Curso: Control de acceso y seguridad: 03 Análisis de riesgos 2
1. Control de Acceso y Seguridad Desarrollo
Ingeniería de Sistemas y Seguridad Informática
Mg. Ing. Jack Daniel Cáceres Meza, PMP
Sesión 03
Análisis de riesgos
2. 2
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Introducción
La empresa Atoland S.A., empresa que se dedica al sector financiero,
específicamente a otorgar préstamos al consumo, ha sufrido un marcado
crecimiento en los último años. De acuerdo a lo expresado por la gerencia,
este crecimiento explosivo ha generado que la función TI de la empresa
fuese adaptándose al crecimiento del negocio de manera adaptativa y no
planificada, lo cual les genera miedos a los gerentes respecto a la manera
en la cual se está operando.
Para contar con una perfecta descripción de la situación actual y sus
implicancias, han decidido contratar a una empresa consultora –a usted-
para que releve y evalúe cómo está operando y se está gestionando la
función TI.
Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/CASO_%20DE_%20RIESGO_%20INFORMaTICO.pdf
3. 3
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Análisis del riesgo
Uso sistemático de información para identificar amenazas y
estimar el riesgo [ISO/IEC Guide 73:2002]
6. 6
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Conceptos básicos
Todos los proyectos tienen implícitos algún
tipo de riesgo. Esto es válido tanto para los
pequeños proyectos, como la organización
de una fiesta de cumpleaños, como para
proyectos millonarios como el lanzamiento
de un cohete espacial.
El riesgo es algo desconocido que, si se
produce, afecta en forma negativa o
positiva los objetivos del proyecto. Por lo
tanto, un evento incierto puede ser algo
bueno o algo malo.
El riesgo representa el impacto potencial de
todas las amenazas u oportunidades que
podrían afectar los logros de los objetivos
del proyecto.
7. 7
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Incertidumbre y riesgo
La incertidumbre se da cuando no
conocemos la probabilidad de ocurrencia
de un evento, mientras que en una
situación de riesgo podemos estimar
cuál será su probabilidad de ocurrencia.
Por ejemplo, incertidumbre sería si no
tenemos la más mínima idea de que
vaya a ocurrir una catástrofe climática
en un proyecto, algo que nunca antes
había ocurrido en ese lugar.
Mientras que si en ese mismo proyecto
podemos estimar la probabilidad de mal
clima en base a informes
meteorológicos, estaríamos en una
situación de riesgo.
8. 8
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Metalenguaje del riesgo –regla práctica para su
declaración
Declaración del riesgo:
Como consecuencia <causa concreta>, <evento
incierto/riesgo> podría ocurrir, que llevaría a <efecto en el
objetivo>.
Ejemplos:
Como consecuencia de usar hardware nuevo, errores
inesperados en el sistema de integración podrían
ocurrir, lo que incrementaría el costo del proyecto.
Ya que nuestra organización nunca ha hecho un proyecto
como éste, podríamos entender mal las necesidades
del cliente, y nuestra solución no cumpliría con los
requisitos comprometidos.
9. 9
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Procesos de los Riesgos del Proyecto
11.1 Planificar la Gestión de Riesgos: Es el proceso por el cual se define cómo realizar las
actividades de gestión de los riesgos para un proyecto.
11.2 Identificar los Riesgos: Es el proceso por el cual se determinan los riesgos que pueden afectar
el proyecto y se documentan sus características.
11.3 Realizar el Análisis Cualitativo de Riesgos: Es el proceso que consiste en priorizar los riesgos
para realizar otros análisis o acciones posteriores, evaluando y combinando la probabilidad de
ocurrencia y el impacto de dichos riesgos.
11.4 Realizar el Análisis Cuantitativo de Riesgos: Es el proceso que consiste en analizar
numéricamente el efecto de los riesgos identificados sobre los objetivos generales del proyecto.
