cuidado que se
ponga en la elaboración del cuestionario y en la elección de los expertos
consultados.
Este método se emplea bajo las siguientes condiciones:
-No existen datos históricos con los que trabajar
– El impacto de los factores externos tiene más influencia en la evolución
que el de los internos
– Las consideraciones éticas y morales dominan sobre las económicas y
tecnológicas en un proceso evolutivo.
– Cuando el problema no se presta para el uso de una técnica analítica
precisa.
– Cuando se desea mantener la heterogeneidad de los participantes a fin
de asegurar la validez de los resultados
– Cuando el tema en estudio requiere de la participación de individuos
expertos en distintas áreas del conocimiento.
17. Procedimiento.
EL MÉTODO CONSTA DE 4 FASES:
1ª) Definición de objetivos: En esta primera fase se plantea la formulación
del problema y un objetivo general que estaría compuesto por el
del estudio, el marco espacial de referencia y el horizonte temporal para
estudio.
2ª) Selección de expertos: Esta fase presenta dos dimensiones:
– Dimensión cualitativa: Se seleccionan en función del objetivo prefijado y
atendiendo a criterios de experiencia posición responsabilidad acceso a
información y disponibilidad.
– Dimensión Cuantitativa: Elección del tamaño de la muestra en función
los recursos medios y tiempo disponible.
18. Formación del panel. Se inicia la fase de captación que conducirá a la
configuración de un panel estable. En el contacto con los expertos
conviene informarles de:
– Objetivos del estudio
– Criterios de selección
– Calendario y tiempo máximo de duración
– Resultados esperados y usos potenciales
– Recompensa prevista (monetaria, informe final, otros)
3ª) Elaboración y lanzamiento de los cuestionarios: Los cuestionarios se
elaboran de manera que faciliten la respuesta por parte de los encuestados.
Las respuestas habrán de ser cuantificadas y ponderadas (año de realización
de un evento, probabilidad de un acontecimiento…)
19. 4ª) Explotación de resultados: El objetivo de los cuestionarios sucesivos es
disminuir la dispersión y precisar la opinión media consensuada. En el
envío del cuestionario, los expertos son informados de los resultados de la
primera consulta, debiendo dar una nueva respuesta. Se extraen las razones
las diferencias y se realiza una evaluación de ellas. Si fuera necesario se
realizaría una tercera oleada.
VENTAJAS DEL MÉTODO:
– Permite obtener información de puntos de vista sobre temas muy amplios o
muy específicos. Los Ejercicios Delphi son considerados “holísticos”, cubriendo
una variedad muy amplia de campos.
– El horizonte de análisis puede ser variado.
– Permite la participación de un gran número de personas, sin que se forme el
caos.
– Ayuda a explorar de forma sistemática y objetiva problemas que requieren la
concurrencia y opinión cualificada.
– Elimina o aminora los efectos negativos de las reuniones de grupo “Cara-
20. Método PEST-PESTEL-PESTLE
Objetivo del Método.
Esta herramienta permite prever tendencias en el futuro a corto
mediano plazo, ofreciendo a la organización un margen de
acción más amplio y mejorando su capacidad para adaptarse a
los cambios que se anticipan. También les facilita los criterios
objetivos para definir su posición estratégica y aporta
información para aprovechar las oportunidades que se
presentan en determinados mercados. Y esto se logra a través
la descripción de una serie de variables que darán pistas sobre
comportamiento del entorno en el futuro.
21. Descripción del Método.
PEST, PESTEL (también conocido como PESTLE) es un
instrumento que facilita la investigación y que ayuda a las
compañías a definir su entorno, analizando una serie de
cuyas iniciales son las que le dan el nombre. Se trata de
los factores Políticos, Económicos, Sociales y Tecnológicos. En
En algunos casos, se han añadido otros dos factores,
los Ecológicos y los Legales, aunque es muy común que se
integren en alguna de las variables anteriores si así lo requieren
las características del proyecto de la organización. Incluso hay
algunos estudios que suman otro más, el de
al peso que este ámbito puede tener en el resultado del
generando las siglas PESTELI.
22. Procedimiento.
Dentro de cada variable, es necesario identificar los aspectos que tendrán más
peso en el entorno futuro y otros que serán menos decisivos e irrelevantes
funcionamiento de la compañía, unidad de negocio o proyecto. Es
comenzar el análisis por los factores más generales y terminar por los que son
más específicos o característicos de la empresa. El estudio también puede
los ámbitos locales, regionales o estatales, si se considera necesario.
