Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Metodologia para Analisis y Valoracion de Riesgos en Proyectos de Tecnologia de Informacion
Metodologia para Analisis y Valoracion de Riesgos en Proyectos de Tecnologia de Informacion
HCTORVALENCIAVALENCIA
METODOLOGAPARAELANLISISYVALORACINDERIESGOSEN PROYECTOSDETECNOLOGADEINFORMACIN
HCTORVALENCIAVALENCIA
MonografaparaoptaralttulodeEspecialistaenAdministracinde RiesgosySeguros.
Coordinador RODRIGORESTREPOVLEZ
TABLADECONTENIDO GLOSARIO ......................................................................................................... 7 INTRODUCCIN .............................................................................................. 12 1. OBJETIVOS .............................................................................................. 15 1.1. 1.2. OBJETIVOGENERAL ............................................................................... 15 OBJETIVOSESPECFICOS....................................................................... 15
2. BENEFICIOS ............................................................................................. 16 3. ALCANCE................................................................................................. 17 4. APLICACIN............................................................................................. 18 5. FORMULACINDELPROBLEMA.......................................................... 19 6. JUSTIFICACIN....................................................................................... 21 7. MARCOCONCEPTUAL............................................................................ 23 7.1. 7.2. LASBASESDELAGERENCIADELRIESGOCORPORATIVO......................... 24 ELFUTURO ........................................................................................... 26
8. ANTECEDENTES...................................................................................... 32 9. QUSONLASEMPRESASPBLICASDEMEDELLNE.S.P............... 35 9.1. DEAYERAHOY ..................................................................................... 37 9.2. HACIAELFUTURO.................................................................................. 38 9.3. NUEVOESQUEMAEMPRESARIAL............................................................. 41 9.4. ESTRUCTURAORGANIZACIONALDEEE.PP.M.ENEL2005 ....................... 41 9.5. VISIN.................................................................................................. 42 9.6. MISIN ................................................................................................. 43 9.7. VALORESORGANIZACIONALES............................................................... 43 9.8. ADMINISTRACIN ................................................................................... 44 9.9. PRESUPUESTO ...................................................................................... 44 9.10. FUNCINSOCIAL ................................................................................... 45 9.11. GESTINAMBIENTAL ............................................................................. 45 9.12. NUESTROSCOMPROMISOS .................................................................... 46 Manejointegraldelambiente ..................................................................... 46 Mejoramientocontinuodelagestinambiental ......................................... 47 Partesinteresadas ..................................................................................... 48 9.13. GESTINDERIESGOS........................................................................... 48 9.14. CULTURAEMPRESARIAL........................................................................ 50 9.15. GRUPOEMPRESARIALEE.PP.M.. .......................................................... 51
10.
QUESLADIRECCININFORMTICACORPORATIVA.................. 52
10.1. ESTRUCTURA ........................................................................................ 52 10.2. UNIDADPLANEACININFORMTICA........................................................ 53 10.3. UNIDADGESTININFORMTICA .............................................................. 53 10.4. UNIDADINGENIERAYTECNOLOGAINFORMTICA .................................... 53 10.5. UNIDADSISTEMASDEINFORMACIN ....................................................... 54 10.6. UNIDADOPERACIONESINFORMTICA ...................................................... 54 10.7. PENSAMIENTOESTRATGICO ................................................................. 54 Misin 54 Visin 55 Estrategia................................................................................................... 55 11. METODOLOGIAPARAELANLISISYVALORACINDERIESGOS ENPROYECTOSDETECNOLOGADEINFORMACIN .............................. 56 11.1. FASE 0: SENSIBILIZACIN ..................................................................... 57 11.2. FASE 1: PLANEACINDELPROYECTO.................................................... 61 ConfirmacindelAlcance .......................................................................... 61 ConformacindelEquipodeTrabajo......................................................... 62 11.3. FASE 2: INICIACINDELPROYECTO ....................................................... 64 ReunindeLanzamientodelProyecto ...................................................... 65 ConocimientodelNegocio ......................................................................... 65 SolicituddeRequerimientosdeInformacin.............................................. 66 PlandeEntrevistas .................................................................................... 66 11.4. FASE 3: GESTINDELRIESGO .............................................................. 66 Identificacin .............................................................................................. 69 Anlisisyvaloracin .................................................................................. 77 11.4.2.1.Perfildelosriesgos .............................................................. 88 11.4.2.2.Patronesnormalesdedistribucin...................................... 88 11.4.3. Control ......................................................................................... 90 12. 13. 14. 15. RECOMENDACIONES .......................................................................... 94 CONCLUSIONES.................................................................................. 96 BIBLIOGRAFA..................................................................................... 98 REFERENCIAS.................................................................................... 101
GLOSARIO Para efectos de lograr una adecuada interpretacin de los conceptos que se manejan en los proyectos de tecnologa de informacin, a continuacin se definenalgunos delos principales trminosespecficosde uso frecuente enla metodologaparadesarrollarestetipodeproyectos. Informacin: Es el conjunto de datos que procesados e interpretados arrojan unresultadoyconbaseenlsetomandecisiones. Tecnologa de Informacin: Se define como el conjunto de procesos informticos, genteespecializada einfraestructura tecnolgica necesaria y con un amplio grado de integracin de sus componentes que maximizan la prestacindelosserviciosparasatisfacerlosrequerimientosdelnegocio. Proyecto: Un proyecto puede concebirse como un conjunto de actividades interdependientes,diseadasparaviabilizary materializarlosobjetivosdeuna organizacin en forma eficiente. En su esencia misma puede definirse como: Una accin no repetitiva, ni rutinaria orientada hacia el logro de un objetivo especfico y que se ejecuta con metas preestablecidas de calidad, costo y tiempo. Proyecto de Tecnologa de Informacin: Lo componen un conjunto de actividadesinterdependientesqueserealizanenformaplaneada,coordinaday controlada,dondeseintegranlaspersonas,losprocesosylatecnologaconel findedarunasolucinautomatizadaqueatravsdeunsistemadeinformacin resuelvaunanecesidadplanteadaporelusuarioinformticoolaorganizacin. Usuario Informtico: Persona que utiliza la infraestructura informtica para accederalainformacinyconbaseenellatomardecisiones.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
Ambiente Informtico: Es la integracin de tres componentes bsicos: aplicaciones,tecnologaypersonas. Infraestructura Tecnolgica: Son los componentes de hardware (servidores, computadores de escritorio, personales, enrutadores, cables de red, entre otros), software (bsico, especfico, corporativo o departamental), bases de datos y aplicaciones que en forma conjunta e integrada procesan datos y producen resultados que generan informacin y con base en ella se toman decisiones. Contingencia Informtica: Es un suceso fortuito que afecta el procesamiento automatizado de la informacin y suspende las actividades normales del negocio. Amenaza: Persona, objeto, situacin o evento natural del entorno (externo o interno)queesvistocomofuentedepeligro,catstrofeointerrupcinypueden ser de origen natural tecnolgico y social. Ejemplos: sismos, inundacin, avalanchas, incendio, explosiones, robo de datos, sabotaje, ausencia del plan de contingencias,insuficiente gestinde monitoreo, aplicativos mal diseados, secuestro,fraude,etc.Tambinsedefinecomounriesgonoevaluado. Vulnerabilidad:Gradodesensibilidaddeunsistemaanteunriesgo,medidoen cuanto al nivel de afectacin posible poniendo en peligro su estabilidad. Situacin creada porlafalta de uno o varios controles, porlo quelaamenaza pudiera ocurrir y afectar el entorno informtico. Por ejemplo: deficiente control de accesos, administracin deficiente de la infraestructura informtica, poco control de versiones de software, ausencia de entrenamiento compartido (respaldodepersonas),polticasinexactaseinsuficientes,etc.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
Riesgo: Definimos el riesgo como la probabilidad de que la amenaza se materialice, debido a la existencia de una o varias vulnerabilidades de peso significativo. El riesgo es difcil de medir, sobretodo, cuandono se cuenta con datos estadsticos que lo respalden o avalen, por la tendencia de las organizaciones a ocultar incidentes, la localizacin geogrfica, las culturas, leyes, criticidad, situacin pas, etc. Tambin se define como una amenaza evaluada en cuanto a su probabilidad de ocurrencia (Frecuencia) y a la gravedaddesusconsecuencias(Severidad).
Frecuencia/Probabilidad:Esunamedidasobreelporcentajedeocurrenciade uneventoexpresadoennmerodeocurrenciasovecesquesedaunevento. Ver tambin posibilidad y probabilidad. Tambin se define como el nmero de vecesqueunaamenazadejadeserloparaconvertirseenrealidad,alolargode undeterminadoperiododetiempo. Severidad/Impacto: Es la evaluacin del efecto y consecuencia del riesgo. Generalmente,laexposicinalriesgosemideenaspectoseconmicos,imagen de las personas o empresas, disminucin de capacidad de respuesta y competitividad, interrupcin de operaciones, etc. Efecto que causa en la organizacinlaocurrenciadeunsiniestroocontingenciayquenormalmentese vereflejadoenlasuspensindelasactividadesnormalesdelnegocio.Tambin sedefinecomoeleconmicodelamaterializacindeunaamenaza,serequiere involucrargastosdirectos,indirectosyprdidasconsecuenciales.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
10
Siniestro:Todoeventoaccidental,sbitoeimprevisto(repentino,noplaneado), quenormalmentegeneraconsecuenciasnegativassobreunsistema. Control: Control es toda accin orientada a minimizar la frecuencia de ocurrencia de las causas del riesgo o valor de las prdidas ocasionadas por ellas. Los controles sirven paraasegurar laconsecucindelos objetivos dela organizacinoasegurarelxitodeunsistemayparareducirlaexposicinde los riesgos, a niveles razonables. Los objetivos bsicos de los controles son: Prevenirlascausasdelriesgo,detectarlaocurrenciadelascausasdelriesgo, retroalimentandoelsistemadecontrolinternoconmedioscorrectivos. Administracin de Riesgos: Conjunto de estrategias tendientes a minimizar los riesgos asociados al funcionamiento deun sistema, con el fin de disminuir lasprdidasygarantizarsucontinuidad. Prevenir Riesgos: Estrategia en la administracin de riesgos consistente en actuar sobre las acciones y/o las condiciones inseguras, para disminuir la frecuenciadelossiniestros. Transferir Riesgos: Estrategia enla administracin deriesgos consistente en controlar las consecuencias econmicas de los siniestros, mediante la transferenciaparcialototaldelasmismasauntercero. Seguro: Es un contratoen virtud del cual, un ASEGURADOR se compromete medianteelpagodeunaprima,apagaraunASEGURADOoBENEFICIARIO unaindemnizacin,encasodeocurrirunsiniestro.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
11
Retener/AsumirRiesgos:Procesomedianteelcualelpropietariodeunactivo acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados,minimizados). Recuperacin: Actividad final en el proceso de respuesta a un siniestro, consistente en restablecer la operatividad de un sistema interrumpido por la presentacindelmismo. Aplicacin: Conjunto de programas que soportan un proceso en la organizacin. Aplicacin crtica: Es aquella que por ser esencial, requiere ser procesada paradarlecontinuidadalnegocio.
Costo: De una actividad, estos son tanto directos como indirectos, involucran un impacto positivo o negativo, esto se refiere a dinero, tiempo, trabajo, desorganizacin, renombre, polticas y prdidas intangibles como imagen, confianza,credibilidad.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
12
INTRODUCCIN
El hombre y todas las actividades que desarrolla son susceptibles de sufrir eventosquelospuedanafectarenformanegativa.
Desdeloscomienzosdelacomputacin,losrecursosinformticosincluyendola informacin, han estado expuestos a una serie de peligros o riesgos que han aumentadoyevolucionadoconformeseglobalizanlascomunicaciones.
Proteger los activos ms valiosos de la organizacin frente a posibles amenazas que ofrece permanentemente el medio, es un gran desafo. Este interscreceanmscuandolainformacincobraimportanciaparasobrevivir frentealacompetenciaypermanecerenelmercadofactorescomoelusode Internet y dems herramientas que faciliten la comunicacin traen consigo innumerables ventajas, pero igualmente enfrentan a la organizacin a otros problemasqueanteriormentenoexistan.Lamaterializacindeamenazasque alterenodestruyanlainformacin,crealanecesidaddediseareimplementar otrasestrategiasquepermitangerenciarycontrolarlosnuevostiposderiesgos queestnrelacionadosconlatecnologadeinformacin.
Con el devenir del tiempo el hombre ha pretendido desarrollar diferentes metodologasquelepermita,dealgunamanera,enfrentarlasamenazas:desde medidas instintivas hasta el uso racional delos conocimientos y tecnologas a sualcanceencadamomentohistricodelavida.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
13
La Administracin de Riesgos nace para suplir la necesidad del hombre de caracterizarconprecisinelriesgo.Estanoveldisciplinatienecomoprincipales actividades la identificacin, anlisis, evaluacin y control fsico, lgico y financiero ptimos de los riesgos a que estn expuestos los recursos de la Entidad(odeloscualesesresponsable,almenosenparte).
Los riesgos para un sistema (en este caso EE.PP.M.) se clasifican entre aquellos denominados comnmente como Riesgos Convencionales para los cuales la empresa cuenta con recursos permanentes y suficientes para su manejo adecuado, y los denominados Riesgos Mayores con capacidad suficienteparagenerarundesajustesignificativoalrgimendefuncionamiento delaempresa,amenazandosuestabilidadymuchasveceslaintegridaddesus funcionarios o de la comunidad, poniendo en peligro su estabilidad y subsistencia. Las consecuencias de un Riesgo Mayor pueden generar graves CRISIS y afectar su operatividad, con un serio impacto sobre las personas, las instalaciones, la economa del negocio, la imagen y buen nombre de la empresa,laoperacin,lainformacinoelmedioambiente.
SeconocecomoCRISIStodasituacincaracterizadaporcambiosimprevistos en las variables crticas que regulan el funcionamiento de un sistema y por la prdida de control sobre las mismas, con potencial de generar un impacto negativogravealsistemaquelasufre.
