PROYECTOS DE SOFTWARE

Nombre: Celia Elena Ordoez Arce Tema: Mtodo de Anlisis de Riesgos Ciclo: Noveno

Mtodo de Anlisis de Riesgos

Existen tres tipologas de mtodos utilizados para determinar el nivel de riesgos de
nuestro negocio. Los mtodos pueden ser:

Mtodos Cualitativos Mtodos Semi-cuantitativos. Mtodos Cuantitativos

Mtodos Cualitativos
Es el mtodo de anlisis de riesgos ms utilizado en la toma de decisiones en proyectos
empresariales, los emprendedores se apoyan en su juicio, experiencia e intuicin para la toma de decisiones.

Se pueden utilizar cuando el nivel de riesgo sea bajo y no justifica el tiempo y los recursos
necesarios para hacer un anlisis completo.
- Brainstorming - Cuestionario y entrevistas estructuradas

Los mtodos cualitativos incluyen:

- Evaluacin para grupos multidisciplinarios

- Juicio de especialistas y expertos (Tcnica Delphi)

Mtodos Semi-cuantitativos:
Se utilizan clasificaciones de palabra como alto, medio o bajo, o descripciones ms detalladas
de la probabilidad y la consecuencia.

Estas clasificaciones se demuestran en relacin con una escala apropiada para calcular el
nivel de riesgo. Se debe poner atencin en la escala utilizada a fin de evitar malos entendidos o malas interpretaciones de los resultados del clculo.

Mtodos Cuantitativos
Se consideran mtodos cuantitativos a aquellos que permiten asignar valores de ocurrencia a los
diferentes riesgos identificados, es decir, calcular el nivel de riesgo del proyecto.

Los mtodos cuantitativos incluyen:

Anlisis de probabilidad, Anlisis de consecuencias, Simulacin computacional

El desarrollo de dichas medidas puede ser realizado mediante diferentes mecanismos, entre los
cuales destacamos el Mtodo Montecarlo, el cual se caracteriza por: - Amplia visin para mostrar mltiples posibles escenarios.

- Sencillez para llevarlo a la prctica .

- Fcil para la realizacin de simulaciones

Elementos del anlisis de riesgo potenciales

Es una vista general de los pasos que se aplican para la metodologa Magerit. [1]

Metodologa Magerit
El anlisis de riesgos es una aproximacin metdica para determinar el riesgo se puede seguir unos pasos :

1. Determinar los activos relevantes para la Organizacin, su interrelacin y su valor, en el sentido

de qu perjuicio (coste)

2. 3. 4. 5.

Determinar a qu amenazas estn expuestos aquellos activos Determinar qu salvaguardas hay dispuestas y cun eficaces son frente al riesgo Estimar el impacto, definido como el dao sobre el activo derivado de la amenaza

Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa) de la amenaza

Paso 1: Activos
Incluyen: informacin, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos fsicos y recursos humanos. De un activo puede interesar calibrar diferentes dimensiones: En un sistema de informacin hay dependencias de activos donde se ubican por capas asi:

Su confidencialidad: qu dao causara que lo conociera quien no debe? Esta valoracin es tpica de datos. Su integridad: qu perjuicio causara que estuviera daado o corrupto? Pueden estar manipulados, ser total o parcialmente falsos o, incluso, faltar datos. Su disponibilidad: qu perjuicio causara no tenerlo o no poder utilizarlo? Esta valoracin es tpica de los servicios. Autenticad: qu perjuicio causara no saber exactamente quien hace o ha hecho cada cosa? Trazabilidad del uso del servicio: qu dao causara no saber a quin se le presta tal servicio? O sea, quin hace qu y cundo? Trazabilidad del acceso a los datos: qu dao causara no saber quin accede a qu datos y qu hace con ellos?

Activos esenciales: Informacin que se maneja y servicios prestados Servicios internos: Que estructuran ordenadamente el sistema de informacin El equipamiento informtico: Aplicaciones (software), equipos informticos (hardware) , comunicaciones, soportes de informacin. El entorno: activos que se precisan para garantizar las siguientes capas como equipamiento y suministros, mobiliario Los servicios subcontratados a terceros Las instalaciones fsicas El personal : Usuarios, operadores y administradores, tambin desarrolladores

Paso 2: Amenazas
Identificacin de las amenazas

De origen natural: (terremotos, inundaciones,..) Del entorno (de origen industrial, contaminacin, fallos elctricos, ...) Defectos de las aplicaciones: Defectos en el diseo o en su implementacin

Causadas por las personas de forma accidental: Personas con acceso al sistema de informacin.
Causadas por las personas de forma deliberada: Ataques deliberados, por beneficiarse indebidamente
No todas las amenazas afectan a todos los activos, sino que hay una cierta relacin entre el tipo de activo y lo que le podra ocurrir.

Valoracin de las Amenazas

Una vez determinado que una amenaza
puede perjudicar a un activo, hay que valorar su influencia en el valor del activo, en dos sentidos:
MA A M B MB MA A M B MB Muy alta Alta Media Baja Muy baja 100 10 1 1/10 1/100 Casi seguro Muy alto Posible Poco probable Muy raro Muy frecuente Frecuente Normal Poco frecuente Muy poco frecuente fcil Medio Difcil Muy difcil Extremadamente difcil A diario Mensualmente 1 vez al ao Cada varios aos Siglos

Degradacin: cun perjudicado resultara el

(valor del) activo, mide el dao causado por un incidente en el supuesto de que ocurriera

Probabilidad: cun probable o improbable

es que se materialice la amenaza

Paso 3: Salvaguardas
Procedimientos o mecanismos tecnolgicos que reducen el riesgo. Hay amenazas que se conjurar simplemente organizndose adecuadamente, otras requieres elementos tcnicos (programas o equipos), otras seguridad fsica y, por ltimo, est la poltica de personal. Tipos de declaraciones para excluir una cierta salvaguarda del conjunto de las que conviene analizar: Las salvaguardas entran en el clculo del riesgo de dos formas:

Reduciendo la probabilidad de las amenazas. Se

llaman salvaguardas preventivas. Las ideales llegan a impedir completamente que la amenaza se materialice. Limitando el dao causado. Limitan la posible degradacin, mientras que otras permiten detectar inmediatamente el ataque para frenar que la degradacin avance. Incluso algunas salvaguardas se limitan a permitir la pronta recuperacin del sistema cuando la amenaza lo destruye. En cualquiera de las versiones, la amenaza se materializa; pero las consecuencias se limitan

no aplica: Cuando una salvaguarda no es de

aplicacin porque tcnicamente no es adecuada al tipo de activos a proteger. desproporcionada al riesgo que tenemos que proteger

no se justifica: Cuando la salvaguarda aplica, pero es

Paso 4: Impacto residual

Es la medida del dao sobre el activo derivado de la materializacin de una amenaza. Conociendo el valor de los activos (en varias dimensiones) y la degradacin que causan las amenazas.

El clculo del impacto residual es sencillo. Como no han cambiado los activos, ni sus
dependencias, sino solamente la magnitud de la degradacin, se repiten los clculos de impacto con este nuevo nivel de degradacin. proporcin que resta entre la eficacia perfecta y la eficacia real. sobre los activos superiores.

La magnitud de la degradacin tomando en cuenta la eficacia de las salvaguardas, es la

El impacto residual puede calcularse acumulado sobre los activos inferiores, o repercutido

Paso 5: Riesgo residual

Se denomina riesgo a la medida del dao probable sobre un sistema. Conociendo el impacto de las amenazas sobre los activos, es directo derivar el riesgo sin ms que tener en cuenta la probabilidad de ocurrencia.

La magnitud de la degradacin se toma en consideracin en el clculo del impacto residual.

La magnitud de la probabilidad residual tomando en cuenta la eficacia de las salvaguardas, es
la proporcin que resta entre la eficacia perfecta y la eficacia real.

El riesgo residual puede calcularse acumulado sobre los activos inferiores, o repercutido
sobre los activos superiores.

Conclusiones
Es muy importante prevenir los riesgos por esto se ha convertido en una
actividad encaminada a evitar problemas.

Hay que tratar de evitar aquellas situaciones en que el riesgo puede llegar a
ser excesivo, porque puede generar perdidas.

Debemos considerar que la supervisin del riesgo forma parte de el

seguimiento del proyecto.

Referencias
[1]http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Mage
rit.html#.UqDH2vTuKvw

[2]http://www.madrid.org/cs/StaticFiles/Emprendedores/Analisis_Riesgos/pages/pdf/metodologia/4
AnalisisycuantificaciondelRiesgo(AR)_es.pdf

[3] http://www.pilar-tools.com/es/index.html?tools/pilar/index.html [4] http://www.youtube.com/watch?v=_KTNr5iOIis