11.5 Planificar la Respuesta a los Riesgos: Es el proceso por el cual se desarrollan opciones y
acciones para mejorar las oportunidades y reducir las amenazas a los objetivos del proyecto.
11.6 Monitorear y Controlar los Riesgos: Se implementan planes de respuesta a los riesgos, se
rastrean los riesgos identificados, se monitorean los riesgos residuales, se identifican nuevos
riesgos y se evalúa la efectividad del proceso contra riesgos a través del proyecto.
Curso Project Management Essentials
10. 10
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Gestión de Riesgos – Enfoque PMI
11. 11
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Gestión de Riesgos – Enfoque PMI
12. 12
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Gestión de Riesgos – Enfoque PMI
13. 13
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Gestión de Riesgos – Enfoque PMI
14. 14
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Gestión de Riesgos – Enfoque PMI
15. 15
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Impacto
El riesgo no se cuantifica sólo por su probabilidad de ocurrencia,
sino también por su impacto sobre los objetivos del proyecto
(alcance, tiempo, costo, calidad). Por ejemplo, si la probabilidad
de mal clima es muy alta, pero los daños en el proyecto son
muy bajos, ese riesgo no debería preocuparnos demasiado.
Un proyecto será más riesgoso si presenta un 10% de
probabilidad de ocasionar daños por $500.000, que en el caso
de tener un 10% de probabilidad de generar daños por
$100.000.
16. 16
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Valor monetario esperado
Se puede obtener una buena estimación de los beneficios o
costos esperados de un evento riesgoso si se multiplica su
probabilidad de ocurrencia por el impacto.
Valor monetario esperado = Probabilidad x Impacto
Por ejemplo, un 10% de probabilidad de perder $100.000 tendrá
un costo esperado de $10.000, mientras que un 20% de
probabilidad de ganar $200.000 tendrá una ganancia esperada
de $40.000.
Si quiero asegurar mi empresa para no perder $100.000 en caso
de que ocurra un incendio, cuya probabilidad de ocurrencia es
del 10%, debería pagar una prima de seguro de $10.000
17. 17
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Curso Project Management Essentials
18. 18
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Curso Project Management Essentials
19. 19
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Matriz de probabilidad e impacto con oportunidades y amenazas
Curso Project Management Essentials
20. 20
Mg, Ing. Jack Daniel Cáceres Meza, PMP
CID
ISO/IEC 13335-1:2004
Confidencialidad: garantizar que la información sea accesible
únicamente para quienes tengan [cuenten con] acceso autorizado.
Integridad: salvaguardar la exactitud e integridad de la información
y activos asociados.
Disponibilidad: garantizar que los usuarios autorizados tengan
acceso a la información y activos asociados cuando sea necesario.
21. 21
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Práctica
Detectar las amenazas, vulnerabilidades, probabilidades,
impacto y riesgos, para lo cual deberán desarrollar:
Un análisis de riesgo del video a presentar:
Seguridad de la información
(https://www.youtube.com/watch?v=ktQi9v8Xa1o)
Para el desarrollo se empleará el archivo: Parámetros para
análisis de riesgo
Se deberá emplear el siguiente formato para la presentación:
22. 22
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Recordemos:
Consideraciones para un Análisis de Riesgos
Realizar un análisis de riesgos es laborioso
y costoso.
Desarrollar un mapa de activos y valorarlos
requiere la participación y colaboración de
muchos perfiles dentro de la Organización.
Se debe lograr una uniformidad de criterio
entre todos
Es importante cuantificar los riesgos, pero
más importante aún es relativizarlos,
debido que en un análisis de riesgos
aparecen multitud de datos.
La única forma de afrontar la complejidad
es centrarse en lo más importante (máximo
impacto, máximo riesgo).
Pero si los datos no están bien ordenados
en términos relativos, su interpretación es
imposible.
23. Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Gracias por su atención
¿Preguntas?