Dentro de un adecuado programa de ADMINISTRACION DE RIESGOS, toda empresadebecontarconherramientastendientesaproporcionarlaestructura organizacional, la metodologa y los procedimientos para detectar, evaluar y responderalosRiesgosMayores,detalformaqueseimpidaqueellospuedan
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
14
Elpresentetrabajotienecomofindefinirlametodologadeanlisisyvaloracin de riesgos en proyectos de tecnologa de informacin de una manera estructurada y modular (por fases o etapas) para que sirva como herramienta de apoyo en la gestin de estos proyectos en las Empresas Pblicas de MedellnE.S.P.
En este informe se describen las actividades y tareas que se deben llevar a caboencadafasedelametodologa.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
15
1. OBJETIVOS
Conelpresentetrabajoloquesepretendelograrsonlossiguientes:
OBJETIVOGENERAL Dotar a la organizacin Informtica de Empresas Pblicas de Medelln E.S.P. de una herramienta que le facilite identificar, evaluar, controlar y valorar los riesgos de los proyectos de tecnologa de informacin que emprenda la corporacin, mejorando la gestin con el fin de disminuir el impacto de la tecnologaenloscostos,recursosyeltiempoalentrarenproduccin.
Presentaralgunosmecanismosdecontrolderiesgosparalosproyectos detecnologadeInformacin.
Documentarlametodologa.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
16
2. BENEFICIOS
Algunos beneficios a obtener en la identificacin, anlisis y valoracin de riesgosson:
Obtener las respectivas matrices de riesgos que servirn para diagnosticar la situacin actual y definir las medidas de prevencin y proteccinquepermitanllevarafeliztrminoelproyecto.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
17
3. ALCANCE
Definir y documentar la metodologa de anlisis y valoracin de riesgos en proyectosdetecnologadeinformacindeunamaneraestructuradaymodular (por fases o etapas) que permita identificar, evaluar, controlar y valorar los riesgosenelreainformticayparalasEmpresasPblicasdeMedellnE.S.P.
El trabajo se desarrollar documentado cada una de las fases o etapas que componen la metodologa: Fase de identificacin, evaluacin, control y valoracin,incluyendolasactividadesquesedebenejecutarencadafase.
Despusdeidentificaryevaluarlasamenazasasociadasalossistemasysus componentes,seiniciarnprogramasdecontrolderiesgos.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
18
4. APLICACIN
La aplicacin de la metodologa para el anlisis y valoracin de riesgos informticos, deber realizarse en todas las etapas de los proyectos de tecnologadeinformacinhacindolaextensivaacontratistas,subcontratistasy proveedores.
1 ExistenenlaEntidaddependencias confuncionesdealcancecorporativoque
deben realizar la gestin de riesgos en dos niveles claramente diferenciables: Comogestininternaindependiente,ycomoapoyocorporativohacialasdems unidadesodirecciones.Enesteltimocaso,sernlasunidadesquerequieran el apoyo de las partes corporativas, las que soliciten en forma explcita la necesidaddeasesoraespecficayaplicacindeestametodologa.
La metodologa podr ser aplicada en cada Unidad de Ncleo Compartido (UNC), Unidad Estratgica de Negocio (UEN) o Unidad de Servicios Compartidos(USC),esdecir,dependiendodelosrecursosqueposeanoestn bajosuresponsabilidad.
Direccin Informtica, Direccin Administrativa, Direccin Gestin Humana, Planeacin y Finanzas, Secretara General,ControlInterno
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
19
5. FORMULACINDELPROBLEMA
Independientementedelosesfuerzosquelasempresasdesarrollenparaevitar lossiniestros,siemprehabrunaposibilidadesperamosqueremotadeque sepresenteuneventoindeseado.
Enmuchoscasoslosrecursosdisponiblesenlaempresasernsuficientespara sortear con xito el imprevisto. Sin embargo, en otros casos, tal como la experiencia lo ha demostrado, un evento puede superar la capacidad de respuestadisponible,yesentoncesdondesobrevienenlosdesastres,algunos conresultadoscatastrficos.
En el transcurso de los aos y con la incursin de nuevas y mejores tecnologas,lautilizacindelainformacinydelprocesamientoelectrnicode datoshacobradounpapelsignificativodentrodeldesarrollodelasoperaciones normalesdelasorganizaciones.Asmismo,sehaconvertidoenestrategiapara lograrunaventajacompetitivayenunapoyodefinitivoparalagestinnegocio.
Los sistemas de informacin ms que una novedad que adquieren las organizaciones para estar in, son elementos fundamentales que han contribuido efectivamente en el desarrollo de las mismas, que a su vez han tradoconsigounaseriederiesgos,loscualesnoexistanhastaelmomentoo eran de difcil deteccin porque las organizaciones no contaban con los mecanismosolametodologanecesariaparalograrla.
Sinembargo,losbeneficiosreportadosporlossistemasdeinformacinnoson gratuitos,sibienentraronamanejarelrecursomsvaliosoconquecuentanlas organizaciones hoy en da, la informacin, tambin crearon en stas una
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
20
altsimadependenciadelosmismos,dejandoreasfrgilesyvulnerablesysin lascualeslasorganizacionesnopodransubsistir.
Estamos, sin duda, en la era de la informacin: Adquirir equipos, obtener servicios y acortar las distancias para estar informados es una posibilidad tecnolgica vuelta obsesin. Esto hace que la informacin adquiera gran importanciayunvalorincalculable,yqueporlotantohayaquetomartodaslas medidasnecesariasparaprotegerla.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
21
6. JUSTIFICACIN
UnadelasprincipalescaractersticasdeEmpresasPblicasdeMedellnE.S.P. eselmantenersealavanguardiaenlaimplementacindenuevastecnologas de informacin que le permitan brindar un mejor servicio a sus usuarios, disminuirsuscostosoperacionales,permitiendoasprestarserviciospblicosa tarifas ms econmicas, basndose en el principio de que toda inversin tecnolgicao denegocios debe ser sustentada desdela perspectiva tcnica y denegocios.
Esto selogra con eladecuadoaseguramiento delos recursos conque cuenta unaorganizacin,queesunodelosobjetivosdelagestinintegralderiesgos, entendidacomoelconjuntodeaccionesparaenfrentarlosriesgosquegeneran los proyectos de tecnologa de informacin a los cuales estn expuestos, originadosenamenazasprovenientestantodelinteriorcomodelexteriordela empresadefinirydisearcontrolespreventivostomar medidasdeproteccin, y desarrollar programas de recuperacin o planes de contingencia ante la posible ocurrencia de siniestros que puedan afectar la planeacin, ejecucin, implantacin y entrada en produccin del proyecto en una organizacin como lasEmpresasPblicasdeMedellnE.S.P.
La necesidad de tener continuidad enlos procesos se fundamenta en que las principales estrategias que hacen que la empresa sea competitiva y tenga diferenciacin en el medio en que se mueve, dependan de la tecnologa de informacin. Esta realidad la obliga a mantener una alta disponibilidad en su infraestructura tecnolgica y en consecuencia la Direccin de Informtica Corporativa ha venido respondiendo al reto, comprometindose a incrementar ao tras ao el ndice de disponibilidad de la infraestructura de TI, pero
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
22
reconociendo la falta de metodologas, herramientas y estndares de las mejores prcticas que le permitan identificar, evaluar, valorar y controlar los riesgos de la tecnologa de informacin que le faciliten de la manera ms eficientecumplirconlosobjetivosdelaempresayacostosrazonables.
Elcontarconunametodologadeanlisisyvaloracinderiesgosenproyectos detecnologadeinformacinenlaorganizacin,ayudaenformaestructuradaa identificar, evaluar, controlar y valorar los riesgos para poder administrarlos y de esta manera poder entrar en produccin con los recursos, los costos y el tiempoplaneado.
Elpresentetrabajotienecomofindefinirlametodologadeanlisisyvaloracin de riesgos en Proyectos de Tecnologa de informacin de una manera estructurada y modular (por fases o etapas) para las Empresas Pblicas de MedellnE.S.P.
Por todo lo anterior y siendo la Direccin de Informtica Corporativa el rea responsable de adquirir los sistemas de informacin que apoyen los procesos del negocio, ha considerado muy importante y necesario desarrollar y documentar esta metodologa con el propsito de aplicarla en todos los proyectosdetecnologadeinformacinqueemprendalacorporacinybajola responsabilidaddeestadireccin.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
23
7. MARCOCONCEPTUAL
ElHombreysusactividadeshanestado,desdesusorgenes,acompaadosde riesgos y amenazas. La incertidumbre y la exposicin al peligro, han permanecidocontinuamenteligadasaldesarrollohumanoyporende,elinstinto de proteccin ante la eventualidad de sufrir un dao o una prdida, ha sido tambinunaconstanteenlavidadelhombre.
En un comienzo los peligros que lo rodeaban eran sencillos, al igual que las soluciones para enfrentarlos. Sin embargo, el progreso y la diversificacin de actividades humanas, trajeron consigo nuevos y ms acentuados problemas y peligros,desconocidoshastaesemomento.Esto,unidoalaasignacindevalor a los bienes posedos, acarre que las amenazas se hayan incrementado significativamente. De aqu la importancia de disminuir racionalmente las fuentesdepeligrooriesgoalasqueestexpuestaelhombre.
El desarrollo empresarial no ha sido ajeno a estos procesos. An ms, es imposible concebir al empresario sin la convivencia con el riesgo, pues de all es de donde realmente proviene su beneficio. El entorno en que operan las empresas se ha vuelto ms complejo y cada vez ms dependen de la tecnologa y los sistemas de informacin. Esto ha trado consigo la necesidad dedarunamayoratencinaltratamientodelosriesgosenlasorganizaciones loqueha propiciadola aparicin delgerente de riesgos,que se ha convertido enpiezafundamentaldentrodelcontextodelaaltagerencia
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
24
La materializacin de cualquier tipo de amenaza puede tener serias y graves consecuencias paralas que debemos estar preparados. Existe la probabilidad dequeseincrementenlosriesgosporfactorescomoeldesarrolloindustrial,la nuevatecnologa,elaumentoderiesgosdeorigensocial,elsurgimientodeuna legislacin ms estricta, la limitada capacidad de respuesta de algunos organismosdeemergencia,entreotros.
En cualquier empresa, los gerentes deben lidiar con el riesgo. Sin embargo, dado que cada departamento dentro de una organizacin afronta el riesgo de diferentemanera,lagerenciaderiesgosenmuchoscasos,sehaconvertidoen unatareaadhoc.
Unaadecuadagerenciadelriesgonoslopuedesignificarladiferenciaentrela vidaylamuertedeunaempresa,sinoquepuedeserunaformainnovadorade aumentar el valor de la empresa. Esta disciplina, antes circunscrita a la administracin de plizas de seguro, es ahora de inters para Gerentes Generales, Directores de Control Interno, Informtica, Gestin Humana, Tesoreros,yengeneral,paratodalaempresa.
L ASB ASESDELA GERENCIADELRIESGOCORPORATIVO El riesgo y la incertidumbre son fundamentales en la vida profesional y personal. El riesgo es la fuente de oportunidades que pueden convertirse en ganancia,peroasuvez,asomalaposibilidaddelaruina.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
25
Lasempresasgastananualmentemillonariassumasdedineroparaafrontarsu vulnerabilidadantelosriesgos.Estaenormecifrallevaaplantearnos:
Estnoptimizandosudineroconestasacciones?.
Debidoaqueelriesgoylaoportunidadvanmanoamano,lasempresassuelen afrontar una inmensa variedad de riesgos, saberlos manejar es un asunto delicado.
Manejar el riesgo puede reducir los riesgos de tener problemas financieros y protegeralaempresaanteeventosnoanticipadosqueinterrumpansusplanes. Mientras que muchos ejecutivos luchan contra ciertos tipos de riesgos especficos,la gerenciade riesgos debera estarintegrada y consolidadapara lograr una mxima reduccin de riesgos a un mnimo costo. El riesgo no se puede evitar, pero es manejable. Las empresas buscan manejar el riesgo de diversasformas:
a) Evasin de riesgos: cuando se decide no emprender ninguna accin riesgosa. b) Reduccinderiesgos:prevenirycontrolarlosriesgosusandoequipos deseguridad,tcnicasdeprevencinydiversificacin. c) Transferenciaderiesgos:serefiereaaseguraryequilibrarlosriesgos, compartindolosconterceros,porejemplolascompaasdeseguros. d) Retencin de riesgos: absorber ciertos riesgos de un modo costo efectivo.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
26
Es crtico para una empresa coordinar sus esfuerzos en todaslas reas, para poder tomar decisiones sobre manejo de riesgos de forma coherente. Un ejemplo de incoherencia es una compaa que gasta sumas millonarias asegurando sus plantas de produccin y equipos contra prdidas por accidentessinembargo,unaccidentedeestetiposeramenosdevastadorque uncambioenlastasasdeinters,unaprdidadeinformacinestratgicaouna prdidadeimagencontraelquelaempresanotendraproteccinalguna.
Se debe desarrollar una cooperacin cercana y constante entre aquellos responsables por dirigir las actividades de la empresa, los responsables de conseguir el capital para financiar dichas actividades, y los responsables por cubrirlosriesgosqueesasactividadesgeneran.
LaGerenciadeRiesgoIntegrado(GRI)proveelaestructuraparaarticularestas relacionescrticas.
Los accionistas estn preocupados por el uso eficiente de sus fondos los funcionarios pblicos buscan el inters de los consumidores los accionistas y aseguradores, as como las agencias de calificacin de riesgo y otros intermediarios financieros, siguen con cautela las habilidades de manejar riesgosdelosgerentes.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
27
Los Estados Unidos han asumido el rol de liderazgo en las soluciones de Transferencia de Riesgo Alternativo (TRA). La perspectiva es alentadora, debidoalacrecienteimportanciadelosmercadosdecapitalylaintegracinde tareas de gerencia de riesgos dentro de las corporaciones. En Europa, el desarrollo en el Reino Unido ha avanzado relativamente, mientras que el mercado permanece en su infancia en el continente. Sin embargo, los ambientes reguladores, de impuestos y contabilidad europeos son favorables para la innovacin, y la regin debera ver un fuerte crecimiento para las solucionesTRAatrminomedio.LosdesarrollosdelassolucionesTRAapenas comienzanahacerseenAsiayLatinoamrica.
