SlideShare ist ein Scribd-Unternehmen logo

Riesgos 2012

X
xhagix
Technologie
1 von 69
Downloaden Sie, um offline zu lesen
Gestión de Riesgos
…¿ Que debo proteger y de que me debo de proteger? …¿ Esto es un riesgo o es una amenaza? …¿ Como nos preparamos para eventos no deseados? …¿Como minimizamos el impacto si el evento se materializa? …¿ Cual es el nivel de riego que estamos dispuestos a aceptar ? …¿ A que aplicamos los controles? A la vulnerabilidad, a la amenaza, a ambos.
Marcos de Referencia ISO/DIS 31000 IEC/DIS 31010 BS 31100 ISO/IEC 27005 ITGI- Risk IT Framework Basilea II Octave NIST SP 800-30 AS/NZ 4360 Magerit BS 7799-3 Microsoft – SRMG CRAM M_o_R
Gestión del Riesgo El Riesgo es la probabilidad de que un incidente o transacción ocasione pérdidas financieras o daños patrimoniales a la organización, su personal, sus activos o su reputación en general obstaculizando el logro de los objetivos estratégicos, operativos y financieros de la organización. Aplicación sistemática de controles • Administrativos • Técnicos • Físicos que permita minimizar el riesgo a un nivel aceptable. La Gestión del Riesgo es una función fundamental y vital de la Seguridad de Información
El Riesgo es una característica de la vida del negocio y debido a que resulta impráctico y poco económico eliminar los riesgos, cada organización tiene un nivel de Riesgo Aceptable
Riesgo Aceptable Para la aceptación definitiva de los riesgos la organización debe tener en cuenta: • La política organizacional • Sensibilidad y criticidad de los activos involucrados • Niveles aceptables de los posibles impactos • Rentabilidad de la implementación • Apetito del riesgo
Términos Comunes •Amenaza •Vulnerabilidad •Impacto •Apetito del Riesgo •Control •Respuesta al Riesgo •Probabilidad •Riesgo Inherente •Riesgo Residual •Valuación •Clasificación de Activos •Información Crítica •Información Sensible
Categorías de Riesgos Operativos • Riesgo ambiental operativo y de instalaciones • Riesgo de salud y seguridad • Riesgo de seguridad de información • Riesgo de marco de control • Riesgo legal y de incumplimiento regulatorio • Riesgo de gobierno corporativo • Riesgo reputacional o imagen • Riesgo estratégico • Riesgo de procesamiento y desempeño
Categorías de Riesgos Operativos • Riesgo Tecnológico • Riesgo de administración de proyectos • Riesgo de actos ilícitos o delictivos • Riesgo de recursos humanos • Riesgo de proveedores • Riesgo de información gerencial • Riesgo de ética • Riesgo Geopolítico • Riesgo Cultural • Riesgo Climático
Metodologías de Evaluación del Riesgo Método Cuantitativo (Objetivo): Basado en el impacto material, monetario e inmediato. Método Cuantitativo = Costo Monetario del Riesgo Método Cualitativo (Subjetivo): Basado en el criterio y raciocinio humano capaz de definir un proceso de trabajo para evaluar los riesgos en base a la experiencia del proceso del negocio.
Ventajas de los Métodos de Evaluación del Riesgo Cuantitativo/Objetivo • Enfoca el análisis mediante el uso de números • Facilita la comparación de vulnerabilidades muy distintas • Proporciona una cifra “justificante” para cada control. Cualitativo/Subjetivo • Enfoca lo amplio que se desee • Plan de trabajo flexible y reactivo • Se concentra en la identificación de eventos • Incluye valores intangibles
Desventajas de los Métodos de Evaluación del Riesgo Cuantitativo/Objetivo •Cálculos complejos •Estimación de las pérdidas sólo si son valores justificables. •Difíciles de mantener o modificar Cualitativo/Subjetivo •La evaluación es un proceso subjetivo •Depende fuertemente de la habilidad y calidad del personal involucrado. •Puede existir riesgos significantes desconocidos.
Proceso de Gestión del Riesgo Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar
Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar ESTABLECER EL CONTEXTO
Establecer el contexto Esto se desarrolla dentro de la estructura del contexto estratégico, organizacional y de administración de riesgos de una organización. El contexto Estratégico: Relación entre la organización y su entorno, identificando el FODA de la empresa, incluye aspectos financieros, operativos, políticos, sociales, culturales y legales. Debería existir una relación cercana entre la misión u objetivos estratégicos de la organización y la gestión de los riesgos a los cuales esta expuesta El contexto Organizacional: Es necesario comprender la organización y sus capacidades, así como sus metas y objetivos, y las estrategias a lograr. El Contexto de la Administración de Riesgos: Establecer la meta, objetivos, estrategias, alcance, y parámetros de la actividad o parte de la organización a la cual se esta aplicando el proceso de gestión de riesgos.
Establecer el contexto Desarrollar Criterios: Contra los cuales se va a evaluar el riesgo, las decisiones concernientes a aceptabilidad de riesgos y tratamiento de riesgos, estos pueden basarse en criterios operativos, técnicos, financieros, legales, sociales, etc. Definir la Estructura: Separar la actividad o proyecto en un conjunto de elementos, estos proveen una estructura lógica para identificación y análisis lo cual ayuda a asegurar que no se pasen por alto los riesgos significativos. Esta estructura va depender de la naturaleza del riesgo y del alcance del proyecto o actividad.
Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar Identificar los Riesgos
Identificación de riesgos Representa una etapa crítica la Identificación por lo tanto se necesita de un proceso sistemático bien estructurado, porque los riesgos potenciales que no se identifiquen en esta etapa son excluidos de un análisis posterior. ¿Qué puede suceder? Desarrollar una lista amplia de eventos que podrían afectar a cada elemento de la estructura definida. ¿ Como puede suceder? Se considera causas y escenarios posibles Herramientas y Técnicas: Incluyen checklists, juicios expertos, registros, diagrama de flujo, análisis de sistemas, de escenarios, tormentas de ideas, etc.
Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar Analizar los Riesgos
Análisis de riesgos El análisis de riesgo involucra prestar consideración a las fuentes de riesgos, sus amenazas, consecuencias y probabilidades de ocurrencia. Se analiza el riesgo combinando estimaciones de consecuencias, amenazas y probabilidades en el contexto de las medidas de control existente. Determinar los controles existentes: Identificar la administración, sistemas técnicos y procedimientos existentes para controlar los riesgos y evaluar sus fortalezas y debilidades. Consecuencias y Probabilidades: La magnitud de las consecuencias de un evento, si el mismo ocurriera, y la probabilidad del evento y sus consecuencias, se evalúan en el contexto de los controles existentes. Las consecuencias y probabilidades se combinan para entregar un nivel de riesgo.
Análisis de Riesgos DETERMINACION IDENTIFICACION IDENTIFICACION DETERMINACION VALORACION DEL ANALISIS DE DE DE DE DEL ENTORNO IMPACTO AMENAZAS VULNERABILIDAD PROBABILIDAD RIESGO ACTUAL
DETERMINACION DEL ENTORNO ACTUAL Determinación del Entorno Actual • Identificación de los Procesos críticos y sensibles de la empresa • Identificación de los activos de la Información y de Tecnología de la información (Hardware, Software, Aplicaciones, etc.). • Identificación del Personal usuario y técnico • Identificación de procedimientos políticas y controles existentes • Clasificación de los activos.
DETERMINACION DEL ENTORNO ACTUAL Determinación del Entorno Actual Técnicas de Extracción de Información • Cuestionarios/Plantillas: Preguntas para recolectar información • Entrevistas: Personal responsable • Revisión de documentos
IDENTIFICACION Identificación de Amenazas DE AMENAZAS • Identificar las fuentes de amenazas • Evaluaciones e informes anteriores • Revisión de bases de datos de fuentes de agencias especializadas. • Identificar las amenazas accidentales e intencionales Fuentes de amenazas comunes: • Naturales • Humanas • Ambientales Motivación: Componente potencial de la amenaza humana, esto hace del personal descontento, ex empleados, clientes insatisfechos, etc.
IDENTIFICACION DE AMENAZAS Identificación de Amenazas Tipos comunes de amenazas: • Errores • Accidentes • Daño/Ataque malicioso • Incidentes/Fenómenos naturales • Fraude • Robo • Falla en quipo/Software • Pérdida de servicios • Fuga de información • Sabotaje • Terrorismo
IDENTIFICACION DE AMENAZAS Identificación de Amenazas Resultado Relación de Amenazas potenciales por cada recurso particular, indicando su naturaleza, características, etc.
IDENTIFICACION DE VULNERABILIDAD Identificación de Vulnerabilidades • Revisión de Informes de auditoria • Resultados de pruebas de seguridad • Inspecciones físicas • Revisión de información y boletines que envían los fabricantes de HW y SW de tecnología
IDENTIFICACION DE VULNERABILIDAD Identificación de Vulnerabilidades Técnicas de Extracción • Herramientas de Escaneo de Vulnerabilidades automatizadas • Ethical Hacking • Test de control de calidad (scripts, checklist, procedimientos, etc)
IDENTIFICACION DE VULNERABILIDAD Identificación de Vulnerabilidades Tipos comunes de vulnerabilidades: • Software defectuoso • Equipo configurado en forma inapropiada • Cumplimiento forzoso inadecuado • Diseño deficiente de redes • Procesos defectuosos o incontrolados • Administración inadecuada • Personal insuficiente • Falta de conocimiento • Falta de mantenimiento • Tecnología no probada • Falta de redundancia • Transmisiones de comunicaciones no protegidas • Comunicaciones gerenciales deficientes
IDENTIFICACION DE VULNERABILIDAD Identificación de Vulnerabilidades Resultado • Lista de potenciales vulnerabilidades por activo evaluado • Valoración relativa de cada activo respecto a su vulnerabilidad. Las amenazas y vulnerabilidades que no pueden causar un impacto son irrelevantes
DETERMINACION DE PROBABILIDAD Determinación de Probabilidad Determinación de los valores de la probabilidad por activo- amenaza, considerar en la determinación los controles existentes. PROBABILIDAD DEFINICIONES Insignificante Improbable de ocurrir Muy bajo Posible de ocurrir dos/tres veces cada 5 años Bajo Posible de ocurrir cada año o menos Medio Posible de ocurrir cada 6 meses o menos Alto Posible de ocurrir una vez al mes o menos Muy alto Posible de ocurrir muchas veces en un mes o menos Extremo Posible de ocurrir múltiples veces en un día
DETERMINACION DE PROBABILIDAD Determinación de Probabilidad Resultado Listado de activos valorados respecto a su amenaza y probabilidad de ocurrencia
ANALISIS DE Análisis de Impacto IMPACTO • Participación de los propietarios de la Información • Medición efectuada en términos financieros • Evaluación en base a la pérdida de las características de la seguridad. (Disponibilidad, Integridad y Confidencialidad) • Menor: No afecta la operatividad del negocio • Significativo: Impacto o daño tangible, se requieren de gasto de recursos para reparar. • Daño: Impacta a la imagen, pérdidas de la confidencialidad, se requiere un gasto significativo de recursos para repararlo • Serio: Impacta al negocio interrumpiendo parcial o total la operatividad. Puede afectar el compromiso de información o servicio.
ANALISIS DE Análisis de Impacto IMPACTO Ejemplos de impacto expresados en pérdidas financieras: • Pérdida directa de dinero (efectivo o crédito) • Responsabilidad penal o civil • Pérdida de reputación/buen nombre • Reducción en el valor de las acciones • Poner en peligro al personal o a los clientes • Violaciones de la confidencialidad • Pérdida de oportunidades de negocio • Reducción en el desempeño/eficiencia operativos • Interrupción de las actividades de negocio
ANALISIS DE Análisis de Impacto IMPACTO Resultado • Listado de la valoración de los activos. •Cuantificación del impacto financiero. El Impacto es el elemento fundamental para la Gestión de Riesgos
VALORACION DEL RIESGO Valoración del Riesgo • Magnitud del impacto • Determinación de los riesgos debilidad / amenaza • Probabilidad de que explote una amenaza • Extremo: Requiere de acción inmediata • Alto: Requiere de la atención de la Dirección • Moderado: Requiere la asignación de responsabilidades a la Gerencia • Bajo: Requiere la administración de procedimientos de rutina
VALORACION DEL RIESGO Valoración del Riesgo VR = V x P x I - P: Probabilidad - VR: Valor del Riesgo - I : Impacto - V: Vulnerabilidad Cuando el VR es calculado utilizando el impacto en términos económicos, el VR es la pérdida económica probabilística.