Estos son los factores PEST o PESTEL que sirven para conocer las grandes
tendencias y rediseñar la estrategia empresarial:
Variables políticas. Son los aspectos gubernamentales que inciden de forma
directa en la empresa. Aquí entran las políticas impositivas o de incentivos
empresariales en determinados sectores, regulaciones sobre empleo, el
fomento del comercio exterior, la estabilidad gubernamental, el sistema de
gobierno, los tratados internacionales o la existencia de conflictos internos o
con otros países actuales o futuros. También la manera de la que se
las distintas administraciones locales, regionales y nacionales. Los
los partidos mayoritarios sobre la empresa también se incluyen en este
apartado.
23. Variables económicas. Hay que analizar los datos macroeconómicos, la
evolución del PIB, las tasas de interés, la inflación, la tasa de desempleo,
nivel de renta, los tipos de cambio, el acceso a los recursos, el nivel de
desarrollo y los ciclos económicos. También se deben investigar los
escenarios económicos actuales y futuros y las políticas económicas.
Variables sociales. Los factores a tener en cuenta son la evolución
demográfica, la movilidad social y cambios en el estilo de vida. También
nivel educativo y otros patrones culturales, la religión, las creencias, los
roles de género, los gustos, las modas y los hábitos de consumo de la
sociedad. En definitiva, las tendencias sociales que puedan afectar el
proyecto de negocio.
Variables tecnológicas. Resulta algo más complejo de analizar debido a la
gran velocidad de los cambios en esta área. Hay que conocer la inversión
pública en investigación y la promoción del desarrollo tecnológico, la
penetración de la tecnología, el grado de obsolescencia, el nivel de
cobertura, la brecha digital, los fondos destinados a I+D, así como las
tendencias en el uso de las nuevas tecnologías.
24. Variables ecológicas. Los principales factores a analizar son la conciencia
sobre la conservación del medio ambiente, la legislación
el cambio climático y variaciones de las temperaturas, los riesgos
los niveles de reciclaje, la regulación energética y los posibles cambios
normativos en esta área.
Variables legales. Toda la legislación que tenga relación directa con el
proyecto, información sobre licencias, legislación laboral, propiedad
intelectual, leyes sanitarias y los sectores regulados, etc.
Asimismo, se puede realizar un análisis comparativo, de corte más
científico, si se asigna una calificación a cada uno de los apartados. Lo que
facilitará el estudio de varios mercados para conocer cuál presenta un
entorno más favorable o adecuado a los propósitos de la empresa.
25. Método NIST SP 800-30
Objetivo del Método
Identificar:
-las amenazas a las organizaciones (es decir, operaciones, activos o
individuos) o amenazas dirigidos a través de organizaciones en contra de
otras organizaciones o la Nación.
Las vulnerabilidades internas y externas a las organizaciones.
-El daño (es decir, el impacto adverso) que puede ocurrir dado el potencial
las amenazas explotando vulnerabilidades.
-La probabilidad de que el daño se producirá. El resultado final es una
determinación del riesgo (es decir, por lo general en función del grado de
daño y la probabilidad de que se produzcan daños).
26. Descripción del Método.
La guía tiene distintas secciones, son un proceso iterativo que comprende varios
pasos ejecutados en forma secuencial:
-La sección 2,proporciona una visión general sobre la gestión de riesgos,
conceptualización de amenazas y riesgos, explica cómo encaja dentro del ciclo
vida de desarrollo de un proyecto o programa así como los roles de las
que soportan y utilizan este proceso.
-La sección 3, describe la metodología de evaluación del riesgo y los 9 pasos
primarios para dirigir una evaluación de riesgos de un sistema de IT.
La sección 4, describe el proceso de mitigación de riesgos, incluyendo
de mitigación de riesgos, enfoque a implementación y categorías de control,
análisis coste-beneficios y riesgos residuales.
-La sección 5, discute las buenas prácticas y la necesidad de evaluar la
de los riesgos, y los factores que conducirán a un programa de gestión de
exitoso.
27. Los cuatro pasos en el proceso gestión de riesgos incluye la etapa de
evaluación de riegos y el flujo de información y comunicación necesario
para hacer este proceso efectivo.
El tercer componente de la gestión de riesgos se ocupa de cómo las
organizaciones han de responder una vez que el riesgo está determinado,
con base en los resultados de una “evaluación de riesgos identificados”. El
objetivo del “componente de respuesta a los riesgos” es proporcionar una
respuesta de toda la organización de conformidad con el “marco de riesgo
de la organización” a través de:
el desarrollo de cursos alternativos de acción para responder a los riesgos.
la evaluación de los cursos alternativos de acción.
la determinación de las formas de actuación en consonancia con la
tolerancia al riesgo de la organización.
la implementación de respuestas a los riesgos sobre la base de los cursos
de acción elegidos.