Quedarse de lado ante la evolucin de la gerencia de riesgos implica perder oportunidades.Lahistoriahademostradoquelosinnovadorespuedenobtener gananciasextraordinarias.
El Gerente Corporativo de Riesgos El CEO de la empresa (Gerente General), como responsable mximo del xito de la empresa, puede ser considerado comoelejecutivoacargodelriesgo.Unpasoimportanteadarenelcrecimiento de la gerencia de riesgo integrado es la creacin del papel de un gerente de
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
28
riesgos.Estoyaestocurriendo,especialmenteenlaindustriafinanciera.Este gerente estara encargado de manejar la identificacin y la medicin de todos losriesgosafrontadosporsuempresa,ascomodelusoeficientedelcapitalde riesgo.
Este gerente de riesgo debera provenir de la alta gerencia, y debe reportarle directamentealCEOdelaempresanodeberatenerningunaresponsabilidad por las ganancias o negocio directo, debe actuar ms bien como un auditor o contadorenlaempresa.
ElgerentederiesgosseconvertirenelcampendelGRIcomounabasepara acceder y medir de forma racional la relacin entre los riesgos que una compaaafrontaylosrecursosdecapitalquetieneadisposicin.
Paraelcasocolombiano,LaGerenciadeRiesgoshacobradoparticularinters a comienzos dela dcada delos 90, arazde las medidas encaminadasala liberacin del mercado dentro de la poltica de apertura econmica. El nuevo ambiente de negocios , alejado ya del proteccionismo, ha exigido el uso de tcnicas y metodologas de Gerencia de Riesgo, en detrimento del enfoque simplista de trasladar los riesgos a travs de contratos de seguros, comnmente llamado plizas, manejados por especialistas en la definicin de clusulas y tarifas generales, que poca o ninguna relacin guardaban con la realidad.
Frenteaestenuevopanorama,losriesgosdejarondeseruncampoexclusivo de unos pocos conocedores de las condiciones especficas de plizas existentes en el mercado, para involucrar ms directamente a los gerentes de lasorganizacionesenlagestindestos.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
29
En el campo de los riesgos y los seguros, como sucede en la informtica, el conocimiento profundo de los conceptos y los mtodos por parte de los gerentesredundaengrandesbeneficiosyporesoescadavezmsimperativo.
Lagerenciaderiesgoscomofuncindeliderazgoejecutivoenelmanejodelos riesgos que afectan la actividad empresarial, puede observarse desde los siguientespuntosdevista: Amplio:Desdeelpuntodevistaamplio,seconcibeelgerentederiesgocomo unempresarioresponsablequeposeeycontrolatotalmenteelnegocio,esdecir administratotalmentelosriesgosaqueestexpuesto. Limitado: En el enfoque limitado, las funciones del Gerente se circunscriben principalmente,adirigirlosriesgosasegurables,mediantelacoberturaofrecida porlosseguros. Intermedio: Las funciones del gerente de riesgos ubicado en una posicin intermedia, cuya labor va ms all de la mera adquisicin de seguros para cubrir los riesgos de la empresa, pretende administrar los riesgos pero no en formatotal.
Estallaimportanciaquehaalcanzadolafiguradelgerentederiesgos,quese dicequeestefuncionarioestanindispensableparalaempresacomolosonel jefe de compras, el gerente comercial, el gerente de ventas, pues tiene la responsabilidad de gestionar eficazmente los riesgos que recaen sobre cada uno de los bienes e intereses de la empresa. De este forma, supervisar el desempeo total de una compaa, es responsabilidad y labor del gerente de riesgos.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
30
Entre las muchas responsabilidades del gerente de riesgos podemos resaltar lassiguientes:
Determinacin y evaluacindelosriesgos en las diferentesreas dela organizacin como: Planeacin, Finanzas, Comercial, Procesos, Administrativa, Informtica, Gestin Humana, Medio Ambiente, Jurdica, entreotras.
Seleccindelosmecanismosdecoberturaparalosriesgospropiosdela actividadempresarial.
Atencindereclamaciones. Prevencindeprdidas.
Dado que la principal funcin del gerente de riesgos es preventiva, l busca eliminaroreduciralmnimolosriesgosdelaempresaycuandostosocurran, busca disminuir su impacto en la produccin empresarial, y aunque es difcil eliminar totalmente la posibilidad de riesgos en la empresa, se han diseado programas bastante difundidos a nivel mundial, para realizar una gerencia del riesgoeficaz,entrelosquesedestacanlossiguientes:
Mantenimientodelosregistrosdeprdidasyaccidentesconinformacin verazyactualizada.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
31
Minimizacindelasprdidas.
Al inicio de todo proyecto, contar con un anlisis y valoracin de riesgos de ste, le permite al gerente tener un panorama ms claro y la posibilidad de ir reduciendo frecuencia y severidad ante la posible materializacin de las amenazas.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
32
8. ANTECEDENTES
EE.PP.M. es la empresa lder en el Sector de la prestacin de Servicios Pblicos en el pas, y sus operaciones incluyen actividades de generacin y distribucin de energa, tratamiento y suministro de agua potable, servicios de alcantarillado, telecomunicaciones y distribucin de gas natural en Antioquia y otrasregionesenColombia.
Sus negocios se relacionan con lo que se han denominado Lneas Vitales, o sea aquellos servicios y actividades indispensables para el funcionamiento y desarrolloysupervivenciadelascomunidades.
La mayora de sus operaciones presentan una diferencia significativamente crticaconlamayoradeempresas,debidoaquelaafectacindesuoperacin sereflejaenformainmediataenlasactividadesdelacomunidad.Porelmismo motivoelimpactoproducidoporcualquiereventoqueafectesusoperacionesse extiende mucho ms all del relacionado con factores econmicos y tcnicos, pasando al mbito social y poltico, con las graves implicaciones que ello representa.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
33
Por las caractersticas de su operacin (Empresa de Servicios Pblicos), es altamente vulnerable a las amenazas sociales, ya sean de origen voluntario, poltico o comercial (huelgas, atentados, secuestros, extorsiones, restricciones comerciales, fraude, cambios de legislacin, etc.), adems de presentar amenazas tecnolgicas tpicas para este tipo de operacin (incendios, explosiones,roturadepresas,prdidadeinformacin,contaminacin,fallasen procesos, accidentes de transporte, etc.), as como las amenazas naturales propiasdelaszonasendondeopera(sismos,inundaciones,sequas,etc.).
EE.PP.M. ha desarrollando en las diferentes Unidades Estratgicas de Negocios UEN, Unidades de Ncleo Corporativo UNC y Unidades de Servicios CompartidosUSC, programas yplanes especficos para el manejo desusriesgos.Sinembargo,sehacenecesariointegrartodosestosesfuerzos para que tengan un mismo enfoque y estructura, as como un modelo organizacionalparasuadministracinyoperacin,coherenteconlaMisinyla VisindelaEmpresa.
Conestepropsito,seexpidielDECRETONo648del3deabrilde1995,el cual fue actualizado y reemplazado con el1029 del22 de Enero de 1999, por medio del cual se implanta el Sistema Corporativo de Administracin de Riesgos,suspolticas,directrices,normasyprocedimientos,elcualestableceel proceso para la gestin de los riesgos en EE.PP.M., define los lineamientos parahacerlo,yasignafuncionesyresponsabilidadesalrespecto.
Conmirasallogrodelanteriorpropsito,yencumplimientodelasfuncionesa ella asignadas, la Direccin de Informtica Corporativa ha considerado muy importante y necesario desarrollar y documentar una metodologa con el propsitodeaplicarlaentodoslosproyectosdetecnologadeinformacinque
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
34
Se busca que en cada una delas Gerencias y Direcciones de EE.PP.M. sean capazdeaplicarla,sirviendodenexoentrelosaspectosestratgicosdelaalta Gerencia y los aspectos operativos de los proyectos de tecnologa de informacinqueestnenejecucin.Todoloanterioradecuadoalmarcolegaly organizacionalquerigeelfuncionamientodelaempresa.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
35
9. QUSONLASEMPRESASPBLICASDEMEDELLNE.S.P.
Hasta 1997 Empresas Pblicas de Medelln E.S.P. fue una entidad descentralizada del orden municipal, creada en 1955 por el Consejo Administrativo de Medelln. El 6 de agosto de ese ao cuatro entidades, adscritas en ese entonces al Honorable Concejo Municipal las de Energa, Acueducto,AlcantarilladoyTelfonosfueronfusionadasenunestablecimiento autnomopordeterminacindelConsejoAdministrativodeMedelln,mediante elAcuerdoNmero58.
El18denoviembrede1955laAlcaldadeMedellnexpidilosEstatutosdela organizacin (Decreto 375), reglamentando as su existencia, la cual qued confirmadael25denoviembredelmismoaoconlasancindelGobernador. Pero fue slo en enero de 1956 cuando realmente EE.PP.M. inici su vida administrativa. En 1989, el Acuerdo Nmero 002 incluy en los Estatutos el manejo y mejoramiento del medio ambiente como parte del objeto social de EE.PP.M. Adems reform el nombre del servicio telefnico por el de telecomunicaciones.
Desde enero de 1998, y en virtud de lo previsto en el Acuerdo 69 de 1997 expedido por el Concejo de Medelln y en aplicacin de las previsiones de la Ley 142 de 1994, Empresas Pblicas de Medelln E.S.P. fue transformada en una Empresa Industrial y Comercial del Estado. La entidad tiene por objeto la prestacin de los servicios pblicos domiciliarios de acueducto, alcantarillado, energa,distribucindegasporredytelecomunicaciones.
Por su naturaleza de Empresa Industrial y Comercial del Estado se encuentra sometida a las disposiciones de la ley comercial para el desarrollo de sus
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
36
actividades, lo cual la sita, en principio, en igualdad de condiciones con las empresas de servicios pblicos domiciliarios. Por el objeto al cual se halla dedicada,estsujetaalasdisposicionesdelaLey142de1994Rgimende los Servicios Pblicos Domiciliarios y debe desenvolverse en el ambiente de competenciaentrelosdiferentesprestadoresdelosservicios,segnloprevisto enelmencionadorgimen.
SusedeesMedelln,capitaldeldepartamentodeAntioquia,conunapoblacin de 2.000.000 de habitantes. Con sus servicios EEPPM atiende 3.000.000 de habitantes, la mayora localizados en el Valle de Aburr, corredor geogrfico dondeademsdeMedellnseencuentranlosmunicipiosdeBello,Copacabana, Girardota,Barbosa,Itag,Envigado,Sabaneta,LaEstrellayCaldas.
La seriedad de su gestin, sus niveles de calidad y cobertura y el estricto cumplimiento de sus compromisos financieros le han valido el respaldo delos organismoscrediticiosnacionaleseinternacionales.
EneseentoncesMedellntenaunos500milhabitantes.Losserviciosestaban enmanosdeempresasindependientes,todasdecarctermunicipal.Elservicio deenergacontabacon75.517suscriptores,lamayoradeellosresidenciales,y una capacidad instalada de 100 mil kilovatios, representados en las centrales dePiedrasBlancasyGuadalupeIyII,staltimamotordeldesarrolloindustrial delacapitalAntioquea.
El servicio de acueducto llegaba apenas a 50506 usuarios que consuman diariamente 115 mil metros cbicos. La infraestructura, todava insuficiente, inclua el tanque de Santa Elena (el primero que tuvo la ciudad), la planta de VillaHermosa(laprimeradepurificacin,anenfuncionamiento)yelembalse dePiedrasBlancas.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
37
En materia de telecomunicaciones la aparicin de las Empresas Pblicas de Medelln E.S.P. marc el advenimiento de un gran avance administrativo, tcnicoyoperativo.Alcierrede1955existan25.759suscriptoresentelefona bsica,29.500lneasy54telfonospblicos.
En el marco de una clara y total funcin social, sus estatutos le asignan, en formaexpresa,elobjetivodeconstituirunfactordebienestaryprogresoparala comunidad.
En este tiempo EE.PP.M. ha construido la columna vertebral del sistema hidroelctricoAntioqueo.LosdesarrollosdeGuadalupe,laprimeraysegunda etapadelacentralGuatap,lascentralesdePlayas,NiquayLaTasajera,yel avancedelproyectoPorceII,encarnanelmsgrandepatrimonioenergticode laregin.En1998entrenoperacinLaSierra,suprimerdesarrollotrmicoa basedegas.
EE.PP.M. ha asumido tambin la prestacin y distribucin gradual del servicio de gas natural en 10 municipios del Valle de Aburr, labor que inici desde agostode1998.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
38
Sideacueducto,sehabla,EE.PP.M.entregaelaguademejorcalidaddelpas, procesada en 11 plantas de potabilizacin. La Empresa de Aguas cuenta con fuentesdeaguaysistemasdecaptacinsuficientesparaatenderlapoblacin hastacondicionesdemximasaturacin.Disponedelmsmodernolaboratorio deColombiaparaelcontroldelagua,medianteanlisisbacteriolgicos,fsico qumicos,instrumentalesydeaguasresiduales.
En materia de alcantarillado y resueltas las necesidades de agua potable del Medelln Metropolitano, EE.PP.M. orienta ahora sus esfuerzos hacia el saneamientodelroMedellnyparalograrestepropsitohaconstruidoypuesto enoperacinlaprimeragranplantadeaguasresiduales,ladeSanFernando.
Enelreadetelecomunicacioneselimpulsotecnolgicohasidounaconstante. Ha brindado aportes importantes en estas cuatro dcadas como las centrales digitales, la transmisin por fibra ptica, los sistemas telefnico va radio, buscapersonas y de transmisin de datos la Red Digital de Servicios Integrados, RDSI, y la videoconferencia. Toda esta tecnologa cuenta con el respaldodeservicioscomputarizados,comoeldeinformacinalusuarioo113, el de atencin de daos o 114, y los centros de Control, de Operacin y Mantenimiento.
