You are on page 1of 39

PLAN DE VALORACIN DE RIESGO.

2009

81 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

INTRODUCCIN Para que una empresa desarrolladora de software funcione correctamente y alcance los objetivos propuestos por la administracin son necesarios activos o recursos de diferentes ndoles y con diversos fines. Estos recursos pueden ser humanos, materiales (edificios, instalaciones, inmuebles, papelera, hardware, etc.) e inmateriales (software, experiencia, credibilidad, alcance de mercadeo etc.). Todos estos recursos se encuentran en un entorno de incertidumbre, que en ocasiones, puede mostrase agresivo y provocar interrupciones inesperadas del funcionamiento normal de la actividad de la empresa. La mayor parte de estas interrupciones suelen ser temporales y las condiciones vuelven a ser normales en un perodo que no ocasiona situaciones crticas para la actividad normal de la empresa. Sin embargo, puede haber circunstancias que generen interrupciones prolongadas, que lleguen a influir en la capacidad de funcionamiento de los servicios o impidan el desarrollo normal de los mismos.

Detallar el anlisis y la valoracin de riesgos en los proyectos de informacin de una manera estructurada por fases, como herramienta de apoyo para las empresas desarrolladoras.

82 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

OBJETIVO GENERAL Proporcionar a las empresas, una herramienta que le facilite identificar, evaluar los riesgos en los proyectos informticos que emprenda la compaa, mejorando su servicio con el fin de disminuir el impacto y el tiempo al entrar en produccin.

OBJETIVOS ESPECFICOS Reconocer los riesgos en las diversas operaciones que realiza la empresa.

Determinar el mtodo de evaluacin y valoracin de riesgos para los Proyectos informticos.

Documentar las amenazas y los posibles atentados en contra de las actividades de la empresa.

83 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

ALCANCES DEL PLAN

Definir y documentar la valoracin de los riesgos en los proyectos informticos de una manera organizada que permita identificar, evaluar, controlar y valorar los riesgos en el rea para las empresas desarrolladoras de software.

Se desarrollar documentando cada una de las fases que componen la propuesta: Fase de identificacin, evaluacin, control y valoracin, incluyendo las actividades que se deben ejecutar en cada fase.

Con este plan se pretende dar a conocer los riesgos encontrados en las empresas en estudio, en relacin a frecuencia, probabilidad, severidad o impacto en las organizaciones que se consideraron para esta investigacin.

84 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

BENEFICIO DEL PLAN El beneficio a obtener en la identificacin, anlisis y valoracin de riesgos es:

Dimensionar el impacto de los riesgos sobre la empresa en trminos de interrupciones y prdida que puedan poner en riesgo la viabilidad y la continuidad del proyecto.

85 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

5.0.

QUE ES LA VALORACIN DE RIESGOS: Proceso mediante el cual se

establece la probabilidad de que ocurran daos personales o prdidas materiales y la cuantificacin de los mismos.

Es importante en toda organizacin contar con una herramienta, que garantice la correcta evaluacin de los riesgos, a los cuales estn sometidos los procesos y actividades que participan en un proyecto informtico y por medio de una buena gestin se pueda evaluar el desempeo, desarrollo y ejecucin del mismo.

Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en cuenta que una de las principales causas de los problemas dentro del entorno informtico, es la inadecuada administracin de riesgos, este trabajo sirve de apoyo para una adecuada gestin de la administracin de riesgos.

5.1.

FASE 0: GESTIN DEL RIESGO

La fase 0 est destinada a identificar, evaluar, valorar y controlar los riesgos, la frecuencia y severidad con que se pueden presentar y el grado de aceptabilidad que tienen en el desarrollo del proyecto. Para comenzar con el anlisis y la valoracin se requiere utilizar las conceptualizaciones siguientes: Amenaza: Persona, objeto, situacin o evento natural del entorno (externo o interno) que es visto como fuente de peligro, catstrofe o interrupcin y pueden ser de origen natural tecnolgico y social. Ejemplos: sismos, inundacin, avalanchas, incendio, explosiones, robo de datos, sabotaje, fraude, etc. Tambin se define como un riesgo no evaluado. Es necesario cuantificarla para poder tomar decisiones (Administracin de Riesgos). En sntesis podemos definir que la amenaza es una percepcin del algo que puede ocurrir.