Matrices de Riesgo ACTIVOS AMENAZA PROBABILIDAD IMPACTO RIESGO Base de Datos de Cobranzas Fraude Muy Alta Seria Extremo Base de Datos de Incumplimiento Finanzas legales Alta Significativa Alto Base de Datos de Fuga de Marketing información Medio Menor Bajo
Matrices de Riesgo Activo Amenaza Proceso Vulnerabilidad Probabilidad Impacto Valor del Riesgo Base de Datos Finanzas Fraude Negociaciones 0,2 0,01 100000 200 Base de Datos Marketing Robo Fidelizacion de Clientes 0,1 0,01 50000 50
Matrices de Riesgo IMPACTO BAJO MEDIO ALTO OBABILIDAD 3 6 9 ALTO 2 5 8 MEDIO PR 1 4 7 BAJO
PROBABILIDAD Matrices de Riesgo 15 30 60 ALTA 3 Zona de Riesgo Moderado Zona de Riesgo Importante Zona de Riesgo Inaceptable 10 20 40 MEDIA 2 Zona de Riesgo Tolerable Zona de Riesgo Moderado Zona de Riesgo Importante 5 10 20 BAJA 1 Zona de Riesgo Aceptable Zona de Riesgo Tolerable Zona de Riesgo Moderado 5 10 20 LEVE MODERADO CATASTROFICO IMPACTO
PROBABILIDAD Matrices de Riesgo Casi Cierto 5 5 - 20% 10 - 40% 15 - 60% 20 - 80% 25 - 100% Probable 4 4 - 16% 8 - 32% 12 - 48% 16 - 64% 20 - 80% Posible 3 3 - 12% 6 - 24% 9 - 36% 12 - 48% 15 - 60% Improbable 2 2 - 8% 4 - 16% 6 - 24% 8 - 32% 10 - 40% Raro 1 1 - 4% 2 - 8% 3 - 12% 4 - 16% 5 - 20% Insignificante Menor Moderada Mayor Catastrófico 1 2 3 4 5 IMPACTO
Matrices de Riesgo ZONA DE RIESGO Valor RIESGO EXTREMO Se requiere de acciones inmediatas Entre 51% - 100% RIESGO ALTO Se requiere de acciones a corto plazo Entre 31% - 50% RIESGO MODERADO Se requiere de acciones a mediano plazo Entre 16% - 30% RIESGO BAJO Se requiere de acciones a largo plazo Entre 1% - 15%
Otras fórmulas de Análisis de Riesgos Conceptos Factor de Exposición (EF): Porcentaje de pérdida o impacto causada por una amenaza. Este valor es necesario para el cálculo del SLE 0% < EF < 100 % Expectativa de pérdida individual (SLE).- Es el valor monetario perdido por la ocurrencia de evento. SLE = Valor del activo ($) * EF
Fórmulas de Análisis de Riesgos Conceptos (Cont…) Tasa de Ocurrencia Anual (ARO).- Representa la frecuencia en el cual un evento ocurre dentro del periodo de un año. El ARO es considerado como cantidad o probabilidad (según el análisis) Expectativa de Pérdida Anualizada (ALE): Representa la pérdida anual producida por una amenaza individual. ALE = SLE * ARO Ejemplo Amenaza Valor del Activo x FE = SLE x ARO = ALE Fuego $ 1.0 M x 0.5 = $ 500,000 x 0.1 = $ 50,000 Robo $ 1.0 M x 0.00005 = $ 50 x 1000 = $ 50,000
Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar Evaluar los Riesgos
Evaluación de Riesgos Involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecido previamente. El resultado de la evaluación es una lista priorizada para una acción superior y se considera para ello los objetivos del negocio y el grado de oportunidad que podría resultar de tomar el riesgo. Los riesgos resultantes que caen dentro de las categorías de riesgos bajos y aceptables pueden ser aceptados con un tratamiento futuro mínimo pero deben ser monitoreados y revisados periódicamente para asegurar su aceptabilidad. Los riesgos que no caen dentro de la categoría de riesgos bajos o aceptables deberán ser tratados para controlarlos.
Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar Tratar los Riesgos
Tratar los Riesgo Riesgo Evaluado y Priorizado ¿Riesgo SI Aceptable? Aceptable Comunicar y Consultar Monitorear y Revisar NO Mitigar Transferir Evitar Selección de Estrategia y Elaboración del Plan de Tratamiento de Riesgo Ejecución del Plan de Tratamiento del Riesgo NO SI ¿Riesgo Aceptable? Aceptable
CONTROLES “Políticas, procedimientos, prácticas y estructuras organizacionales que están diseñados para brindar una confianza razonable de que se alcanzarán los objetivos del negocio y que se evitarán, detectarán y corregirán los incidentes” Controles Controles Controles Administrativos Técnicos Físicos Políticas, estándares, Controles de acceso Protección de las procedimientos, Lógico, Encriptación, Facilidades, guardias guías, selección de Dispositivos de seguridad, de seguridad, cerraduras, Personal, Identificación y Control ambiental, Entrenamiento y Autenticación Detección de Intrusos Educación de Seguridad Controles Físicos Controles Técnicos Los controles deben ser Controles Administrativos seleccionados basados en Activos, Información el costo de de la Organización implementación, el costo de riesgo reducido y la pérdida potencial si un incidente de seguridad ocurre
Los Controles pueden ser: • Disuasivos: Para reducir la probabilidad de las amenazas o la susceptibilidad a estas a través de una variedad de medios para reducir el riesgo • Preventivos: Para reducir las vulnerabilidades y hacer que un ataque no tenga éxito o reducir el impacto que tendría. • Correctivos: Reduce el impacto • Detección: Identifica ataques o investigaciones que conduzcan a un ataque o que desencadenen controles preventivos
Tratar los riesgos Involucra identificar la Estrategia acorde para tratar los riesgos, evaluar las opciones dentro de ellas, elaborar los planes para el tratamiento de los riesgos y ejecutarlos. Identificación de Estrategias para el tratamiento de los riesgos – Evitar el riesgo – Mitigar los riesgos – Transferir los riesgos – Retener o Aceptar los riesgos
Tratar los riesgos Evaluación de opciones de tratamiento de los riesgos Esta son evaluadas sobre la base del alcance de la reducción del riesgo, pueden considerarse y aplicarse una cantidad de opciones individual o combinada. Siempre se considera los costos y beneficios de implementar cada opción. Cuando el costo acumulado de implementación de todos los tratamientos de riesgos excede el presupuesto disponible, el plan debería identificar claramente el orden de prioridad bajo el cual deberían implementarse. Las opciones de tratamiento de los riesgos deberían considerar como es percibido el riesgo por las partes afectadas y las formas mas apropiadas de comunicárselo a dichas partes. (Anexos A,B,C,D)
Tratar los riesgos Elaborar Planes de Tratamiento del Riesgo Estos van a documentar como deben ser implementadas las opciones seleccionadas. Este plan identifica las responsabilidades, el programa, los resultados esperados, el presupuesto, las medidas de desempeño y el proceso de revisión a establecer. Debe incluir los mecanismos para evaluar la implementación de las opciones contra criterios de desempeño, las responsabilidades individuales y otros objetivos. Ejecutar Planes de tratamiento del Riesgo Este debe ser administrada por aquellas personas con mejor posibilidad de controlar los riesgos. El éxito del Plan de tratamiento del riesgo requiere un sistema efectivo de administración que especifique los métodos seleccionados, asigne responsabilidades y compromisos. Se deberá decidir si se retiene o repite el proceso de tratamiento con los riesgos residuales.
Selección de Controles (Anexo A) • Selección según nivel de riesgo evaluado y el orden de importancia. • Análisis costo/beneficio • Capacidad de implantar las medidas de mitigación •Selección de controles mas efectivos y eficientes. •Participación de las unidades afectadas
Controles para reducir la Probabilidad (Anexo B) – Programas de auditoria y cumplimiento – Condiciones contractuales – Revisiones formales de requerimientos, especificaciones, diseño, ingeniería y operaciones – Inspecciones y controles de procesos – A}dministración de inversiones y carteras – Mantenimiento preventivo – Aseguramiento de calidad, administración y estándares – Investigación y desarrollo, desarrollo tecnológico – Supervisión – Capacitación estructurada y otros programas – Comprobaciones – Acuerdos organizacionales – Controles técnicos
Controles para reducir el Impacto (Anexo C) – Planeamiento de contingencia – Arreglos contractuales – Condiciones contractuales – Características de diseño – Planes de recuperación de desastres – Planeamiento de control de fraudes – Minimizar la exposición a fuentes de riesgo – Planeamiento de cartera – Política y control de precios – Separación o reubicación de una actividad y recursos – Relaciones públicas – Otros.
Costo de Controles (Anexo D) Se debe considerar el TCO para el ciclo de vida total del control o contramedidas: • Costos por adquisición, si los hubiere • Costos por utilización e implementación • Costos por mantenimiento y soporte • Costo de Licencias • Costos de prueba y evaluación • Monitoreo y exigibilidad del cumplimiento • Inconvenientes para los usuarios • Costo por actualizaciones • Capacitación sobre nuevos procedimientos • Capacitación en tecnologías que sean aplicables (TCO: Total Cost of Ownership)
Riesgo Residual CONTROLES RIESGO + CONTROLES = IMPLEMENTADOS EVALUADO APROBADOS RIESGO RESIDUAL Luego de la implementación de los controles queda un riesgo residual debido a que en la práctica no hay retorno sin riesgo y los controles no lo eliminan totalmente por diversos factores, entre ellos el equilibrio costo/beneficio.
Riesgo Aceptable Para la aceptación definitiva de los riesgos la organización debe tener en cuenta: • La política organizacional • Sensibilidad y criticidad de los activos involucrados • Niveles aceptables de los posibles impactos • Rentabilidad de la implementación
Matriz de Controles
Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar Monitorear y Revisar
Monitorear y Revisar Es necesario monitorear los riesgos, la efectividad del plan de tratamiento de los riesgos, las estrategias y el sistema de administración que se establece para controlar la implementación. Los riesgos y los controles implementados necesitan ser monitoreados para asegurar que las circunstancias cambiantes no alteren las prioridades de los riesgos. La Revisión es esencial para asegurar que el plan de administración se mantiene relevante y vigente. Esta actividad es una parte integral del plan de tratamiento de la administración de riesgos.
Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar Comunicar y Consultar
Comunicar y Consultar Consideración importante en cada paso del proceso de la gestión de riesgos. Es importante desarrollar un plan de comunicación con los interesados internos y externos en la etapa mas temprana del proceso. La comunicación y consulta involucra un diálogo en ambas direcciones entre los interesados. Las percepciones de los riesgos pueden variar debido a diferencias en los supuestos, conceptos, necesidades, aspectos y preocupaciones de los interesados. Los interesados probablemente harán juicios de aceptabilidad de los riesgos basados en su percepción de los mismos. Dado que los intereses pueden tener un impacto significativo en las decisiones tomadas, es importante que sus percepciones de los riegos, así como, sus percepciones de los beneficios, sean identificadas y documentadas y las razones subyacentes para las mismas comprendidas y tenida en cuenta.
Documentación Es necesario documentar cada etapa del proceso de gestión de riesgos y deben incluir los supuestos, los métodos, las fuentes de datos y los resultados Razones para la documentación: – Demostrar que el proceso es conducido apropiadamente – Proveer evidencia de un enfoque sistemático de identificación y análisis de riesgos – Proveer un registro de los riesgos y desarrollar la base de datos de conocimiento de la organización – Proveer a los tomadores de decisión relevantes, de un plan de gestión de riesgos para aprobación y subsiguiente implementación – Facilitar el continuo monitoreo y revisión – Proveer una pista de auditoria – Compartir y comunicar información
Documentación de la Gestión del Riesgo Documentación mínima necesaria para la gestión de la riesgo: 1. Un registro de riesgo – para cada riesgo identificado, contiene: - Fuente y naturaleza del riesgo - Controles existentes 2. Consecuencia y probabilidad - Pérdida de ingresos, gastos inesperados - Riesgo legal (de incumplimiento regulatorio y contractual) - Procesos Interdependientes - Clasificación inicial del riesgo 3. Plan de acción y Mitigación de riesgos, que proporcione: - Responsabilidad de implementar el plan - Recursos que se van a utilizar y asignación del presupuesto - Frecuencia de cumplimiento - Detalle de mecanismos/medidas de control
Documentación de la Gestión del Riesgo 4. Documentos de Auditoria y Monitoreo que incluyan: - Resultado de auditorias/revisiones y otros procedimientos de monitoreo - Seguimiento de las recomendaciones de la revisión y el estado de su implementación
Software para la Gestión de Riesgos