Estaprevisineneldesarrollodelosservicioseselresultadodelaplanificacin ydelavisinfuturistademuchasgeneracionesdeantioqueos.Graciasaese
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
39
sentido de planeacin, el panorama de los servicios pblicos en Medelln y en los dems municipios donde la Empresa presta servicios, se encuentra tan despejadocomoenelpresenteyenelpasado.Asloconfirmanlosplanesde desarrollo ya financiados con recursos propios y de la banca multilateral y comercial.
EndesarrollodesuPlandeExpansindeEnerga,trabajaenPorceIIque,en losalboresdelsigloXXIentregaralpas392MWenelproyectoNech(750 MW) que ser una realidad a partir del 2005, y en la segunda fase de un desarrollotrmicoenelMagdalenaMedio.
Con su servicio domiciliario de Gas Natural Empresas Pblicas de Medelln E.S.P. aspira a cubrir todo el Valle de Aburr. El desarrollo del plan de masificacinseextenderhastaelao2005ydemandarlaconstruccinde89 kilmetros de redes primarias, 24 estaciones reguladoras para los circuitos y 5.600kilmetrosderedessecundarias.
En los albores de un nuevo siglo EE.PP.M. quiere legarle a las generaciones veniderasunroMedellnrecuperado,msamableysinolores.Atravsdesu plandeSaneamientoproyecta406kilmetrosderedes,lapuestaenmarchade laplantaSanFernandoparaeltratamientodeaguasresiduales,alsurdelValle deAburr,yladefinicinyeldiseodeunasegundaplantaenBello,alnorte delValledeAburr.
Empresas Pblicas de Medelln E.S.P. est preparada para afrontar el reto tecnolgicodelastelecomunicaciones del siglo XXI: con EMCALI constituya EMTELCO para la prestacin de servicios de valor agregado y telemticos a nivel nacional e internacional, y con los grupos empresariales Bavaria y
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
40
SarmientoAnguloconformaOrbitelS.A.paralaprestacindelosserviciosde LargaDistancianacionaleinternacional.
EE.PP.M. adquiri igualmente la empresa Veracruz TV Cable, hoy EPM TELEVISIN,paraprestarelserviciodetelevisinporsuscripcin,ascomoel 36.88%delasaccionesdeEMTELSA,latelefnicadeManizales.
Unodelosprincipalespilaresquesostienelagestinylacredibilidadpblicade las Empresas Pblicas de Medelln E.S.P. es el rigor conceptual que respalda todossusactos:
Rigorjurdico,porsurespetoalaConstitucin,alasleyesdelaRepblicayal ordenamiento legal especfico que las rigen, en particular sus estatutos orgnicosydecontratacinadministrativa.
Rigortcnicoporlaplaneacindelargoplazoyporlosprocesosdeseleccin, adquisicin,montajeyoperacindelosrecursostecnolgicosmsadecuados, que garanticen la prestacin de los servicios en forma oportuna, confiable y econmica.
Rigorfinanciero,porsumanejoortodoxodeldinero.Laentidadslopuedeser viablesisusrentaslepermitencubrirloscostosdeoperacin,mantenimiento, reposicinyexpansindesussistemas.Almismotiemposlopuedesereficaz yeficientesimantieneelequilibrioenelcostodelosserviciosquecobraalos usuarios y transmite a stos la seal adecuada para el uso racional de los mismosservicios.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
41
NUEVOESQUEMAEMPRESARIAL La apertura econmica y la consecuente competencia en todos los campos y los nuevos esquemas regulatorios establecidos por la Constitucin Poltica de 1991 y sus desarrollos legales generan un nuevo ambiente para estas organizaciones.
Empresas Pblicas de Medelln E.S.P. claramente requiere acomodarse al nuevoesquemaparamantenersupermanenciaycrecimientoenbeneficiodela comunidad. Por lo tanto, uno de sus principales procesos de planeacin lo constituye el anlisis de su esquema empresarial y de sus condiciones estratgicasdedesarrolloenelnuevoambienteinstitucional.
Empresas Pblicas de Medelln E.S.P. es hoy el resultado de las decisiones acertadas que se tomaron hace cincuenta aos, como respuesta a las exigencias del momento. Con gran visin, los gestores del ente autnomo crearonunaempresaquedemostrserlamsapropiadapararesponderalas necesidadesdeldesarrolloeconmicoysocialdelaciudad.
Hoy,los administradores dela organizacin, los dirigentes yla opinin pblica enfrentan una evidencia irrebatible: encarar con xito las nuevas condiciones polticas,econmicaseinstitucionalesdelpasydelmundo,relacionadasconla prestacindelosserviciospblicos.
ESTRUCTURAORGANIZACIONALDEEE.PP.M.ENEL2005 Actualmente Las Empresas cuentan con seis mil doscientos setenta (6270) funcionarios distribuidos en las diferentes sedes con que cuenta la entidad.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
42
Cuatro mil cuatrocientos doce (4412) empleados y mil sesenta y tres (1063) contratistas tienen acceso a los diferentes servicios que ofrece la red corporativadedatos.
OR G A N IG R A M A E EP P M
G er en c iaG en er al
Un id ad d eC o m u n ic ac io n es y R el ac io n es C o r po rat iv as G er en c iad eP lan eac i n ia d Co r p o r ati v a
G er en c i ad eIn v ers i n
S ec ret ar aG en eral
Di rec c i nd eC on tr o lIn t er n o
U n i d a d e s d e N c l e o C o r p o r a t i v o
G erencia A guas
U n i d a d e s E s t r a t g i c a s d e N e g o c i o
Di r ec c i n A d m i n is t rat iv a
D ir ec c i n G es ti n H u m an a
D ir ec c i n In f o rm t i c a Co r p o r ati v a rati
U n i d a d e s d e S e r v i c i o s C o m p a r t i d o s
VISIN Ser una empresa lder en Colombia y relevante en Amrica Latina en la prestacin integral de servicios pblicos domiciliarios y conexos, que a partir del conocimiento de las necesidades de los clientes, les brinde soluciones de valor agregado y un nivel de excelencia que los satisfaga, y de esta manera garanticesulealtadymaximiceelvalorgeneradoporcadaunodeellos.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
43
Quecontribuyadeestaformaaldesarrollosocioeconmicodelasreasdonde acte.
VALORESORGANIZACIONALES Los siguientes son los valores que caracterizan y mueven a las Empresas buscando siempre su estabilidad, crecimiento y cumplimiento de su misin, visinyresponsabilidadsocial:
Innovacin:Implementacindenuevasalternativasaproblemasosituaciones conunfuerteenfoquedemejoramiento. Conocimiento y satisfaccin del cliente: habilidad para conocer e indagar sobre las necesidades de cada cliente, logrando que l opte por nuestros servicios despus de haber entendido sus necesidades, satisfacindolas en tiempoyforma,superandoinclusosusexpectativas.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
44
Integridad:disposicinparaactuarconprincipiosticos,demaneraconfiabley consecuente con los objetivos empresariales, sin obtener ventajas personales enlasdecisionesoenlosprocesosorganizacionales. Productividad: capacidad para cumplir los objetivos rentables propuestos haciendousoptimodelosrecursosdisponibles.
A DMINISTRACIN La mxima autoridad de EE.PP.M. es la Junta Directiva, conformada por representantesdelaAlcaldadeMedelln,elConcejoylasentidadescvicaso deusuariosdelosservicios,conpresidenciadelAlcaldeMetropolitano. LarepresentacinlegalylaadministracinestnacargodelGerenteGeneral, nombrado por el Alcalde, quien cuenta con el apoyo de ocho Gerencias: Auxiliar, Telecomunicaciones, Aguas, Generacin de Energa, Distribucin de Energa, Comercial, EPM Consulting y Planeacin Corporativa seis Direcciones: Informtica Corporativa, Administrativa, Gestin Humana, Control Interno, Desarrollo Organizacional, Financiera y la Secretara General. El ControlFiscalposteriordeEE.PP.M.loejercelaContraloraMunicipal.
Deesacifra,el39%serdestinadoainversin,un18%afuncionamiento,31% alaoperacincomercialyotro12%alserviciodeladeuda.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
45
FUNCINSOCIAL Para atender adecuada y oportunamente a las clases menos favorecidas, durante ms de 30 aos EE.PP.M. ha aportado soluciones concretas al problema de los servicios de Energa, Telefona Bsica, Acueducto y Alcantarillado en las zonas urbanas y semirurales de Medelln y enlos dems municipios de su rea de influencia, a travs de su Programa Habilitacin Viviendas,buscandomejorarlacalidaddevidadelascomunidades,mitigando losimpactosgeneradosporlasobrasyproyectos,participandoactivamenteen el desarrollo comunitario y velando por el cumplimiento de las obligaciones consagradasporley.
LaentidadhaestadopresenteenAntioquiaconlaejecucindeobrasdeamplio contenido social: carreteras, puentes, sedes educativas, culturales y comunitarias pavimentacin de vas, suministro y transporte de materiales y maquinaria dotacin de espacios locativos, creacin de fuentes de empleo, obras de explanacin, proteccin y drenaje, prestacin de servicios pblicos bsicos, realizacin de actividades forestales, labores de veedura, asesora e interventora,entreotras.
GESTINA MBIENTAL LasEmpresasPblicasdeMedellnE.S.P.desarrollandesdehacemsdetres dcadas una vasta tarea reforestadora y de proteccin de los recursos naturalesdeloscualessesirve,agua,sueloybosques,atravsdelcuidadode cuencas y microcuencas, la ejecucin de actividades de reforestacin, mantenimiento de bosques naturales alrededor de sus embalses, control de erosinyestudiosderecuperacineimpactosambientales,entreotros.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
46
EmpresasPblicasdeMedellntambinhacepresenciaecolgicaenAntioquia con su Plan de Parques como son: La Culebra enel embalse PeolGuatap, Los Salados en el corregimiento La Fe del municipio de El Retiro, Piedras BlancasenlarepresadelmismonombreentreMedellnyGuarne,yelncleo MiradordelaTorreenRiograndeII,enelmunicipiodeDonMatas,constituyen verdaderasreservasforestalesy,almismotiempo,opcionesrecreativasparala comunidad,llenasdesenderos,miradoresnaturales,aguaymuchopaisaje.
Adems,EE.PP.M.hizoaportesimportantesentierrayenlaconstruccindela infraestructura de servicios pblicos al Parque de las Aguas, con el cual se abriunnuevolugardeesparcimientoparalacomunidad.
MANEJOINTEGRALDELAMBIENTE Se entiende el ambiente como el resultadode lainteraccin dinmica entreel medio natural y el medio social. En este contexto, la gestin ambiental estar relacionada con la prevencin y el manejo adecuado de los impactos ambientalesnodeseablesylapotenciacindelosimpactospositivoscausados porlosproyectos,obrasoactividadespropiosdecadaunodelosnegociosen lasreasdeinfluencia.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
47
La gestin ambiental se fundamenta en un enfoque integral y preventivo, en mtodos interdisciplinarios y de trabajo en equipo, en mecanismos de comunicacin, concertacin y participacin con todos los actores involucrados en dicha gestin y mediante la responsabilidad individual y colectiva de los trabajadores, proveedores y contratistas con el entorno. Lo anterior, con el propsitodeinsertaradecuadamentelosproyectosyobrasenlasreasdonde actaEEPPM,bajolosprincipiosdeusoracionaldelosrecursosnaturales,de responsabilidad social con la poblacin influenciada y de compromiso con las generacionesfuturas. En EE.PP.M. se cumple con la legislacin ambiental establecida en la Constitucin, las leyes y las normas aplicables al desarrollo de proyectos y obras.
MEJORAMIENTOCONTINUODELAGESTINAMBIENTAL Se asume el compromiso de mejoramiento continuo de la gestin ambiental mediante la planeacin, implementacin, revisin y actualizacin de los procesos y acciones que interactan con el ambiente, para integrar y dar coherencia a la gestin realizada por la Organizacin en su relacin con el entorno.
Est afianzada la integralidad tcnica econmica y ambiental en todos los proyectos y obras y se mantiene el compromiso de que la gestin ambiental debe estar asociada a la innovacin, al fomento de la investigacin, al desarrollotecnolgicoydeltalentohumanoyalaoptimizacindelosrecursos en la bsqueda del mejoramiento de la productividad, la eficiencia y la racionalizacin de los costos ambientales, con el fin de fortalecer la competitividaddelasEmpresasPblicasdeMedellnE.S.P.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
48
PARTESINTERESADAS Reafirmamosqueelclienteesnuestrarazndeser,porlotantoelcompromiso con la excelencia en la prestacin de los servicios, en la satisfaccin de sus necesidades y en la comunicacin adecuada, seguirn siendo la base de nuestrarelacinconste. Lainformacinoportuna,laconsulta,laconcertacinylaparticipacinefectiva fundamentannuestrasrelacionesconelMunicipiodeMedelln,losclientes,los empleados, las comunidades donde actuamos, los proveedores y dems actoresinvolucradosennuestragestinambiental.Deestamanera,seafianza lalealtad,elrespeto,laconfianzaylainteraccindemutuobeneficio. Nos comprometemos a divulgar la poltica ambiental a todos los empleados desarrollandoprogramasymediosqueposibilitensuconocimientoyaplicacin, comotambinsudisponibilidadparaelpblicoengeneral.
GESTINDERIESGOS Para garantizar una ptima confiabilidad de los equipos, instalaciones y procesos, EEPPM se ha interesado en mantener un estricto cumplimiento de las normas y prcticas de ingeniera, una adecuada interventora en la construccin y montaje, y una efectiva administracin, operacin y mantenimiento de los recursos. Adicionalmente, la Unidad Riesgos y Seguros tiene en ejecucin varios programas de Control y Administracin de Prdidas, loscualescomprendenlaidentificacindepeligros,laevaluacinyanlisisde los riesgos, la elaboracin de recomendaciones para minimizar el riesgo, la asesoraycoordinacinconlasdependenciasinvolucradasenelanlisisdela viabilidad tcnica y econmica de las medidas recomendadas, y el anlisis e
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
49
Estosestudiosestnorientadosalanlisisdetodotipoderiesgosasociadosa las instalaciones en particular (centrales hidroelctricas, subestaciones, almacenes generales, laboratorios, etc.), incluyendo las prdidas materiales, humanas,afectacindelmedioambiente,responsabilidadcivil,siexiste.
