SlideShare ist ein Scribd-Unternehmen logo

UNEG-AS 2012-Inf2: El riesgo

Als DOCX, PDF herunterladen
U
UNEG-AS
1 von 24
El Riesgo Universidad Nacional Experimental de Guayana Vice-Rectorado Académico Departamento de Ciencia y Tecnología. Proyecto de Carrera: Ingeniería en Informática. Auditoria y Evaluación de Sistemas El Riesgo Profesor: Integrantes: Carlos Guevara Castillo HeilinC.I: 20.504.909 Espinoza Laura C.I: 20.223.056 Sarmiento Regulo C.I:19.803.811
El Riesgo Ciudad Guayana, Mayo del 2012 Índice Contenido Pág. Introducción…………………………………………………………………. 2 Objetivos General(Evento / Tema)………………………………………….. 3 Objetivos Específicos (Evento / Tema)………………………………………. 3 Especificaciones del Informe ……………………………………………….. 4,5,6,7 Contenido del Tema………………………………………………………….. 8-18 · Riesgos……………………………………………………………...... 8 · Riesgos en Auditoria………………………………………………….. 9 · Riesgo Informático……………………………………………………. 9 · Tipos de riesgos informáticos………………………………………… 10-12 · Administración de riesgos……………………………………………. 13 · Técnicas y procedimientos para administrar riesgos………………….. 13 · Evaluación de riesgos…………………………………………………… 14,15 · Gestión de riesgos………………………………………………………. 16 · Etapas de la gestión de riesgos………………………………………….. 16,17 · Metodología de la gestión de riesgos……………………………………. 18,19 Referencias bibliográficas………………………………………………………. 20 Anexos………………………………………………………………………….. 21-23 2
El Riesgo Introducción El tema del riesgodefinido como la contingencia de un daño, ha venido ganando popularidad en los años recientes, debido al desarrollo de métodos y técnicas para establecer controles y disminuir los riegos dentro de las organizaciones. De tal manera, que las actividades que se llevan acabo dentro de la organización pasen por un proceso de evaluación y medición para garantizar y mejorar la eficiencia de las mismas. De acuerdo a lo antes mencionado, existe el riesgo informático, el cual abarca un conjunto de amenazas de daño respecto a los bienes y servicios informáticos, causando un sin fin de daños, como la perdida e integridad de la información y/o sistemas de información que se manejan dentro de una organización. Cabe mencionar, que para evitar y disminuir cualquier tipo de estos riesgos en las organizaciones, se lleva acabo una administración de riesgos, donde se desarrollan estrategias, técnicas y procedimientos para manejar de la mejor manera o neutralizar dichos riesgos. Por otro lado, resulta oportuno destacar que los profundos cambios sociales, el desarrollo científico, y las nuevas tecnologías que ocurren hoy en la actualidad, su complejidad y la velocidad con los que se dan los mismos, son el inicio de la incertidumbre y el riesgo que las organizaciones confrontan día a día. Por esta razón, cada día en las organizaciones tienen retos más riesgosos y complicados con los cuales lidiar. 3
El Riesgo Objetivo General del Evento Desarrollar un portal web que sirva de alojamiento y permita la visualización de los contenidos multimedia generados en el curso de Auditoría y Evaluación de Sistemas, sirviendo de referencia para la búsqueda de información por parte de profesionales o personas con actividades afines a la cátedra. Objetivo Específicos del Evento  Definir el nombre, la estructura organizativa y pautas generales del proyecto.  Crear un plan de trabajo para monitorear el trabajo.  Analizar y escoger la plataforma de desarrollo web que mejor satisfaga la necesidad con lo recursos disponibles.  Establecer el formato y la diagramación de los temas para el sitio web.  Diseñar un interfaz sencilla y cómoda para la visualización del contenido  Preparar la ponencia del producto.  Presentar el producto en las VII Jornadas de Investigación Institucional UNEG. Objetivo General del Tema Exponer los aspectos que hacen necesario replantear la seguridad de una organización en el ámbito de análisis, evaluación y manejo de riesgos, mediante estrategias, procesos, personas, tecnología y conocimientos. Objetivos Específicos del Tema  Recopilar, estudiar y analizar la diversa información referente al tema de Riesgos.  Establecer la estructura básica del Informe de Investigación.  Diseñar, estructurar y crear la Presentación simbólica del Informe de Investigación.  Elaborar Video representativo del Tema seleccionado.  Realizar las correcciones indicadas.  Entregar el informe final, y el video representativo 4
El Riesgo Especificaciones del Informe  Estrategias de búsqueda de información aplicada Existen diversas formas de estrategias de búsqueda de información, una de las que aplicamos es la investigación documental; ésta se realiza para obtener información orientada a descubrir un conocimiento nuevo, por medio de bibliografías, elaborar uno propio como grupo e identificar algún conocimiento que se deriva del uso creativo de la información que ya existe referente al tema seleccionado. Ésta forma se realiza en bibliotecas, hemerotecas, archivos, centros de información, reuniones, entre otros. Otra forma es la búsqueda en Internet, la cual se hace para reconocer la información que ya existe, determinar la que hace falta o es limitada y actualizar la que se tiene. En este caso se tiene cuidado al no confundir los términos relativos al tema, ya que puede tener diversos significados que dependerá de nosotros comprenderlos. Finalmente se evalúan los resultados de la búsqueda, revisando la información recuperada para determinar si se adecuan a la necesidad de información.  Proceso de diseño a seguir El proceso de diseño consiste en los pasos que pueden seguirse para determinar la dirección para la solución de problemas. Estos pasos o reglas pueden variar durante la realización de las actividades, sin embargo lo consideramos un medio efectivo para proporcionar resultados organizados y útiles. Debe recalcarse, que el proceso de diseño no es lineal sino que dependede las diferentes actividades a realizar como lo son: La presentación, el video y el Informe de Investigación. Los pasos a seguir son: Identificación del problema . 5
El Riesgo Es importante, en cualquier actividad, dar una definición clara de los objetivos, para así tener una meta hacia la cual dirigir todos los esfuerzos. Establecer los límites; es delimitar el problema y el alcance de la solución que está buscándose. Es indicar lo que se quiere hacer y a dónde no se quiere llegar. Definir un problema es la parte más complicada en el proceso de diseño, ya que a partir de esta etapa se debe tener claro todos los aspectos, pues será la base para todo lo que sigue. Una vez que se ha definido y establecido el problema, en forma clara, es necesario recopilar ideas preliminares como grupo, a partir de las cuales se pueden asimilar los conceptos del diseño. “La creatividad entra en juego”. Perfeccionamiento Es la evaluación de las ideas preliminares y seconcentra bastante en el análisis de las limitaciones que establecimos anteriormente. Todos los esquemas, bosquejos ynotas se revisan, combinan y perfeccionan con el fin de obtener varias soluciones razonables al problema. Análisis El análisis es el repaso y evaluación del diseño, en cuanto a factores humanos, apariencia comercial, resistencia, operación, cantidadesfísicas y economía, dirigidos a satisfacer requisitos del diseño. Decisión y Realización En esta etapa el diseño debe ser seleccionado para finalmente preparar las especificaciones con las cuales se va a construir el mismo. Durante esta etapa, se pueden hacer modificaciones de poca importancia quemejoren el diseño.  Herramientas a utilizar Para realizar la planeación de un proyecto es necesario seguir una serie de pasos que permitan realizar una búsqueda de la información acertada. Un plan de trabajo completo y organizado además de las actividades y el tiempo en que se realizan deben administrar los recursos apropiadamente, para ello los métodos, instrumentos y herramientas que se 6
El Riesgo propongan mejorará significativamente la calidad de la investigación y el tiempo que se le dedique será optimizado, respondiendo así una de las preguntas de la planeación, el cómo? Y con qué?. Primero Exploraremos el tema con la mente abierta el cual nos ayudara a lograr una visión general del mismo, sus posibilidades y conexiones. Segundo al buscar la información hay que tener en cuenta que no toda nos será útil para la investigación. Es necesario elegir técnicas sencillas de búsqueda en diferentes sitios: referencias, ideas u opiniones alusivas al tema, catálogos de biblioteca, libro referente al tema, motores de búsqueda e Internet. En nuestro caso, nos parece conveniente utilizar como herramienta el internet y las opiniones acerca del tema, una vez que se han descrito las herramientas e instrumentos que serán utilizados La información que se recolecte durante el proceso de investigación, estableceremos la técnica de ordenación, es decir, procesar y ordenar de manera efectiva para así aprovecharla al máximo en el proceso de escritura o redacción de nuestro informe.  Proceso de toma de decisión para seleccionar la herramienta a utilizar El proceso para la toma de decisión está basado en dos aspectos, uno es que en la actualidad la mayor fuente de información existente es el internet y el segundo es que con el análisis y opinión de cada integrante de nuestro grupo con respecto al tema, fortaleceremos en gran medida los resultados del proyecto, por lo cual consideramos que ambas partes se complementan por lograr el objetivo deseado. 7
El Riesgo Contenido del Tema Riesgo Riesgo se puede definir como aquella eventualidad que imposibilita el cumplimiento de un objetivo. El riesgo es una media de las posibilidades del incumplimiento o exceso del objetivo planeado. Un riesgo conlleva a dos tipos de consecuencias: Ganancias o Pérdidas. Es importante en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos a los cuales están sometidos los procesos y actividades de una entidad y por medio de procedimientos de control se pueda evaluar el desempeño de la misma. Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en cuenta que, una de las principales causas de los problemas dentro de los subprocesos es la inadecuada previsión de riesgos, se hace necesario entonces estudiar los Riesgos que pudieran aparecen en cada subproceso de Auditoría, esto servirá de apoyo para prevenir una adecuada realización de los mismos. Es necesario en este sentido tener en cuenta lo siguiente: ○ La evaluación de los riesgos esenciales a los diferentes subprocesos de la Auditoría. ○ La evaluación de las amenazas o causas de los riesgos. ○ Los controles utilizados para minimizar las amenazas o riesgos. ○ La evaluación de los elementos del análisis de riesgos. Para resumir, el riesgo es el potencial de resultados negativos y en un contexto empresarial se pueden poseer los siguientes riesgos: ○ Contabilidad errónea o inapropiada. ○ Pérdida o destrucción de activos fijos o recursos financieros. ○ Costos excesivos. ○ Sanciones legales. 8
El Riesgo ○ Fraude o robo. ○ Decisiones erróneas de la gerencia. ○ Desprestigio de imagen. Riesgos en Auditoria En una auditoría, el riesgo también existe y este se define como la probabilidad de que los estados contables contengan errores u omisiones significativas en su conjunto, no detectados o evitados por los sistemas de control de la entidad, ni por el propio proceso de auditoría y en definitiva, es el riesgo de emitir un informe de auditoría inadecuado. El riesgo de auditoría se puede descomponer en: o Riesgo Inherente: Es el riesgo de que ocurran errores significativos en la información contable, independientemente de la existencia de los sistemas de control. o Riesgo de Control: Es el riesgo de que el sistema de control interno de la organización no prevenga, detecte o corrija los errores. o Riesgo de no detección: Es el riesgo de que un error u omisión significativa existente no sea detectado, por último, por el propio proceso de auditoría. Riesgo Informático Se refiere a la incertidumbre existente por la realización de un suceso relacionado con la amenaza de daño a los bienes o servicios informáticos, periféricos, instalaciones, proyectos, programas de cómputo, archivos, información y datos confidenciales. No obstante, existen diferentes medios de ataques que incrementa el riesgo de la pérdida de información. Algunos de los elementos que pueden afectar directamente la información son virus informáticos, correos tipo spam, Spyware, entre otros. Tipos de Riesgos Informático  Riesgos de Integridad: Este tipo abarca todos los riesgos asociados con la autorización, completitud y exactitud de la entrada, procesamiento y reportes de 9
El Riesgo las aplicaciones utilizadas en una organización. Estos riesgos se manifiestan en los siguientes componentes de un sistema: Interface del usuario: Los riesgos en esta área generalmente se relacionan con las restricciones, sobre las individualidades de una organización y su autorización de ejecutar funciones negocio/sistema; teniendo en cuenta sus necesidades de trabajo y una razonable segregación de obligaciones. Procesamiento: Los riesgos en esta área generalmente se relacionan con el adecuado balance de los controles defectivos y preventivos que aseguran que el procesamiento de la información ha sido completado. Adicional a eso, abarca los riesgos asociados con la exactitud e integridad de los reportes usados para resumir resultados y tomar decisiones de negocio. Procesamiento de errores: Los riesgos en esta área generalmente se relacionan con los métodos que aseguren que cualquier entrada/proceso de información de errores sean capturados adecuadamente, corregidos y reprocesados con exactitud completamente. Interface: Los riesgos en esta área generalmente se relacionan con controles preventivos y defectivos que aseguran que la información ha sido procesada y transmitida adecuadamente por las aplicaciones. Administración de cambios: Los riesgos en esta área pueden ser generalmente considerados como parte de la infraestructura de riesgos y el impacto de los cambios en las aplicaciones. Estos riesgos están asociados con la administración inadecuada de procesos de cambios organizaciones que incluyen: Compromisos y entrenamiento de los usuarios a los cambios de los procesos, y la forma de comunicarlos e implementarlos. 10
El Riesgo Información: Los riesgos en esta área pueden ser generalmente considerados como parte de la infraestructura de las aplicaciones. Estos riesgos están asociados con la administración inadecuada de controles, incluyendo la integridad de la seguridad de la información procesada y la administración efectiva de los sistemas de bases de datos y de estructuras de datos.  Riesgos de relación: Los riesgos de relación se refieren al uso oportuno de la información creada por una aplicación. Estos riesgos se relacionan directamente a la información de toma de decisiones.  Riesgos de acceso: Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e información. Estos riesgos abarcan: Los riesgos de segregación inapropiada de trabajo, los riesgos asociados con la integridad de la información de sistemas de bases de datos y los riesgos asociados a la confidencialidad de la información. Los riesgos de acceso pueden ocurrir en los siguientes niveles de la estructura de la seguridad de la información: o Procesos de negocio: Las decisiones organizacionales deben separar trabajo incompatible de la organización y proveer el nivel correcto de ejecución de funciones. o Aplicación: La aplicación interna de mecanismos de seguridad que provee a los usuarios las funciones necesarias para ejecutar su trabajo. o Administración de la información: El mecanismo provee a los usuarios acceso a la información específica del entorno. o Entorno de procesamiento: Estos riesgos en esta área están manejados por el acceso inapropiado al entorno de programas e información. o Redes: En esta área se refiere al acceso inapropiado al entorno de red y su procesamiento. o Nivel físico: Protección física de dispositivos y un apropiado acceso a ellos. Algunos de los métodos de prevenir el acceso ilegal a los servicios informáticos incluyen: o -Claves y contraseñas para permitir el acceso a los equipos. o -Uso de cerrojos y llaves. o -Fichas ó tarjetas inteligentes. 11
El Riesgo o Dispositivos biométricos (Identificación de huellas dactilares, lectores de huellas de manos, patrones de voz, firma/escritura digital, análisis de pulsaciones y escáner de retina, entre otros).  Riesgos de utilidad: Estos riesgos se enfocan en tres diferentes niveles de riesgo: o Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los problemas ocurran. o Técnicas de recuperación/restauración usadas para minimizar la ruptura de los sistemas. o Backups y planes de contingencia controlan desastres en el procesamiento de la información.  Riesgos en la infraestructura: Estos riesgos se refieren a que en las organizaciones no existe una estructura información tecnológica efectiva (hardware, software, redes, personas y procesos) para soportar adecuadamente las necesidades futuras y presentes de los negocios con un costo eficiente. Estos riesgos están asociados con los procesos de la información tecnológica que definen, desarrollan, mantienen y operan un entorno de procesamiento de información y las aplicaciones asociadas (servicio al cliente, pago de cuentas, etc.).  Riesgos de seguridad general: Los estándar IEC 950 proporcionan los requisitos de diseño para lograr una seguridad general y que disminuyen el riesgo: o Riesgos de choque de eléctrico: Niveles altos de voltaje. o Riesgos de incendio: Inflamabilidad de materiales. o Riesgos de niveles inadecuados de energía eléctrica. o Riesgos de radiaciones: Ondas de ruido, de láser y ultrasónicas. o Riesgos mecánicos: Inestabilidad de las piezas eléctricas. 12
El Riesgo Administración de Riesgos Es una aproximación científica del comportamiento de los riesgos, anticipando posibles pérdidasaccidentales con el diseño e implementación de procedimientos que minimicen la ocurrencia de perdidas o el impacto de las perdidas que puedan ocurrir. El objetivo es asegurarse que las operaciones, principalmente las que realizan las instituciones financieras en los mercados de capital, dinero y cambios, no las expongan a pérdidas que puedan amenazar el patrimonio de las mismas; la creciente complejidad que han alcanzado dichos mercados, y la cada vez mayor diversificación de los instrumentos que se operan, han hecho que la administración de riesgos sea cada vez más difícil de evaluar; es por eso que, en la actualidad, es indispensable que las Instituciones Bancarias, cuenten con una unidad de administración de riesgos. Técnicas y Procedimientos para Administrar Riesgos ○ Evitar Riesgos: Un riesgo es evitado cuando en la organización no lo acepta. Esta técnica puede ser más negativa que positiva. Si el evitar riesgos fuera usado excesivamente el negocio sería privado de muchas oportunidades de ganancia (por ejemplo: arriesgarse a hacer una inversión) y probablemente no alcanzaría sus objetivos. ○ Reducción de Riesgos: Los riegos pueden ser reducidos, por ejemplo con: programas de seguridad, guardias de seguridad, alarmas y estimación de futuras pérdidas con la asesoría de personas expertas. ○ Conservación de Riesgos: Es quizás el más común de los métodos para enfrentar los riesgos, pues muchas veces una acción positiva no es transferirlo o reducir su acción. Cada organización debe decidir cuales riegos se retienen, o se transfieren basándose en su margen de contingencia, una pérdida puede ser un desastre financiero para una organización siendo fácilmente sostenido por otra organización. 13
El Riesgo ○ Compartir Riesgos: Cuando los riesgos son compartidos, la posibilidad de pérdida es transferida del individuo al grupo.  Evaluación de Riesgo Evaluación de riesgos es la ciencia que estudia la comprensión y la medida de los peligros así como la exposición y, en última instancia, los riesgos asociados. Se trata, por necesidad, de una ciencia interdisciplinar. Los científicos desarrollan metodologías de evaluación de riesgos a fin de estandarizar y obtener una amplia aceptación de estos enfoques a través de las fronteras científicas, institucionales e internacionales. Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en cuenta que, una de las principales causas de los problemas dentro del entorno informático, es la inadecuada administración de riesgos informáticos, esta información sirve de apoyo para una adecuada gestión de la administración de riesgos, basándose en los siguientes aspectos: ○ La evaluación de los riesgos esenciales a los diferentes subprocesos de la Auditoría. ○ La evaluación de las amenazas o causas de los riesgos. ○ Los controles utilizados para minimizar las amenazas o riesgos. ○ La evaluación de los elementos del análisis de riesgos. La evaluación de riesgos también está presente en la vida diaria de cualquier persona y en todas las profesiones, aunque no siempre se considere así. Los profesionales de la medicina, por ejemplo, se enfrentan a ciertos riesgos todos los días: cuando tratan a un paciente con un medicamento deben considerar los efectos secundarios y otros factores de riesgo; cuando recomiendan una intervención quirúrgica deben estar razonablemente seguros de que los beneficios compensarán los riesgos asociados a la operación. Existen dos componentes en evaluación de riesgos: o Análisis de Riesgos 14
El Riesgo Esta fase consiste principalmente en Identificar el peligro, entendiendo como tal, la fuente o situación con capacidad de daño en términos de lesiones, daños a la propiedad, daños al medio ambiente, o bien una combinación de ambos. Una vez identificado el Peligro, se ha de Describir, lo que a su vez comporta definir el daño resultante y los acontecimientos que han de suceder desde la situación inicial hasta que se materializa el accidente. Ante un accidente deberá plantearse cuales son las consecuencias previsibles, las normales y esperadas y las que pueden ocurrir con posibilidad remota. En la valoración de riesgos convencionales se consideraran las consecuencias normalmente esperadas, pero en cambio, en instalaciones peligrosas, nucleares, químicas, etc., en las que las consecuencias pueden ser desastrosas, es imprescindible considerar las consecuencias más críticas, aunque la posibilidad sea muy baja, lo que determinar el ser mas rigurosos en el análisis probabilístico. o Valoración del riesgo Tras efectuar el Análisis de Riesgos, y con el orden de magnitud que se ha obtenido para el Riesgo, hay que Valorarlo,es decir emitir un juicio sobre la tolerabilidad o no del mismo, hablándose en el caso afirmativo de Riesgo Controlado, y finalizando con ello la Evaluación del Riesgo. No termina con ello la actuación, sino que se debe mantener al día, lo que implica que cualquier cambio significativo en un proceso o actividad de trabajo, debe de conducir a una revisión de la Evaluación, y en tal sentido queda establecido en la mencionada Ley de Prevención de Riesgos Laborales, al establecer como obligación del empresario, la actualización de las evaluaciones cuando cambien las condiciones de trabajo. 15
El Riesgo Gestión de Riesgo Es un proceso dinámico que lleva a realizar todos los pasos razonables para averiguar y para abordar los riegos que repercuten sobre los objetivos de una organización. Los recursos y procesos de la empresa se unen para manejar el riesgo allí donde ha sido identificado. A continuación se mencionan un conjunto de normas que la organización debería implementar para obtener los beneficios de una gestión de riesgo exitosa: ○ La planificación más realista de la empresa y sus proyectos. ○ Acciones perfeccionadas a tiempo para ser más efectivas ○ Una mayor certidumbre en la consecución de los objetivos empresariales y de sus proyectos. ○ Evaluación de todas las oportunidades beneficiosas y buena disposición para explotarlas ○ Un control perfeccionado de perdidas ○ Un control de costos de los proyectos ○ Una mayor flexibilidad como resultado del conocimiento de todas las opciones y los riesgos asociados. ○ Una reducción de las sorpresas onerosas, debido a una planificación más efectiva y más transparente de las eventualidades. La gestión de riesgos es asignada a un responsable de riesgo para que tome las medidas necesarias como respuestas a los riegos definidos, distintos tipos de riesgos o los que pueden afectar proyectos. Etapa de la Gestión de Riesgos ○ Identificación: El proceso de gestión de riesgos inicia por un método para identificar todos los riesgos a los que se enfrente una organización. Este deberá incluir todas las partes que tienen experiencia, responsabilidades e influencia sobre el área afectada por los riegos en cuestión. 16
El Riesgo ○ Evaluación: La siguiente etapa es la de evaluar la importancia que tienen los riesgos que se han identificado. Esta etapa deberá girar alrededor de la repercusión bidimensional, es decir, las consideraciones de probabilidad. ○ Gestión: Una vez se dispone del conocimiento sobre que riesgos son significativos y que riesgos lo son menos, el proceso requiere el desarrollo de estrategias para gestionar los riesgos con graves repercusiones. ○ Revisión: El proceso de gestión de riesgos y sus resultados debe ser revisado continuamente. Esto involucra la actualización de las estrategias de manejo de los riesgos y revisar la validez de los procesos que están siendo aplicados en la organización Metodología de Gestión de Riesgo La gestión de riesgo es una parte importante en el ciclo del riesgo, debido a que permite establecer y revisar los controles internos de las organizaciones. En términos de la administración del riesgo se necesita añadir un conjunto de respuestas que permitan mitigar el riesgo. Estas respuestas consisten en controles sobre los procesos y la ejecución de estrategias que permitan reducir las vulnerabilidades. ○ Finalización: Cuando el impacto y la probabilidad de ejecución de un riesgo es alto, se empieza a considerar si las operaciones deberían continuar. Un ejemplo de esta situación es cuando una organización enfrenta problemas con la importación u operación de su compañía en países políticamente volátiles (alta inseguridad, políticas económicas desfavorables, entre otras.) y entonces se debe evaluar si es rentable mantener las operaciones de la misma o simplemente cerrar por los grandes riesgos que se corren. ○ Controles: Una de las armas para disminuir el riesgo es poseer mejores controles. Haciendo referencia al ejemplo mencionado en el punto anterior, si una compañía y su equipo de trabajo se encuentran en riesgo por la alta inseguridad en el país de operación, se puede considerar aplicar controles como: seguridad personal, procedimientos de viajes, asistencia a seminarios que expliquen las formas de reducir las posibilidades de ser victima de la inseguridad, entre otras. 17
El Riesgo ○ Transferencia:Cuando los riesgos tienen un gran impacto pero son poco probables, se puede adoptar la estrategia de propagar el impacto del riesgo. Siguiendo con el ejemplo que se viene desarrollando, se puede esparcir el impacto al poseer pólizas de seguro que cubran a la organización y su equipo de trabajo. ○ Contingencias: Una respuesta bastante útil al riesgo de alto impacto, y baja probabilidad es hacer un arreglo de contingencias en caso de que se materialice el riesgo. La organización que opera en el país inestable puede cubrirse al poseer un procedimiento de evacuación si se da el caso de la materialización del riesgo. ○ Tomar más riesgos: La gestión del riesgo se basa en conocer donde invertir el tiempo y los apreciado recursos. En el caso del establecimiento de la compañía en un país inestable, se puede asumir el riesgo de operaciones en el mismo, siempre y cuando se exploten las oportunidades que brinda y disminuyan al máximo las vulnerabilidades. ○ Comunicación: La comunicación es la estrategia que debe ser aplicada cuando los controles no disminuyen los riesgos a un nivel aceptable, es por ello que debe comunicarse a todos los involucrados en la organización sobre los riesgos y que estos podrían afectar el éxito de la misma. Para el ejemplo que se viene desarrollando, se debe informar a los empleados sobre las estadísticas de los problemas que podrían afectar su estadía en el país, esto es particularmente útil cuando los riesgos se escapan de los controles establecidos. ○ Tolerancia: Los riesgos de bajo impacto y poca probabilidad de materialización no son vistos como amenazas y pueden ser tolerados. ○ Comisión de investigación: El manejo del riesgo puede necesitar un tiempode investigación o análisis del riesgo para tomar decisiones con respecto a este, evaluar su impacto y si es probable que se materialice. En el caso de estudio, la organización puede asesorarse por organismos de investigación que le suministren información sobre los riesgos que se pueden tener en una región. ○ Apoyo externo: Algunos riesgos de alto impacto y mucha probabilidad de ocurrir pueden crear un bloqueo en los responsables de las decisiones y esto puede ser resuelto al contratar a terceros para manejar el riesgo. 18
El Riesgo ○ Revisión de los controles: La única arma en el arsenal de respuestas ante los riesgos es la revisión. Esta se base en enfocarse en las áreas donde los controles son cruciales para disminuir los riesgos significativos, y asegurarse que están funcionando correctamente. Conclusión Los riesgos representan una amenaza de bajo y alto impacto en las organizaciones, por esa razón, deben ser tomados en consideración al ser medidos con regularidad a través de la metodología planteada en el informe. Las organizaciones deben conocer sus fortalezas y oportunidades para aprovecharlas, y de esa manera, evitar que los riegos se materialicen, y por supuesto, disminuir las vulnerabilidades que se puedan generar en algunasde las regionesde cualquier organización. Entonces según lo citado, resulta necesario desarrollar e implementar estrategias para gestionar los posibles riesgos que puedan surgir o amenazar la seguridad de una organización, y por ende, está pueda alcanzar todos los objetivos que se ha planteado, y por consiguiente, lograr las metas establecidas. 19
El Riesgo Referencias Bibliográficas  http://www.basc-costarica.com/documentos/riesgosinformatica.pdf  http://biblio.juridicas.unam.mx/libros/2/909/5.pdf  http://www.ccee.edu.uy/ensenian/catcomp/material/riesgo.pdf 20
El Riesgo Anexos Plan de trabajo Objetivo General: Exponer los aspectos que hacen necesario replantear la seguridad de una organización en el ámbito de análisis, evaluación y manejo de riesgos, mediante estrategias, procesos, personas, tecnología y conocimientos. FECHA DE INICIO: FECHA DE CULMINACION: OBJETIVOS ESPECÍFICOS ACTIVIDADES A REALIZAR DURACIÓN ESTIMADA (SEMANAS) 01 02 03 04 05 06 07 08 09 10 11 12 13 Fijar estrategias de búsqueda de información. Seleccionar herramientas. Recopilar, estudiar y Búsqueda y revisión de material bibliográfico: El enfoque analizar la diversa central será el estudio de la evaluación y manejo de riesgos. información referente al Indagar sobre investigaciones ya realizadas referentes al tema. tema de Riesgos Comparar metodologías de análisis de riesgos en diferentes organizaciones. Construir los objetivos específicos que nos proporcionarán el trayecto para aplicar los métodos y procedimientos necesarios
El Riesgo Establecer la estructura para alcanzar nuestro objetivo general. básica del Informe de Determinar el alcance de nuestra investigación. Investigación Fijar los puntos relevantes en los que nos enfocaremos. Definir los diferentes conceptos. Bosquejo del Marco conceptual. Seleccionar herramienta. Diseñar la estructura de la presentación, acorde al tema. Definir estilos en cuanto a colores, tipos de letras, anexos, Diseñar, estructurar y crear gráficos, entre otros. la Presentación simbólica del Redactar y resumir el tema de Riesgos. Informe de Investigación Detallar y especificar de manera clara los conceptos reflejados en el Informe. Hacer uso de gráficos necesarios para el entendimiento productivo del tema seleccionado. Seleccionar herramientas. Elaborar Video Establecer estructura. representativo del Tema Fijar tiempo de duración, estilo, entre otros aspectos. seleccionado Resumir contenido del proyecto de investigación. Hacer uso de la Entregar el Informe de investigación, la presentación y el video retroalimentación para su revisión y observaciones. 22
El Riesgo Realizar las correcciones Ajustar tanto trabajo de investigación, la presentación y el video, de acuerdo a las consideraciones recibidas. indicadas ENTREGA DEL TRABAJO DE INVESTIGACIÓN “EL RIESGO” : LA PRESENTACIÓN Y EL VIDEO REPRESENTATIVO 23
El Riesgo

Empfohlen

Tecnologías de información maestría
Tecnologías de información maestríaTecnologías de información maestría
Tecnologías de información maestríaMaestros Online
 
GUÍA DEL PARTICIPANTE
GUÍA DEL PARTICIPANTEGUÍA DEL PARTICIPANTE
GUÍA DEL PARTICIPANTEUnidad de Emprendimiento ambulante
 
Mercadotecnia maestría
Mercadotecnia maestríaMercadotecnia maestría
Mercadotecnia maestríaMaestros Online
 
Diseño y gestión de proyectos
Diseño y gestión de proyectosDiseño y gestión de proyectos
Diseño y gestión de proyectosColectivo Desarrollo Reg
 
Seleccion de proyectos six sigma
Seleccion de proyectos six sigmaSeleccion de proyectos six sigma
Seleccion de proyectos six sigmaquetzatl14
 
1 el ciclo del proyecto ok (1)
1 el ciclo del proyecto ok (1)1 el ciclo del proyecto ok (1)
1 el ciclo del proyecto ok (1)Julia Patricia Barrios DE LA Ossa
 
Proyecto victor modificado
Proyecto victor modificadoProyecto victor modificado
Proyecto victor modificadoIng Buendia
 
Concepto y fases de un proyecto
Concepto y fases de un proyectoConcepto y fases de un proyecto
Concepto y fases de un proyectocami0610
 

Empfohlen

Tecnologías de información maestría
Tecnologías de información maestríaTecnologías de información maestría
Tecnologías de información maestríaMaestros Online
 
GUÍA DEL PARTICIPANTE
GUÍA DEL PARTICIPANTEGUÍA DEL PARTICIPANTE
GUÍA DEL PARTICIPANTEUnidad de Emprendimiento ambulante
 
Mercadotecnia maestría
Mercadotecnia maestríaMercadotecnia maestría
Mercadotecnia maestríaMaestros Online
 
Diseño y gestión de proyectos
Diseño y gestión de proyectosDiseño y gestión de proyectos
Diseño y gestión de proyectosColectivo Desarrollo Reg
 
Seleccion de proyectos six sigma
Seleccion de proyectos six sigmaSeleccion de proyectos six sigma
Seleccion de proyectos six sigmaquetzatl14
 
1 el ciclo del proyecto ok (1)
1 el ciclo del proyecto ok (1)1 el ciclo del proyecto ok (1)
1 el ciclo del proyecto ok (1)Julia Patricia Barrios DE LA Ossa
 
Proyecto victor modificado
Proyecto victor modificadoProyecto victor modificado
Proyecto victor modificadoIng Buendia
 
Concepto y fases de un proyecto
Concepto y fases de un proyectoConcepto y fases de un proyecto
Concepto y fases de un proyectocami0610
 
Analisis necesidades
Analisis necesidadesAnalisis necesidades
Analisis necesidadescarolita77
 
Conferencia 1 gestion de proyectos (1)
Conferencia 1 gestion de proyectos (1)Conferencia 1 gestion de proyectos (1)
Conferencia 1 gestion de proyectos (1)Victor Hugo Castro Aponte
 
Aspectos básicos del seguimiento
Aspectos básicos del seguimientoAspectos básicos del seguimiento
Aspectos básicos del seguimientocami0610
 
Gestión de los riesgos del proyecto
Gestión de los riesgos del proyectoGestión de los riesgos del proyecto
Gestión de los riesgos del proyectoSorely Urueta Celedon
 
Plan de acción
Plan de acciónPlan de acción
Plan de acciónmarianacanizales
 
Construyendo La Propuesta De InvestigacióN
Construyendo La Propuesta De InvestigacióNConstruyendo La Propuesta De InvestigacióN
Construyendo La Propuesta De InvestigacióNAngie Carolina Díaz Ramirez
 
Formulacion de proyectos de ingenieria 2012 2
Formulacion de proyectos de ingenieria 2012 2Formulacion de proyectos de ingenieria 2012 2
Formulacion de proyectos de ingenieria 2012 2William Elias
 
Especialidades maestría
Especialidades maestríaEspecialidades maestría
Especialidades maestríaMaestros Online
 
Anteproyecto De Investigacion Desarrollo Guia No 1
Anteproyecto De Investigacion Desarrollo Guia No 1Anteproyecto De Investigacion Desarrollo Guia No 1
Anteproyecto De Investigacion Desarrollo Guia No 1Jesus_Antonio_Hoyos
 
Lh formulacion proyectos
Lh formulacion proyectosLh formulacion proyectos
Lh formulacion proyectosEnrique Javier Montoya Corrales
 
Filosofía Six Sigma.pdf
Filosofía Six Sigma.pdfFilosofía Six Sigma.pdf
Filosofía Six Sigma.pdfRamses CF
 
Fase del desarrollo de proyecto educativo de informatica
Fase del desarrollo de proyecto educativo de informaticaFase del desarrollo de proyecto educativo de informatica
Fase del desarrollo de proyecto educativo de informaticaWilson Suarez
 
Gestion del conocimiento
Gestion del conocimientoGestion del conocimiento
Gestion del conocimientokatyagordillo
 
Gestion del conocimiento
Gestion del conocimientoGestion del conocimiento
Gestion del conocimientokatyagordillo
 
Gestión del Conocimiento
Gestión del ConocimientoGestión del Conocimiento
Gestión del Conocimientokatyagordillo
 
Gestión del Conocimiento
Gestión del ConocimientoGestión del Conocimiento
Gestión del Conocimientokatyagordillo
 
Trabajo final
Trabajo finalTrabajo final
Trabajo finalLuis Alberto Socorro Gonzalez
 
Guia 1, operacion de eventos, ii periodo
Guia 1, operacion de eventos, ii periodoGuia 1, operacion de eventos, ii periodo
Guia 1, operacion de eventos, ii periodoClaudia150499
 
Me spanish
Me spanishMe spanish
Me spanishGina Paola Torres Sarmiento
 
Presentacion
PresentacionPresentacion
Presentacionsamanthaortizbqto
 
Primera Solemne Empresa y Soc. del Conocimiento
Primera Solemne Empresa y Soc. del ConocimientoPrimera Solemne Empresa y Soc. del Conocimiento
Primera Solemne Empresa y Soc. del ConocimientoClaudia Salfate
 
Guia 1, operacion de eventos, ii periodo
Guia 1, operacion de eventos, ii periodoGuia 1, operacion de eventos, ii periodo
Guia 1, operacion de eventos, ii periodoClaudia150499
 

Weitere ähnliche Inhalte

Was ist angesagt?

Analisis necesidades
Analisis necesidadesAnalisis necesidades
Analisis necesidadescarolita77
 
Aspectos básicos del seguimiento
Aspectos básicos del seguimientoAspectos básicos del seguimiento
Aspectos básicos del seguimientocami0610
 
Gestión de los riesgos del proyecto
Gestión de los riesgos del proyectoGestión de los riesgos del proyecto
Gestión de los riesgos del proyectoSorely Urueta Celedon
 
Formulacion de proyectos de ingenieria 2012 2
Formulacion de proyectos de ingenieria 2012 2Formulacion de proyectos de ingenieria 2012 2
Formulacion de proyectos de ingenieria 2012 2William Elias
 
Especialidades maestría
Especialidades maestríaEspecialidades maestría
Especialidades maestríaMaestros Online
 
Anteproyecto De Investigacion Desarrollo Guia No 1
Anteproyecto De Investigacion Desarrollo Guia No 1Anteproyecto De Investigacion Desarrollo Guia No 1
Anteproyecto De Investigacion Desarrollo Guia No 1Jesus_Antonio_Hoyos
 

Was ist angesagt? (10)

Analisis necesidades
Analisis necesidadesAnalisis necesidades
Analisis necesidades
 
Conferencia 1 gestion de proyectos (1)
Conferencia 1 gestion de proyectos (1)Conferencia 1 gestion de proyectos (1)
Conferencia 1 gestion de proyectos (1)
 
Aspectos básicos del seguimiento
Aspectos básicos del seguimientoAspectos básicos del seguimiento
Aspectos básicos del seguimiento
 
Gestión de los riesgos del proyecto
Gestión de los riesgos del proyectoGestión de los riesgos del proyecto
Gestión de los riesgos del proyecto
 
Plan de acción
Plan de acciónPlan de acción
Plan de acción
 
Construyendo La Propuesta De InvestigacióN
Construyendo La Propuesta De InvestigacióNConstruyendo La Propuesta De InvestigacióN
Construyendo La Propuesta De InvestigacióN
 
Formulacion de proyectos de ingenieria 2012 2
Formulacion de proyectos de ingenieria 2012 2Formulacion de proyectos de ingenieria 2012 2
Formulacion de proyectos de ingenieria 2012 2
 
Especialidades maestría
Especialidades maestríaEspecialidades maestría
Especialidades maestría
 
Anteproyecto De Investigacion Desarrollo Guia No 1
Anteproyecto De Investigacion Desarrollo Guia No 1Anteproyecto De Investigacion Desarrollo Guia No 1
Anteproyecto De Investigacion Desarrollo Guia No 1
 
Lh formulacion proyectos
Lh formulacion proyectosLh formulacion proyectos
Lh formulacion proyectos
 

Ähnlich wie UNEG-AS 2012-Inf2: El riesgo

Filosofía Six Sigma.pdf
Filosofía Six Sigma.pdfFilosofía Six Sigma.pdf
Filosofía Six Sigma.pdfRamses CF
 
Fase del desarrollo de proyecto educativo de informatica
Fase del desarrollo de proyecto educativo de informaticaFase del desarrollo de proyecto educativo de informatica
Fase del desarrollo de proyecto educativo de informaticaWilson Suarez
 
Gestion del conocimiento
Gestion del conocimientoGestion del conocimiento
Gestion del conocimientokatyagordillo
 
Gestion del conocimiento
Gestion del conocimientoGestion del conocimiento
Gestion del conocimientokatyagordillo
 
Gestión del Conocimiento
Gestión del ConocimientoGestión del Conocimiento
Gestión del Conocimientokatyagordillo
 
Gestión del Conocimiento
Gestión del ConocimientoGestión del Conocimiento
Gestión del Conocimientokatyagordillo
 
Guia 1, operacion de eventos, ii periodo
Guia 1, operacion de eventos, ii periodoGuia 1, operacion de eventos, ii periodo
Guia 1, operacion de eventos, ii periodoClaudia150499
 
Primera Solemne Empresa y Soc. del Conocimiento
Primera Solemne Empresa y Soc. del ConocimientoPrimera Solemne Empresa y Soc. del Conocimiento
Primera Solemne Empresa y Soc. del ConocimientoClaudia Salfate
 
Guia 1, operacion de eventos, ii periodo
Guia 1, operacion de eventos, ii periodoGuia 1, operacion de eventos, ii periodo
Guia 1, operacion de eventos, ii periodoClaudia150499
 
Guia 1, operacion de eventos, i periodo
Guia 1, operacion de eventos, i periodoGuia 1, operacion de eventos, i periodo
Guia 1, operacion de eventos, i periodoClaudia150499
 
Guía Didáctica
Guía Didáctica Guía Didáctica
Guía Didáctica henser
 
Trabajo de los medios de enseñanza y aprendizaje
Trabajo de los medios de enseñanza y aprendizajeTrabajo de los medios de enseñanza y aprendizaje
Trabajo de los medios de enseñanza y aprendizajejose de la cruz flores
 
Tema 4 proceso de reclutamiento y selección
Tema 4 proceso de reclutamiento y selecciónTema 4 proceso de reclutamiento y selección
Tema 4 proceso de reclutamiento y selecciónCarmen Hevia Medina
 

Ähnlich wie UNEG-AS 2012-Inf2: El riesgo (20)

Filosofía Six Sigma.pdf
Filosofía Six Sigma.pdfFilosofía Six Sigma.pdf
Filosofía Six Sigma.pdf
 
Fase del desarrollo de proyecto educativo de informatica
Fase del desarrollo de proyecto educativo de informaticaFase del desarrollo de proyecto educativo de informatica
Fase del desarrollo de proyecto educativo de informatica
 
Gestion del conocimiento
Gestion del conocimientoGestion del conocimiento
Gestion del conocimiento
 
Gestion del conocimiento
Gestion del conocimientoGestion del conocimiento
Gestion del conocimiento
 
Gestión del Conocimiento
Gestión del ConocimientoGestión del Conocimiento
Gestión del Conocimiento
 
Gestión del Conocimiento
Gestión del ConocimientoGestión del Conocimiento
Gestión del Conocimiento
 
Trabajo final
Trabajo finalTrabajo final
Trabajo final
 
Guia 1, operacion de eventos, ii periodo
Guia 1, operacion de eventos, ii periodoGuia 1, operacion de eventos, ii periodo
Guia 1, operacion de eventos, ii periodo
 
Me spanish
Me spanishMe spanish
Me spanish
 
Presentacion
PresentacionPresentacion
Presentacion
 
Primera Solemne Empresa y Soc. del Conocimiento
Primera Solemne Empresa y Soc. del ConocimientoPrimera Solemne Empresa y Soc. del Conocimiento
Primera Solemne Empresa y Soc. del Conocimiento
 
Guia 1, operacion de eventos, ii periodo
Guia 1, operacion de eventos, ii periodoGuia 1, operacion de eventos, ii periodo
Guia 1, operacion de eventos, ii periodo
 
Guia 1, operacion de eventos, i periodo
Guia 1, operacion de eventos, i periodoGuia 1, operacion de eventos, i periodo
Guia 1, operacion de eventos, i periodo
 
Guía Didáctica
Guía Didáctica Guía Didáctica
Guía Didáctica
 
Trabajo de los medios de enseñanza y aprendizaje
Trabajo de los medios de enseñanza y aprendizajeTrabajo de los medios de enseñanza y aprendizaje
Trabajo de los medios de enseñanza y aprendizaje
 
Introducción a la Gerencia de proyectos
Introducción a la Gerencia de proyectosIntroducción a la Gerencia de proyectos
Introducción a la Gerencia de proyectos
 
Proyectos informaticos
Proyectos informaticosProyectos informaticos
Proyectos informaticos
 
Proyecto informatico
Proyecto informaticoProyecto informatico
Proyecto informatico
 
Tema 4 proceso de reclutamiento y selección
Tema 4 proceso de reclutamiento y selecciónTema 4 proceso de reclutamiento y selección
Tema 4 proceso de reclutamiento y selección
 
Exposicion octave
Exposicion octaveExposicion octave
Exposicion octave
 

Mehr von UNEG-AS

UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS
 
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemasUNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemasUNEG-AS
 
UNEG-AS 2012-Inf8: Verificación del rendimiento de sistemas
UNEG-AS 2012-Inf8: Verificación del rendimiento de sistemasUNEG-AS 2012-Inf8: Verificación del rendimiento de sistemas
UNEG-AS 2012-Inf8: Verificación del rendimiento de sistemasUNEG-AS
 
UNEG-AS 2012-Inf10: Instrumentos y técnicas aplicables a la auditoría de sist...
UNEG-AS 2012-Inf10: Instrumentos y técnicas aplicables a la auditoría de sist...UNEG-AS 2012-Inf10: Instrumentos y técnicas aplicables a la auditoría de sist...
UNEG-AS 2012-Inf10: Instrumentos y técnicas aplicables a la auditoría de sist...UNEG-AS
 
UNEG-AS 2012-Pres9: Elaboración del informe de auditoría
UNEG-AS 2012-Pres9: Elaboración del informe de auditoríaUNEG-AS 2012-Pres9: Elaboración del informe de auditoría
UNEG-AS 2012-Pres9: Elaboración del informe de auditoríaUNEG-AS
 
UNEG-AS 2012-Inf9: Elaboración del informe de auditoría
UNEG-AS 2012-Inf9: Elaboración del informe de auditoríaUNEG-AS 2012-Inf9: Elaboración del informe de auditoría
UNEG-AS 2012-Inf9: Elaboración del informe de auditoríaUNEG-AS
 
UNEG-AS 2012-Pres10: Instrumentos y técnicas aplicables a la auditoría de sis...
UNEG-AS 2012-Pres10: Instrumentos y técnicas aplicables a la auditoría de sis...UNEG-AS 2012-Pres10: Instrumentos y técnicas aplicables a la auditoría de sis...
UNEG-AS 2012-Pres10: Instrumentos y técnicas aplicables a la auditoría de sis...UNEG-AS
 
UNEG-AS 2012-Inf7: Procesamiento distribuido y Redes
UNEG-AS 2012-Inf7: Procesamiento distribuido y RedesUNEG-AS 2012-Inf7: Procesamiento distribuido y Redes
UNEG-AS 2012-Inf7: Procesamiento distribuido y RedesUNEG-AS
 
UNEG-AS 2012-Inf1: Control interno
UNEG-AS 2012-Inf1: Control internoUNEG-AS 2012-Inf1: Control interno
UNEG-AS 2012-Inf1: Control internoUNEG-AS
 
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS
 
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS
 
UNEG-AS 2012-Inf3: Control interno para la organización del área de informáti...
UNEG-AS 2012-Inf3: Control interno para la organización del área de informáti...UNEG-AS 2012-Inf3: Control interno para la organización del área de informáti...
UNEG-AS 2012-Inf3: Control interno para la organización del área de informáti...UNEG-AS
 
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...UNEG-AS
 
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS
 
UNEG-AS 2012-Pres6: Auditorías de rutina y reglamentarias. Auditoría de siste...
UNEG-AS 2012-Pres6: Auditorías de rutina y reglamentarias. Auditoría de siste...UNEG-AS 2012-Pres6: Auditorías de rutina y reglamentarias. Auditoría de siste...
UNEG-AS 2012-Pres6: Auditorías de rutina y reglamentarias. Auditoría de siste...UNEG-AS
 
UNEG-AS 2012-Inf6: Auditorías de rutina y reglamentarias. Auditoría de sistem...
UNEG-AS 2012-Inf6: Auditorías de rutina y reglamentarias. Auditoría de sistem...UNEG-AS 2012-Inf6: Auditorías de rutina y reglamentarias. Auditoría de sistem...
UNEG-AS 2012-Inf6: Auditorías de rutina y reglamentarias. Auditoría de sistem...UNEG-AS
 
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemasUNEG-AS
 
UNEG-AS 2012-Pres11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Pres11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS 2012-Pres11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Pres11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS
 
UNEG-AS 2012-Pres12: Auditoría Forense
UNEG-AS 2012-Pres12: Auditoría ForenseUNEG-AS 2012-Pres12: Auditoría Forense
UNEG-AS 2012-Pres12: Auditoría ForenseUNEG-AS
 
UNEG-AS 2012-Pres2: El riesgo
UNEG-AS 2012-Pres2: El riesgoUNEG-AS 2012-Pres2: El riesgo
UNEG-AS 2012-Pres2: El riesgoUNEG-AS
 

Mehr von UNEG-AS (20)

UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
 
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemasUNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
 
UNEG-AS 2012-Inf8: Verificación del rendimiento de sistemas
UNEG-AS 2012-Inf8: Verificación del rendimiento de sistemasUNEG-AS 2012-Inf8: Verificación del rendimiento de sistemas
UNEG-AS 2012-Inf8: Verificación del rendimiento de sistemas
 
UNEG-AS 2012-Inf10: Instrumentos y técnicas aplicables a la auditoría de sist...
UNEG-AS 2012-Inf10: Instrumentos y técnicas aplicables a la auditoría de sist...UNEG-AS 2012-Inf10: Instrumentos y técnicas aplicables a la auditoría de sist...
UNEG-AS 2012-Inf10: Instrumentos y técnicas aplicables a la auditoría de sist...
 
UNEG-AS 2012-Pres9: Elaboración del informe de auditoría
UNEG-AS 2012-Pres9: Elaboración del informe de auditoríaUNEG-AS 2012-Pres9: Elaboración del informe de auditoría
UNEG-AS 2012-Pres9: Elaboración del informe de auditoría
 
UNEG-AS 2012-Inf9: Elaboración del informe de auditoría
UNEG-AS 2012-Inf9: Elaboración del informe de auditoríaUNEG-AS 2012-Inf9: Elaboración del informe de auditoría
UNEG-AS 2012-Inf9: Elaboración del informe de auditoría
 
UNEG-AS 2012-Pres10: Instrumentos y técnicas aplicables a la auditoría de sis...
UNEG-AS 2012-Pres10: Instrumentos y técnicas aplicables a la auditoría de sis...UNEG-AS 2012-Pres10: Instrumentos y técnicas aplicables a la auditoría de sis...
UNEG-AS 2012-Pres10: Instrumentos y técnicas aplicables a la auditoría de sis...
 
UNEG-AS 2012-Inf7: Procesamiento distribuido y Redes
UNEG-AS 2012-Inf7: Procesamiento distribuido y RedesUNEG-AS 2012-Inf7: Procesamiento distribuido y Redes
UNEG-AS 2012-Inf7: Procesamiento distribuido y Redes
 
UNEG-AS 2012-Inf1: Control interno
UNEG-AS 2012-Inf1: Control internoUNEG-AS 2012-Inf1: Control interno
UNEG-AS 2012-Inf1: Control interno
 
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
 
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
 
UNEG-AS 2012-Inf3: Control interno para la organización del área de informáti...
UNEG-AS 2012-Inf3: Control interno para la organización del área de informáti...UNEG-AS 2012-Inf3: Control interno para la organización del área de informáti...
UNEG-AS 2012-Inf3: Control interno para la organización del área de informáti...
 
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
 
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
 
UNEG-AS 2012-Pres6: Auditorías de rutina y reglamentarias. Auditoría de siste...
UNEG-AS 2012-Pres6: Auditorías de rutina y reglamentarias. Auditoría de siste...UNEG-AS 2012-Pres6: Auditorías de rutina y reglamentarias. Auditoría de siste...
UNEG-AS 2012-Pres6: Auditorías de rutina y reglamentarias. Auditoría de siste...
 
UNEG-AS 2012-Inf6: Auditorías de rutina y reglamentarias. Auditoría de sistem...
UNEG-AS 2012-Inf6: Auditorías de rutina y reglamentarias. Auditoría de sistem...UNEG-AS 2012-Inf6: Auditorías de rutina y reglamentarias. Auditoría de sistem...
UNEG-AS 2012-Inf6: Auditorías de rutina y reglamentarias. Auditoría de sistem...
 
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
 
UNEG-AS 2012-Pres11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Pres11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS 2012-Pres11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Pres11: Métodos usados para abusar de las nuevas tecnologías
 
UNEG-AS 2012-Pres12: Auditoría Forense
UNEG-AS 2012-Pres12: Auditoría ForenseUNEG-AS 2012-Pres12: Auditoría Forense
UNEG-AS 2012-Pres12: Auditoría Forense
 
UNEG-AS 2012-Pres2: El riesgo
UNEG-AS 2012-Pres2: El riesgoUNEG-AS 2012-Pres2: El riesgo
UNEG-AS 2012-Pres2: El riesgo
 

UNEG-AS 2012-Inf2: El riesgo

  • 1. El Riesgo Universidad Nacional Experimental de Guayana Vice-Rectorado Académico Departamento de Ciencia y Tecnología. Proyecto de Carrera: Ingeniería en Informática. Auditoria y Evaluación de Sistemas El Riesgo Profesor: Integrantes: Carlos Guevara Castillo HeilinC.I: 20.504.909 Espinoza Laura C.I: 20.223.056 Sarmiento Regulo C.I:19.803.811
  • 2. El Riesgo Ciudad Guayana, Mayo del 2012 Índice Contenido Pág. Introducción…………………………………………………………………. 2 Objetivos General(Evento / Tema)………………………………………….. 3 Objetivos Específicos (Evento / Tema)………………………………………. 3 Especificaciones del Informe ……………………………………………….. 4,5,6,7 Contenido del Tema………………………………………………………….. 8-18 · Riesgos……………………………………………………………...... 8 · Riesgos en Auditoria………………………………………………….. 9 · Riesgo Informático……………………………………………………. 9 · Tipos de riesgos informáticos………………………………………… 10-12 · Administración de riesgos……………………………………………. 13 · Técnicas y procedimientos para administrar riesgos………………….. 13 · Evaluación de riesgos…………………………………………………… 14,15 · Gestión de riesgos………………………………………………………. 16 · Etapas de la gestión de riesgos………………………………………….. 16,17 · Metodología de la gestión de riesgos……………………………………. 18,19 Referencias bibliográficas………………………………………………………. 20 Anexos………………………………………………………………………….. 21-23 2
  • 3. El Riesgo Introducción El tema del riesgodefinido como la contingencia de un daño, ha venido ganando popularidad en los años recientes, debido al desarrollo de métodos y técnicas para establecer controles y disminuir los riegos dentro de las organizaciones. De tal manera, que las actividades que se llevan acabo dentro de la organización pasen por un proceso de evaluación y medición para garantizar y mejorar la eficiencia de las mismas. De acuerdo a lo antes mencionado, existe el riesgo informático, el cual abarca un conjunto de amenazas de daño respecto a los bienes y servicios informáticos, causando un sin fin de daños, como la perdida e integridad de la información y/o sistemas de información que se manejan dentro de una organización. Cabe mencionar, que para evitar y disminuir cualquier tipo de estos riesgos en las organizaciones, se lleva acabo una administración de riesgos, donde se desarrollan estrategias, técnicas y procedimientos para manejar de la mejor manera o neutralizar dichos riesgos. Por otro lado, resulta oportuno destacar que los profundos cambios sociales, el desarrollo científico, y las nuevas tecnologías que ocurren hoy en la actualidad, su complejidad y la velocidad con los que se dan los mismos, son el inicio de la incertidumbre y el riesgo que las organizaciones confrontan día a día. Por esta razón, cada día en las organizaciones tienen retos más riesgosos y complicados con los cuales lidiar. 3
  • 4. El Riesgo Objetivo General del Evento Desarrollar un portal web que sirva de alojamiento y permita la visualización de los contenidos multimedia generados en el curso de Auditoría y Evaluación de Sistemas, sirviendo de referencia para la búsqueda de información por parte de profesionales o personas con actividades afines a la cátedra. Objetivo Específicos del Evento  Definir el nombre, la estructura organizativa y pautas generales del proyecto.  Crear un plan de trabajo para monitorear el trabajo.  Analizar y escoger la plataforma de desarrollo web que mejor satisfaga la necesidad con lo recursos disponibles.  Establecer el formato y la diagramación de los temas para el sitio web.  Diseñar un interfaz sencilla y cómoda para la visualización del contenido  Preparar la ponencia del producto.  Presentar el producto en las VII Jornadas de Investigación Institucional UNEG. Objetivo General del Tema Exponer los aspectos que hacen necesario replantear la seguridad de una organización en el ámbito de análisis, evaluación y manejo de riesgos, mediante estrategias, procesos, personas, tecnología y conocimientos. Objetivos Específicos del Tema  Recopilar, estudiar y analizar la diversa información referente al tema de Riesgos.  Establecer la estructura básica del Informe de Investigación.  Diseñar, estructurar y crear la Presentación simbólica del Informe de Investigación.  Elaborar Video representativo del Tema seleccionado.  Realizar las correcciones indicadas.  Entregar el informe final, y el video representativo 4
  • 5. El Riesgo Especificaciones del Informe  Estrategias de búsqueda de información aplicada Existen diversas formas de estrategias de búsqueda de información, una de las que aplicamos es la investigación documental; ésta se realiza para obtener información orientada a descubrir un conocimiento nuevo, por medio de bibliografías, elaborar uno propio como grupo e identificar algún conocimiento que se deriva del uso creativo de la información que ya existe referente al tema seleccionado. Ésta forma se realiza en bibliotecas, hemerotecas, archivos, centros de información, reuniones, entre otros. Otra forma es la búsqueda en Internet, la cual se hace para reconocer la información que ya existe, determinar la que hace falta o es limitada y actualizar la que se tiene. En este caso se tiene cuidado al no confundir los términos relativos al tema, ya que puede tener diversos significados que dependerá de nosotros comprenderlos. Finalmente se evalúan los resultados de la búsqueda, revisando la información recuperada para determinar si se adecuan a la necesidad de información.  Proceso de diseño a seguir El proceso de diseño consiste en los pasos que pueden seguirse para determinar la dirección para la solución de problemas. Estos pasos o reglas pueden variar durante la realización de las actividades, sin embargo lo consideramos un medio efectivo para proporcionar resultados organizados y útiles. Debe recalcarse, que el proceso de diseño no es lineal sino que dependede las diferentes actividades a realizar como lo son: La presentación, el video y el Informe de Investigación. Los pasos a seguir son: Identificación del problema . 5
  • 6. El Riesgo Es importante, en cualquier actividad, dar una definición clara de los objetivos, para así tener una meta hacia la cual dirigir todos los esfuerzos. Establecer los límites; es delimitar el problema y el alcance de la solución que está buscándose. Es indicar lo que se quiere hacer y a dónde no se quiere llegar. Definir un problema es la parte más complicada en el proceso de diseño, ya que a partir de esta etapa se debe tener claro todos los aspectos, pues será la base para todo lo que sigue. Una vez que se ha definido y establecido el problema, en forma clara, es necesario recopilar ideas preliminares como grupo, a partir de las cuales se pueden asimilar los conceptos del diseño. “La creatividad entra en juego”. Perfeccionamiento Es la evaluación de las ideas preliminares y seconcentra bastante en el análisis de las limitaciones que establecimos anteriormente. Todos los esquemas, bosquejos ynotas se revisan, combinan y perfeccionan con el fin de obtener varias soluciones razonables al problema. Análisis El análisis es el repaso y evaluación del diseño, en cuanto a factores humanos, apariencia comercial, resistencia, operación, cantidadesfísicas y economía, dirigidos a satisfacer requisitos del diseño. Decisión y Realización En esta etapa el diseño debe ser seleccionado para finalmente preparar las especificaciones con las cuales se va a construir el mismo. Durante esta etapa, se pueden hacer modificaciones de poca importancia quemejoren el diseño.  Herramientas a utilizar Para realizar la planeación de un proyecto es necesario seguir una serie de pasos que permitan realizar una búsqueda de la información acertada. Un plan de trabajo completo y organizado además de las actividades y el tiempo en que se realizan deben administrar los recursos apropiadamente, para ello los métodos, instrumentos y herramientas que se 6
  • 7. El Riesgo propongan mejorará significativamente la calidad de la investigación y el tiempo que se le dedique será optimizado, respondiendo así una de las preguntas de la planeación, el cómo? Y con qué?. Primero Exploraremos el tema con la mente abierta el cual nos ayudara a lograr una visión general del mismo, sus posibilidades y conexiones. Segundo al buscar la información hay que tener en cuenta que no toda nos será útil para la investigación. Es necesario elegir técnicas sencillas de búsqueda en diferentes sitios: referencias, ideas u opiniones alusivas al tema, catálogos de biblioteca, libro referente al tema, motores de búsqueda e Internet. En nuestro caso, nos parece conveniente utilizar como herramienta el internet y las opiniones acerca del tema, una vez que se han descrito las herramientas e instrumentos que serán utilizados La información que se recolecte durante el proceso de investigación, estableceremos la técnica de ordenación, es decir, procesar y ordenar de manera efectiva para así aprovecharla al máximo en el proceso de escritura o redacción de nuestro informe.  Proceso de toma de decisión para seleccionar la herramienta a utilizar El proceso para la toma de decisión está basado en dos aspectos, uno es que en la actualidad la mayor fuente de información existente es el internet y el segundo es que con el análisis y opinión de cada integrante de nuestro grupo con respecto al tema, fortaleceremos en gran medida los resultados del proyecto, por lo cual consideramos que ambas partes se complementan por lograr el objetivo deseado. 7
  • 8. El Riesgo Contenido del Tema Riesgo Riesgo se puede definir como aquella eventualidad que imposibilita el cumplimiento de un objetivo. El riesgo es una media de las posibilidades del incumplimiento o exceso del objetivo planeado. Un riesgo conlleva a dos tipos de consecuencias: Ganancias o Pérdidas. Es importante en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos a los cuales están sometidos los procesos y actividades de una entidad y por medio de procedimientos de control se pueda evaluar el desempeño de la misma. Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en cuenta que, una de las principales causas de los problemas dentro de los subprocesos es la inadecuada previsión de riesgos, se hace necesario entonces estudiar los Riesgos que pudieran aparecen en cada subproceso de Auditoría, esto servirá de apoyo para prevenir una adecuada realización de los mismos. Es necesario en este sentido tener en cuenta lo siguiente: ○ La evaluación de los riesgos esenciales a los diferentes subprocesos de la Auditoría. ○ La evaluación de las amenazas o causas de los riesgos. ○ Los controles utilizados para minimizar las amenazas o riesgos. ○ La evaluación de los elementos del análisis de riesgos. Para resumir, el riesgo es el potencial de resultados negativos y en un contexto empresarial se pueden poseer los siguientes riesgos: ○ Contabilidad errónea o inapropiada. ○ Pérdida o destrucción de activos fijos o recursos financieros. ○ Costos excesivos. ○ Sanciones legales. 8
  • 9. El Riesgo ○ Fraude o robo. ○ Decisiones erróneas de la gerencia. ○ Desprestigio de imagen. Riesgos en Auditoria En una auditoría, el riesgo también existe y este se define como la probabilidad de que los estados contables contengan errores u omisiones significativas en su conjunto, no detectados o evitados por los sistemas de control de la entidad, ni por el propio proceso de auditoría y en definitiva, es el riesgo de emitir un informe de auditoría inadecuado. El riesgo de auditoría se puede descomponer en: o Riesgo Inherente: Es el riesgo de que ocurran errores significativos en la información contable, independientemente de la existencia de los sistemas de control. o Riesgo de Control: Es el riesgo de que el sistema de control interno de la organización no prevenga, detecte o corrija los errores. o Riesgo de no detección: Es el riesgo de que un error u omisión significativa existente no sea detectado, por último, por el propio proceso de auditoría. Riesgo Informático Se refiere a la incertidumbre existente por la realización de un suceso relacionado con la amenaza de daño a los bienes o servicios informáticos, periféricos, instalaciones, proyectos, programas de cómputo, archivos, información y datos confidenciales. No obstante, existen diferentes medios de ataques que incrementa el riesgo de la pérdida de información. Algunos de los elementos que pueden afectar directamente la información son virus informáticos, correos tipo spam, Spyware, entre otros. Tipos de Riesgos Informático  Riesgos de Integridad: Este tipo abarca todos los riesgos asociados con la autorización, completitud y exactitud de la entrada, procesamiento y reportes de 9
  • 10. El Riesgo las aplicaciones utilizadas en una organización. Estos riesgos se manifiestan en los siguientes componentes de un sistema: Interface del usuario: Los riesgos en esta área generalmente se relacionan con las restricciones, sobre las individualidades de una organización y su autorización de ejecutar funciones negocio/sistema; teniendo en cuenta sus necesidades de trabajo y una razonable segregación de obligaciones. Procesamiento: Los riesgos en esta área generalmente se relacionan con el adecuado balance de los controles defectivos y preventivos que aseguran que el procesamiento de la información ha sido completado. Adicional a eso, abarca los riesgos asociados con la exactitud e integridad de los reportes usados para resumir resultados y tomar decisiones de negocio. Procesamiento de errores: Los riesgos en esta área generalmente se relacionan con los métodos que aseguren que cualquier entrada/proceso de información de errores sean capturados adecuadamente, corregidos y reprocesados con exactitud completamente. Interface: Los riesgos en esta área generalmente se relacionan con controles preventivos y defectivos que aseguran que la información ha sido procesada y transmitida adecuadamente por las aplicaciones. Administración de cambios: Los riesgos en esta área pueden ser generalmente considerados como parte de la infraestructura de riesgos y el impacto de los cambios en las aplicaciones. Estos riesgos están asociados con la administración inadecuada de procesos de cambios organizaciones que incluyen: Compromisos y entrenamiento de los usuarios a los cambios de los procesos, y la forma de comunicarlos e implementarlos. 10
  • 11. El Riesgo Información: Los riesgos en esta área pueden ser generalmente considerados como parte de la infraestructura de las aplicaciones. Estos riesgos están asociados con la administración inadecuada de controles, incluyendo la integridad de la seguridad de la información procesada y la administración efectiva de los sistemas de bases de datos y de estructuras de datos.  Riesgos de relación: Los riesgos de relación se refieren al uso oportuno de la información creada por una aplicación. Estos riesgos se relacionan directamente a la información de toma de decisiones.  Riesgos de acceso: Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e información. Estos riesgos abarcan: Los riesgos de segregación inapropiada de trabajo, los riesgos asociados con la integridad de la información de sistemas de bases de datos y los riesgos asociados a la confidencialidad de la información. Los riesgos de acceso pueden ocurrir en los siguientes niveles de la estructura de la seguridad de la información: o Procesos de negocio: Las decisiones organizacionales deben separar trabajo incompatible de la organización y proveer el nivel correcto de ejecución de funciones. o Aplicación: La aplicación interna de mecanismos de seguridad que provee a los usuarios las funciones necesarias para ejecutar su trabajo. o Administración de la información: El mecanismo provee a los usuarios acceso a la información específica del entorno. o Entorno de procesamiento: Estos riesgos en esta área están manejados por el acceso inapropiado al entorno de programas e información. o Redes: En esta área se refiere al acceso inapropiado al entorno de red y su procesamiento. o Nivel físico: Protección física de dispositivos y un apropiado acceso a ellos. Algunos de los métodos de prevenir el acceso ilegal a los servicios informáticos incluyen: o -Claves y contraseñas para permitir el acceso a los equipos. o -Uso de cerrojos y llaves. o -Fichas ó tarjetas inteligentes. 11
  • 12. El Riesgo o Dispositivos biométricos (Identificación de huellas dactilares, lectores de huellas de manos, patrones de voz, firma/escritura digital, análisis de pulsaciones y escáner de retina, entre otros).  Riesgos de utilidad: Estos riesgos se enfocan en tres diferentes niveles de riesgo: o Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los problemas ocurran. o Técnicas de recuperación/restauración usadas para minimizar la ruptura de los sistemas. o Backups y planes de contingencia controlan desastres en el procesamiento de la información.  Riesgos en la infraestructura: Estos riesgos se refieren a que en las organizaciones no existe una estructura información tecnológica efectiva (hardware, software, redes, personas y procesos) para soportar adecuadamente las necesidades futuras y presentes de los negocios con un costo eficiente. Estos riesgos están asociados con los procesos de la información tecnológica que definen, desarrollan, mantienen y operan un entorno de procesamiento de información y las aplicaciones asociadas (servicio al cliente, pago de cuentas, etc.).  Riesgos de seguridad general: Los estándar IEC 950 proporcionan los requisitos de diseño para lograr una seguridad general y que disminuyen el riesgo: o Riesgos de choque de eléctrico: Niveles altos de voltaje. o Riesgos de incendio: Inflamabilidad de materiales. o Riesgos de niveles inadecuados de energía eléctrica. o Riesgos de radiaciones: Ondas de ruido, de láser y ultrasónicas. o Riesgos mecánicos: Inestabilidad de las piezas eléctricas. 12
  • 13. El Riesgo Administración de Riesgos Es una aproximación científica del comportamiento de los riesgos, anticipando posibles pérdidasaccidentales con el diseño e implementación de procedimientos que minimicen la ocurrencia de perdidas o el impacto de las perdidas que puedan ocurrir. El objetivo es asegurarse que las operaciones, principalmente las que realizan las instituciones financieras en los mercados de capital, dinero y cambios, no las expongan a pérdidas que puedan amenazar el patrimonio de las mismas; la creciente complejidad que han alcanzado dichos mercados, y la cada vez mayor diversificación de los instrumentos que se operan, han hecho que la administración de riesgos sea cada vez más difícil de evaluar; es por eso que, en la actualidad, es indispensable que las Instituciones Bancarias, cuenten con una unidad de administración de riesgos. Técnicas y Procedimientos para Administrar Riesgos ○ Evitar Riesgos: Un riesgo es evitado cuando en la organización no lo acepta. Esta técnica puede ser más negativa que positiva. Si el evitar riesgos fuera usado excesivamente el negocio sería privado de muchas oportunidades de ganancia (por ejemplo: arriesgarse a hacer una inversión) y probablemente no alcanzaría sus objetivos. ○ Reducción de Riesgos: Los riegos pueden ser reducidos, por ejemplo con: programas de seguridad, guardias de seguridad, alarmas y estimación de futuras pérdidas con la asesoría de personas expertas. ○ Conservación de Riesgos: Es quizás el más común de los métodos para enfrentar los riesgos, pues muchas veces una acción positiva no es transferirlo o reducir su acción. Cada organización debe decidir cuales riegos se retienen, o se transfieren basándose en su margen de contingencia, una pérdida puede ser un desastre financiero para una organización siendo fácilmente sostenido por otra organización. 13
  • 14. El Riesgo ○ Compartir Riesgos: Cuando los riesgos son compartidos, la posibilidad de pérdida es transferida del individuo al grupo.  Evaluación de Riesgo Evaluación de riesgos es la ciencia que estudia la comprensión y la medida de los peligros así como la exposición y, en última instancia, los riesgos asociados. Se trata, por necesidad, de una ciencia interdisciplinar. Los científicos desarrollan metodologías de evaluación de riesgos a fin de estandarizar y obtener una amplia aceptación de estos enfoques a través de las fronteras científicas, institucionales e internacionales. Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en cuenta que, una de las principales causas de los problemas dentro del entorno informático, es la inadecuada administración de riesgos informáticos, esta información sirve de apoyo para una adecuada gestión de la administración de riesgos, basándose en los siguientes aspectos: ○ La evaluación de los riesgos esenciales a los diferentes subprocesos de la Auditoría. ○ La evaluación de las amenazas o causas de los riesgos. ○ Los controles utilizados para minimizar las amenazas o riesgos. ○ La evaluación de los elementos del análisis de riesgos. La evaluación de riesgos también está presente en la vida diaria de cualquier persona y en todas las profesiones, aunque no siempre se considere así. Los profesionales de la medicina, por ejemplo, se enfrentan a ciertos riesgos todos los días: cuando tratan a un paciente con un medicamento deben considerar los efectos secundarios y otros factores de riesgo; cuando recomiendan una intervención quirúrgica deben estar razonablemente seguros de que los beneficios compensarán los riesgos asociados a la operación. Existen dos componentes en evaluación de riesgos: o Análisis de Riesgos 14
  • 15. El Riesgo Esta fase consiste principalmente en Identificar el peligro, entendiendo como tal, la fuente o situación con capacidad de daño en términos de lesiones, daños a la propiedad, daños al medio ambiente, o bien una combinación de ambos. Una vez identificado el Peligro, se ha de Describir, lo que a su vez comporta definir el daño resultante y los acontecimientos que han de suceder desde la situación inicial hasta que se materializa el accidente. Ante un accidente deberá plantearse cuales son las consecuencias previsibles, las normales y esperadas y las que pueden ocurrir con posibilidad remota. En la valoración de riesgos convencionales se consideraran las consecuencias normalmente esperadas, pero en cambio, en instalaciones peligrosas, nucleares, químicas, etc., en las que las consecuencias pueden ser desastrosas, es imprescindible considerar las consecuencias más críticas, aunque la posibilidad sea muy baja, lo que determinar el ser mas rigurosos en el análisis probabilístico. o Valoración del riesgo Tras efectuar el Análisis de Riesgos, y con el orden de magnitud que se ha obtenido para el Riesgo, hay que Valorarlo,es decir emitir un juicio sobre la tolerabilidad o no del mismo, hablándose en el caso afirmativo de Riesgo Controlado, y finalizando con ello la Evaluación del Riesgo. No termina con ello la actuación, sino que se debe mantener al día, lo que implica que cualquier cambio significativo en un proceso o actividad de trabajo, debe de conducir a una revisión de la Evaluación, y en tal sentido queda establecido en la mencionada Ley de Prevención de Riesgos Laborales, al establecer como obligación del empresario, la actualización de las evaluaciones cuando cambien las condiciones de trabajo. 15
  • 16. El Riesgo Gestión de Riesgo Es un proceso dinámico que lleva a realizar todos los pasos razonables para averiguar y para abordar los riegos que repercuten sobre los objetivos de una organización. Los recursos y procesos de la empresa se unen para manejar el riesgo allí donde ha sido identificado. A continuación se mencionan un conjunto de normas que la organización debería implementar para obtener los beneficios de una gestión de riesgo exitosa: ○ La planificación más realista de la empresa y sus proyectos. ○ Acciones perfeccionadas a tiempo para ser más efectivas ○ Una mayor certidumbre en la consecución de los objetivos empresariales y de sus proyectos. ○ Evaluación de todas las oportunidades beneficiosas y buena disposición para explotarlas ○ Un control perfeccionado de perdidas ○ Un control de costos de los proyectos ○ Una mayor flexibilidad como resultado del conocimiento de todas las opciones y los riesgos asociados. ○ Una reducción de las sorpresas onerosas, debido a una planificación más efectiva y más transparente de las eventualidades. La gestión de riesgos es asignada a un responsable de riesgo para que tome las medidas necesarias como respuestas a los riegos definidos, distintos tipos de riesgos o los que pueden afectar proyectos. Etapa de la Gestión de Riesgos ○ Identificación: El proceso de gestión de riesgos inicia por un método para identificar todos los riesgos a los que se enfrente una organización. Este deberá incluir todas las partes que tienen experiencia, responsabilidades e influencia sobre el área afectada por los riegos en cuestión. 16
  • 17. El Riesgo ○ Evaluación: La siguiente etapa es la de evaluar la importancia que tienen los riesgos que se han identificado. Esta etapa deberá girar alrededor de la repercusión bidimensional, es decir, las consideraciones de probabilidad. ○ Gestión: Una vez se dispone del conocimiento sobre que riesgos son significativos y que riesgos lo son menos, el proceso requiere el desarrollo de estrategias para gestionar los riesgos con graves repercusiones. ○ Revisión: El proceso de gestión de riesgos y sus resultados debe ser revisado continuamente. Esto involucra la actualización de las estrategias de manejo de los riesgos y revisar la validez de los procesos que están siendo aplicados en la organización Metodología de Gestión de Riesgo La gestión de riesgo es una parte importante en el ciclo del riesgo, debido a que permite establecer y revisar los controles internos de las organizaciones. En términos de la administración del riesgo se necesita añadir un conjunto de respuestas que permitan mitigar el riesgo. Estas respuestas consisten en controles sobre los procesos y la ejecución de estrategias que permitan reducir las vulnerabilidades. ○ Finalización: Cuando el impacto y la probabilidad de ejecución de un riesgo es alto, se empieza a considerar si las operaciones deberían continuar. Un ejemplo de esta situación es cuando una organización enfrenta problemas con la importación u operación de su compañía en países políticamente volátiles (alta inseguridad, políticas económicas desfavorables, entre otras.) y entonces se debe evaluar si es rentable mantener las operaciones de la misma o simplemente cerrar por los grandes riesgos que se corren. ○ Controles: Una de las armas para disminuir el riesgo es poseer mejores controles. Haciendo referencia al ejemplo mencionado en el punto anterior, si una compañía y su equipo de trabajo se encuentran en riesgo por la alta inseguridad en el país de operación, se puede considerar aplicar controles como: seguridad personal, procedimientos de viajes, asistencia a seminarios que expliquen las formas de reducir las posibilidades de ser victima de la inseguridad, entre otras. 17
  • 18. El Riesgo ○ Transferencia:Cuando los riesgos tienen un gran impacto pero son poco probables, se puede adoptar la estrategia de propagar el impacto del riesgo. Siguiendo con el ejemplo que se viene desarrollando, se puede esparcir el impacto al poseer pólizas de seguro que cubran a la organización y su equipo de trabajo. ○ Contingencias: Una respuesta bastante útil al riesgo de alto impacto, y baja probabilidad es hacer un arreglo de contingencias en caso de que se materialice el riesgo. La organización que opera en el país inestable puede cubrirse al poseer un procedimiento de evacuación si se da el caso de la materialización del riesgo. ○ Tomar más riesgos: La gestión del riesgo se basa en conocer donde invertir el tiempo y los apreciado recursos. En el caso del establecimiento de la compañía en un país inestable, se puede asumir el riesgo de operaciones en el mismo, siempre y cuando se exploten las oportunidades que brinda y disminuyan al máximo las vulnerabilidades. ○ Comunicación: La comunicación es la estrategia que debe ser aplicada cuando los controles no disminuyen los riesgos a un nivel aceptable, es por ello que debe comunicarse a todos los involucrados en la organización sobre los riesgos y que estos podrían afectar el éxito de la misma. Para el ejemplo que se viene desarrollando, se debe informar a los empleados sobre las estadísticas de los problemas que podrían afectar su estadía en el país, esto es particularmente útil cuando los riesgos se escapan de los controles establecidos. ○ Tolerancia: Los riesgos de bajo impacto y poca probabilidad de materialización no son vistos como amenazas y pueden ser tolerados. ○ Comisión de investigación: El manejo del riesgo puede necesitar un tiempode investigación o análisis del riesgo para tomar decisiones con respecto a este, evaluar su impacto y si es probable que se materialice. En el caso de estudio, la organización puede asesorarse por organismos de investigación que le suministren información sobre los riesgos que se pueden tener en una región. ○ Apoyo externo: Algunos riesgos de alto impacto y mucha probabilidad de ocurrir pueden crear un bloqueo en los responsables de las decisiones y esto puede ser resuelto al contratar a terceros para manejar el riesgo. 18
  • 19. El Riesgo ○ Revisión de los controles: La única arma en el arsenal de respuestas ante los riesgos es la revisión. Esta se base en enfocarse en las áreas donde los controles son cruciales para disminuir los riesgos significativos, y asegurarse que están funcionando correctamente. Conclusión Los riesgos representan una amenaza de bajo y alto impacto en las organizaciones, por esa razón, deben ser tomados en consideración al ser medidos con regularidad a través de la metodología planteada en el informe. Las organizaciones deben conocer sus fortalezas y oportunidades para aprovecharlas, y de esa manera, evitar que los riegos se materialicen, y por supuesto, disminuir las vulnerabilidades que se puedan generar en algunasde las regionesde cualquier organización. Entonces según lo citado, resulta necesario desarrollar e implementar estrategias para gestionar los posibles riesgos que puedan surgir o amenazar la seguridad de una organización, y por ende, está pueda alcanzar todos los objetivos que se ha planteado, y por consiguiente, lograr las metas establecidas. 19
  • 20. El Riesgo Referencias Bibliográficas  http://www.basc-costarica.com/documentos/riesgosinformatica.pdf  http://biblio.juridicas.unam.mx/libros/2/909/5.pdf  http://www.ccee.edu.uy/ensenian/catcomp/material/riesgo.pdf 20
  • 21. El Riesgo Anexos Plan de trabajo Objetivo General: Exponer los aspectos que hacen necesario replantear la seguridad de una organización en el ámbito de análisis, evaluación y manejo de riesgos, mediante estrategias, procesos, personas, tecnología y conocimientos. FECHA DE INICIO: FECHA DE CULMINACION: OBJETIVOS ESPECÍFICOS ACTIVIDADES A REALIZAR DURACIÓN ESTIMADA (SEMANAS) 01 02 03 04 05 06 07 08 09 10 11 12 13 Fijar estrategias de búsqueda de información. Seleccionar herramientas. Recopilar, estudiar y Búsqueda y revisión de material bibliográfico: El enfoque analizar la diversa central será el estudio de la evaluación y manejo de riesgos. información referente al Indagar sobre investigaciones ya realizadas referentes al tema. tema de Riesgos Comparar metodologías de análisis de riesgos en diferentes organizaciones. Construir los objetivos específicos que nos proporcionarán el trayecto para aplicar los métodos y procedimientos necesarios
  • 22. El Riesgo Establecer la estructura para alcanzar nuestro objetivo general. básica del Informe de Determinar el alcance de nuestra investigación. Investigación Fijar los puntos relevantes en los que nos enfocaremos. Definir los diferentes conceptos. Bosquejo del Marco conceptual. Seleccionar herramienta. Diseñar la estructura de la presentación, acorde al tema. Definir estilos en cuanto a colores, tipos de letras, anexos, Diseñar, estructurar y crear gráficos, entre otros. la Presentación simbólica del Redactar y resumir el tema de Riesgos. Informe de Investigación Detallar y especificar de manera clara los conceptos reflejados en el Informe. Hacer uso de gráficos necesarios para el entendimiento productivo del tema seleccionado. Seleccionar herramientas. Elaborar Video Establecer estructura. representativo del Tema Fijar tiempo de duración, estilo, entre otros aspectos. seleccionado Resumir contenido del proyecto de investigación. Hacer uso de la Entregar el Informe de investigación, la presentación y el video retroalimentación para su revisión y observaciones. 22
  • 23. El Riesgo Realizar las correcciones Ajustar tanto trabajo de investigación, la presentación y el video, de acuerdo a las consideraciones recibidas. indicadas ENTREGA DEL TRABAJO DE INVESTIGACIÓN “EL RIESGO” : LA PRESENTACIÓN Y EL VIDEO REPRESENTATIVO 23