Empfohlen

ISO 31000 2018 Gestion de Riesgos
ISO 31000 2018 Gestion de RiesgosISO 31000 2018 Gestion de Riesgos
ISO 31000 2018 Gestion de RiesgosPrimala Sistema de Gestion
 
Analisis de riesgos
Analisis de riesgosAnalisis de riesgos
Analisis de riesgoslissethcespedes19
 
Principios operación grúas plumas parte 2
Principios operación grúas plumas parte 2Principios operación grúas plumas parte 2
Principios operación grúas plumas parte 2Crane Care Chile
 
Seguridad en izaje de cargas
Seguridad en izaje de cargasSeguridad en izaje de cargas
Seguridad en izaje de cargasCristian Felipe Suarez Morea
 
Infografía Equipos de Protección Personal
Infografía Equipos de Protección PersonalInfografía Equipos de Protección Personal
Infografía Equipos de Protección PersonalfranklinMontesino
 
Amoladoras
AmoladorasAmoladoras
Amoladorasyuly sebastian flores
 
ISO 31000:2009 GESTION DE RIESGO
ISO 31000:2009 GESTION DE RIESGOISO 31000:2009 GESTION DE RIESGO
ISO 31000:2009 GESTION DE RIESGOWarwick Fabrics (Australia) Pty. Ltd.
 
Factor psicosocial liderazgo en el trabajo desde una perspectiva teorica
Factor psicosocial liderazgo en el trabajo desde una perspectiva teorica Factor psicosocial liderazgo en el trabajo desde una perspectiva teorica
Factor psicosocial liderazgo en el trabajo desde una perspectiva teorica Prevencionar
 

Empfohlen

ISO 31000 2018 Gestion de Riesgos
ISO 31000 2018 Gestion de RiesgosISO 31000 2018 Gestion de Riesgos
ISO 31000 2018 Gestion de RiesgosPrimala Sistema de Gestion
 
Analisis de riesgos
Analisis de riesgosAnalisis de riesgos
Analisis de riesgoslissethcespedes19
 
Principios operación grúas plumas parte 2
Principios operación grúas plumas parte 2Principios operación grúas plumas parte 2
Principios operación grúas plumas parte 2Crane Care Chile
 
Seguridad en izaje de cargas
Seguridad en izaje de cargasSeguridad en izaje de cargas
Seguridad en izaje de cargasCristian Felipe Suarez Morea
 
Infografía Equipos de Protección Personal
Infografía Equipos de Protección PersonalInfografía Equipos de Protección Personal
Infografía Equipos de Protección PersonalfranklinMontesino
 
Amoladoras
AmoladorasAmoladoras
Amoladorasyuly sebastian flores
 
ISO 31000:2009 GESTION DE RIESGO
ISO 31000:2009 GESTION DE RIESGOISO 31000:2009 GESTION DE RIESGO
ISO 31000:2009 GESTION DE RIESGOWarwick Fabrics (Australia) Pty. Ltd.
 
Factor psicosocial liderazgo en el trabajo desde una perspectiva teorica
Factor psicosocial liderazgo en el trabajo desde una perspectiva teorica Factor psicosocial liderazgo en el trabajo desde una perspectiva teorica
Factor psicosocial liderazgo en el trabajo desde una perspectiva teorica Prevencionar
 
EVALUACIÓN DEL RIESGO. CONSEJO COLOMBIANO DE SEGURIDAD
EVALUACIÓN DEL RIESGO. CONSEJO COLOMBIANO DE SEGURIDADEVALUACIÓN DEL RIESGO. CONSEJO COLOMBIANO DE SEGURIDAD
EVALUACIÓN DEL RIESGO. CONSEJO COLOMBIANO DE SEGURIDADYohismilena
 
Guia implementacion iso45001
Guia implementacion iso45001Guia implementacion iso45001
Guia implementacion iso45001Patiño Verastegui Gutierrez
 
IDENTIFICACION Y EVALUACION DE RIESGOS
IDENTIFICACION Y EVALUACION DE RIESGOSIDENTIFICACION Y EVALUACION DE RIESGOS
IDENTIFICACION Y EVALUACION DE RIESGOSYENNYS3125
 
CAMION ALTO VACIO.pdf
CAMION ALTO VACIO.pdfCAMION ALTO VACIO.pdf
CAMION ALTO VACIO.pdfRomina Parisi V.
 
Iso estructura de alto nivel (hsl)
Iso estructura de alto nivel (hsl)Iso estructura de alto nivel (hsl)
Iso estructura de alto nivel (hsl)Primala Sistema de Gestion
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo Abby Ramirez
 
Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005ffffffffe23
 
Linea del tiempo evolucion normas iso de calidad
Linea del tiempo evolucion normas iso de calidadLinea del tiempo evolucion normas iso de calidad
Linea del tiempo evolucion normas iso de calidadGriselda Berdugo
 
Descubre la iso 31000 para la gestion de riesgos
Descubre la iso 31000 para la gestion de riesgosDescubre la iso 31000 para la gestion de riesgos
Descubre la iso 31000 para la gestion de riesgosgedpro project management experts
 
Exposición de evaluación y mapa de riesgos
Exposición de evaluación y mapa de riesgosExposición de evaluación y mapa de riesgos
Exposición de evaluación y mapa de riesgosNydiaCelis
 
si- s-19-gestion-y-control-de-desviaciones
si- s-19-gestion-y-control-de-desviacionessi- s-19-gestion-y-control-de-desviaciones
si- s-19-gestion-y-control-de-desviacionesbmelende27
 
Introduccion A La Norma Ohsas 18001
Introduccion A La Norma Ohsas 18001Introduccion A La Norma Ohsas 18001
Introduccion A La Norma Ohsas 18001Mario Charlin
 
Identificación de Peligros y Evaluación de Riesgos
Identificación de Peligros y Evaluación de RiesgosIdentificación de Peligros y Evaluación de Riesgos
Identificación de Peligros y Evaluación de RiesgosYanet Caldas
 
Formato IPER Continuo Dupont
Formato IPER Continuo DupontFormato IPER Continuo Dupont
Formato IPER Continuo DupontAntonioOviedo12
 
ISO 31000: GESTIÓN DE RIESGOS
ISO 31000: GESTIÓN DE RIESGOSISO 31000: GESTIÓN DE RIESGOS
ISO 31000: GESTIÓN DE RIESGOSJuan Carlos Bajo Albarracín
 
Charla de EPP´s
Charla de EPP´sCharla de EPP´s
Charla de EPP´sClaudio Campo
 
Decreto Supremo N° 024 2016-EM - Aprueban Reglamento de Seguridad y Salud Ocu...
Decreto Supremo N° 024 2016-EM - Aprueban Reglamento de Seguridad y Salud Ocu...Decreto Supremo N° 024 2016-EM - Aprueban Reglamento de Seguridad y Salud Ocu...
Decreto Supremo N° 024 2016-EM - Aprueban Reglamento de Seguridad y Salud Ocu...Rooswelth Gerardo Zavaleta Benites
 
SST
SSTSST
SSTSENATI
 
Grua
GruaGrua
Gruadavid galleguillos
 
Auditorias de seguridad
Auditorias de seguridadAuditorias de seguridad
Auditorias de seguridadMario Meneses
 
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICAIDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICAJhonatan Castañeda Velazquez
 
Evaluación de Riesgo
Evaluación de Riesgo Evaluación de Riesgo
Evaluación de Riesgo Modernizacion y Gobierno Digital - Gobierno de Chile
 

Weitere ähnliche Inhalte

Was ist angesagt?

EVALUACIÓN DEL RIESGO. CONSEJO COLOMBIANO DE SEGURIDAD
EVALUACIÓN DEL RIESGO. CONSEJO COLOMBIANO DE SEGURIDADEVALUACIÓN DEL RIESGO. CONSEJO COLOMBIANO DE SEGURIDAD
EVALUACIÓN DEL RIESGO. CONSEJO COLOMBIANO DE SEGURIDADYohismilena
 
IDENTIFICACION Y EVALUACION DE RIESGOS
IDENTIFICACION Y EVALUACION DE RIESGOSIDENTIFICACION Y EVALUACION DE RIESGOS
IDENTIFICACION Y EVALUACION DE RIESGOSYENNYS3125
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo Abby Ramirez
 
Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005ffffffffe23
 
Linea del tiempo evolucion normas iso de calidad
Linea del tiempo evolucion normas iso de calidadLinea del tiempo evolucion normas iso de calidad
Linea del tiempo evolucion normas iso de calidadGriselda Berdugo
 
Exposición de evaluación y mapa de riesgos
Exposición de evaluación y mapa de riesgosExposición de evaluación y mapa de riesgos
Exposición de evaluación y mapa de riesgosNydiaCelis
 
si- s-19-gestion-y-control-de-desviaciones
si- s-19-gestion-y-control-de-desviacionessi- s-19-gestion-y-control-de-desviaciones
si- s-19-gestion-y-control-de-desviacionesbmelende27
 
Introduccion A La Norma Ohsas 18001
Introduccion A La Norma Ohsas 18001Introduccion A La Norma Ohsas 18001
Introduccion A La Norma Ohsas 18001Mario Charlin
 
Identificación de Peligros y Evaluación de Riesgos
Identificación de Peligros y Evaluación de RiesgosIdentificación de Peligros y Evaluación de Riesgos
Identificación de Peligros y Evaluación de RiesgosYanet Caldas
 
Formato IPER Continuo Dupont
Formato IPER Continuo DupontFormato IPER Continuo Dupont
Formato IPER Continuo DupontAntonioOviedo12
 
Decreto Supremo N° 024 2016-EM - Aprueban Reglamento de Seguridad y Salud Ocu...
Decreto Supremo N° 024 2016-EM - Aprueban Reglamento de Seguridad y Salud Ocu...Decreto Supremo N° 024 2016-EM - Aprueban Reglamento de Seguridad y Salud Ocu...
Decreto Supremo N° 024 2016-EM - Aprueban Reglamento de Seguridad y Salud Ocu...Rooswelth Gerardo Zavaleta Benites
 
Auditorias de seguridad
Auditorias de seguridadAuditorias de seguridad
Auditorias de seguridadMario Meneses
 

Was ist angesagt? (20)

EVALUACIÓN DEL RIESGO. CONSEJO COLOMBIANO DE SEGURIDAD
EVALUACIÓN DEL RIESGO. CONSEJO COLOMBIANO DE SEGURIDADEVALUACIÓN DEL RIESGO. CONSEJO COLOMBIANO DE SEGURIDAD
EVALUACIÓN DEL RIESGO. CONSEJO COLOMBIANO DE SEGURIDAD
 
Guia implementacion iso45001
Guia implementacion iso45001Guia implementacion iso45001
Guia implementacion iso45001
 
IDENTIFICACION Y EVALUACION DE RIESGOS
IDENTIFICACION Y EVALUACION DE RIESGOSIDENTIFICACION Y EVALUACION DE RIESGOS
IDENTIFICACION Y EVALUACION DE RIESGOS
 
CAMION ALTO VACIO.pdf
CAMION ALTO VACIO.pdfCAMION ALTO VACIO.pdf
CAMION ALTO VACIO.pdf
 
Iso estructura de alto nivel (hsl)
Iso estructura de alto nivel (hsl)Iso estructura de alto nivel (hsl)
Iso estructura de alto nivel (hsl)
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo
 
Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005
 
Linea del tiempo evolucion normas iso de calidad
Linea del tiempo evolucion normas iso de calidadLinea del tiempo evolucion normas iso de calidad
Linea del tiempo evolucion normas iso de calidad
 
Descubre la iso 31000 para la gestion de riesgos
Descubre la iso 31000 para la gestion de riesgosDescubre la iso 31000 para la gestion de riesgos
Descubre la iso 31000 para la gestion de riesgos
 
Exposición de evaluación y mapa de riesgos
Exposición de evaluación y mapa de riesgosExposición de evaluación y mapa de riesgos
Exposición de evaluación y mapa de riesgos
 
si- s-19-gestion-y-control-de-desviaciones
si- s-19-gestion-y-control-de-desviacionessi- s-19-gestion-y-control-de-desviaciones
si- s-19-gestion-y-control-de-desviaciones
 
Introduccion A La Norma Ohsas 18001
Introduccion A La Norma Ohsas 18001Introduccion A La Norma Ohsas 18001
Introduccion A La Norma Ohsas 18001
 
Identificación de Peligros y Evaluación de Riesgos
Identificación de Peligros y Evaluación de RiesgosIdentificación de Peligros y Evaluación de Riesgos
Identificación de Peligros y Evaluación de Riesgos
 
Formato IPER Continuo Dupont
Formato IPER Continuo DupontFormato IPER Continuo Dupont
Formato IPER Continuo Dupont
 
ISO 31000: GESTIÓN DE RIESGOS
ISO 31000: GESTIÓN DE RIESGOSISO 31000: GESTIÓN DE RIESGOS
ISO 31000: GESTIÓN DE RIESGOS
 
Charla de EPP´s
Charla de EPP´sCharla de EPP´s
Charla de EPP´s
 
Decreto Supremo N° 024 2016-EM - Aprueban Reglamento de Seguridad y Salud Ocu...
Decreto Supremo N° 024 2016-EM - Aprueban Reglamento de Seguridad y Salud Ocu...Decreto Supremo N° 024 2016-EM - Aprueban Reglamento de Seguridad y Salud Ocu...
Decreto Supremo N° 024 2016-EM - Aprueban Reglamento de Seguridad y Salud Ocu...
 