MedianteeldecretoNo.648del3deabrilde1995deEE.PP.M.lasEmpresas implantaron un sistema corporativo de administracin de riesgos, el cual contemplalaspolticas,normasyprocedimientosaseguirenmateriadegestin de riesgos a los cuales deben ser sometidos los bienes, recursos humanos e interesesdelasEmpresas,ademsdelacomunidadyelmedioambienteque bajociertascondicionespodraamenazaroseramenazadaporlasoperaciones propiasdelasEmpresas.
Dichodecretofueactualizadoyreemplazadomedianteel1029del22deenero de 1999, para adaptarlo a las nuevas condiciones dadas por el proceso de reestructuracininternaadelantadoenlasEmpresas.
Apartirdeestedecreto,sedioinicioalprocesodeadministracinderiesgosen cada una de las UENs, UNCs y USCs, denominado Sistema Corporativo de AdministracindeRiesgos,SCAR.
Mediante ste sistema se pretende desarrollar, estandarizar e implementar la metodologa y herramientas para la ejecucin de las etapas de identificacin, anlisis,evaluacin,controlfsicoyfinancierodelosriesgosencadaunadelas dependenciasdelasEmpresasPblicasdeMedelln.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
50
Para lo anterior se ha contado con la dedicacin de numerosos funcionarios adscritos a las diferentes Unidades, quienes han recibido capacitacin y entrenamiento endiferentes temas de administracin de riesgos, con el objeto dequecadaunoseconviertaenmultiplicadordelaculturadelaadministracin deriesgosenlasEE.PP.M.
CULTURA EMPRESARIAL Esa cultura empresarial se manifiesta en un profundo sentido de pertenencia porlaentidad,nosloporpartedesusfuncionarios,empleadosytrabajadores, sinotambinporpartedelacomunidad,quelaquiere,larespetaycierrafilas entornoaellaparadefenderladeamenazasexternas.Sehageneradoasun verdaderocrculovirtuoso:lagenteapoyaalasEmpresasPblicasdeMedelln E.S.P. porque son eficientes, y ellas son eficientes gracias al respaldo de la gente.
Todo esto se manifiesta en la forma como sus directivas y funcionarios en generalmanejanlosrecursosquelesonasignadosparaelcumplimientodesus funciones y como dentro de su prctica profesional hanincluido el manejo del riesgo en el que hacer diario y en los nuevos proyectos que emprende la corporacinparamejorarlacalidaddevidadesucomunidad,razndeserdela Empresa.
Gracias al apoyo de la gerencia y al compromiso de la gente que ha recibido capacitacin y han sido multiplicadores del tema, la cultura de administrar el riesgosevecadavez inmersaenlosprocesos,enlascontratacionesyenla adquisicindelatecnologadeinformacinbajoesquemasderedundancia,alta disponibilidad y respaldo necesaria para soportar y mantener el servicio 24
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
51
GRUPOEMPRESARIALEE.PP.M. A continuacin se muestran algunas de lasempresas en las cuales EE.PP.M. tiene participacin econmica. Algunas de estas empresas estn alineadas dentrodelaestrategiadeTIjuntoconEE.PP.M.enlabsquedadesinergias.
Empresa EPMBOGOT EMTELSA ORBITEL EmpresaTelefnicadePereira EMTELCO EDATEL ColombiaMvil TELEPSA AguasdeOriente EPMBogotaAguas EADE CHEC EnergadeQuindo HETS.A.(BONYIC) Participacin 63.40% 36.88% 50.00% 56.14% 99.54% 56.00% 50.00% 60.00% 56.00% 89.58% 63.90% 56.00% 56.00% 75.00% ActividadPrincipal Telecomunicaciones Telecomunicaciones Telecomunicacioneslargadistancia Telecomunicaciones Comunicacindedatos Telecomunicaciones TelefonaMvilPCs Telecomunicaciones Aguas Aguas Energa Energa Energa Energa
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
52
10. QUESLADIRECCININFORMTICACORPORATIVA
Es el rea encargada de promover y liderar la planeacin y el desarrollo coherente e integrado de la informtica en las Empresas, para garantizar una estrategiainformticaalineadaconlavisincorporativa.
ESTRUCTURA Actualmente La Direccin de Informtica Corporativa cuentan con ciento cincuenta y ocho (158) funcionarios distribuidos en las diferentes reas que componendichaUnidaddeServicioCompartido(USC). Enlagrficasiguientesemuestracomoeslaorganizacin:
DIRECCINDEINFORMTICACORPORATIVA
UnidadGestin Informtica
UnidadPlaneacin Informtica
UnidadSistemasde Informacin
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
53
UNIDADPLANEACININFORMTICA Su funcin es elaborar y mantener actualizada la estrategia informtica, en cuanto a aplicaciones, tecnologa y organizacin, con sus correspondientes planes estratgicos y tcticos, para garantizar un desarrollo integrado de la informticaenlasEmpresas.
UNIDADGESTININFORMTICA Su funcin es asesorar y trabajar en equipo con las unidades de la Direccin Informtica Corporativa y con las dems gerencias, en la ejecucin y el mejoramiento de sus planes, para garantizar la coherencia de la gestin informticadetodaslasunidades.
Ofrece apoyo en lo referente al mejoramiento de los productos y servicios, medicin de la calidad del servicio, asesora y adquisicin de infraestructura informtica.
UNIDADINGENIERAYTECNOLOGAINFORMTICA Su funcin es coordinar la Integracin de la planeacin informtica, las necesidades de ingeniera y tecnologa y la infraestructura informtica para proveerasesoraespecializadaatodalaorganizacin.
Presta soporte especializado enlos temas de seguridadinformtica, viabilidad tcnica para adquisicin de tecnologa y compatibilidad con la infraestructura queposeeEE.PP.M.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
54
UNIDADSISTEMASDEINFORMACIN Sufuncinescoordinarlaadquisicindepaquetesdesoftware,eldesarrollo,la evolucin y mantenimiento de los sistemas de informacin corporativos tales como OneWorld, Sigma, Siebel, Fnix, Factura, Open, entre otros, para garantizarquestosapoyenlosprocesosorganizacionales.
UNIDADOPERACIONESINFORMTICA Su funcin es coordinar la instalacin, soporte, operacin y mantenimiento de todos los equipos informticos, servidores, redes y aplicaciones para garantizarlealacorporacinladisponibilidaddelainfraestructuratecnolgica.
MISIN CrearyprestarserviciosdeTecnologadeInformacinqueseanconvenientes para el desempeo integral del Grupo Empresarial EPM. Desempeando los siguientesroles: DireccionadorycontroladordeTIenLasEmpresas. DireccionadorestratgicodeTIparalasempresasfiliales. Prestadordeserviciosdetecnologadeiformacin.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
55
ESTRATEGIA Retener y Potenciar el liderazgo en servicios de TI en el Grupo Empresarial. Ser los lderes de la planeacin, la evolucin y el soporte de los paquetescorporativos. ObtenersinergiasenTIentreEE.PP.M.ysusfiliales. ApalancarelnegociodeIDCybuscarlaconvergenciadeldatacenter Mantener las aplicaciones crticas en los niveles de continuidad que requiereelnegocio.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
56
Viendola necesidad en el entorno empresarial de este tipo de herramientas y teniendoencuentaqueunadelasprincipalescausasdelosproblemasdentro del entorno informtico, es la inadecuada administracin de riesgos, este trabajo sirve de apoyo para una adecuada gestin de la administracin de riesgos,basndoseenlossiguientesaspectos:
Elanlisisdelascausasdelosriesgos. Loscontrolesutilizadosparaminimizarlosriesgos.
Elprocesodeadministracinderiesgoeselconjuntodeestrategiastendientes aminimizarlosriesgosasociadosalfuncionamientodeunsistema,conelfinde disminuir las prdidas y garantizar su estabilidad operativa y financiera en el cortoplazoysucontinuidadypermanenciaenellargoplazo.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
57
El esfuerzo metodolgico desarrollado en este documento, en donde se integran los conceptos de la administracin de riesgos y la gerencia de proyectos,esaplicableacualquierempresapuestoquelametodologadescrita, ensnotienerestriccionesespecficas.
A continuacin se describen las fases, actividades y tareas que se deben realizar en las fases que conforman la metodologa y son: (0) Sensibilizacin, (1)Planeacindelproyecto,(2).Iniciodelproyecto,(3)Anlisisyvaloracinde riesgos.
F A S E S D E L A M E T O D O L O G A
P l a n e a c i n
C o n f i r m a c i n d e l A l c a n c e . L o g s t i c a d e A d m i n i s t r a c i n . C o n f o r m a c i n d e l e q u i p o d e t r a b a j o .
In ic i o d e l P r o y e c t o
L a n z a m i e n t o d e l P r o y e c t o . C o n o c i m i e n t o d e l N e g o c i o . S o l i c i t u d d e r e q u e r i m i e n t o s d e In f o r m a c i n P l a n d e e n t r e v i s t a s .
G e s ti n d e l R i e s g o
Id e n t i f i c a c i n . A n l i s i s y V a l o r a c i n . C o n t r o l . R e t e n c i n . T r a n s f e r e n c i a . A n l i s i s d e R e s u l t a d o s .
S e n s i b i l i z a c i n
FASE 0: SENSIBILIZACIN Se debe fomentar en la organizacin y el proyecto la cultura del riesgo. En la medida en que se perciban los riesgos a qu se est expuesto, se estar en capacidad de administrarlos. Esta fase es transversal, es decir, se ejecuta duranteeldesarrollodetodoelproyectoysepuededecirquedeaqudepende engranparteelxitodelmismo.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
58
TodointegrantejuegaunpapelimportantsimoenlaAdministracindeRiesgos, toda vez que al ser parte activa del proceso, consolida una cultura organizacionalquegarantizalaadecuadaproteccindelosbienes,recursosy procesosdelaempresayaseguraunmanejodelosriesgosenformaracional, ptima,integral,confiable,altamenteparticipativayacostomnimo.
Conestaactividadloquesepretendeesidentificarlascaractersticasgenerales de las personas involucradas en el proyecto, as como las percepciones, motivacionesysugerenciasquetienefrentealaadministracindelosriesgos, reconociendo la conformacin e interrelacin entre los distintos equipos de trabajo, todo esto para generar las estrategias de sensibilizacin y comunicacinquefacilitenlaimplementacinexitosadelproyectoenlaentidad ylaadecuadagestindelriesgodurantesuejecucin.
Paralograrloanteriorsepuedenutilizarinstrumentoscomolasentrevistas,las encuestas,laobservacindelcomportamientofrentealriesgoentreotras.
Conlosresultadosobtenidosdespusdeaplicardichosinstrumentos,sedefine lasestrategiasdesensibilizacinquedebenestarenfocadaareforzarelpoder, elquereryelsaberpartiendodelhechodereconocerquelaspersonassonlos artficesdelcambio.Asumequeelserhumanonoesresistentealcambiosino a ser cambiado, por lo tanto el verdadero cambio se da al interior de las personas.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
59
S e n s ib il iza c i n
P u e d a (P o d e r )
R e c u rs o s P roc ed im ie n to s E s tn d are s S is tem a s y H e rra m ie n ta s
Q u i e r a (Q u e r e r )
A c titu d C o n du c ta C o m p rom is o
S e p a (S a b e r )
C o m p e te n c ia s T c n ic a s C o m p e te n c ia s F u nc io n ale s C o m p e te n c ia s Interp e rs o n a le s
Est cientficamente comprobado, que los adultos tenemos ciertas caractersticas en el aprendizaje en la que la transmisin oral o visual de conceptosyconocimientossolopermitenunniveldeefectividadyrecordacin promedio del 20%, mientras que las vivencias y/o los descubrimientos que realizamos por nosotros mismos se graban en un 80%, facilitando un proceso sistmicoyperdurabledeaprendizajeycambio,perosobretododeaplicacin prctica,tileinmediata.
En este orden de ideas, las metodologas vivenciales o de outdoortraininng, logran alto impacto, porque aceleran la curva de aprendizaje, apoyado en el objetivodemodificarconductasycomportamientos,generandocompromisosy facilitandolosprocesosdecambioytransformacincultural.
ElOutdoortrainingesunametodologadeformacinquesebasaenreproducir situaciones empresariales a travs de simulaciones y de actividades al aire libre. Es lo que llamamos una metodologa vivencial, porque el punto de partidaeslaexperienciaquevivenlosparticipantes.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
60
Despus de estas situacionesfuera del aula, se analiza de forma conjunta lo sucedido, se exploran las analogas que existen con la realidad de las organizaciones. Posteriormente el aprendizaje se integra a travs de la asimilacin de modelos conceptuales de psicologa y management (kolb, Hertberg,etc.).
Talycomosehacomentadoanteriormentebuenapartedelxitodelproyecto radica en disminuir la ansiedad que generar el proyecto, suministrando los conceptos, procesos, metodologas y herramientas de anlisis y valoracin de losriesgos,capacitandoyentrenandoatodoslosinvolucradosyaaquellosque participandeunamanerapuntualeneldesarrollodelproyecto.
Al desarrollar las dimensiones del poder, el querer y el saber, se obtiene un cambiodeactitudycomportamientodelaspersonafrentealtemaqueseest sensibilizandoyparaestecasoconcretofrentealaadministracinygestinde riesgos en el proyecto, por que lo interiorizan y hacen parte integral de su trabajodiario.
Todoloanteriordebeiracompaadodeunacompaadecomunicacindonde se aprovecharn los medios corporativos existentes y se disearn otros que garanticen la cobertura de los pblicos identificados. La comunicacin ser abierta,frecuente,breve,sencillaydurantetodalaejecucindelproyecto.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
61
FASE 1: PLANEACINDELPROYECTO En esta fase se busca definir y confirmar el alcance, entender el ambiente de trabajodondesedesarrollarelproyecto,identificandoelresponsableascomo elequipoquetomarparteenelmismo.EnlaFasedeplaneacindelproyecto sebuscadesarrollarunplandetrabajoacordeconlasnecesidadesplanteadas yconlosrequerimientosdelclientequeparaestecasopuedenserlasUNCs, UENsyUSCs.
