Scribd Logo
Загрузить

Добро пожаловать в Scribd!

  • Gestion de Riesgos

    Загружено:

    Alvaro Auza Barrios
    19 просмотров20 страниц

    Авторское право

    © Attribution Non-Commercial (BY-NC)

    Доступные форматы

    PDF, TXT или читайте онлайн в Scribd

    Этот документ был вам полезен?

    Это неприемлемый материал?

    Пожаловаться на этот документ

    Авторское право:

    Attribution Non-Commercial (BY-NC)
    Скачайте в формате PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    19 просмотров20 страниц

    Gestion de Riesgos

    Загружено:

    Alvaro Auza Barrios

    Авторское право:

    Attribution Non-Commercial (BY-NC)
    Скачайте в формате PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    из 20

    GESTION DE RIESGOS

    GESTIN DE RIESGOS BAJO LA NORMA AS/NZS 4360

    ESTABLECER EL CONTEXTO COMU UNICAR Y CONSULTA AR

    IDENTIFICAR RIESGOS

    ANLIZAR RIESGOS

    EVALUAR RIESGOS

    TRATAR EL RIESGO

    1.- ESTABLECER EL CONTEXTO

    Establecer el contexto estratgico


    Aspectos financieros, operativos, competitivos, polticos, sociales, y legales

    Establecer el contexto organizacional


    FODA

    Establecer el contexto de la administracin de riesgos Desarrollar criterios para evaluacin de riesgos Definir la estructura

    2.- IDENTIFICAR RIESGOS


    Que puede suceder? (ver Anexo D)
    a) Relaciones comerciales y legales
    Entre la organizacin y otras organizaciones, ej: proveedores, subcontratistas, arrendatarios.

    b) Circunstancias econmicas
    De la organizacin, p g pas, internacionales, como asimismo factores q contribuyen a que y esas circunstancias ej: tipos de cambio.

    c) Comportamiento humano
    Tanto de los involucrados en la organizacin como de los que no lo estn.

    d) Eventos naturales e) Circunstancias polticas


    Incluyendo cambios legislativos y factores que pudieran influenciar a otras fuentes de riesgo.

    f) Aspectos tecnolgicos y tcnicos Tanto internos como externos a la organizacin. g g) Actividades y controles gerenciales h) Actividades individuales

    Como y por que puede suceder? Herramientas: listados, software, lluvia de ideas

    3.- ANALIZAR RIESGOS

    Inventario de riesgos Determinar controles existentes CSA Consecuencias y probabilidades C i b bilid d Tipos de anlisis
    Cualitativo, cuantitativo, mixto

    4.- EVALUAR DE RIESGOS

    Matriz de riesgo Conjugacin de impacto: legal, financiero, econmico, etc. econmico etc Comparacin contra indicadores estadsticos. t d ti

    5.- TRATAR DE RIESGOS

    Identificar Opciones
    No hacer nada Evitar el riesgo Reducir la probabilidad de ocurrencia Reducir las consecuencias Transferir Mitigar

    Evaluar opciones Preparar planes de tratamiento

    MONITOREO, REVISION Y COMUNICACION


    Autocontrol Revisiones independientes
    PMI Panel de mando integral SAO Sistemas de alerta oportuna

    Retroalimentacin Reportes Gerenciales Reuniones de seguimiento Por etapas Por indicadores de criticidad alcanzados