SST
SSTSST
SST
 
Grua
GruaGrua
Grua
 
Auditorias de seguridad
Auditorias de seguridadAuditorias de seguridad
Auditorias de seguridad
 

Andere mochten auch

IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICAIDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICAJhonatan Castañeda Velazquez
 
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...Rooswelth Gerardo Zavaleta Benites
 
El entorno de la empresa
El entorno de la empresaEl entorno de la empresa
El entorno de la empresalidytazo
 
Proyecto final grupo_102058_38
Proyecto final grupo_102058_38Proyecto final grupo_102058_38
Proyecto final grupo_102058_38ronalitomejia
 
Analisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEAnalisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEYairTobon
 
Examen final diseño_de_proyectos_242
Examen final diseño_de_proyectos_242Examen final diseño_de_proyectos_242
Examen final diseño_de_proyectos_242hammettbv
 
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓNDeclaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓNAlejandra Prado
 
Por Que Nacen Las Empresas
Por Que Nacen Las EmpresasPor Que Nacen Las Empresas
Por Que Nacen Las EmpresasROBINHOOD
 
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.Paola Lovee
 
Proceso de administracion de estrategias
Proceso de administracion de estrategiasProceso de administracion de estrategias
Proceso de administracion de estrategiasalexander alticoru
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadessimondavila
 
Memorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosMemorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosAranda Software
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaCarolina Cols
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de RiesgosRamiro Cid
 
Informe sobre el analisis foda..........planeamiento estrategico
Informe sobre el analisis foda..........planeamiento estrategicoInforme sobre el analisis foda..........planeamiento estrategico
Informe sobre el analisis foda..........planeamiento estrategicoJuan Prudencio
 
Semana 2 evaluacion prueba de conocimiento preguntas sobre planificación del ...
Semana 2 evaluacion prueba de conocimiento preguntas sobre planificación del ...Semana 2 evaluacion prueba de conocimiento preguntas sobre planificación del ...
Semana 2 evaluacion prueba de conocimiento preguntas sobre planificación del ...Cristian Cardenas
 

Andere mochten auch (20)

IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICAIDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
 
Evaluación de Riesgo
Evaluación de Riesgo Evaluación de Riesgo
Evaluación de Riesgo
 
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
 
El entorno de la empresa
El entorno de la empresaEl entorno de la empresa
El entorno de la empresa
 
Tutorial 2 plagio
Tutorial 2 plagioTutorial 2 plagio
Tutorial 2 plagio
 
Proyecto final grupo_102058_38
Proyecto final grupo_102058_38Proyecto final grupo_102058_38
Proyecto final grupo_102058_38
 
Analisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEAnalisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVE
 
Examen final diseño_de_proyectos_242
Examen final diseño_de_proyectos_242Examen final diseño_de_proyectos_242
Examen final diseño_de_proyectos_242
 
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓNDeclaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
 
Por Que Nacen Las Empresas
Por Que Nacen Las EmpresasPor Que Nacen Las Empresas
Por Que Nacen Las Empresas
 
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
 
Proceso de administracion de estrategias
Proceso de administracion de estrategiasProceso de administracion de estrategias
Proceso de administracion de estrategias
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidades
 
Memorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosMemorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgos
 
Documento análisis vulnerabilidad
Documento análisis vulnerabilidadDocumento análisis vulnerabilidad
Documento análisis vulnerabilidad
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informática
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de Riesgos
 
Informe sobre el analisis foda..........planeamiento estrategico
Informe sobre el analisis foda..........planeamiento estrategicoInforme sobre el analisis foda..........planeamiento estrategico
Informe sobre el analisis foda..........planeamiento estrategico
 
Proyecto disco bar
Proyecto disco barProyecto disco bar
Proyecto disco bar
 
Semana 2 evaluacion prueba de conocimiento preguntas sobre planificación del ...
Semana 2 evaluacion prueba de conocimiento preguntas sobre planificación del ...Semana 2 evaluacion prueba de conocimiento preguntas sobre planificación del ...
Semana 2 evaluacion prueba de conocimiento preguntas sobre planificación del ...
 

Ähnlich wie Riesgos 2012

Introducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoIntroducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoMarcos Harasimowicz
 
METODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOS
METODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOSMETODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOS
METODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOSavaloslaulen
 
Clase 4 Administración del Rieso en la organizacion
Clase 4 Administración del Rieso en la organizacionClase 4 Administración del Rieso en la organizacion
Clase 4 Administración del Rieso en la organizacionAxelVargas47
 
Unidad2 adminstracion-de-riesgos...javier-gonzalez
Unidad2 adminstracion-de-riesgos...javier-gonzalezUnidad2 adminstracion-de-riesgos...javier-gonzalez
Unidad2 adminstracion-de-riesgos...javier-gonzalezezequielmejia123
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosFrancisco Medina
 
Dr.villasante
Dr.villasanteDr.villasante
Dr.villasantecefic
 
1 revisoria fiscal y gestion 2021 10 7414
1 revisoria fiscal y gestion 2021 10 74141 revisoria fiscal y gestion 2021 10 7414
1 revisoria fiscal y gestion 2021 10 7414BrayanNicols1
 
CONTROL INTERNO Y VALORACION DE RIESGOS
CONTROL INTERNO Y VALORACION DE RIESGOSCONTROL INTERNO Y VALORACION DE RIESGOS
CONTROL INTERNO Y VALORACION DE RIESGOS1001976388
 
Adminstracion Del Riesgo Cga
Adminstracion Del Riesgo CgaAdminstracion Del Riesgo Cga
Adminstracion Del Riesgo Cgafdidocar
 
Panorama de riesgos
Panorama de riesgosPanorama de riesgos
Panorama de riesgosbeautynicxy
 
Importancia de medir el riesgo operativo SEGUROS.pdf
Importancia de medir el riesgo operativo SEGUROS.pdfImportancia de medir el riesgo operativo SEGUROS.pdf
Importancia de medir el riesgo operativo SEGUROS.pdfmsotelo2
 
Criterios para establecer controles y medidas de intervension
Criterios para establecer controles y medidas de intervensionCriterios para establecer controles y medidas de intervension
Criterios para establecer controles y medidas de intervensionErnesto Cordoba
 
PERFIL, FUNCIONES Y TIPO DE DECISIONES DEL GERENTE DE RIESGOS
PERFIL, FUNCIONES Y TIPO DE DECISIONES DEL GERENTE DE RIESGOSPERFIL, FUNCIONES Y TIPO DE DECISIONES DEL GERENTE DE RIESGOS
PERFIL, FUNCIONES Y TIPO DE DECISIONES DEL GERENTE DE RIESGOSAlejandro Diaz Alva
 

Ähnlich wie Riesgos 2012 (20)

Introducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoIntroducción a la Gestión de Riesgo
Introducción a la Gestión de Riesgo
 
METODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOS
METODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOSMETODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOS
METODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOS
 
Clase 4 Administración del Rieso en la organizacion
Clase 4 Administración del Rieso en la organizacionClase 4 Administración del Rieso en la organizacion
Clase 4 Administración del Rieso en la organizacion
 
Unidad2 adminstracion-de-riesgos...javier-gonzalez
Unidad2 adminstracion-de-riesgos...javier-gonzalezUnidad2 adminstracion-de-riesgos...javier-gonzalez
Unidad2 adminstracion-de-riesgos...javier-gonzalez
 
4743467 (4).ppt
4743467 (4).ppt4743467 (4).ppt
4743467 (4).ppt
 
Taller_Análisis_Evaluación_Riesgos
Taller_Análisis_Evaluación_RiesgosTaller_Análisis_Evaluación_Riesgos
Taller_Análisis_Evaluación_Riesgos
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de Riesgos
 
Dr.villasante
Dr.villasanteDr.villasante
Dr.villasante
 
Gestion del riesgo jargu
Gestion del riesgo jarguGestion del riesgo jargu
Gestion del riesgo jargu
 
1 revisoria fiscal y gestion 2021 10 7414
1 revisoria fiscal y gestion 2021 10 74141 revisoria fiscal y gestion 2021 10 7414
1 revisoria fiscal y gestion 2021 10 7414
 
CONTROL INTERNO Y VALORACION DE RIESGOS
CONTROL INTERNO Y VALORACION DE RIESGOSCONTROL INTERNO Y VALORACION DE RIESGOS
CONTROL INTERNO Y VALORACION DE RIESGOS
 
Adminstracion Del Riesgo Cga
Adminstracion Del Riesgo CgaAdminstracion Del Riesgo Cga
Adminstracion Del Riesgo Cga
 
Panorama de riesgos
Panorama de riesgosPanorama de riesgos
Panorama de riesgos
 
Importancia de medir el riesgo operativo SEGUROS.pdf
Importancia de medir el riesgo operativo SEGUROS.pdfImportancia de medir el riesgo operativo SEGUROS.pdf
Importancia de medir el riesgo operativo SEGUROS.pdf
 
Riesgos matriz
Riesgos matrizRiesgos matriz
Riesgos matriz
 
Criterios para establecer controles y medidas de intervension
Criterios para establecer controles y medidas de intervensionCriterios para establecer controles y medidas de intervension
Criterios para establecer controles y medidas de intervension
 
Gestión de riesgos
Gestión de riesgosGestión de riesgos
Gestión de riesgos
 
Gestión de Riesgos Organizacionales
Gestión de Riesgos OrganizacionalesGestión de Riesgos Organizacionales
Gestión de Riesgos Organizacionales
 
Gtc 45
Gtc 45Gtc 45
Gtc 45
 
PERFIL, FUNCIONES Y TIPO DE DECISIONES DEL GERENTE DE RIESGOS
PERFIL, FUNCIONES Y TIPO DE DECISIONES DEL GERENTE DE RIESGOSPERFIL, FUNCIONES Y TIPO DE DECISIONES DEL GERENTE DE RIESGOS
PERFIL, FUNCIONES Y TIPO DE DECISIONES DEL GERENTE DE RIESGOS
 

Kürzlich hochgeladen

LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxMariaBurgos55
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxJOSEMANUELHERNANDEZH11
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 

Kürzlich hochgeladen (20)

LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptx
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 

Riesgos 2012

  • 2. …¿ Que debo proteger y de que me debo de proteger? …¿ Esto es un riesgo o es una amenaza? …¿ Como nos preparamos para eventos no deseados? …¿Como minimizamos el impacto si el evento se materializa? …¿ Cual es el nivel de riego que estamos dispuestos a aceptar ? …¿ A que aplicamos los controles? A la vulnerabilidad, a la amenaza, a ambos.
  • 3. Marcos de Referencia ISO/DIS 31000 IEC/DIS 31010 BS 31100 ISO/IEC 27005 ITGI- Risk IT Framework Basilea II Octave NIST SP 800-30 AS/NZ 4360 Magerit BS 7799-3 Microsoft – SRMG CRAM M_o_R
  • 4. Gestión del Riesgo El Riesgo es la probabilidad de que un incidente o transacción ocasione pérdidas financieras o daños patrimoniales a la organización, su personal, sus activos o su reputación en general obstaculizando el logro de los objetivos estratégicos, operativos y financieros de la organización. Aplicación sistemática de controles • Administrativos • Técnicos • Físicos que permita minimizar el riesgo a un nivel aceptable. La Gestión del Riesgo es una función fundamental y vital de la Seguridad de Información
  • 5. El Riesgo es una característica de la vida del negocio y debido a que resulta impráctico y poco económico eliminar los riesgos, cada organización tiene un nivel de Riesgo Aceptable
  • 6. Riesgo Aceptable Para la aceptación definitiva de los riesgos la organización debe tener en cuenta: • La política organizacional • Sensibilidad y criticidad de los activos involucrados • Niveles aceptables de los posibles impactos • Rentabilidad de la implementación • Apetito del riesgo
  • 7. Términos Comunes •Amenaza •Vulnerabilidad •Impacto •Apetito del Riesgo •Control •Respuesta al Riesgo •Probabilidad •Riesgo Inherente •Riesgo Residual •Valuación •Clasificación de Activos •Información Crítica •Información Sensible
  • 8. Categorías de Riesgos Operativos • Riesgo ambiental operativo y de instalaciones • Riesgo de salud y seguridad • Riesgo de seguridad de información • Riesgo de marco de control • Riesgo legal y de incumplimiento regulatorio • Riesgo de gobierno corporativo • Riesgo reputacional o imagen • Riesgo estratégico • Riesgo de procesamiento y desempeño
  • 9. Categorías de Riesgos Operativos • Riesgo Tecnológico • Riesgo de administración de proyectos • Riesgo de actos ilícitos o delictivos • Riesgo de recursos humanos • Riesgo de proveedores • Riesgo de información gerencial • Riesgo de ética • Riesgo Geopolítico • Riesgo Cultural • Riesgo Climático
  • 10. Metodologías de Evaluación del Riesgo Método Cuantitativo (Objetivo): Basado en el impacto material, monetario e inmediato. Método Cuantitativo = Costo Monetario del Riesgo Método Cualitativo (Subjetivo): Basado en el criterio y raciocinio humano capaz de definir un proceso de trabajo para evaluar los riesgos en base a la experiencia del proceso del negocio.
  • 11. Ventajas de los Métodos de Evaluación del Riesgo Cuantitativo/Objetivo • Enfoca el análisis mediante el uso de números • Facilita la comparación de vulnerabilidades muy distintas • Proporciona una cifra “justificante” para cada control. Cualitativo/Subjetivo • Enfoca lo amplio que se desee • Plan de trabajo flexible y reactivo • Se concentra en la identificación de eventos • Incluye valores intangibles
  • 12. Desventajas de los Métodos de Evaluación del Riesgo Cuantitativo/Objetivo •Cálculos complejos •Estimación de las pérdidas sólo si son valores justificables. •Difíciles de mantener o modificar Cualitativo/Subjetivo •La evaluación es un proceso subjetivo •Depende fuertemente de la habilidad y calidad del personal involucrado. •Puede existir riesgos significantes desconocidos.
  • 13. Proceso de Gestión del Riesgo Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar
  • 14. Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar ESTABLECER EL CONTEXTO
  • 15. Establecer el contexto Esto se desarrolla dentro de la estructura del contexto estratégico, organizacional y de administración de riesgos de una organización. El contexto Estratégico: Relación entre la organización y su entorno, identificando el FODA de la empresa, incluye aspectos financieros, operativos, políticos, sociales, culturales y legales. Debería existir una relación cercana entre la misión u objetivos estratégicos de la organización y la gestión de los riesgos a los cuales esta expuesta El contexto Organizacional: Es necesario comprender la organización y sus capacidades, así como sus metas y objetivos, y las estrategias a lograr. El Contexto de la Administración de Riesgos: Establecer la meta, objetivos, estrategias, alcance, y parámetros de la actividad o parte de la organización a la cual se esta aplicando el proceso de gestión de riesgos.
  • 16. Establecer el contexto Desarrollar Criterios: Contra los cuales se va a evaluar el riesgo, las decisiones concernientes a aceptabilidad de riesgos y tratamiento de riesgos, estos pueden basarse en criterios operativos, técnicos, financieros, legales, sociales, etc. Definir la Estructura: Separar la actividad o proyecto en un conjunto de elementos, estos proveen una estructura lógica para identificación y análisis lo cual ayuda a asegurar que no se pasen por alto los riesgos significativos. Esta estructura va depender de la naturaleza del riesgo y del alcance del proyecto o actividad.
  • 17. Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar Identificar los Riesgos
  • 18. Identificación de riesgos Representa una etapa crítica la Identificación por lo tanto se necesita de un proceso sistemático bien estructurado, porque los riesgos potenciales que no se identifiquen en esta etapa son excluidos de un análisis posterior. ¿Qué puede suceder? Desarrollar una lista amplia de eventos que podrían afectar a cada elemento de la estructura definida. ¿ Como puede suceder? Se considera causas y escenarios posibles Herramientas y Técnicas: Incluyen checklists, juicios expertos, registros, diagrama de flujo, análisis de sistemas, de escenarios, tormentas de ideas, etc.
  • 19. Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar Analizar los Riesgos
  • 20. Análisis de riesgos El análisis de riesgo involucra prestar consideración a las fuentes de riesgos, sus amenazas, consecuencias y probabilidades de ocurrencia. Se analiza el riesgo combinando estimaciones de consecuencias, amenazas y probabilidades en el contexto de las medidas de control existente. Determinar los controles existentes: Identificar la administración, sistemas técnicos y procedimientos existentes para controlar los riesgos y evaluar sus fortalezas y debilidades. Consecuencias y Probabilidades: La magnitud de las consecuencias de un evento, si el mismo ocurriera, y la probabilidad del evento y sus consecuencias, se evalúan en el contexto de los controles existentes. Las consecuencias y probabilidades se combinan para entregar un nivel de riesgo.
  • 21. Análisis de Riesgos DETERMINACION IDENTIFICACION IDENTIFICACION DETERMINACION VALORACION DEL ANALISIS DE DE DE DE DEL ENTORNO IMPACTO AMENAZAS VULNERABILIDAD PROBABILIDAD RIESGO ACTUAL
  • 22. DETERMINACION DEL ENTORNO ACTUAL Determinación del Entorno Actual • Identificación de los Procesos críticos y sensibles de la empresa • Identificación de los activos de la Información y de Tecnología de la información (Hardware, Software, Aplicaciones, etc.). • Identificación del Personal usuario y técnico • Identificación de procedimientos políticas y controles existentes • Clasificación de los activos.
  • 23. DETERMINACION DEL ENTORNO ACTUAL Determinación del Entorno Actual Técnicas de Extracción de Información • Cuestionarios/Plantillas: Preguntas para recolectar información • Entrevistas: Personal responsable • Revisión de documentos
  • 24. IDENTIFICACION Identificación de Amenazas DE AMENAZAS • Identificar las fuentes de amenazas • Evaluaciones e informes anteriores • Revisión de bases de datos de fuentes de agencias especializadas. • Identificar las amenazas accidentales e intencionales Fuentes de amenazas comunes: • Naturales • Humanas • Ambientales Motivación: Componente potencial de la amenaza humana, esto hace del personal descontento, ex empleados, clientes insatisfechos, etc.
  • 25. IDENTIFICACION DE AMENAZAS Identificación de Amenazas Tipos comunes de amenazas: • Errores • Accidentes • Daño/Ataque malicioso • Incidentes/Fenómenos naturales • Fraude • Robo • Falla en quipo/Software • Pérdida de servicios • Fuga de información • Sabotaje • Terrorismo
  • 26. IDENTIFICACION DE AMENAZAS Identificación de Amenazas Resultado Relación de Amenazas potenciales por cada recurso particular, indicando su naturaleza, características, etc.
  • 27. IDENTIFICACION DE VULNERABILIDAD Identificación de Vulnerabilidades • Revisión de Informes de auditoria • Resultados de pruebas de seguridad • Inspecciones físicas • Revisión de información y boletines que envían los fabricantes de HW y SW de tecnología
  • 28. IDENTIFICACION DE VULNERABILIDAD Identificación de Vulnerabilidades Técnicas de Extracción • Herramientas de Escaneo de Vulnerabilidades automatizadas • Ethical Hacking • Test de control de calidad (scripts, checklist, procedimientos, etc)
  • 29. IDENTIFICACION DE VULNERABILIDAD Identificación de Vulnerabilidades Tipos comunes de vulnerabilidades: • Software defectuoso • Equipo configurado en forma inapropiada • Cumplimiento forzoso inadecuado • Diseño deficiente de redes • Procesos defectuosos o incontrolados • Administración inadecuada • Personal insuficiente • Falta de conocimiento • Falta de mantenimiento • Tecnología no probada • Falta de redundancia • Transmisiones de comunicaciones no protegidas • Comunicaciones gerenciales deficientes
  • 30. IDENTIFICACION DE VULNERABILIDAD Identificación de Vulnerabilidades Resultado • Lista de potenciales vulnerabilidades por activo evaluado • Valoración relativa de cada activo respecto a su vulnerabilidad. Las amenazas y vulnerabilidades que no pueden causar un impacto son irrelevantes
  • 31. DETERMINACION DE PROBABILIDAD Determinación de Probabilidad Determinación de los valores de la probabilidad por activo- amenaza, considerar en la determinación los controles existentes. PROBABILIDAD DEFINICIONES Insignificante Improbable de ocurrir Muy bajo Posible de ocurrir dos/tres veces cada 5 años Bajo Posible de ocurrir cada año o menos Medio Posible de ocurrir cada 6 meses o menos Alto Posible de ocurrir una vez al mes o menos Muy alto Posible de ocurrir muchas veces en un mes o menos Extremo Posible de ocurrir múltiples veces en un día
  • 32. DETERMINACION DE PROBABILIDAD Determinación de Probabilidad Resultado Listado de activos valorados respecto a su amenaza y probabilidad de ocurrencia
  • 33. ANALISIS DE Análisis de Impacto IMPACTO • Participación de los propietarios de la Información • Medición efectuada en términos financieros • Evaluación en base a la pérdida de las características de la seguridad. (Disponibilidad, Integridad y Confidencialidad) • Menor: No afecta la operatividad del negocio • Significativo: Impacto o daño tangible, se requieren de gasto de recursos para reparar. • Daño: Impacta a la imagen, pérdidas de la confidencialidad, se requiere un gasto significativo de recursos para repararlo • Serio: Impacta al negocio interrumpiendo parcial o total la operatividad. Puede afectar el compromiso de información o servicio.
  • 34. ANALISIS DE Análisis de Impacto IMPACTO Ejemplos de impacto expresados en pérdidas financieras: • Pérdida directa de dinero (efectivo o crédito) • Responsabilidad penal o civil • Pérdida de reputación/buen nombre • Reducción en el valor de las acciones • Poner en peligro al personal o a los clientes • Violaciones de la confidencialidad • Pérdida de oportunidades de negocio • Reducción en el desempeño/eficiencia operativos • Interrupción de las actividades de negocio
  • 35. ANALISIS DE Análisis de Impacto IMPACTO Resultado • Listado de la valoración de los activos. •Cuantificación del impacto financiero. El Impacto es el elemento fundamental para la Gestión de Riesgos
  • 36. VALORACION DEL RIESGO Valoración del Riesgo • Magnitud del impacto • Determinación de los riesgos debilidad / amenaza • Probabilidad de que explote una amenaza • Extremo: Requiere de acción inmediata • Alto: Requiere de la atención de la Dirección • Moderado: Requiere la asignación de responsabilidades a la Gerencia • Bajo: Requiere la administración de procedimientos de rutina
  • 37. VALORACION DEL RIESGO Valoración del Riesgo VR = V x P x I - P: Probabilidad - VR: Valor del Riesgo - I : Impacto - V: Vulnerabilidad Cuando el VR es calculado utilizando el impacto en términos económicos, el VR es la pérdida económica probabilística.
  • 38. Matrices de Riesgo ACTIVOS AMENAZA PROBABILIDAD IMPACTO RIESGO Base de Datos de Cobranzas Fraude Muy Alta Seria Extremo Base de Datos de Incumplimiento Finanzas legales Alta Significativa Alto Base de Datos de Fuga de Marketing información Medio Menor Bajo
  • 39. Matrices de Riesgo Activo Amenaza Proceso Vulnerabilidad Probabilidad Impacto Valor del Riesgo Base de Datos Finanzas Fraude Negociaciones 0,2 0,01 100000 200 Base de Datos Marketing Robo Fidelizacion de Clientes 0,1 0,01 50000 50
  • 40. Matrices de Riesgo IMPACTO BAJO MEDIO ALTO OBABILIDAD 3 6 9 ALTO 2 5 8 MEDIO PR 1 4 7 BAJO
  • 41. PROBABILIDAD Matrices de Riesgo 15 30 60 ALTA 3 Zona de Riesgo Moderado Zona de Riesgo Importante Zona de Riesgo Inaceptable 10 20 40 MEDIA 2 Zona de Riesgo Tolerable Zona de Riesgo Moderado Zona de Riesgo Importante 5 10 20 BAJA 1 Zona de Riesgo Aceptable Zona de Riesgo Tolerable Zona de Riesgo Moderado 5 10 20 LEVE MODERADO CATASTROFICO IMPACTO
  • 42. PROBABILIDAD Matrices de Riesgo Casi Cierto 5 5 - 20% 10 - 40% 15 - 60% 20 - 80% 25 - 100% Probable 4 4 - 16% 8 - 32% 12 - 48% 16 - 64% 20 - 80% Posible 3 3 - 12% 6 - 24% 9 - 36% 12 - 48% 15 - 60% Improbable 2 2 - 8% 4 - 16% 6 - 24% 8 - 32% 10 - 40% Raro 1 1 - 4% 2 - 8% 3 - 12% 4 - 16% 5 - 20% Insignificante Menor Moderada Mayor Catastrófico 1 2 3 4 5 IMPACTO
  • 43. Matrices de Riesgo ZONA DE RIESGO Valor RIESGO EXTREMO Se requiere de acciones inmediatas Entre 51% - 100% RIESGO ALTO Se requiere de acciones a corto plazo Entre 31% - 50% RIESGO MODERADO Se requiere de acciones a mediano plazo Entre 16% - 30% RIESGO BAJO Se requiere de acciones a largo plazo Entre 1% - 15%
  • 44. Otras fórmulas de Análisis de Riesgos Conceptos Factor de Exposición (EF): Porcentaje de pérdida o impacto causada por una amenaza. Este valor es necesario para el cálculo del SLE 0% < EF < 100 % Expectativa de pérdida individual (SLE).- Es el valor monetario perdido por la ocurrencia de evento. SLE = Valor del activo ($) * EF
  • 45. Fórmulas de Análisis de Riesgos Conceptos (Cont…) Tasa de Ocurrencia Anual (ARO).- Representa la frecuencia en el cual un evento ocurre dentro del periodo de un año. El ARO es considerado como cantidad o probabilidad (según el análisis) Expectativa de Pérdida Anualizada (ALE): Representa la pérdida anual producida por una amenaza individual. ALE = SLE * ARO Ejemplo Amenaza Valor del Activo x FE = SLE x ARO = ALE Fuego $ 1.0 M x 0.5 = $ 500,000 x 0.1 = $ 50,000 Robo $ 1.0 M x 0.00005 = $ 50 x 1000 = $ 50,000
  • 46. Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar Evaluar los Riesgos
  • 47. Evaluación de Riesgos Involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecido previamente. El resultado de la evaluación es una lista priorizada para una acción superior y se considera para ello los objetivos del negocio y el grado de oportunidad que podría resultar de tomar el riesgo. Los riesgos resultantes que caen dentro de las categorías de riesgos bajos y aceptables pueden ser aceptados con un tratamiento futuro mínimo pero deben ser monitoreados y revisados periódicamente para asegurar su aceptabilidad. Los riesgos que no caen dentro de la categoría de riesgos bajos o aceptables deberán ser tratados para controlarlos.
  • 48. Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar Tratar los Riesgos
  • 49. Tratar los Riesgo Riesgo Evaluado y Priorizado ¿Riesgo SI Aceptable? Aceptable Comunicar y Consultar Monitorear y Revisar NO Mitigar Transferir Evitar Selección de Estrategia y Elaboración del Plan de Tratamiento de Riesgo Ejecución del Plan de Tratamiento del Riesgo NO SI ¿Riesgo Aceptable? Aceptable
  • 50. CONTROLES “Políticas, procedimientos, prácticas y estructuras organizacionales que están diseñados para brindar una confianza razonable de que se alcanzarán los objetivos del negocio y que se evitarán, detectarán y corregirán los incidentes” Controles Controles Controles Administrativos Técnicos Físicos Políticas, estándares, Controles de acceso Protección de las procedimientos, Lógico, Encriptación, Facilidades, guardias guías, selección de Dispositivos de seguridad, de seguridad, cerraduras, Personal, Identificación y Control ambiental, Entrenamiento y Autenticación Detección de Intrusos Educación de Seguridad Controles Físicos Controles Técnicos Los controles deben ser Controles Administrativos seleccionados basados en Activos, Información el costo de de la Organización implementación, el costo de riesgo reducido y la pérdida potencial si un incidente de seguridad ocurre
  • 51. Los Controles pueden ser: • Disuasivos: Para reducir la probabilidad de las amenazas o la susceptibilidad a estas a través de una variedad de medios para reducir el riesgo • Preventivos: Para reducir las vulnerabilidades y hacer que un ataque no tenga éxito o reducir el impacto que tendría. • Correctivos: Reduce el impacto • Detección: Identifica ataques o investigaciones que conduzcan a un ataque o que desencadenen controles preventivos
  • 52. Tratar los riesgos Involucra identificar la Estrategia acorde para tratar los riesgos, evaluar las opciones dentro de ellas, elaborar los planes para el tratamiento de los riesgos y ejecutarlos. Identificación de Estrategias para el tratamiento de los riesgos – Evitar el riesgo – Mitigar los riesgos – Transferir los riesgos – Retener o Aceptar los riesgos
  • 53. Tratar los riesgos Evaluación de opciones de tratamiento de los riesgos Esta son evaluadas sobre la base del alcance de la reducción del riesgo, pueden considerarse y aplicarse una cantidad de opciones individual o combinada. Siempre se considera los costos y beneficios de implementar cada opción. Cuando el costo acumulado de implementación de todos los tratamientos de riesgos excede el presupuesto disponible, el plan debería identificar claramente el orden de prioridad bajo el cual deberían implementarse. Las opciones de tratamiento de los riesgos deberían considerar como es percibido el riesgo por las partes afectadas y las formas mas apropiadas de comunicárselo a dichas partes. (Anexos A,B,C,D)
  • 54. Tratar los riesgos Elaborar Planes de Tratamiento del Riesgo Estos van a documentar como deben ser implementadas las opciones seleccionadas. Este plan identifica las responsabilidades, el programa, los resultados esperados, el presupuesto, las medidas de desempeño y el proceso de revisión a establecer. Debe incluir los mecanismos para evaluar la implementación de las opciones contra criterios de desempeño, las responsabilidades individuales y otros objetivos. Ejecutar Planes de tratamiento del Riesgo Este debe ser administrada por aquellas personas con mejor posibilidad de controlar los riesgos. El éxito del Plan de tratamiento del riesgo requiere un sistema efectivo de administración que especifique los métodos seleccionados, asigne responsabilidades y compromisos. Se deberá decidir si se retiene o repite el proceso de tratamiento con los riesgos residuales.
  • 55. Selección de Controles (Anexo A) • Selección según nivel de riesgo evaluado y el orden de importancia. • Análisis costo/beneficio • Capacidad de implantar las medidas de mitigación •Selección de controles mas efectivos y eficientes. •Participación de las unidades afectadas
  • 56. Controles para reducir la Probabilidad (Anexo B) – Programas de auditoria y cumplimiento – Condiciones contractuales – Revisiones formales de requerimientos, especificaciones, diseño, ingeniería y operaciones – Inspecciones y controles de procesos – A}dministración de inversiones y carteras – Mantenimiento preventivo – Aseguramiento de calidad, administración y estándares – Investigación y desarrollo, desarrollo tecnológico – Supervisión – Capacitación estructurada y otros programas – Comprobaciones – Acuerdos organizacionales – Controles técnicos
  • 57. Controles para reducir el Impacto (Anexo C) – Planeamiento de contingencia – Arreglos contractuales – Condiciones contractuales – Características de diseño – Planes de recuperación de desastres – Planeamiento de control de fraudes – Minimizar la exposición a fuentes de riesgo – Planeamiento de cartera – Política y control de precios – Separación o reubicación de una actividad y recursos – Relaciones públicas – Otros.
  • 58. Costo de Controles (Anexo D) Se debe considerar el TCO para el ciclo de vida total del control o contramedidas: • Costos por adquisición, si los hubiere • Costos por utilización e implementación • Costos por mantenimiento y soporte • Costo de Licencias • Costos de prueba y evaluación • Monitoreo y exigibilidad del cumplimiento • Inconvenientes para los usuarios • Costo por actualizaciones • Capacitación sobre nuevos procedimientos • Capacitación en tecnologías que sean aplicables (TCO: Total Cost of Ownership)
  • 59. Riesgo Residual CONTROLES RIESGO + CONTROLES = IMPLEMENTADOS EVALUADO APROBADOS RIESGO RESIDUAL Luego de la implementación de los controles queda un riesgo residual debido a que en la práctica no hay retorno sin riesgo y los controles no lo eliminan totalmente por diversos factores, entre ellos el equilibrio costo/beneficio.
  • 60. Riesgo Aceptable Para la aceptación definitiva de los riesgos la organización debe tener en cuenta: • La política organizacional • Sensibilidad y criticidad de los activos involucrados • Niveles aceptables de los posibles impactos • Rentabilidad de la implementación
  • 62. Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar Monitorear y Revisar
  • 63. Monitorear y Revisar Es necesario monitorear los riesgos, la efectividad del plan de tratamiento de los riesgos, las estrategias y el sistema de administración que se establece para controlar la implementación. Los riesgos y los controles implementados necesitan ser monitoreados para asegurar que las circunstancias cambiantes no alteren las prioridades de los riesgos. La Revisión es esencial para asegurar que el plan de administración se mantiene relevante y vigente. Esta actividad es una parte integral del plan de tratamiento de la administración de riesgos.
  • 64. Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar Comunicar y Consultar
  • 65. Comunicar y Consultar Consideración importante en cada paso del proceso de la gestión de riesgos. Es importante desarrollar un plan de comunicación con los interesados internos y externos en la etapa mas temprana del proceso. La comunicación y consulta involucra un diálogo en ambas direcciones entre los interesados. Las percepciones de los riesgos pueden variar debido a diferencias en los supuestos, conceptos, necesidades, aspectos y preocupaciones de los interesados. Los interesados probablemente harán juicios de aceptabilidad de los riesgos basados en su percepción de los mismos. Dado que los intereses pueden tener un impacto significativo en las decisiones tomadas, es importante que sus percepciones de los riegos, así como, sus percepciones de los beneficios, sean identificadas y documentadas y las razones subyacentes para las mismas comprendidas y tenida en cuenta.
  • 66. Documentación Es necesario documentar cada etapa del proceso de gestión de riesgos y deben incluir los supuestos, los métodos, las fuentes de datos y los resultados Razones para la documentación: – Demostrar que el proceso es conducido apropiadamente – Proveer evidencia de un enfoque sistemático de identificación y análisis de riesgos – Proveer un registro de los riesgos y desarrollar la base de datos de conocimiento de la organización – Proveer a los tomadores de decisión relevantes, de un plan de gestión de riesgos para aprobación y subsiguiente implementación – Facilitar el continuo monitoreo y revisión – Proveer una pista de auditoria – Compartir y comunicar información
  • 67. Documentación de la Gestión del Riesgo Documentación mínima necesaria para la gestión de la riesgo: 1. Un registro de riesgo – para cada riesgo identificado, contiene: - Fuente y naturaleza del riesgo - Controles existentes 2. Consecuencia y probabilidad - Pérdida de ingresos, gastos inesperados - Riesgo legal (de incumplimiento regulatorio y contractual) - Procesos Interdependientes - Clasificación inicial del riesgo 3. Plan de acción y Mitigación de riesgos, que proporcione: - Responsabilidad de implementar el plan - Recursos que se van a utilizar y asignación del presupuesto - Frecuencia de cumplimiento - Detalle de mecanismos/medidas de control
  • 68. Documentación de la Gestión del Riesgo 4. Documentos de Auditoria y Monitoreo que incluyan: - Resultado de auditorias/revisiones y otros procedimientos de monitoreo - Seguimiento de las recomendaciones de la revisión y el estado de su implementación
  • 69. Software para la Gestión de Riesgos