1 . C o n f i r m a c i n d e l A l c a n c e
2 . C o n f o r m a c i n d e l E q u i p o d e T r a b a j o
3 . E s t a b l e c i m i e n t o d e l a l o g s t i c a d e a d m i n i s t r a c i n
Figura1:ActividadesdelaFasedePlaneacindelProyecto
CONFIRMACINDELA LCANCE El objetivo de esta actividad es que el equipo del proyecto y la organizacin tengan muy en claro lo que contemplar el proyecto, cules procesos, aplicaciones, servidores, instalaciones, bases de datos, etc, estaran incluidas en el estudio. Adems, se debe estar muy atento en conservar el alcance, confirmarloynopermitirquesemodifiqueocambie.Deestodependeengran parteelxitodelproyecto.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
62
CONFORMACINDELEQUIPODETRABAJO Para realizar este tipo de proyectos es necesario conformar un equipo de trabajo interdisciplinario entre la UEN, o UNC, o USC, la Direccin de InformticaCorporativayconelapoyopuntualdelasreasqueserequierany deban participar en el anlisis y valoracin de riesgos, utilizando mecanismos deintegracin,comunicacinycoordinacinteniendoencuentalosiguiente:
Efectuarreunionesperidicasconlosdiferentesmiembrosdelequipode trabajo,paraconocerelestadodeavancedelanlisisyvaloracin.
Analizarlainformacinyvalidarlosresultadosobtenidosdeacuerdocon lametodologaaplicada.
Estructurarelinformefinaldelanlisisyvaloracindelosriegos.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
63
Esteequipodebeestarconformadoporelclienteyelproveedordelservicio.La siguiente figura muestra un esquema de cmo debe trabajar un proyecto de estanaturalezaalinteriordelaorganizacin.
E Q U IP O D E T R A B A J O
E q u i p o A s e s o r d e l a M e t o d o l o g a E q u i p o d e l C l i e n t e U N C ,U S C ,U E N
IN T E G R A C IN
M e t o d o l o g a p a r a e l A n l i s i s y v a l o r a c i n d e R i e s g o s e n P T I C O M U N IC A C I N C O O R D IN A C I N
r e a s d e A p o y o d e l r e s t o d e l a O r g a n i z a c i n
T R A N S F E R E N C IA D E C O N O C IM IE N T O
Figura2:Esquemadetrabajoenelproyecto
11.2.3.
Elpropsitoesdefinircualessonlasactividadesquevanapoyarycontrolarla administracin del proyecto. Estas actividades dependen de cada empresa, respetandosuculturaymaneradeejecutarestetipodeproyectos,algunasde ellasson:
Realizarunrecorridoporlasinstalacionesconelequipodetrabajo,aqu se busca conocer el entorno de trabajo, la asignacin de una oficina y losrecursos necesarios (escritorios, sillas, telfonos, red, Internet, entre otras)paraelnormaldesarrollodelproyecto.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
64
Definirelcronograma(Plandetrabajo)quecontengalasactividades,las fechas de inicio y terminacin, los responsables de ejecutarlas, los recursos, el presupuesto y los productos o informes que se deben elaboraryentregar.
Definirelformatodelosinformesdeavance,presentacionesyactas. Definirreunionesdeseguimientoconelequipodelproyecto. Definir las reuniones peridicasdeinforme de avance opresentaciones conelcomitdirectivodelproyectoylasreasdueasparaquienesse estrealizandoeltrabajo.
FASE 2: INICIACINDELPROYECTO Esimportanteparallevaracabodeunamaneraexitosaelproyectocontarcon el apoyo de la alta gerencia, por esto es necesario tener una permanente comunicacinconladireccinmedianteinformesdeavancesypresentaciones quedenunaideadecmovaeldesarrollodelproyecto.
Despus de que los involucrados, tanto reas usuarias como equipo de proyecto y alta gerencia, lo conocen, se desarrollan las actividades de conocimiento del negocio, solicitud derequerimientos deinformacin y el plan de entrevistas de una manera ms gil y oportuna donde se evidencia claramentesihayapoyoonoalproyecto.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
65
IN IC IO D E L P R O Y E C TO
4 .R e u n i n d e la n z a m ie n to d e l p ro y e c to
5 .C o n o c im ie n to d e lN e g o c io
7 .P la n d e E n tre vis ta s
Figura3:ActividadesdelaFasedeIniciacindelProyecto
REUNINDEL ANZAMIENTODELPROYECTO Prepararunapresentacinquemuestrelosbeneficios,elplan,losproductosy elequipodetrabajo,algrupogerencialconelfindeconfirmarelapoyoylograr el compromiso de cada una de las reas dentro del alcance para asegurar el xitodelproyecto.
Lamecnicaparalarealizacinconstade2partes:
Solicituddeunosrequerimientosdeinformacinbsica. Presentacionesdelosusuariosydueosdetecnologa
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
66
SOLICITUDDEREQUERIMIENTOSDEINFORMACIN El equipo de trabajo debe hacer una solicitud a las reas involucradas en el estudio sobrelainformacin necesaria pararealizar el proyecto. Esta solicitud sehaceatravsdeunaplantillaquerecojalosrequerimientosylainformacin necesariosparaconocerelnegocioysobretodoelreaobjetodelanlisis. PLANDEENTREVISTAS Se debe elaborar un plan de entrevistas con las personas que conocen los procesos,lasaplicacionesylainfraestructura,dondeseindiquelafecha,horay lugar delareunin. Es convenientequelasreunionesno sean muy extensas, mximo de dos (2) horas, ya que se tiende a perder la informacin suministrada.
Para comenzar con el anlisis y la valoracin se requiere utilizar el mismo lenguajeyqueconceptualmentetodosestemosdeacuerdoparaqueelanlisis sealomsobjetivoposibleyparapoderlograrloesnecesarioretomaralgunas definicioneshechasalprincipiodeestedocumento:
Amenaza: Persona, objeto, situacin o evento natural del entorno (externo o interno)queesvistocomofuentedepeligro,catstrofeointerrupcinypueden ser de origen natural tecnolgico y social. Ejemplos: sismos, inundacin,
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
67
avalanchas, incendio, explosiones, robo de datos, sabotaje, ausencia del plan de contingencias,insuficiente gestinde monitoreo, aplicativos mal diseados, secuestro, fraude, etc. Tambin se define como un riesgo no evaluado. Es necesario cuantificarla para poder tomar decisiones (Administracin de Riesgos). En sntesis podemos definir que la amenaza es una percepcin del algoquepuedeocurrir. Riesgo: Definimos el riesgo como la probabilidad de que la amenaza se materialice, debido a la existencia de una o varias vulnerabilidades de peso significativo. El riesgo es difcil de medir, sobretodo, cuandono se cuenta con datos estadsticos que lo respalden o avalen, por la tendencia de las organizaciones a ocultar incidentes, la localizacin geogrfica, las culturas, leyes, criticidad, situacin pas, etc. Tambin se define como una amenaza evaluada en cuanto a su probabilidad de ocurrencia (Frecuencia) y a la gravedaddesusconsecuencias(Severidad). RiesgoInformtico:Esunsucesoinciertoquepuedellegarapresentarseen un futuro con la probabilidad de Generar Consecuencias NEGATIVAS que afectenelambienteinformticoolainformacin. Probabilidad/Frecuencia: Es el numero de veces que se da un evento. Ver tambinposibilidadyprobabilidad.Tambinsedefinecomoelnmerodeveces que una amenaza deja de serlo para convertirse en realidad, a lolargo de un determinadoperiododetiempo.
Gravedad/Severidad/Impacto:Eslaevaluacindelefectoyconsecuenciadel riesgo.Generalmente,laexposicinalriesgosemideenaspectoseconmicos, imagendelaspersonasoempresas,disminucindecapacidadderespuestay competitividad, interrupcin de operaciones, etc. Efecto que causa en la
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
68
Valordelriesgo:Riesgo=ProbabilidadXGravedad(R=PxG)
Siniestro:Todoeventoaccidental,sbitoeimprevisto(repentino,noplaneado), quenormalmentegeneraconsecuenciasnegativassobreunsistema.
Control: Control es toda accin orientada a minimizar la frecuencia de ocurrencia de las causas del riesgo o valor de las prdidas ocasionadas por ellas. Los controles sirven paraasegurar laconsecucindelos objetivos dela organizacinoasegurarelxitodeunsistemayparareducirlaexposicinde los riesgos, a niveles razonables. Los objetivos bsicos de los controles son: Prevenirlascausasdelriesgo,detectarlaocurrenciadelascausasdelriesgo, retroalimentandoelsistemadecontrolinternoconmedioscorrectivos.
Con las anteriores definiciones, esta etapa de anlisis y valoracin pretende identificarycalificarlosriesgosquepuedenpresentarsealrededordelproyecto de tecnologa de informacin siguiendo una serie de pasos basados en el siguientemapaquemuestracadaunadelasactividadesquesedebenllevara caboenestafase.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
69
G E S T I N D E L R IE S G O
Id e n t i f i c a c i n
A n l i s i s y V a l o r a c i n
C o n t r o l F s i c o
A n l i s i s d e R e s u l t a d o s
S e a c e p t a e l r i e s g o ?
N O
T r a n s f e r e n c i a
S I
R e t e n c i n
Figura4:DiagramadeAdministracindeRiesgos
Cadapasodeberealizarseparadosentornos:
Tecnologa de Informacin Vs.Tecnologa Informtica, es decir analizar cada recurso de la tecnologa informtica evaluando el hardware, software, aplicaciones, comunicaciones, red, instalaciones fsicas donde seencuentraubicadoovayaafuncionarelproyectoaimplantar.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
70
La identificacin de riesgos no es un suceso que se produzca en un instante determinado debe desarrollarse de una manera regular a lo largo de todo el proyecto.
Es difcil generalizar acerca de los riesgos de una organizacin o de un proyecto porque las condiciones y operaciones son distintas, pero existen formasdeidentificarlosentrelascualesestn:
Herramientas de identificacin de riesgos: Las ms importantes herramientas usadas en la identificacin de riesgos incluyen: registros internos dela organizacin, listas de chequeo, cuestionarios deanlisis de riesgos, flujos de procesos, anlisis financiero, inspecciones, entrevistas,tormentadeideas,entreotras.
Aproximacin de combinacin: La aproximacin preferida en la identificacin de riesgos consiste de una aproximacin de combinacin, en el cual todas las herramientas de identificacin de riesgos estn hechas para tolerar problemas. En pocas palabras cada herramienta puede resolver una parte del problema y combinados pueden ser una considerable ayuda al administrador de riesgos. Esto significa que dependiendo de lo que quiera analizar puede utilizar una u otra y combinarelresultadodelasqueutiliz.Porejemplo:lasentrevistasylos cuestionariosyhaceranlisiscruzadosdeambosinstrumentos,conelfin dedisminuirlasubjetividadenelanlisis.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
71
In f lu en c ia s E x t er n as A c t i v i d ad es f u er ad e lalc an c e
R IESG O S
EJ EC UC IN YCO NTR OL
P lazo s
Pr o b lem a s Ur g en t es
Figura5:Identificacinderiesgosdelproyecto
A continuacin se presenta una serie de preguntas y respuestas que sirven comolistadechequeoalmomentodehacerlaidentificacindelosriesgosen lasdiferentesfasesdelproyecto:
P l a n e a c i n n o e x i s t e o e s i n a d e c u a d a
F a l l a s e n l a E j e c u c i n . I m p l a n t a c i n m a l c o o r d i n a d a . F a l t a d e F o c o y C o n t r o l
F A L L A
N o s e p r a c ti c lo q u e s e p l a n te . N o s e c a p a c i t a d e c u a d a m e n te . N o s e c a m b i la c u ltu r a . L a s o l u c i n e s in a d e c u a d a . N o s e c u m p li e r o n l o s o b j e t iv o s . R e tr a s o s y r e p r o c e s o s .
R i e s g o s e s p e cf i c o s d e l p r o y e c t o
F a l t a d e d e c i s i o n e s o p o r t u n a s .
L a s R e s i s t e n c i a s a l C a m b i o n o f u e r o n i d e n t i f i c a d a s y t r a t a d a s o p o r t u n a m e n t e .
Figura6:Identificacinderiesgosdelproyecto
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
72
PuedeexistirunriesgoenlaPLANEACINdelproyectocuando:
No se formaliz un Cronograma que establezca los tiempos para las actividades, los plazos, los hitos y productos, y fuera validado por el EquipoyComitDirectivodelproyecto.
Nosehanestablecidolasresponsabilidadesyrolesdecadamiembrodel Equipo.
NosehaestablecidolaformadeintegracinconotrosProyectos,cules sonlosinputsyoutputs,lasdependencias,loseventosquedebern ocurrir, responsables, y qu actividades debern los equipos trabajar coordinadamente.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
73
Los involucrados no entienden con claridad las razones para los cambios.
Existeunaincompatibilidadentrelosvaloresactualesyloscambios Los involucrados perciben que sus jefes y otras personas o grupos polticamenteimportantesenlaOrganizacinnoapoyanelcambio.
Existepresinoinfluenciaexternaalproyecto.
Paraayudarenelanlisisdelasamenazasylosriesgosserequiere:
Identificar los riesgos internos de los procesos con cada elemento de tecnologainformticaasociadoalproyectodetecnologadeinformacin.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
74
Realizar una lista de chequeo de las amenazas internas que puedan presentarseenformaaccidentalointencionalenlaEmpresaconrelacin a la tecnologa informtica asociado al proyecto de tecnologa de informacin.
Identificar los riesgos externos de los procesos por cada elemento de tecnologainformticaasociadoalproyectodetecnologadeinformacin.
Realizar un chequeo del entorno en los fenmenos naturales, el ambientegeopoltico,elambientetecnolgico,elambienteecolgicoyel sistema sociocultural que rodea la Organizacin para definir las amenazasalasquepuedeestarexpuestoelproyectodetecnologade informacindelaEmpresa.