86 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

Riesgo: Definimos el riesgo como la probabilidad de que la amenaza se materialice, debido a la existencia de una o varias vulnerabilidades de peso significativo. El riesgo es difcil de medir, sobretodo, cuando no se cuenta con datos estadsticos que lo respalden o avalen, por la tendencia de las empresas a ocultar incidentes, la localizacin geogrfica, las culturas, leyes, criticidad, situacin pas, etc. Tambin se define como una amenaza evaluada en cuanto a su probabilidad de ocurrencia (Frecuencia) y a la gravedad de sus consecuencias (Severidad). Riesgo Informtico: Es un suceso incierto que puede llegar a presentarse en un futuro con la probabilidad de Generar Consecuencias NEGATIVAS que afecten el ambiente informtico o la informacin. Probabilidad/Frecuencia: Es el nmero de veces que se da un evento. Ver tambin posibilidad y probabilidad. Tambin se define como el nmero de veces que una amenaza deja de serlo para convertirse en realidad, a lo largo de un determinado periodo de tiempo. Gravedad/Severidad/Impacto: Es la evaluacin del efecto y consecuencia del riesgo. Generalmente, la exposicin al riesgo se mide en aspectos econmicos, imagen de las personas o empresas, disminucin de capacidad de respuesta y competitividad, interrupcin de operaciones, etc. Efecto que causa en la empresa la ocurrencia de un siniestro y que normalmente se ve reflejado en la suspensin de las actividades normales del negocio. Valor del riesgo: Riesgo = Probabilidad X Gravedad (R = PxG) Siniestro: Todo evento accidental, sbito e imprevisto (repentino, no planeado), que normalmente genera consecuencias negativas sobre un proyecto. Control: es toda accin orientada a minimizar la frecuencia de ocurrencia de las causas del riesgo o valor de las prdidas ocasionadas por ellas. Los controles sirven para asegurar la consecucin de los objetivos de las empresas o asegurar

87 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

el xito de un proyecto y para reducir la exposicin de los riesgos, a niveles razonables. Con las anteriores definiciones, este plan de anlisis y valoracin pretende identificar y calificar los riesgos que se presentan alrededor del proyecto Informticos. El siguiente diagrama muestra cada una de las actividades que se llevaran cabo en cada fase.

5.1.1. DIAGRAMA DE ADMINISTRACIN DE RIESGOS

VALORACIN DEL RIESGO

IDENTIFICACIN

ANLISIS Y VALORACIN DEL RIESGO

ANLISIS DE RESULTADOS

CONTROL

88 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

5.2.

FASE 1.- IDENTIFICACIN RIESGOS POTNCIALES

La identificacin de riesgos consiste en determinar qu tipos de riesgos es ms probable que afecten al proyecto informtico y documentar las caractersticas de cada uno. Los siguientes riesgos se identificaron por medio de las cedulas de entrevista dirigida a los administradores y el cuestionario dirigido a los especialistas en sistemas (Programadores) de las empresas desarrolladoras de software de la ciudad de San Miguel. (Ver anexo de instrumento de recoleccin de informacin Cedula de entrevista, Cuestionario Anexo N 6 y 7).

Metodologa de Trabajo. Proyectos en Desarrollo. Mal funcionamiento de Hardware. Falta de Seguridad fsica en sus Instalaciones. Los Virus Informticos. Los accesos no autorizados. Almacenamiento de los Respaldos (Backups). El Robo. Las Normas y Polticas. Desastres Naturales.

89 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

La siguiente metodologa a seguir es, detallar los riesgos relacionados a cada identificacin. Se irn puntualizando y desglosando segn su dependiente, de esta manera se podr conocer su proceso en el desarrollo. 5.2.1 METODOLOGA DE TRABAJO.

Anlisis Preliminar Diseo Codificacin Puesta en Funcionamiento Evolucin

5.2.2 PROYECTOS EN DESARROLLO. PROCESO:

El producto en desarrollo: Cambios de requerimientos.

El proceso de Desarrollo: Diseo inadecuado.

El equipo de Desarrollo: Aadir ms personal a un proyecto atrasado. Personal problemtico descontrolado. Fricciones entre clientes y desarrolladores (poltica del desarrollo). 5.2.3 MAL FUNCIONAMIENTO DE HARDWARE. Fallas en los equipos Discos duros Memorias RAM.
90 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

5.2.4 FALTA DE SEGURIDAD FSICA EN SUS INSTALACIONES.

Polarizaciones elctricas. Alarmas. Infraestructura antigua.

5.2.5 LOS VIRUS INFORMTICOS. Actualizacin de antivirus. Firewall.

5.2.6 LOS ACCESOS NO AUTORIZADOS. reas de trabajo. Control de acceso a la informacin. Nivel de acceso

5.2.7 ALMACENAMIENTO DE LOS RESPALDOS (BACKUPS). Backups de software Backups Data

5.2.8 EL ROBO Medios de almacenamiento masivo Llevndose la data, difundiendo as la informacin

5.2.9 NORMAS Y POLTICAS. Normas para el uso de los equipos de la empresa. Polticas de seguridad para la empresa.

91 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

5.2.10 DESASTRES NATURALES. Fuego Inundaciones Sismos Huracanes

Una vez identificadas las amenazas y los riesgos se elaboran las siguientes matrices: La matriz de eventos de riesgos con relacin a los procesos se construye con las amenazas y con los procesos que tienen los proyectos informticos. La combinacin Proceso Amenaza (fila, columna) lo nombraremos Evento de riesgos, tal como se muestra en la Tabla N 1.

5.3 TABLA # 1. MATRIZ DE EVENTOS CON RELACIN A PROCESOS. Procesos / Amenazas P1 P2 Fallas P1,A1 P2,A3 Fallas P1,A2 P2,A4 Fallas P1,An P2,An

Pn

P1= proceso 1, P2= proceso 2 Pn= proceso n A1= amenaza 1, A2= amenaza 2.. An= amenaza n P1, A1 = E1, es el evento 1 de que en el proceso 1 ocurra la amenaza 1.

El mtodo a seguir es la realizacin de las Matrices de procesos y amenazas.

92 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

Las siguientes tablas

de eventos se desarrollan para conocer las

amenazas o fallas bajo las cuales estn sometidos cada uno de los procesos.

5.3.1 TABLA # 2. MATRIZ DE EVENTO CON RELACIN A LA METODOLOGA DE TRABAJO.

Fallas PROCESOS/AMENAZAS planificaci n del proyecto

Fallas en los modelos del prototipo s

Fallas en la etapa de realizar pruebas.

Fallas en la puesta en marcha del producto

Fallas de la aplicacin

METODOLOGA DE TRABAJO.-P1

Anlisis preliminar. A1

Diseo. A2

Codificaci n. A3

Puesta en Funcionamie nto. A4

Evolucin. A5

5.3.2 TABLA # 3. MATRIZ DE EVENTOS CON RELACIN AL PROYECTO EN DESARROLLO.


PROCESOS/AMENAZAS Fallas del producto en desarrollo Cambios de requerimientos. A6 Fallas del proceso de desarrollo Diseo inadecuado A7 Fallas del equipo de desarrollo Aadir ms personal a un proyecto atrasado. A8 Personal problemtico descontrolado. A9 Fricciones entre clientes y desarrolladores (poltica del desarrollo). A10

PROYECTOS EN DESARROLLO.- P2

93 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

5.3.3 TABLA # 4. MATRIZ DE EVENTOS CON RELACIN AL MAL FUNCIONAMIENTO DE HARDWARE.

Fallas en los equipos PROCESOS/AMENAZAS Discos duros MAL FUNCIONAMIENTO DE HARDWARE.- P3 A11 Memorias RAM A12

5.3.4 TABLA # 5. MATRIZ DE EVENTOS CON RELACIN A LA FALTA DE SEGURIDAD FSICA EN SUS INSTALACIONES.
PROCESOS/AMENAZAS Fallas por los mtodos de proteccin al hardware Fallas en la segurida d Fallas en la seguridad fsica

FALTA DE SEGURIDAD FSICA EN SUS INSTALACIONES.-P4

Polarizacione s elctricas. A 13

Alarmas.
A 14

Infraestruc tura antigua.


A 15

5.3.5 TABLA # 6. MATRIZ DE EVENTOS CON RELACIN A LOS VIRUS INFORMTICOS.


PROCESOS/AMENAZAS Fallas en la seguridad Fallas en el control de acceso

Actualizacin de LOS VIRUS INFORMTICOS.-P5 antivirus. A16

Firewall.
A17

94 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

5.3.6 TABLA # 7. MATRIZ DE EVENTOS CON RELACIN A LOS ACCESOS NO AUTORIZADOS.


Fallas inadecuada medida de seguridad Fallas por la libertad de acceso Fallas en el control del acceso

PROCESOS/AMENAZAS

reas de LOS ACCESOS NO AUTORIZADOS.-P6 trabajo. A18

Control de acceso a la informacin. A19

Nivel de acceso. A20

5.3.7 TABLA # 8. MATRIZ DE EVENTOS CON RELACIN AL ALMACENAMIENTO DE LOS RESPALDOS (BACKUPS).
Fallas en las plataformas de trabajo SO Fallas en cuanto al tiempo que realizan los resguardos

PROCESOS/AMENAZAS

Backups de ALMACENAMIENTO DE LOS RESPALDOS (BACKUPS).-P7 software. A21

Backups Data. A22

5.3.8 TABLA # 9. MATRIZ DE EVENTOS CON RELACIN AL ROBO.


PROCESOS/AMENAZAS Fallas en el Fcil acceso Fallas en la seguridad de acceso

Medios de EL ROBO.- P8 almacenamiento masivo. A23

Llevndose la data, difundiendo as la informacin. A24

95 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

5.3.9 TABLA # 10. MATRIZ DE EVENTOS CON RELACIN A LAS NORMAS Y POLTICAS.
Fallas por no contar con normas Fallas por no cortar con polticas

PROCESOS/AMENAZAS

Normas para NORMAS Y POLTICAS.-P9 el uso de los equipos de la empresa. A25

Polticas de seguridad para la empresa. A26

5.3.10 TABLA # 11. MATRIZ DE EVENTOS CON RELACIN A DESASTRES NATURALES.


PROCESOS/AMENAZAS Fallas por la falta de equipo contra fuego Fallas por desages, invierno humedad, Riesgo a ocurrir Riesgo a ocurrir

Fuego. DESASTRES NATURALES.-P10


A27

Inundaciones
A28

Sismos
A29

Huracanes
A30

96 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

5.4 NIVEL DE RIESGOS DE PROBLEMAS OCURRIDOS EN LAS EMPRESAS Para evaluar esta etapa se describen los problemas con ms impacto y probabilidad de ocurrencia que se les presentan a las empresas desarrolladoras se describen los procesos y amenazas existentes en los cuales permiten obtener informacin para los efectos de la toma de decisiones, estos niveles de riesgo son: ALTO (cuando el riesgo hace altamente vulnerable a la entidad o unidad). o (Impacto y probabilidad alta vs controles). MEDIO (cuando el riesgo presenta una vulnerabilidad media). (Impacto alto probabilidad baja o Impacto bajo - probabilidad alta vs controles). BAJO (cuando el riesgo presenta vulnerabilidad baja), (Impacto y probabilidad baja vs controles). El mtodo a seguir es el de realizar la matriz de nivel de riesgo de los problemas encontrados en cada empresa desarrolladora, en las cuales se irn dando a conocer segn su nivel de impacto y probabilidad de ocurrencia en cada una de ellas.

97 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

5.4.1 Matriz 1.- NIVEL DE RIESGOS DE PROBLEMAS OCURRIDOS EN LAS EMPRESAS.

ALTO

I M P A C T O

MEDIO
Disoftware, Syscotel SA de CV, Ryougan technology, Garrobito Web, Ceminfo. P1- Anlisis Preliminar (A1), Diseo (A2), Codificacin (A3), Puesta en Funcionamiento (A5). (A4), Evolucin

BAJO

Baja

Media

Alta

Probabilidad

98 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

5.4.1 Matriz 1.- NIVEL DE RIESGOS DE PROBLEMAS OCURRIDOS EN LAS EMPRESAS.

ALTO

Disoftware, Syscotel SA de CV, Ryougan technology, Garrobito Web, Ceminfo. P3- Discos duros (A11), Memoria RAM (A12).

I M P A C T O
BAJO MEDIO

Disoftware, Syscotel SA de CV, Ryougan technology, Garrobito Web, Ceminfo. P2-Cambio de requerimientos (A6)

Garrobito Web P2-Aadir ms personal proyecto atrasado (A8). a un

Ryougan technology, P2-Diseo inadecuado (A7), Aadir ms personal a un proyecto atrasado (A8), Personal problemtico descontrolado (A9),Fricciones entre clientes y desarrolladores (poltica del desarrollo)

Baja

Media

Alta

Probabilidad
99 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

5.4.1 Matriz 1.- NIVEL DE RIESGOS DE PROBLEMAS OCURRIDOS EN LAS EMPRESAS.

ALTO

Disoftware, Syscotel SA de CV, Ryougan technology, Garrobito Web, Ceminfo. P6-Areas de trabajo (A18), Control de acceso a la informacin (A19), Nivel de acceso (A20).

Ceminfo, Ryougan technology. P4-Polarizaciones elctricas(A13)

I M P A C T O
BAJO MEDIO

Ceminfo, Ryougan technology. P4-Alarmas (A14)

Ryougan technology P4- Infraestructura antigua (A15)

Disoftware, Syscotel SA de CV, Ryougan technology, Garrobito Web, Ceminfo. P5-Actualizacion de antivirus (A16) Firewall (A17).

Baja

Media

Alta

Probabilidad
100 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

5.4.1 Matriz 1.- NIVEL DE RIESGOS DE PROBLEMAS OCURRIDOS EN LAS EMPRESAS.

ALTO

Syscotel SA de CV Disoftware, Syscotel SA de CV, Ryougan technology, Garrobito Web, Ceminfo. P7-Backups de software (A21), Backups de Data (A22).

I M P A C T O
BAJO MEDIO

P8-Medios de almacenamiento masivo (A23). Llevndose la data, difundiendo as la informacin (A24)

Disoftware, Ryougan technology, Garrobito Web, Ceminfo. P8-Medios de almacenamiento masivo (A23) Llevndose la data, difundiendo as la informacin (A24)

Disoftware, Syscotel SA de CV, Ryougan technology, Garrobito Web, Ceminfo. P9-Normas para el uso de los equipos de la empresa (A25). Polticas de seguridad para la empresa (A26).

Baja

Media

Alta

Probabilidad

101 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

5.4.1 Matriz 1.- NIVEL DE RIESGOS DE PROBLEMAS OCURRIDOS EN LAS EMPRESAS.

ALTO

Garrobito Web, Ceminfo. P10-Fuego (A27).

I M P A C T O
MEDIO BAJO

Syscotel SA technology.

de

CV,

Ryougan

P10-Inundaciones (A28).

Ryougan technology. P10-Sismos (A29.)

Syscotel SA de CV P10- Huracanes (A30)

Baja

Media

Alta

Probabilidad
Ver anexo de instrumento de recoleccin de informacin Cedula de entrevista, Cuestionario. Anexo N 6 y 7 102 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

5.5 FASE 2. - ANLISIS Y VALORACIN RIESGO Una vez que los riesgos han sido identificados y descrito sus procesos y amenazas, se llevara a cabo su evaluacin.

El paso a seguir es hacer el anlisis y la valoracin.

En esta actividad se tiene como objetivo, una vez definidos los riesgos, la determinacin y clculo de los criterios que, con posterioridad, nos facilitarn la evaluacin y valoracin del riesgo.

Como procedimiento a seguir se identificarn las variables especficas y se analizarn los factores obtenidos. Los criterios de anlisis del riesgo para este caso en particular que usaremos son: Probabilidad o frecuencia, gravedad o impacto y la aceptabilidad del riesgo.

Para poder hacer el anlisis y la valoracin del riesgo es necesario elaborar las escalas de probabilidad y gravedad en que se pueden presentar las amenazas. Estas dos tablas tienen como finalidad obtener una calificacin del riesgo en cuanto a frecuencia o posibilidad de ocurrencia y en cuanto a la consecuencia o gravedad si se llegara a materializar la amenaza.

103 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

5.5.1 Tabla # 12. Contiene una Escala de Probabilidad.

VALOR PROBABILIDAD (FRECUENCIA)

DEFINICIN

Improbable

Remoto

Ocasional

Moderado

Frecuente

Constante

Se presenta bajo circunstancias extremas de orden pblico en el pas, de catstrofe o bajo situaciones excepcionales fuera del alcance de la organizacin o del proyecto. Como paros, huelgas, sabotajes o amenazas de terrorismo. Se presenta por situaciones atribuibles a las personas, y pueden ser causadas por hechos internos de la organizacin hacia el proyecto como suspenderlo, no apoyarlo, abortarlo, entre otras. El evento se clasifica como norutinario y no es inherente a la tecnologa, su frecuencia se asocia con variables externas a la tecnologa, los procesos o componentes del proyecto. Se presenta por situaciones atribuibles al descuido o error humano que afectan la ejecucin del proyecto. Se presenta con cierta regularidad, y su causa es atribuible a los recursos mnimos del proyecto (Personas, presupuesto, tiempo, tecnologa) los cuales son necesarios para su ejecucin. Se presenta en el da a da, su origen es atribuible a situaciones normales del proyecto como interrupciones menores de los procesos, los servicios de la tecnologa, la desviacin de los recursos y otros similares.

104 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

Definicin Aplicativa. IMPROBABLE: Cuando el riesgo evaluado no ha sucedido hasta ahora y es muy difcil que ocurra.

REMOTO: Cuando el riesgo evaluado ha sucedido slo en forma excepcional y se tiene una posibilidad de ocurrencia muy baja.

OCASIONAL: Cuando el riesgo evaluado ha sucedido pocas veces y tiene baja posibilidad de ocurrencia.

MODERADO: Si el riesgo sucede en forma espordica y tiene limitada posibilidad de ocurrencia.

FRECUENTE: Si el riesgo sucede algunas veces y tiene una significativa posibilidad de ocurrencia.

CONSTANTE: Cuando el riesgo evaluado sucede en forma reiterada y tiene alta posibilidad de ocurrencia.

El termino Gravedad: se refiere a la magnitud en trminos relativos de las consecuencias que pueden generarse al ocurrir la amenaza evaluada.

La tabla de gravedad, debe construirse en forma estndar para las empresas.

105 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

5.5.2 TABLA # 13. ESCALA DE GRAVEDAD. VALOR 1 GRAVEDAD Insignificante: La duracin de la interrupcin es menor a 1 Hora. 2 Marginal: La duracin de la interrupcin esta entre 1-4 Horas. 5 Grave: La duracin de la interrupcin esta entre 4-8 Horas. 10 Crtico: La duracin de la interrupcin esta entre 8-24 Horas. Desastroso: La duracin de la interrupcin esta entre 24-36 Horas. Catastrfico: La duracin de la interrupcin es mayor a 36 Horas.

20

50

106 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

INSIGNIFICANTE: Cuando las consecuencias (impacto) pueden ser consideradas como despreciables porque que no afectan el funcionamiento del proyecto.

MARGINAL: Cuando las consecuencias (impacto) se consideran tolerables (moderadas) porque afectan en forma leve al proyecto.

GRAVE:

Cuando

las

consecuencias

(impacto)

afectan

parcialmente

el

funcionamiento del proyecto, pero no ponen en peligro su ejecucin.

CRTICO: Se valora la consecuencia (impacto) en trminos considerables porque dichas consecuencias afectan parcialmente al proyecto desplazando su ejecucin.

DESASTROSO: Las consecuencias afectan totalmente al proyecto, desplazando su ejecucin y aumentando los costos del mismo de lo inicialmente presupuestado.

CATASTRFICO: Cuando las consecuencias se consideran de gran magnitud porque afectan en forma total el proyecto pudiendo poner en riesgo la estabilidad del mismo e inclusive impidiendo su terminacin.

Podemos hablar con el trmino riesgo cuando la amenaza se evala con las escalas de probabilidad y gravedad. El prximo paso entonces, de esta etapa, es calificar los riesgos multiplicando el valor del riesgo en cuanto a probabilidad por el valor del riesgo en cuanto a gravedad.

Riesgo = Probabilidad X Gravedad (R = PxG).

Tal como se muestra en la Tabla # 14 tomando como referencias las Matrices de Eventos o escenarios en cuanto a Procesos:

107 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

5.5.3 TABLA #14 CALIFICACIN DEL RIESGO CON RELACIN A LOS PROCESOS. ENTORNO DE PROCESOS PROBABILIDAD P GRAVEDAD G RIESGO (PxG) METODOLOGA DE TRABAJO.P1- A1, A2, A3, A4, A5. PROYECTOS EN DESARROLLO.P2-A5, A6, A7, A8, A9, A10. MAL FUNCIONAMIENTO DE HARDWARE.- P3- A11, A12. FALTA DE SEGURIDAD FSICA EN SUS INSTALACIONES.-P4A13, A14, A15. LOS VIRUS INFORMTICOS.-P5 A16, A17. LOS ACCESOS NO AUTORIZADOS.-P6 A19,A19,A20 ALMACENAMIENTO DE LOS RESPALDOS (BACKUPS).-P7A21, A22. EL ROBO. - P8-A23, A24. OCASIONAL 3 CRTICO 10 30

OCASIONAL OCASIONAL

3 3

GRAVE CATASTRFICO

5 50

15 150

OCASIONAL REMOTO OCASIONAL REMOTO

3 2 3 2

MARGINAL GRAVE GRAVE CRTICO

2 5 5 10

6 10 15 20

OCASIONAL

DESASTROSO CRTICO CATASTRFICO

20 10 50

60 30 100

NORMAS Y POLTICAS.-P9-A25, OCASIONAL 3 A26. DESASTRES NATURALES.-P10REMOTO 2 A27, A28, A29, A30. Riesgo = P X G Donde: P = Probabilidad de ocurrencia (frecuencia) G = Gravedad o intensidad de las consecuencias (impacto)

108 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

5.6 FASE 3. - ANALISIS DE RESULTADOS 5.6.1 Elaborar la Matriz de Aceptabilidad, que nos permita determinar el nivel de aceptabilidad hacia el riesgo.

La Matriz de Aceptabilidad de Riesgos nos determina el nivel de aceptabilidad del evento o escenario (combinacin de Riesgo proceso, o combinacin de riesgo tecnologa) que pueda suceder en el proyecto. Esta matriz est conformada por cuatro zonas de acuerdo con la escala de probabilidad y de gravedad definida en los pasos anteriores: Zona Aceptable: Donde la probabilidad de ocurrencia del riesgo es muy baja, es decir, un evento o escenario situado en esta regin de la matriz, significa que la combinacin frecuencia consecuencia no implica una gravedad significativa, por lo que no amerita la inversin de recursos y no requiere acciones adicionales para la gestin sobre el factor de vulnerabilidad considerado, diferentes a las ya aplicadas en el proyecto.

Zona Tolerable: Un evento o escenario situado en esta regin de la matriz, significa que, aunque deben desarrollarse actividades para la gestin sobre el riesgo en el proyecto, tienen una prioridad de segundo nivel, pudiendo ser a mediano plazo. Zona Inaceptable: Donde la probabilidad de ocurrencia del riesgo es alta, y su consecuencia es considerable, es decir, un evento o escenario situado en esta regin de la Matriz, significa que se requiere siempre desarrollar acciones prioritarias a corto plazo para su gestin, debido al alto impacto que tendran sobre el proyecto. Zona Inadmisible: Un riesgo identificado situado en esta regin de la matriz, significa que bajo ninguna circunstancia se deber mantener un escenario con esa capacidad potencial de afectar la estabilidad del proyecto e inclusive su

109 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

terminacin. Por ello estos escenarios requieren una atencin de alta prioridad para buscar disminuir en forma inmediata su vulnerabilidad.

Para determinar los lmites de cada una de las zonas de aceptabilidad en la matriz, se utilizan los siguientes criterios de valoracin:

5.6.1.1 Tabla # 15 Matriz de Zona de Aceptabilidad.

ZONA

CRITERIO DE ACEPTABILIDAD (% de vulnerabilidad).

Aceptable Tolerable Inaceptable Inadmisible

Hasta el 3.0 Del 3.1 al 5.0 Del 5.1 al 25.0 Ms del 25.0

5.6.1.2 Tabla # 16 PROBABILIDAD RELATIVA.


Constante Frecuente Moderado Ocasional Remoto Improbable 6 5 4 3 2 1 6 (2.0%) 5 (1.6%) 4 (1.3%) 3 (1.0%) 2 (0.6%) 1(0.3%) 1 Insignificante 12 (4.0%) 10 (3.3%) 8 (2.6%) 6 (2.0%) 4 (1.3%) 2 (0.6%) 2 Marginal 30 (10.0%) 25 (8.3%) 20 (6.6%) 15 (5.0%) 10 (33.3%) 5 (1.6%) 5 Grave 60 (20.0%) 50 (16.6%) 40 (13.3%) 30 (10.0%) 20 (6.6%) 10 (3.3%) 10 Crtico 120 (40.0%) 100 (33.3%) 80 (26.6%) 60 (20.0%) 40 (13.3%) 20 (6.6%) 20 Desastroso 300 (100.0%) 250 (83.3%) 200 (66.6%) 150 (50.0%) 100(33.3%) 50 (16.6%) 50 Catastrfico

GRAVEDAD RELATIVA

110 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

Cada riesgos encontrados (Pn An), resultante de la matriz de eventos con relacin a los procesos informticos, se sita dentro de la matriz de aceptabilidad para poder determinar los requerimientos de medidas de control como insumos necesarios para la prxima etapa o fase que es la de Control. La Matriz de Aceptabilidad del riesgo est determinada por la escala de probabilidad tomada de la Tabla #12 y la escala de gravedad basada en la Tabla #13 con la definicin de los valores de aceptable, tolerable, inaceptable e inadmisible como se muestra a continuacin en la Tabla # 17:

5.6.1.3 Tabla # 17 Matriz de Aceptabilidad. PROBABILIDAD RELATIVA


Constante Frecuente Moderado Ocasional Remoto Improbable 6 5 4 3 2 1 Aceptable Aceptable Aceptable Aceptable Aceptable Aceptable 1 Insignificante Tolerable Tolerable Aceptable Aceptable Aceptable Aceptable 2 Marginal Inaceptable Inaceptable Inaceptable Tolerable Tolerable Aceptable 5 Grave Inaceptable Inaceptable Inaceptable Inaceptable Inaceptable Tolerable 10 Crtico Inadmisible Inadmisible Inadmisible Inaceptable Inaceptable Inaceptable 20 Desastroso Inadmisible Inadmisible Inadmisible Inadmisible Inadmisible Inaceptable 50 Catastrfico

GRAVEDAD RELATIVA.

111 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

5.6.1.4 Tabla #18. Matriz de Aceptabilidad para el entorno de Procesos. PROBABILIDAD RELATIVA.
Constante Frecuente Moderado Ocasional 6 5 4 3 Falta de seguridad fsica en sus instalaciones. -P4-A13, A14, A15. Proyectos en desarrollo.- P2A5, A6, A7, A8, A9, A10. Los accesos no autorizados.-P6 A19,A19,A20 Los virus informticos.P5 A16, A17. Metodologa de trabajo.-P1- A1, A2, A3, A4, A5. Normas y polticas.-P9A25, A26. Almacenamient o de los respaldos (backups).-P7A21, A22. El robo.- P8A23, A24. Mal funcionamiento de hardware.P3- A11, A12.

Remoto

Desastres naturales.-P10A27, A28, A29, A30.

Improbable

1
Insignificante

2
Marginal

5
Grave

10
Crtico

20
Desastroso

50
Catastrfico

GRAVEDAD RELATIVA.

112 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

Perfil de los riesgos. El conjunto de todos los riesgos encontrados ubicados en la matriz de aceptabilidad configura el perfil de los riesgos para el proyecto o sistema y que se realiza para el entorno de los procesos y los proyectos informticos: Metodologa de trabajo, Proyectos en desarrollo, Mal funcionamiento de hardware, Falta de seguridad fsica en sus instalaciones, Los virus informticos, Los accesos no autorizados, Almacenamiento de los respaldos (backups), El robo, Normas y polticas, Desastres naturales. 5.7 FASE 4.- CONTROL Esta fase consiste en identificar y analizar las soluciones disponibles para tratar los riesgos estudiados en las etapas anteriores, con el fin de reducir la frecuencia y severidad de las prdidas, en caso de que los riesgos identificados se materialicen. Control es toda accin orientada a minimizar la frecuencia de ocurrencia de las causas del riesgo o valor de las prdidas ocasionadas por ellas.

Los controles sirven para asegurar la consecucin de los objetivos de la organizacin o asegurar el xito de un sistema y para reducir la exposicin de los riesgos, a niveles razonables. Los objetivos bsicos de los controles son: Prevenir las causas del riesgo, detectar la ocurrencia de las causas del riesgo, retroalimentando el sistema de control interno con medios correctivos para establecer las respectivas medidas de proteccin y permitiendo as la continuidad de la organizacin o el proyecto que est en ejecucin.

113 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

En el siguiente grafico muestra cuales son las actividades que se deben seguir para tener un buen control de riesgos en el proyecto que se est desarrollado.

5.7.1 C O N T R O L DEL R I E S G O S

Control

Fsico/Lgico:

En

esta

actividad

se

definen

dos

alternativas

fundamentales para obtener un buen control del riesgo:

Prevencin: Estudio exhaustivo de las alternativas lgicas conducentes a reducir en la medida de lo posible, las causas que originan la materializacin de un riesgo.

Son aquellas medidas tendientes a minimizar las causas que puedan provocar una prdida teniendo en cuenta los procesos, la gente y la tecnologa.

Proteccin: Conjunto de actividades encaminadas a reducir la severidad del impacto causado por la materializacin de un riesgo. Actan sobre las consecuencias.
114 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

Son aquellas medidas tendientes a reducir la severidad de la prdida, es decir en caso de que sta suceda, reduzca las consecuencias al mnimo, teniendo en cuenta los procesos, la gente y la tecnologa.

Control Financiero: En esta actividad se definen dos alternativas fundamentales la de retener y la de transferir el riesgo:

Retener: Consiste en proveer los medios hoy, para el estado de necesidad, que la materializacin de un riesgo pueda causar en el futuro. De acuerdo con la capacidad financiera de la organizacin, se pueden asumir los riesgos que se determinen despus de analizar la matriz de riesgos. Se asumen generalmente los riesgos de baja probabilidad de ocurrencia y baja severidad (riesgos no catastrficos).

Uno de los mecanismos que se pueden definir en la empresa o en el proyecto para tratar los riesgos que se consideren, se pueden asumir el fondo en reservar de dinero para anticiparse a las consecuencias de una prdida que se podra generar al materializarse el riesgo asumido y previamente calculado su posible costo.

Transferir: Es el traslado del riesgo a una compaa aseguradora mediante el pago de una prima. (Contrato de seguro). Consiste tambin en la transferencia contractual de los riesgos a los contratistas y subcontratistas de la organizacin o de los que interviene en el desarrollo del proyecto.

Anlisis de resultados: Cualquier proceso requiere de una retroalimentacin, para mantenerse en el tiempo y hacerse flexible ante los mltiples y vertiginosos cambios que se viven en las organizaciones y con mayor razn en los proyectos y especialmente en los de tecnologa de informacin.

115 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

Cuando ocurren cambios en el proyecto, es ciclo bsico de identificacin, evaluacin, anlisis y valoracin de riesgos se repite. Es importante comprender que incluso el anlisis ms profundo y completo no puede identificar todos los riesgos y probabilidades correctamente se requiere un control y una iteracin. Los riesgos son dinmicos y deben ser monitoreados permanentemente

116 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

5.8. RECOMENDACIONES.

La metodologa aqu definida y documentada se convierte en una herramienta clave para las empresas desarrolladoras de software de la ciudad de san Miguel. Porque a travs de su utilizacin y aplicacin le facilita identificar, evaluar, controlar y valorar los riesgos de en proyectos informticos que emprenda la compaa, mejorando la gestin con el fin de disminuir el impacto de la tecnologa en los costos, recursos y el tiempo al entrar en produccin.

La aplicacin de esta metodologa, deber realizarse en todas las etapas de los proyectos informticos, hacindola extensiva a que la empresa en adelante pueda emplearla en cada aspecto especfico.

El plan cubre una gama de aspectos ticos, econmicos, administrativos y tecnolgicos que le permitirn al administrador o especialistas en informtica (programadores) tener un dominio integral sobre cada aspecto de la ejecucin del proyecto garantizando su continuidad.

117 | P g i n a

PLAN DE VALORACIN DE RIESGO.

2009

5.9. CONCLUSIONES.

Para definir la metodologa de anlisis y valoracin de riesgos en proyectos informticos se tuvo en cuenta las tres dimensiones fundamentales que componen una organizacin informtica a nivel mundial: Los procesos la gente y la tecnologa, sin olvidar que la parte ms importante es la gente, la que hace que los procesos y la tecnologa funcionen.

Desde los comienzos de la computacin, los recursos informticos incluyendo la informacin, han estado expuestos a una serie de peligros o riesgos que han aumentado y evolucionado

Proteger los activos ms valiosos de las empresas frente a posibles amenazas que ofrece permanentemente el medio, es un gran desafo. Este inters crece aun ms cuando la informacin cobra importancia para sobrevivir frente a la competencia y permanecer en el mercado.

118 | P g i n a

You might also like