    PROYECTO ISACA

    ENFOQUE DE GESTION DE RIESGOS COBIT

    MODELOS DE MADUREZ
    0 No existente no toma en cuenta los impactos en el negocio asociados a las vulnerabilidades de seguridad y a las incertidumbres del desarrollo de proyectos. La administracin de riesgos no se ha identificado como algo relevante para adquirir soluciones de TI y para prestar servicios de TI 1 Inicial/Ad Hoc Se realizan evaluaciones informales de riesgos segn lo determine cada proyecto. En algunas ocasiones se identifican evaluaciones de riesgos en un p g g plan de p y proyectos p pero se asignan a gerentes especficos con poca frecuencia. Los riesgos especficos relacionados con TI tales como seguridad, disponibilidad e integridad se toman en cuenta ocasionalmente proyecto por proyecto. Los riesgos relativos a TI que afectan las operaciones del da con da, son rara vez discutidas en reuniones gerenciales. Cuando se toman en cuenta los riesgos, la mitigacin es inconsistente. Existe un entendimiento emergente de que los riesgos de TI son importantes y necesitan ser considerados. 2 Repetible pero intuitiva cuando Existe un enfoque de evaluacin de riesgos inmaduro y en evolucin y se implanta a discrecin de los gerentes de proyecto. La administracin de riesgos se da por lo general a altos niveles y se aplica de manera tpica solo a proyectos grandes o como respuesta a problemas. 3 Proceso definido cuando Una poltica de administracin de riesgos para toda la organizacin define cundo y cmo realizar las evaluaciones de riesgos. La administracin de riesgos sigue un proceso definido el cual est documentado documentado. El entrenamiento sobre administracin de riesgos est disponible para todo el personal. La decisin de seguir el proceso de administracin de riesgos y de recibir entrenamiento se delega a la discrecin del individuo.

    MODELOS DE MADUREZ
    4 Administrado y medible
    procesos estndar. as excepciones se reportan a la g p p gerencia de TI. Es una responsabilidad de alto nivel. Los riesgos se evalan y se mitigan a nivel de proyecto individual y tambin por lo regular se hace con respecto a la operacin global de TI. La gerencia recibe notificacin sobre los cambios en el ambiente de negocios y de TI que pudieran afectar de manera significativa los escenarios de riesgo relacionados con la TI. La L gerencia puede monitorear l posicin d riesgo y t i d it la i i de i tomar d i i decisiones i f informadas respecto a l d t la exposicin que est dispuesta a aceptar. propietario denominado, y la alta direccin, as como la gerencia de TI han determinado los niveles de riesgo que la organizacin est dispuesta a tolerar. medidas estndar para evaluar el riesgo y para definir las proporciones riesgo/retorno. La gerencia p presupuesta p p para q un p y que proyecto operativo de administracin de riesgos re-evale los riesgos de p g g manera regular. parte del proceso de administracin de riesgos se empieza a automatizar. proceso estructurado est implantado en toda la organizacin y es bien administrado. Las buenas prcticas se aplican en toda la organizacin. p p g La captura, anlisis y reporte de los datos de administracin de riesgos estn altamente automatizados. La orientacin se toma de los lderes en el campo y la organizacin de TI participa en grupos de inters para intercambiar experiencias. La administracin de riesgos est altamente integrada en todo el negocio y en las operaciones de TI est bien aceptada, y abarca a los usuarios de servicios de TI aceptada s arios ser icios TI.

    5 Optimizado

    FORMULAS RELACIONADAS
    Risk Analysis
    Assign value to Information and Assets Estimate exposure factor Perform and derive potential costs and savings

    Calculate Risk Formulas* C l l t Ri k F l *


    Exposure Factor (EF) Single Loss Expectancy = Asset Value * EF Annual Rate of Occurrence (ARO) Annualized Loss Expectancy = SLE * ARO

    Value to organization is:


    1. 1 2. 3. 4. ALE savings = ALE before ALE after Experience E i Qualitative Approach Delphi technique (Input by group) Industry research

    Exposure Factor (EF) based on:

    Elementos del riesgo

    Factor de exposicion: % de perdida ARO is the Annual Rate of Occurrence ALE i th A is the Annual L l Loss E Expectancy t
    Single Loss Exposure ($) = Asset Value ($) x Exposure F t (%) E Factor Annual Rate of Occurrence = Number of occurrences N b of years Number f Annual Loss Expectancy ($) = SLE ($) x ARO

    Ejemplo: Medicin por Delphi


    Este mtodo sirve para calificar y categorizar riesgos, amenazas, perdidas esperadas y en general todos aquellos aspectos que presentan complejidad matemtica para su cuantificacin, en base a la opinin sistematizada de un grupo de d expertos t se compara conceptos de a pares en base a un criterio de juicio nico previamente fijado: lo mas probable, lo mas peligroso, etc.

    Вам также может понравиться