Parafacilitarlaidentificacindelosriesgosenlainfraestructuraenunproyecto detecnologadeinformacinesmuytilapoyarseenelsiguientediagrama:
C o m p o n e n t e s d e l a T e c n o l o g a d e i n f o r m a c i n
E N T O R N O A P L I C A C I O N E S R E D
I N F R A E S T R U C T U R A E N S U C O N J U N T O U S U A R I O
U N I X
S I S T E M A O P E R A T I V O
A L M A C E N A M IE N T O , R E S P A L D O Y R E C U P E R A C I N
M O T O R D E B A S E S D E D A T O S
S E R V I D O R S e g u r i d a d F s i c a y l g i c a O P E R A D O R
Figura7:EscenariosdondeseidentificanriesgosdelaInfraestructuradeTI.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
75
Una vez identificadas las amenazas y los riesgos se elaboran las siguientes matrices: ElaborarlamatrizdeeventosconrelacinalosprocesosdelaEmpresay lamatrizdeeventosconrelacinalatecnologainformtica.
La matriz de eventos, denominada escenario de riesgos con relacin a los procesos se construye con las amenazas y con los procesos que tiene la tecnologa informtica. La combinacin Proceso Amenaza (fila, columna) lo denominaremos Evento o escenario de riesgos, tal como se muestra a continuacinenlaTablaN1.
TablaNro1. MatrizdeEventosoescenariosconrelacinaProcesos
Procesos/Amenazas P1 P2
A1 P1,A1 P2,A1
A2 P1,A2 P2,A2
An P1,An P2,An
Pn
Estas matrices se elaboran de acuerdo conel criterio experto del responsable delprocesoydelatecnologainformtica.
A manera de ejemplo, si tenemos los procesos de Administrar Recursos Humanos, Administrar Finanzas, Desarrollar y Mantener Sistemas/Tecnologa,
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
76
Administrar Servicios Legales que poseen tecnologa informtica asociada a susprocesosylasamenazasde:fallasensistemasdeinformacin,fallasenla aplicacin (OneWorld), fallas en la red de comunicaciones, entre otros, se elaboralasiguientetabla:
TablaNro2. EjemploMatrizdeEventosoescenariosconrelacinaProcesos
Procesos/Amenazas FallasenSistemasde Informacin Faltadefuncionamiento delSistemade InformacindeNomina A1 Fallasen ONEWORLD FallasenlaRedde Comunicaciones
AdministrarRecursos HumanosP1
AdministrarFinanzas P2
Faltadefuncionamiento delSistemade InformacinFinanciero A4 Fallaenelbackup Onlinede OneworldA5 Fallaenelbackup Offlinede OneworldA6 Faltadefuncionamiento delSistemaDocumental MercurioA7
AdministrarServicio LegalesP4
De igual forma se obtiene la matriz de eventos con relacin a la tecnologa informtica,paraanalizarlasposiblesamenazasquepuedenllegarasufrirlos recursosinformticos,asocindolosconlaletraTcomosemuestraenlaTabla Nro3:
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
77
A NLISISYVALORACIN Unavezquelosriesgoshansidoidentificadoseladministradorderiesgosdebe evaluarlos. El paso a seguir es hacer el anlisis y la valoracin. En esta actividadsetienecomoobjetivo,unavezdefinidoslosriesgos,ladeterminacin y clculo de los criterios que, con posterioridad, nos facilitarnla evaluacin y valoracindelriesgo.
Como procedimiento a seguir se identificarn las variables especficas y se analizarnlos factores obtenidos. Los criterios de anlisis del riesgopara este caso en particular que usaremos son: Probabilidad o frecuencia, gravedad o impactoylaaceptabilidaddelriesgo.
Parapoderhacerelanlisisylavaloracindelriesgoesnecesarioelaborarlas escalasdeprobabilidadygravedadenquesepuedenpresentarlasamenazas. Estas dos tablas tienen como finalidad obtener una calificacin del riesgo en cuantoafrecuenciaoposibilidaddeocurrenciayencuantoalaconsecuenciao gravedadsisellegaraamaterializarlaamenaza.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
78
Ambas escalas son generadas por los responsables del proceso y de la tecnologainformticaenformaestndarparalaempresaoelproyecto,yaque lasconsecuenciasdeundeterminadoeventooamenazaesdiferenteparacada proyecto. El termino probabilidad se refiere a la posibilidad de ocurrencia (frecuencia) quepuedetenerelriesgoevaluado,alosvaloresonivelesdeprobabilidadsele asigna un valor relativo (cualquiera) generalmente por facilidad de manejo se utilizanvaloresenteros.VerejemploenlaTablaNro4: TablaNro4. EjemploparaunaEscaladeProbabilidad
Valor 1 Probabilidad Improbable Definicin Sepresentabajocircunstanciasextremasdeordenpblicoenel pas, de catstrofe o bajo situaciones excepcionales fuera del alcancedelaorganizacinodelproyecto.Comoparos,huelgas, sabotajesoamenazasdeterrorismo. Sepresentapor situacionesatribuiblesalaspersonas,ypueden ser causadas por hechos internos de la organizacin hacia el proyectocomosuspenderlo,noapoyarlo,abortarlo,entreotras. El evento se clasifica como norutinario y no es inherente a la tecnologa, su frecuencia se asocia con variables externas a la tecnologa,losprocesosocomponentesdelproyecto. Se presenta por situaciones atribuibles al descuido o error humanoqueafectanlaejecucindelproyecto. Sepresentaconciertaregularidad,ysucausaesatribuiblealos recursos mnimos del proyecto (Personas, presupuesto, tiempo, tecnologa)loscualessonnecesariosparasuejecucin. Sepresentaeneldaada,suorigenesatribuibleasituaciones normales del proyecto como interrupciones menores de los procesos, los servicios de la tecnologa, la desviacin de los recursosyotrossimilares.
Remoto
3 4 5
Constante
IMPROBABLE: Cuando el riesgo evaluado no ha sucedido hasta ahora y es muydifcilqueocurra. REMOTO:Cuandoelriesgoevaluadohasucedidosloenformaexcepcionaly setieneunaposibilidaddeocurrenciamuybaja.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
79
OCASIONAL:Cuandoelriesgoevaluadohasucedidopocasvecesytienebaja posibilidaddeocurrencia. MODERADO: Si el riesgo sucede en forma espordica y tiene limitada posibilidaddeocurrencia.
CONSTANTE: Cuando el riesgo evaluado sucede en forma reiterada y tiene altaposibilidaddeocurrencia. El termino gravedad se refiere a la magnitud en trminos relativos de las consecuenciasquepuedengenerarsealocurrirlaamenazaevaluada.Latabla de gravedad, debe construirse en forma estndar para la empresa a continuacinsemuestraunejemplomediantelaTablaNro5:
TablaNro5.EjemploparaunaEscaladeGravedad
Valor 1 Gravedad
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
80
Valor
Gravedad horas.
10
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
81
Valor
Gravedad
20
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
82
Valor
Gravedad
50
INSIGNIFICANTE: Cuando las consecuencias (impacto) pueden ser consideradascomodespreciablesporquequenoafectanelfuncionamientodel proyecto. MARGINAL: Cuando las consecuencias (impacto) se consideran tolerables (moderadas)porqueafectanenformalevealproyecto.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
83
DESASTROSO: Las consecuencias afectan totalmente al proyecto, desplazando su ejecucin y aumentando los costos del mismo de lo inicialmentepresupuestado.
CATASTRFICO:Cuandolasconsecuenciasseconsiderandegranmagnitud porque afectan en forma total el proyecto pudiendo poner en riesgo la estabilidaddelmismoeinclusiveimpidiendosuterminacin.
Paralaconstruccindeestastablasoescalasdeprobabilidadygravedadse toma como referencia la experiencia propia del equipo de trabajo y la percepcindelmismo.
Podemos hablar con el trmino riesgo cuando la amenaza se evala con las escalasdeprobabilidadygravedad.Elprximopasoentonces,deestaetapa, escalificarlosriesgosmultiplicandoelvalordelriesgoencuantoaprobabilidad porelvalordelriesgoencuantoagravedad Riesgo=ProbabilidadXGravedad(R=PxG)
TalcomosemuestraenlaTablaNro6tomandocomoreferenciaelejemplode laTablaNro2.MatrizdeEventosoescenariosencuantoaProcesos:
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
84
Tabla Nro 6. Ejemplo para la Calificacin del Riesgo con relacin a los procesos.
ENTORNODEPROCESOS Administrar Recursos Humanos con falta de funcionamiento del Sistema de Informacin P1A1 Administrar Recursos Humanos sin disponibilidad del Mdulo AR de OneWorld.P1A2 Administrar Finanzas con falta funcionamiento del Sistema de Informacin P2A4 Desarrollar y Mantener Sistemas/Tecnologa con fallas en el backupOfflinedeOneWorld.P3A6 PROBABILIDAD Ocasional P GRAVEDAD G RIESGO 3 Catastrfico 50 150
Moderado
Crtico
10
40
Ocasional
Crtico
10
30
Frecuente
5 Catastrfico 50
250
De igual forma ocurre con el anlisis de la tecnologa informtica, con el siguiente ejemplo de la Tabla Nro 7 tomando como referencia la Tabla Nro 3. MatrizdeEventosconrelacinalaTecnologaInformtica
Tabla Nro 7. Ejemplo para la Calificacin del Riesgo con relacin a la Tecnologa
ENTORNODETECNOLOGA Servidordedesarrolloconproblemasde lecturaeneldiscoduro T1A1 ServidordeCorreoconfallaenlas tarjetasdered T2A2 SwitcheATMfueradeservicio T3A4 CentrodeCmputoSedeAdministrativa coninundacindeequipos T4A5 PROBABILIDAD Remoto Moderado Ocasional Remoto P GRAVEDAD G RIESGO 2 Crtico 10 20 4 150 100
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
85
ElaborarlaMatrizdeAceptabilidad,quenospermitadeterminarelnivelde aceptabilidad hacia el riesgo: La Matriz de Aceptabilidad de Riesgos nos determina el nivel de aceptabilidad del evento o escenario (combinacin de riesgoproceso, o combinacin de riesgotecnologa) que pueda suceder en el proyecto. Esta matriz est conformada por cuatro zonas de acuerdo con la escala de probabilidadydegravedaddefinidaenlospasosanteriores: ZonaAceptable:Dondelaprobabilidaddeocurrenciadelriesgoesmuybaja, esdecir,uneventooescenariosituadoenestaregindelamatriz,significaque lacombinacinfrecuenciaconsecuencianoimplicaunagravedadsignificativa, por lo que no amerita la inversin de recursos y no requiere acciones adicionales para la gestin sobre el factor de vulnerabilidad considerado, diferentesalasyaaplicadasenelproyecto. Zona Tolerable: Un evento o escenario situado en esta regin de la matriz, significa que, aunque deben desarrollarse actividades para la gestin sobre el riesgo en el proyecto, tienen una prioridad de segundo nivel, pudiendo ser a medianoplazo. ZonaInaceptable:Dondelaprobabilidaddeocurrenciadelriesgoesalta,ysu consecuenciaesconsiderable,esdecir,uneventooescenariosituadoenesta regin de la Matriz, significa que se requiere siempre desarrollar acciones prioritarias a corto plazo para su gestin, debido al alto impacto que tendran sobreelproyecto.
ZonaInadmisible:Uneventooescenariosituadoenestaregindelamatriz, significaquebajoningunacircunstanciasedebermantenerunescenariocon esa capacidad potencial de afectar la estabilidad del proyecto e inclusive su
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
86
terminacin.Porelloestosescenariosrequierenunaatencindealtaprioridad parabuscardisminuirenformainmediatasuvulnerabilidad.
Para determinar los lmites de cada una de las zonas de aceptabilidad en la matriz,seutilizanlossiguientescriteriosdevaloracin:
12(4.0%) 30(10.0%) 60(20.0%) 120(40.0%) 300(100%) 10(3.3%) 25(8.3%) 50(16.5%) 100(33.0%) 250(83.0%) 8(2.6%) 20(6.6%) 40(13.3%) 80(26.0%) 200(66.0%) 6(2.0%) 15(5.0%) 30(10.0%) 60(20.0%) 150(50.0%) 4(1.3%) 10(3.3%) 20(6.6%) 40(13.3%) 100(33.0%) 2(0.6%) 5(1.6%) 10(3.3%) 20(6.6%) 50(16.5%) 2 5 10 20 50 Marginal Grave Crtico Desastroso Catastrfico
GRAVEDADRELATIVA
Cada evento o escenario (PnAn), resultante de la matriz de eventos con relacinalosprocesosyalatecnologainformtica,sesitadentrodelamatriz de aceptabilidad para poder determinar los requerimientos de medidas de control como insumos necesarios para la prxima etapa o fase que es la de Control.
Laexperienciamuestraquelosriesgosnoidentificadossonloquecomnmente causan graves problemas a los afectados, por presentarse sin que exista ningnplanconcretoparacontrolarlosyporesoconllevanefectosdesastrosos.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
87
Esimportanteefectuarunaevaluacincuidadosadelosriesgosysuscausas, ya que todo resultado errneo conllevar a un exceso o a una deficiencia de medidas de control fsico, lgico o a la toma de decisiones equivocadas en el controlfinanciero. La Matriz de Aceptabilidad del riesgo est determinada por la escala de probabilidad tomada de la Tabla Nro 4 y la escala de gravedad basada en la TablaNro5conladefinicindelosvaloresdeaceptable,tolerable,inaceptable einadmisiblecomosemuestraacontinuacinenlaTablaNro.8: TablaNro.8.MatrizdeAceptabilidad PROBABILIDADRELATIVA
Constante Frecuente Moderado Ocasional Remoto Improbable 6 5 4 3 2 1 Aceptable Aceptable Aceptable Aceptable Aceptable Aceptable 1 Insignificante Tolerable Inaceptable Inaceptable Inadmisible Inadmisible Tolerable Inaceptable Inaceptable Inadmisible Inadmisible Aceptable Inaceptable Inaceptable Inadmisible Inadmisible Aceptable Tolerable Inaceptable Inaceptable Inadmisible Aceptable Tolerable Inaceptable Inaceptable Inadmisible Aceptable Aceptable Tolerable Inaceptable Inaceptable 2 5 10 20 50 Marginal Grave Crtico Desastroso Catastrfico
TablaNro.9.MatrizdeAceptabilidadparaelentornodeProcesos
PROBABILIDADRELATIVA
Constante Frecuente Moderado Ocasional Remoto Improbable 6 5 4 3 2 1 P3A6 P1A2 P2A4 P1A1
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
88
GRAVEDADRELATIVACONTROL 11.4.2.1.Perfildelosriesgos El conjunto de todos los eventos o escenarios ubicados en la matriz de aceptabilidadconfiguraelperfildelosriesgosparaelproyectoosistemayque se realiza para el entorno de los procesos y la tecnologa informtica: Administrar recursos humanos, administrar finanzas, desarrollar y mantener sistemas/tecnologa,administrarservicioslegales,entreotros.