28. El cuarto componente de la gestión de riesgos se ocupa de
cómo las organizaciones monitorear el riesgo en el tiempo. El
objetivo del componente de vigilancia de riesgos es:
Determinar la eficacia continua de las respuestas al riesgo (en
consonancia con el marco de riesgos de la organización).
Identificar los cambios que afectan al riesgo de los sistemas de
información de la organización y de los entornos en los que
operan los sistemas.
Verificar que las respuestas al riesgo planificadas se
implementan y los requisitos de seguridad de la información
funcionen.
29. Procedimiento
1.Caracterización de sistemas:Por ejemplo, podríamos elegir como sistema el
correo electrónico, software cuya finalidad sería comunicarnos con clientes o
proveedores. Determinaríamos su criticidad para ver hasta qué punto está
expuesto al peligro, y sensibilidad, de qué manera está protegido ante una
amenaza.
2. Identificación de las amenazas:
Revisaríamos el histórico de ataques, datos de agencias de inteligencia (NIPC,
FedCIRC), datos de medios de comunicación.
Por ejemplo, errores intencionados, introducción de virus en los sistemas,
corrupción de datos o incumplimientos legales intencionados.
3.Identificación de las vulnerabilidades
Analizaríamos Informes de evaluaciones de riesgos anteriores, resultados de
auditorías, requerimientos de seguridad, resultados de pruebas de seguridad
para confeccionar una lista de vulnerabilidades potenciales.
Por ejemplo, personal sin la formación adecuada, carencia de software antivirus,
ausencia de políticas de restricción de personal para uso de licencias de
o derechos de acceso incorrecto.
30. 4.Análisis de controles:
Analizar controles actuales y controles planificados y confeccionar su lista
correspondiente. Por ejemplo, control del número de personas que acceden al equipo
informático diáriamente, registro de información confidencial para la que se requiere uso
contraseña, revisión del funcionamiento del equipo informático.
5. Determinación de probabilidades
Estudiar la motivación para los ataques, capacidad de las amenazas, naturaleza de las
vulnerabilidades, controles actuales...para elaborar el ranking de probabilidades de que se
materialice la amenaza (baja, media o alta).
6. Análisis de impacto (pérdida de integridad, disponibilidad y confidencialidad)
Análisis de impacto sobre la misión, valoración de la criticidad de los activos, criticidad de
datos, sensibilidad de los datos...en definitiva, el deterioro sobre las dimensiones de la
seguridad de la información.
31. 7.Determinación del riesgo
Probabilidad de explotación de las amenazas, magnitud de los impactos,
adecuación de los controles actuales y planificados. El producto de estos
factores determina niveles de riesgo (bajo, medio, alto).
8.Recomendación de controles. Como la revisión de las políticas de
seguridad, actualización de antivirus, cambio periódico de contraseñas,
instalación de firewalls o sanciones en caso de incumplimiento de la
normativa vigente.
9.Documentación de resultados: en función a los riesgos de la empresa
se procede a la confección del informe de valoración de riesgos.
32. FASE DE GESTIÓN DE RIESGOS
Priorización de acciones:
Se ha de partir de los niveles de riesgo y del informe de evaluación de
para elaborar el Ranking de acciones que hemos de considerar llevar a cabo
la empresa.
Evaluación de opciones de controles recomendados. Estudio de su viabilidad
y eficacia, su adecuación a nuestro modo de trabajo para determinar si
realmente pueden combatir los riesgos.
Análisis de coste- beneficio. Qué impacto supondría la implantación o no
implantación de los controles recomendados, así como costes moderados,
para realizar un análisis coste-beneficio.
Seleccionar los controles que nos ayudarían a eliminar los riesgos. Por
ejemplo, instalación de firewalls, cambio periódico de contraseñas o
actualización de antivirus.
Asignación de responsabilidades: personal encargado de llevar a cabo la
aplicación de los controles seleccionados.
Desarrollo del plan de implantación de salvaguardas.
33. Algunas medidas que se podrían adoptar son:
Prevención
Disuasión
Eliminación
Minimización del impacto / limitación del impacto
Corrección
recuperación
Monitorización
Detección
Concienciación
Administración
Implantación de controles seleccionados