Análisis de riesgos y estudio de seguridad (WR).ppt

GUILLERMO PEDRAZA C, CPP Cero Incidentes
Ф
SEGURIDAD
AVANZADA
Análisis de Riesgos
Presentado por:
GUILLERMO PEDRAZA C, CPP

Ф
QUÉ ES ANALISIS DE RIESGOS
Es una herramienta de gestión cuyos patrones para
medir están determinados por lo que la gerencia estima
aceptable con respeto a pérdidas incurridas. Para
proceder de forma lógica para realizar un análisis del
riesgo, es necesario llevar a cabo de Algunas tareas
básicas:
1. Identificar los bienes que necesitan protección.
2. Identificar los tipos de riesgos que pueden afectar los
bienes involucrados.
3. Determinar la probabilidad de incidencia del riesgo.
4. Determinar el impacto o el efecto si ocurriera una
pérdida determinada.

Ф
VULNERABILIDAD
ADMINISTRACION
DE RIESGOS
REVENCIÓN DE
PÉRDIDAS

Ф
ANALISIS DE RIESGOS
1. DEFINICION DEL PROBLEMA
1.1. Perfil del evento de pérdida
1.2. Probabilidad del evento de pérdida
1.3. Criticalidad del evento de pérdida
2. PLANEACION DE LA SOLUCION
2.1. Arbol lógico de amenaza
2.3. Diseño de Redes (Identificación y examen de alternativas)
3. RESOLUCION DEL PROBLEMA
3.1. Selección de una alternativa de admon del riesgo
3.2. Implementación de la alternativa seleccionada
3.3. Monitoreo y mejoramiento de la alternativa seleccionada
4. ADMINISTRACION DE RIESGOS
INTERACCION ENTRE LAS 3 FUNCIONES DE LA ADMON DE RIESGOS:
4.1. Prevención de pérdidas
4.2. Control de pérdidas
4.3. Indemnización de pérdidas
5. ESTUDIO DE SEGURIDAD

Ф
Vulnerabilidad
Riesgos/Amenazas
Activos Probabilidad Criticalidad
Analisis de Amenaza
Contramedidas
Análisis Costo/Beneficio
Sistema de Medidas
Ningún
Plan de
seguridad o
programa
puede ser
efectivo si
no…
está basado en
un claro
entendimiento
de los actuales
riesgos y sus
fases.

Ф
ANALISIS DE RIESGOS
2.3. Diseño de Redes (Identif. y examen de alternat)
3.3. Monitoreo y mejoramiento de la alternativa selec.

Ф
PERFIL DEL EVENTO DE
PERDIDA
• Riesgo convencional o especulativo
• Riesgo Puro
Define las clases o tipos de amenazas o riesgos que
afectan los activos.
Es el primer paso en la evaluación de vulnerabilidad
• Activos
• Amenazas
• Riesgos

Ф
PERDIDA
Guerra Nuclear
Catástrofe Natural
Desastre Industrial
Disturbios Civiles
Crimen
Conflictos internos
Violencia en el sitio de Trabajo
Terrorismo
Secuestro
Extorsión
Riego Puro
• Activos
• Amenazas
• Riesgos

Ф
PERDIDA
1. EL evento producirá una pérdida actual.
2. La pérdida es medible por algún medio
standard como: dinero
3. La pédida no es especulativa en el sentido
que la no ocurrencia del evento resultaría
en una ganancia
UNA CONTRAMEDIDA DEBE SER PLANEADA
SI EL EVENTO DE PERDIDA TIENE LAS
SIGUIENTES CARACTERÍSTICAS
• Activos
• Amenazas
• Riesgos

Ф
Probabilidad del evento de pérdida
(Frecuencia)
La probabilidad que las amenazas se conviertan en
pérdida. SEGUNDO PASO
Los eventos de pérdida no se pueden predecir usando una
formula probabilística standard por que:
• No todos los eventos simultáneos son igualmente probables;
• Algunos eventos pueden ocurrir más de una vez.
Entre más formas haya de que un evento en
particular pueda ocurrir en unas circunstancias
dadas, mayor será la probabilidad que este ocurra.
A MAYOR FRECUENCIA, MAYOR PROBABILIDAD

Ф
(Frecuencia)
La probabilidad o frecuencia es el número de formas en las cuales un
evento en particular puede resultar de cierta actividad, dividida por el
número total de eventos que podrían ocurrir en esa actividad.
P F
n
=
P =Probabilidad que un evento dado ocurra
F =Número de resultados favorables a la
ocurrencia
n=Número total de resultados posibles

Ф
(Frecuencia)
Ejercicio:
Sí lanzamos dos (2) monedas al tiempo hay cuatro
posibles resultados (n = 4). Tres (3) resultados
podrían producir al menos una cara (f = 3) en el
lanzamiento. La posibilidad de obtener una cara
en el lanzamiento es (P=3/4) o sea 0,75. Entonces
cuales serían los cuatro resultados posibles de ese
lanzamiento?

Ф
(Frecuencia)
FACTORES DE PROBABILIDAD:
• Medio ambiente físico
• Medio ambiente social
• Medio ambiente politico
• Experiencia histórica
• Situación de criminalidad
Para una efectiva evaluación de la probabilidad, varios
factores incrementarán la posiblidad y la exposición de
los activos al riesgo de pérdida.

Ф
(Frecuencia)
• Composición: Masa, Peso
• Clima: Temperatura, humedad relativa
• Geografía: latitud, longitud, elevación
• Localización: exposición al vecindario
• Condiciones de uso
Factores de medio ambiente físico

Ф
(Frecuencia)
• Identidad étnica
• Grupos de edad
• Nivel de ingresos
• Vecindario
• Historia Social
• Planeación
• Criminalidad
Factores de medio ambiente social

Ф
(Frecuencia)
• Unidad de gobierno
• Tono general de la población
• Actitudes políticas de la población
• Area política
Factores de medio ambiente politico

Ф
(Frecuencia)
Una colección y organización de datos de incidentes
sobre pérdidas pasadas o sospecha de pérdidas.
Suficiente información permitirá pronosticar futuras
ocurrencias
Problema – Usualmente no se lleva o no se hace bien.
Tipico – Sólo pérdidas aseguradas y reclamadas.
Una precisa información histórica sobre las
pérdidas o eventos de pérdidas es la información
más util que tenga una empresa.
Experiencia histórica

Ф
(Frecuencia)
• Virtualmente Cierto (A) 0,85 x K del evento
• Altamente Probable (B) 0,65 x K del evento
• Moderadamente Probable (C) 0,50 x K del evento
• Improbable (D) 0,20 x K del evento
• Probabilidad desconocida (E)
Clasificación de la probailidad del evento de pérdida
Factor probabilístico

Ф
• Virtualmente Cierto: que dado ningún cambio en los
factores el evento ocurrirá.
• Altamente Probable: la probabilidad de la ocurrencia
es mucho más grande que la no ocurrencia.
• Moderadamente Probable: Es más probable que el
evento ocurra a que no ocurra.
• Improbable: Es menos probable que el evento
ocurra a que no ocurra. No implica imposibilidad,
sólo improbabilidad.
• Probabilidad desconocida: Los datos disponibles son
insuficientes para hacer una evaluación.

Ф
Una práctica aceptada en seguridad, dentro de la
evaluación de la probabilidad, es que ante la ausencia
de datos, entre dos (2) calificaciones posibles, se asigne
la más alta.
La Probabilidad desconocida debe tom arse como una
clasificación temporal mientras se desarrollan y se
obtienen más datos.
Desde el punto de vista probabilístico SEGURIDAD es
definida como un paquete de procedimietos y
procesos que tomados como un todo, que tienen
el efecto de alterar la razón de eventos
indeseables en el total de eventos.

Ф
Criticalidad del evento de pérdida
Evaluar el impacto o efecto sobre los activos en caso que
la pérdida ocurra. También llamada severidad.
El impacto debe ser medido en dinero porque este es el
común denominador en todos los negocios.
Eventos altamente probables pueden no requerir
contramedidas sí el daño neto que en ellos producirán es
pequeño. Pero riesgos moderadamente probables
requerirán atención sí el tamaño de la pérdida que
producirán es grande.

Ф
La única forma útil de evaluar las
contramedidas de seguridad es
comparar el costo estimado de
las pérdidas con el costo de la
protección.

Ф
• Fatal (1)
• Muy Serio (2)
• Moderadamente Serio (3)
• Relativamente sin importancia (4)
• Severidad desconocida (5)
Clasificación de la Criticalidad (Ratings)

Ф
Costos de las pérdidas
COSTOS DIRECTOS COSTOS INDIRECTOS
• Moneda
• Instrumentos
negociables
• Propiedades
• Información
• Propiedad Intelectual
• Reputación
• Goodwill
• Pérdida de
empleados
• Moral de empleados

Ф
Costos de las pérdidas
COSTOS
DIRECTOS
COSTOS
INDIRECTOS
COSTOS
REALES
PERDIDA DE
ACTIVOS
PERDIDA DE
INGRESOS

Ф
COSTOS REALES DE LA PERDIDA
REEMPLAZO
PERMANENT
E
SUSTITUCION
TEMPORAL
COSTOS
RELATIVOS
COSTOS DE
INGRESOS
PERDIDOS

Ф
FORMULA COSTO TOTAL DE LA PERDIDA
K = (Cp + Ct + Cr + Ci) – (I – a)
SE CALCULA PARA UNA PÉRDIDA INDIVIDUAL Y SOBRE UNA BASE ANUAL
K = Criticalidad o costo total de pérdidas
Cp = Costo del reemplazo permanente
Ct = Costo del reemplazo temporal
Cr = Costo relativo
Ci = Costo ingresos perdidos
I = Indemnización por seguros
a = Monto de la prima de seguro

Ф
K = (Cp + Ct + Cr + Ci) – (I – a)
Cp = El Costo del reemplazo permanente
se compone de:
1. Precio de compra o costo de manofactura
2. Fletes y cargos de transporte y envío
3. Costos de instalación y puesta en marcha

Ф
K = (Cp + Ct + Cr + Ci) – (I – a)
Ct = El Costo de la sustitución temporal se compone de:
1. Costo de alquiler
2. Trabajo extra para compensar la producción perdida.
Una sustitución puede ser necesaria para mantener activa la estructura
de la empresa mientras llega el reemplazo permanente porque minimiza
las pérdidas de ingresos y ventas, evitando tambíén las multas por
incumplimiento de contratos.
Es aconsajable gastar en una sustitución temporal (Ct) de activos
cuando el costo de la sustitución permanente (Cp) de los activos excede
el costo de cerrar el negocio.

Ф
K = (Cp + Ct + Cr + Ci) – (I – a)
Cr = El Costo relativo o consecuente se asimila al
lucro cesante generado por la pérdida.
LUCRO CESANTE: COSTO DEJADO DE
GANAR O PERCIBIR POR EL NO
FUNCIONAMIENTO DE UNA MAQUINA

Ф
K = (Cp + Ct + Cr + Ci) – (I – a)
Ci = El Costo de ingresos perdidos, es el ingreso que pudiera
haber sido obtenido de haber invertido el dinero que se ha
gastado en las sustituciones permanentes y/o temporales.
i = Tasa de interés efectivo anual
P = Monto disponible para la inversión P= Cp + Ct
t = Tiempo en días durante el cual P está disponible para la
inversión
Ci =
i
365
P x t

Ф
K = (Cp + Ct + Cr + Ci) – (I – a)
EJERCICIO:
Calcular el Costo de ingresos perdios (Ci) y el costo total
de la pérdida (K) de un computador servidor que ha
sido robado de la oficina financiera, dados los siguientes
valores:
Cp = U$ 5.000 Ct = U$ 2.000 Cr = U$ 2.000
I = U$ 4.000 a = U$ 500 t = 90 días
Respuesta: Ci = U$ 20.790 K = U$ 26,290

Ф
K = (Cp + Ct + Cr + Ci) – (I – a)
La indemnización de pérdidas, vía seguro, no debe ser
considerada como el único factor de protección contra
pérdidas porque la cobertura es limitada. La mejor
aproximación a un manejo intyegrado del riesgo es la
Administración de Riesgos (RM).
Administración de Riesgos (RisK Management) es un
concepto aplicado a las funciones combinadas de:
1. Prevención de pérdidas.
2. Control de pérdidas
3. Indemnización de pérdidas

Ф
El cuarto paso en la evaluación de la vulnerabilidad es
poner los riesgos en una secuencia de prioridad para
aplicar contramedidas. Cuando los riesgos ya han sido
“rankeados” mediante una combinación de probabilidad y
severidad. Ejemplo: A1, B3, C5 y D4, la tarea formal de la
evaluación de vulnerabilidad ha sido completada. La
siguiente etapa es la preparación de la solución.
Probabilidad
• Virtualmente Cierto (A)
• Altamente Probable (B)
• Moderadamente Probable (C)
• Improbable (D)
• Probabilidad desconocida (E)
Criticalidad
• Fatal (1)
• Muy Serio (2)
• Moderadamente Serio (3)
• Relativamente sin importancia (4)
• Severidad desconocida (5)

Ф
Severidad de
Pérdida
Alta Media Baja
Alta
Evitar Prevención de
Pérdidas
y evitar
Transferencia
por medio de
seguro
Media
Evitar y
Prevención de
Pérdidas
Prevención de
Pérdidas
y transferencia
por medio de
seguro
Asumir y
repartir
Baja
Prevención de
Pérdidas
Prevención de
Pérdida
y Asumir
Asumir
Matriz de decisión
Frecuencia de pérdida

Ф
ANALISIS DE RIESGOS
2.3. Diseño de Redes (Identif. y examen de alternatativas)
3.3. Monitoreo y mejoramiento de la alternativa selec.

Ф
Planeación de la solución
Analisis de la Amenaza
El análisis de la amenaza indicará que aunque varios
riesgos estén separadamente identificados es posible que
una simple contramedida pueda neutralizarlos a todos o
detectar que un número de riesgos dependen de una
misma causa común o condición precedente.
Estas conexidades producen un patrón de amenaza
lógica el cual sugiere no sólo la interrelación entre
riesgos sino el punto de partida más apropiado para
interponer o aplicar la contramedida. La tarea de planear
ese patrón lógico es lo que se denomina análisis de la
amenaza.

Ф
Arbol de Amenaza Lógica
Modelo de
Amenaza: ROBO DE PROD. TERMINADO
Piso de
Manofactura
Cuarto Control
Calidad
Almacén
y desembarque
Obtener
Acceso
Durante
Producción
Ingresar al
Area
Permanecer
sin ser
observado
O
Y
Y
O
Diseño de red: Disponer u ordenar los
riesgos, las amenazas y las vulnerabilidades
para encontrar una común inter-relación y
organizar las contramedidas.

Ф
Principio de Apalancamiento
(Leverage)
Consiste en que la aplicación de una
simple contramedida en el lugar
apropiado puede neutralizar varias
amenazas. Cada punto de
apalancamiento indica una posibilidad
para una contramedida.

Ф
Principio de Apalancamiento
(Leverage)
Las contramedidas pueden ser
desarrolladas en puntos de unión o
puntos apalancamiento en el
modelo de amenaza lógica.

Ф
Diseño de Red
El último paso en la planeación se
denomina Diseño de Red y consiste en
organizar la interrelación de los
riesgos, las amenazas y las
vulnerabilidades con las
contramedidas. Pero el verdadero
hecho final es la ocurrencia del evento
de pérdida

Ф
ANALISIS DE RIESGOS
3.3. Monitoreo y mejoramiento de la alternativa seleccionada.

Ф
Selección de una alternativa de admon del riesgo.
Implementación de la alternativa seleccionada.
Monitoreo y mejoramiento de la alternativa
seleccionada
RESOLUCION DEL PROBLEMA

Ф
• Grado de confiabilidad
• Costo
• Tiempo en
implementación
Hay 3 principales razones para
que ocurran las pérdidas en
seguridad.
• Falla en el recocimiento de las
vulnerabilities
• Contramedidas equivocadas o
no efectivas
• Falla al considerar un cambio
Para cada contramedida
en un programa de seg.
tres criterios deben ser
determinados:
RESOLUCION DEL PROBLEMA
El cambio puede estar en la
vulnerabilidad o en la relevencia
de la contramedida. La
vulnerabilidad cambia cuando
hay cambios en la probabilidad o
en la severidad.

Ф
Administracion de Riesgos
La tendencia de hoy es hacia una interección más cercana
entre las tres funciones de la Administración de riesgos:
1. PREVENCION DE PERDIDAS Antes del evento de pérdida
2. CONTROL DE PÉRDIDAS Durante o después del evento
de pérdida.
3. INDEMNIZACION DE PERDIDAS Después del evento

Ф
Los gastos de seguridad deben ser costo-justificados
porque ellos implican desviación de recursos o la aplicación
de activos de la empresa hacia actividades que no
pertenecen a la esencia del negocio (Core business).
Seguridad debe demostrar cuantitativamente que está
retornando la suma invertida en sus programas de
contramedidas en forma de:
1. Pérdidas evitadas o minimizadas
2. Activos recuperados
Justificación económica de un proyecto o
programa de seguridad

Ф
Los costos del programa deben ser menores que los costos de las
pérdidas que ocurrirían sin el programa.
Los costos totales que son relevantes para la administración de
riesgos incluyen:
1. Costos de las pérdidas que ocurren a pesar del
programa y que no serán indemnizadas vía seguro.
2. Costos del programa de prevención o control de
pérdidas al lado de los costos de los seguros.
3. Costos de las primas de seguro y la administración
de reclamos.
Justificación económica

Ф
Sí tomados juntos los anteriores costos (calculados en un año), son
menores que los costos de las pérdidas que probablemente
hubieran ocurrido sin el programa de prevención y control de
pérdidas; entonces los esfuerzos de la Adminsitración de riesgos
son exitosos.
El control de pérdidas, la prevención o minimización de las pérdidas,
son las funciones específicas de un programa de seguridad y
protección de activos.
Cuando las contramedidas son propuestas o implementada, debe
hacerse un segundo estimado de las pérdidas que ocurrirían no
obsdtante las contramedidas.

Ф
El primer elemento en el ejercicio de justificación económica son las
perdidas evitadas, que son la diferencia entre las pérdidas
estimadas sin el programa y las que probablemente ocurran con el
programa. Esta cantidad se usará en la llamada ecuación ROE
(Return of Expenditures) para justificar el gasto de seguridad.
Las tareas de seguridad bien desempeñadas y una contramedidas
de seguridad funcionando apropiadamente, tendrán consecuencias
financieras directas.
Un segundo elemento en el ejercicio de justificación económica es
la recuperación de activos. En este sentido sólo deben sere
tenidas en cuenta las recuperaciones hechas unicamente como
resultado de la aplicación del programa de seguridad.

Ф
ECUACION ROE
AL = Pérdidas evitadas (avoided losses)
R = Recuperaciones hechas (recoveries made)
CSP = Costo del programa de seguridad (cost of the security program
ROE =Retorno de gastos (return on expenditures)
AL + R
= ROE
CSP
Para representar los costos del programa de seguridad (CSP) es necesario
incluir: 1. Gastos de personal; 2. Costos de capital aplicado; 3. Todos los
gastos generales administrativos

Ф
ANALISIS DE RIESGOS
3.3. Monitoreo y mejoramiento de la alternativa seleccionada.

Ф
ESTUDIO DE SEGURIDAD
Un examen y análisis crítico, en situ, de una
planta industrial, negocio, hogar, institución
pública o privada para determinar el estado actual
de seguridad, identificar deficiencias o excesos,
determinar la necesidad de protección y hacer
recomendaciones para mejorar la seguridad de
conjunto.

Ф
ESTUDIO DE SEGURIDAD
Es un examen y análisis crítico, en situ, de una
planta industrial, negocio, hogar, institución
pública o privada para determinar el estado actual
de seguridad, identificar deficiencias o excesos,
determinar la necesidad de protección y hacer
recomendaciones para mejorar la seguridad de
conjunto.

Ф
CPP STUDY COURSE
Discussion
Presentado por:
William Ramírez C, CPP

Análisis de riesgos y estudio de seguridad (WR).ppt

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Análisis de riesgos y estudio de seguridad (WR).ppt

Similar a Análisis de riesgos y estudio de seguridad (WR).ppt (20)

Análisis de riesgos y estudio de seguridad (WR).ppt