11.4.2.2.Patronesnormalesdedistribucin Lospatronesnormalesdedistribucinsonpropiosdelaactividadparticulardel proyecto o sistema por ejemplo, no es lo mismo la distribucin tpica en un proyecto de obra civil o de infraestructura que en un proyecto de tecnologa informtica.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
89
A continuacin se presentan los patrones de distribucin de referencia de los eventos o escenarios. Estos patrones son indicadores de la confiabilidad del estado global de riesgos de un proyecto o sistema. Un sistema con patrones anormales en la distribucin de los riesgos presenta una gran incertidumbre sobrelosresultadosdesumanejo.
ZONA Aceptable Tolerable Inaceptable Inadmisible TOTAL DISTRIBUCIONDEEVENTOSOESCENARIOS Mnimoel60% Mximoel30% Mximoel10% NingnEscenario 100%
11.4.2.3.Clculodelndicededistribucindeeventosoescenarios,IDE Conocidalacalificacindeaceptabilidaddecadaeventooescenario,sesuman cuntos de ellos estn en cada nivel y se calcula lo que representan porcentualmentedeltotaldeescenarios.
Continuando con el ejemplo, el total de escenarios evaluados es de 4 para el entornodeprocesosquesemuestraenlaTablaNro9,tomandolosvaloresde la Tabla Nro 6, de ellos 2 estn en el nivel inaceptable y 2 en el nivel de inadmisible Entonces su distribucin sera como se muestra en la siguiente tabla:
Procesos
NIVEL Aceptable Tolerable Inaceptable Inadmisible TOTAL ESCENARIOS 0 0 2 2 4 DISTR.REAL 0% 0% 50% 50% 100% DISTR.NORMAL Mn.60% Mx.30% Mx.10% 0% 100%
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
90
Para el entorno de tecnologa informtica, eltotal de escenarios evaluados es de4comosemuestraenlaTablaNro10ytomandolosvaloresdelaTablaNro 7, de ellos 1 est en el nivel aceptable, 1 en el nivel de inaceptable y 2 en el nivel de inadmisible Entonces su distribucin sera como se muestra en la siguientetabla: TecnologaInformtica
NIVEL Aceptable Tolerable Inaceptable Inadmisible TOTAL ESCENARIOS 1 0 1 2 4 DISTR.REAL 25% 0% 25% 50% 100% DISTR.NORMAL Mn.60% Mx.30% Mx.10% 0% 100%
Nota: La Metodologa se aplica bajo los mismos criterios definidos, pero en forma separada para los procesos y para la tecnologa informtica, como lo ilustraelejemplotrabajadoenestedocumento
11.4.3. CONTROL Estafaseconsisteenidentificaryanalizarlassolucionesdisponiblesparatratar los riesgos estudiados en las etapas anteriores, con el fin de reducir la frecuenciayseveridaddelasprdidas,encasodequelosriesgosidentificados sematerialicen.
Controlestodaaccinorientadaaminimizarlafrecuenciadeocurrenciadelas causasdelriesgoovalordelasprdidasocasionadasporellas.Loscontroles sirven para asegurar la consecucin de los objetivos de la organizacin o asegurar el xito de un sistema y para reducir la exposicin de los riesgos, a niveles razonables. Los objetivos bsicos de los controles son: Prevenir las causas del riesgo, detectar la ocurrencia de las causas del riesgo,
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
91
retroalimentando el sistema de control interno con medios correctivos para establecer las respectivas medidas de proteccin y permitiendo as la continuidaddelaorganizacinoelproyectoqueestenejecucin.
En grfico siguiente muestra cuales son las actividades que se deben seguir paratenerunbuencontrolderiesgosenelproyectoqueseestdesarrollado.
C O N T R O L D E R I E S G O S
P r e v e n c i n
P r o t e c c i n
F s i c o / Lg i c o
C O N T R O L D E R I E S G O S
F i n a n c i e r o R e t e n e r T r a n s f e r i r
Control Fsico/Lgico: En esta actividad se definen dos alternativas fundamentalesparaobtenerunbuencontroldelriesgo: Prevencin: Estudio exhaustivo de las alternativas lgicas conducentes a reducirenlamedidadeloposible,loscausasqueoriginanlamaterializacinde unriesgo.
Sonaquellasmedidastendientesaminimizarlascausasquepuedanprovocar unaprdidateniendoencuentalosprocesos,lagenteylatecnologa.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
92
Proteccin: Conjunto de actividades encaminadas a reducir la severidad del impacto causado por la materializacin de un riesgo. Actan sobre las consecuencias.
Sonaquellasmedidastendientesareducirlaseveridaddelaprdida,esdecir en caso de que sta suceda, reduzcalas consecuencias al mnimo, tendiendo encuentalosprocesos,lagenteylatecnologa. Control Financiero: En esta actividad se definen dos alternativas fundamentalesladereteneryladetransferirelriesgo: Retener:Consisteenproveerlosmedioshoy,paraelestadodenecesidad,que la materializacin de un riesgo pueda causar en el futuro. De acuerdo con la capacidad financiera de la organizacin, se pueden asumir los riesgos que se determinendespusdeanalizarlamatrizderiesgos.Seasumengeneralmente los riesgos de baja probabilidad de ocurrencia y baja severidad (riesgos no catastrficos). Uno de los mecanismos que se pueden definir en la organizacin o en el proyectoparatratarlosriesgosqueseconsiderensepuedenasumireselfondo de auto seguro que consiste en reservar el dinero para anticiparse a las consecuenciasdeunaprdidaquesepodrageneraralmaterializarseelriesgo asumidoypreviamentecalculadosuposiblecosto. Transferir:Eseltrasladodelriesgoaunacompaaaseguradoramedianteel pagodeunaprima.(Contratodeseguro).Consistetambinenlatransferencia contractualdelosriesgosaloscontratistasysubcontratistasdelaorganizacin odelosqueintervieneeneldesarrollodelproyecto.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
93
Anlisis de resultados: Cualquier proceso requiere de un feedback o retroalimentacin, para mantenerse en el tiempo y hacerse flexible ante los mltiples y vertiginosos cambios que se viven en las organizaciones y con mayor razn en los proyectos y especialmente en los de tecnologa de informacin. Cuando ocurren cambios en el proyecto, es ciclo bsico de identificacin, evaluacin,anlisisyvaloracinderiesgosserepite.Esimportantecomprender queincluso el anlisis ms profundo y completo no puedeidentificartodos los riesgosyprobabilidadescorrectamenteserequiereuncontrolyunaiteracin.
Losriesgossondinmicosydebensermonitoreadospermanentemente
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
94
12. RECOMENDACIONES
La metodologa aqu definida y documentada se convierte en una herramientaclaveparalaorganizacinInformticadeEmpresasPblicas deMedellnE.S.P.porqueatravsdesuutilizacinyaplicacinlefacilita identificar, evaluar, controlar y valorar los riesgos de los proyectos de tecnologa de informacin que emprenda la corporacin, mejorando la gestin con el fin de disminuir el impacto de la tecnologa en los costos, recursosyeltiempoalentrarenproduccin.
La aplicacinde esta metodologa, deberrealizarse en todas las etapas de los proyectos de tecnologa de informacin hacindola extensiva a contratistas, subcontratistas y proveedores que la empresa adelante en estecampoespecfico.
Es importante oficializar esta metodologa y definir los mecanismos que faciliten su utilizacin, para que la organizacin Informtica de Empresas Pblicas de Medelln E.S.P. la aplique en todos los proyectos de tecnologa de informacin que emprenda con el fin de poder disear e implementar otras estrategias que permitan gerenciar y controlar los nuevostiposderiesgosqueestnrelacionadosconestosproyectos.
Elfocodelproyectodetecnologadeinformacindebeentoncesestarno slo encaminado a procurar el hardware y el software necesario para resolver las necesidades del proceso de negocio sino que tambin debe buscarlosmediosmateriales,econmicosyhumanosparaqueenelcaso delamaterializacindeunriesgolasprdidasseanmnimasoinclusose pueda evitar la inviabilidad del proyecto como tal. En este sentido la
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
95
metodologa cubre una gama de aspectos ticos, socioculturales, econmicos, administrativos y tecnolgicos que le permitirn al director o gerente de tecnologa informtica tener un dominio integral sobre cada aspectodelaejecucindelproyectogarantizandosucontinuidadysinpor ellodescuidarotrosaspectosdesuoperacinoadministracin.
Esimportantequelaaltagerenciatengaunaformacinslidaentodoeste tipodeconceptos,paraquenocaiganenelerrordedelegarestetipode decisiones o proyectos enlos tcnicos puristas, provocando con ello una desarticulacin entre la estrategia del negocio y la tecnologa de informacin.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
96
13. CONCLUSIONES
Estamos, sin duda, enla eradelainformacin: Adquirirequipos, obtener serviciosyacortarlasdistanciasparaestarinformados,esunaposibilidad tecnolgica vuelta obsesin. Esto hace que la informacin adquiera gran importancia y un valor incalculable, y que por lo tanto haya que tomar todas las medidas necesarias para protegerla. El contar con una metodologa que nos ayude a identificar, evaluar, controlar y valorar los riesgos en los proyectos de tecnologa deinformacin en la organizacin es una de las herramientas claves para ayudar a proteger la informacin quesegeneraymanejaenestetipodeproyectos,ademsquefacilitala terminacindelosmismossegnloplaneado. Para definir la metodologa de anlisis y valoracin de riesgos en proyectos de tecnologa de informacin se tuvo en cuenta las tres dimensionesfundamentalesquecomponenunaorganizacininformticaa nivel mundial: Los procesos la gente y la tecnologa, sin olvidar que la parte ms importante es la gente, la que hace que los procesos y la tecnologafuncionen.
El esfuerzo metodolgico desarrollado en este documento, en donde se integraronlos conceptosdela administracin de riesgos yla gerenciade proyectos, es aplicable a cualquier empresa puesto que la metodologa descrita,ensnotienerestriccionesespecficas.
Lo trascendental en la implementacin de la metodologa es como cada empresa percibe la ocurrencia y la consecuencia de los riesgos en la ejecucin de los proyectos de tecnologa que la empresa A, B o C adelantenenestesentido.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
97
Lagestindelriesgoenlosproyectosdetecnologadeinformacinhade ser una preocupacin constante en las entidades y a nivel de toda la organizacin, especialmente de la alta direccin, que no es exclusivamenteunproblematcnicoydetcnicosperoqueseraplicado enformadiferentesegnlaempresayelmomento.
La competencia basada en tecnologa de informacin se est volviendo cadadamsfuerteyagresiva,yelcontarconlametodologadeanlisisy valoracinderiesgoscomounaherramientaclavedegestin,ayudaaque laorganizacinenfrenteestenuevoretoqueseplanteaenelsigloXXI,el siglodeeradelainformacin,elnuevopoder.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
98
14. BIBLIOGRAFA
[Meja,2001]RubiConsueloMejaQuijano,DiplomaturaenControlyAuditora, TextoGua,UniversidadEAFIT,Medelln,Agostode2001,133p.
[EE.PP.M.,1999] Empresas Pblicas de Medelln, Metodologa Anlisis de Riesgos y Vulnerabilidad, Unidad de Riesgos y Seguros, Medelln, Marzo de 1999,37p.
[EE.PP.M.1,1999]Empresas Pblicas de Medelln, Plan General de Emergencias, Gua de Control Administrativo No. 13, Cartilla Gua, Medelln, Marzode1999,20p.
[EE.PP.M.,1999] EmpresasPblicasdeMedelln,SistemadeControlInterno, Equipo de Planeacin y Desarrollo del Control, Direccin de Control Interno, Medelln,Juliode1999,57p.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
99
MonsalveSuescunIsmael,EusseRestrepoIvnDaro.AnlisisCuantitativodel Riesgo. Medelln, 2001. 78p. Monografia de Grado (Especialista enFinanzas, preparacinyEvaluacindeProyectos).UniversidaddeAntioquia.Facultadde Ingeniera.
GabrielBacaUrbina.EvaluacindeProyectos,TerceraEdicin.339p.
BusinessContinuityPlanning,ANecessityinNewECommerceEra DisasterRecoveryJounal,Agosto2000.
HewlettPackardCompany,2000.
Cost and Effect: Using Integrated Cost Systems to Drive Profitability and Performance.
HarvardBusinessSchool,1997 ProjectManagementforMissionCriticalSystems.
AHandbookforGovernmentExecutives InformationTechnologyResourcesBoard,Abril2001.
BusinessContinuity:Newrisks,newimperativesandanewapproach InternationalBusinessMachinesCoporations,1999.
ComputerCrimeCostsontheRise Computerworld,20Abril1998.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
100
MITBusinessContinuityPlan MassachusettsInstituteofTechnology,1995.
ComputerRelatedRisks InternationalBusinessMachinesCorp,1990.
DevelopmentInformationSystems,ANewParadigminSoftwareDevelopment: ComplexityBegetsComplexityAViciousCycle,WhitePaper
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
101
15. REFERENCIAS
StratusTechnologiesCorp. http://www.stratus.com
SungardCorp. http://www.sungard.com
GartnerGroup http://www.gartner.com
IDCCorp. http://www.idc.com
AberdeenGroup,Inc. http://www.aberdeen.com
PriceWaterHouseCoopersInc. http://www.pwcglobal.com/
KPMGInc. http://www.kpmg.com
ProjectManagementInstitute http://www.pmi.org
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin