Como Valorar El Riesgo

PLAN DE VALORACIN DE RIESGO.
2009
81 | P g i n a
2009
INTRODUCCIN
Para que una empresa desarrolladora de software funcione correctamente y
alcance los objetivos propuestos por la administracin son necesarios activos o
recursos de diferentes ndoles y con diversos fines.
Estos recursos pueden ser humanos, materiales (edificios, instalaciones,
inmuebles, papelera, hardware, etc.) e inmateriales (software, experiencia,
credibilidad, alcance de mercadeo etc.).
Todos estos recursos se encuentran en un entorno de incertidumbre, que
en ocasiones, puede mostrase agresivo y provocar interrupciones inesperadas del
funcionamiento normal de la actividad de la empresa.
La mayor parte de estas interrupciones suelen ser temporales y las
condiciones vuelven a ser normales en un perodo que no ocasiona situaciones
crticas para la actividad normal de la empresa. Sin embargo, puede haber
circunstancias que generen interrupciones prolongadas, que lleguen a influir en la
capacidad de funcionamiento de los servicios o impidan el desarrollo normal de los
mismos.
Detallar el anlisis y la valoracin de riesgos en los proyectos de

informacin de una manera estructurada por fases, como herramienta de apoyo
para las empresas desarrolladoras.
82 | P g i n a
2009
OBJETIVO GENERAL
Proporcionar a las empresas, una herramienta que le facilite identificar,
evaluar los riesgos en los proyectos informticos que emprenda la compaa,
mejorando su servicio con el fin de disminuir el impacto y el tiempo al entrar en
produccin.
OBJETIVOS ESPECFICOS
Reconocer los riesgos en las diversas operaciones que realiza la empresa.
Determinar el mtodo de evaluacin y valoracin de riesgos para los

Proyectos informticos.
Documentar las amenazas y los posibles atentados en contra de las

actividades de la empresa.
83 | P g i n a
2009
ALCANCES DEL PLAN
Definir y documentar la valoracin de los riesgos en los proyectos

informticos de una manera organizada que permita identificar, evaluar, controlar
y valorar los riesgos en el rea para las empresas desarrolladoras de software.
Se desarrollar documentando cada una de las fases que componen la

propuesta: Fase de identificacin, evaluacin, control y valoracin, incluyendo las
actividades que se deben ejecutar en cada fase.
Con este plan se pretende dar a conocer los riesgos encontrados en las
empresas en estudio, en relacin a frecuencia, probabilidad, severidad o impacto
en las organizaciones que se consideraron para esta investigacin.
84 | P g i n a
2009
BENEFICIO DEL PLAN

El beneficio a obtener en la identificacin, anlisis y valoracin de riesgos es:
Dimensionar el impacto de los riesgos sobre la empresa en trminos de

interrupciones y prdida que puedan poner en riesgo la viabilidad y la
continuidad del proyecto.
85 | P g i n a
5.0.
2009
QUE ES LA VALORACIN DE RIESGOS: Proceso mediante el cual se
establece la probabilidad de que ocurran daos personales o prdidas materiales

y la cuantificacin de los mismos.
Es importante en toda organizacin contar con una herramienta, que

garantice la correcta evaluacin de los riesgos, a los cuales estn sometidos los
procesos y actividades que participan en un proyecto informtico y por medio de
una buena gestin se pueda evaluar el desempeo, desarrollo y ejecucin del
mismo.
Viendo la necesidad en el entorno empresarial de este tipo de herramientas

y teniendo en cuenta que una de las principales causas de los problemas dentro
del entorno informtico, es la inadecuada administracin de riesgos, este trabajo
sirve de apoyo para una adecuada gestin de la administracin de riesgos.
5.1.
FASE 0: GESTIN DEL RIESGO
La fase 0 est destinada a identificar, evaluar, valorar y controlar los

riesgos, la frecuencia y severidad con que se pueden presentar y el grado de
aceptabilidad que tienen en el desarrollo del proyecto.
Para comenzar con el anlisis y la valoracin se requiere utilizar las
conceptualizaciones siguientes:
Amenaza: Persona, objeto, situacin o evento natural del entorno (externo
o interno) que es visto como fuente de peligro, catstrofe o interrupcin y pueden
ser de origen natural tecnolgico y social. Ejemplos: sismos, inundacin,
avalanchas, incendio, explosiones, robo de datos, sabotaje, fraude, etc. Tambin
se define como un riesgo no evaluado. Es necesario cuantificarla para poder tomar
decisiones (Administracin de Riesgos). En sntesis podemos definir que la
amenaza es una percepcin del algo que puede ocurrir.
86 | P g i n a
2009
Riesgo: Definimos el riesgo como la probabilidad de que la amenaza se

materialice, debido a la existencia de una o varias vulnerabilidades de peso
significativo. El riesgo es difcil de medir, sobretodo, cuando no se cuenta con
datos estadsticos que lo respalden o avalen, por la tendencia de las empresas a
ocultar incidentes, la localizacin geogrfica, las culturas, leyes, criticidad,
situacin pas, etc. Tambin se define como una amenaza evaluada en cuanto a
su probabilidad de ocurrencia (Frecuencia) y a la gravedad de sus consecuencias
(Severidad).
Riesgo Informtico: Es un suceso incierto que puede llegar a presentarse
en un futuro con la probabilidad de Generar Consecuencias NEGATIVAS que
afecten el ambiente informtico o la informacin.
Probabilidad/Frecuencia: Es el nmero de veces que se da un evento. Ver
tambin posibilidad y probabilidad. Tambin se define como el nmero de veces
que una amenaza deja de serlo para convertirse en realidad, a lo largo de un
determinado periodo de tiempo.
Gravedad/Severidad/Impacto: Es la evaluacin del efecto y consecuencia
del riesgo. Generalmente, la exposicin al riesgo se mide en aspectos
econmicos, imagen de las personas o empresas, disminucin de capacidad de
respuesta y competitividad, interrupcin de operaciones, etc. Efecto que causa en
la empresa la ocurrencia de un siniestro y que normalmente se ve reflejado en la
suspensin de las actividades normales del negocio.
Valor del riesgo: Riesgo = Probabilidad X Gravedad (R = PxG)
Siniestro: Todo evento accidental, sbito e imprevisto (repentino, no
planeado), que normalmente genera consecuencias negativas sobre un proyecto.
Control: es toda accin orientada a minimizar la frecuencia de ocurrencia de las
causas del riesgo o valor de las prdidas ocasionadas por ellas. Los controles
sirven para asegurar la consecucin de los objetivos de las empresas o asegurar
87 | P g i n a
2009
el xito de un proyecto y para reducir la exposicin de los riesgos, a niveles

razonables.
Con las anteriores definiciones, este plan de anlisis y valoracin pretende
identificar y calificar los riesgos que se presentan alrededor del proyecto
Informticos.
El siguiente diagrama muestra cada una de las actividades que se llevaran
cabo en cada fase.
5.1.1. DIAGRAMA DE ADMINISTRACIN DE RIESGOS
VALORACIN DEL RIESGO
IDENTIFICACIN
ANLISIS Y VALORACIN DEL RIESGO
ANLISIS DE RESULTADOS
CONTROL
88 | P g i n a
5.2.
2009
FASE 1.- IDENTIFICACIN RIESGOS POTNCIALES
La identificacin de riesgos consiste en determinar qu tipos de riesgos es

ms probable que afecten al proyecto informtico y documentar las caractersticas
de cada uno.
Los siguientes riesgos se identificaron por medio de las cedulas de
entrevista dirigida a los administradores y el cuestionario dirigido a los
especialistas en sistemas (Programadores) de las empresas desarrolladoras de
software de la ciudad de San Miguel. (Ver anexo de instrumento de recoleccin de
informacin Cedula de entrevista, Cuestionario Anexo N 6 y 7).
Metodologa de Trabajo.
Proyectos en Desarrollo.
Mal funcionamiento de Hardware.
Falta de Seguridad fsica en sus Instalaciones.
Los Virus Informticos.
Los accesos no autorizados.
Almacenamiento de los Respaldos (Backups).
El Robo.
Las Normas y Polticas.
Desastres Naturales.
89 | P g i n a
2009
La siguiente metodologa a seguir es, detallar los riesgos relacionados a

cada identificacin. Se irn puntualizando y desglosando segn su dependiente,
de esta manera se podr conocer su proceso en el desarrollo.
5.2.1 METODOLOGA DE TRABAJO.
Anlisis Preliminar
Diseo
Codificacin
Puesta en Funcionamiento
Evolucin
5.2.2 PROYECTOS EN DESARROLLO.

PROCESO:
El producto en desarrollo:
Cambios de requerimientos.
El proceso de Desarrollo:
Diseo inadecuado.
El equipo de Desarrollo:
Aadir ms personal a un proyecto atrasado.
Personal problemtico descontrolado.
Fricciones entre clientes y desarrolladores (poltica del desarrollo).

5.2.3 MAL FUNCIONAMIENTO DE HARDWARE.
Fallas en los equipos

Discos duros
Memorias RAM.
90 | P g i n a
2009
5.2.4 FALTA DE SEGURIDAD FSICA EN SUS INSTALACIONES.
Polarizaciones elctricas.
Alarmas.
Infraestructura antigua.
5.2.5 LOS VIRUS INFORMTICOS.
Actualizacin de antivirus.
Firewall.
5.2.6 LOS ACCESOS NO AUTORIZADOS.
reas de trabajo.
Control de acceso a la informacin.
Nivel de acceso
5.2.7 ALMACENAMIENTO DE LOS RESPALDOS (BACKUPS).
Backups de software
Backups Data
5.2.8 EL ROBO
Medios de almacenamiento masivo
Llevndose la data, difundiendo as la informacin
5.2.9 NORMAS Y POLTICAS.
Normas para el uso de los equipos de la empresa.
Polticas de seguridad para la empresa.
91 | P g i n a
2009
5.2.10 DESASTRES NATURALES.
Fuego
Inundaciones
Sismos
Huracanes
Una vez identificadas las amenazas y los riesgos se elaboran las siguientes
matrices:
La matriz de eventos de riesgos con relacin a los procesos se construye
con las amenazas y con los procesos que tienen los proyectos informticos. La
combinacin Proceso Amenaza (fila, columna) lo nombraremos Evento de
riesgos, tal como se muestra en la Tabla N 1.
5.3 TABLA # 1. MATRIZ DE EVENTOS CON RELACIN A PROCESOS.

Procesos / Amenazas
Fallas
Fallas
Fallas
P1
P1,A1
P1,A2
P1,An
P2
P2,A3
P2,A4
P2,An
Pn
P1= proceso 1, P2= proceso 2 Pn= proceso n

A1= amenaza 1, A2= amenaza 2.. An= amenaza n
P1, A1 = E1, es el evento 1 de que en el proceso 1 ocurra la amenaza 1.
El mtodo a seguir es la realizacin de las Matrices de procesos y amenazas.
92 | P g i n a
Las siguientes tablas
2009
de eventos se desarrollan para conocer las
amenazas o fallas bajo las cuales estn sometidos cada uno de los procesos.
5.3.1 TABLA # 2. MATRIZ DE EVENTO CON RELACIN A LA

METODOLOGA DE TRABAJO.
Fallas
PROCESOS/AMENAZAS
planificaci
n del
proyecto
Anlisis
preliminar.
A1
METODOLOGA DE
TRABAJO.-P1
Fallas en
los
modelos
del
prototipo
s
Fallas en
la etapa
de realizar
pruebas.
Fallas en la
puesta en
marcha del
producto
Fallas de la
aplicacin
Diseo.
Codificaci
n.
A3
Puesta en
Funcionamie
nto.
A4
Evolucin.
A5
A2
5.3.2 TABLA # 3. MATRIZ DE EVENTOS CON RELACIN AL

PROYECTO EN DESARROLLO.
PROCESOS/AMENAZAS
Fallas del
producto en
desarrollo
Cambios de
requerimientos.
A6
PROYECTOS EN
DESARROLLO.- P2
Fallas del
proceso de
desarrollo
Diseo
inadecuado
A7
Fallas del
equipo de
desarrollo
Aadir ms
personal a un
proyecto
atrasado.
A8
Personal
problemtico
descontrolado.
A9
Fricciones
entre clientes y
desarrolladores
(poltica del
desarrollo).
A10
93 | P g i n a
2009

MAL FUNCIONAMIENTO DE HARDWARE.
Fallas en los equipos

PROCESOS/AMENAZAS
Discos duros
MAL FUNCIONAMIENTO DE
A11
HARDWARE.- P3
Memorias RAM
A12
5.3.4 TABLA # 5. MATRIZ DE EVENTOS CON RELACIN A LA

FALTA DE SEGURIDAD FSICA EN SUS INSTALACIONES.
PROCESOS/AMENAZAS
FALTA DE
SEGURIDAD FSICA
Fallas por los

mtodos de
proteccin al
hardware
Fallas en
la
segurida
d
Fallas en
la
seguridad
fsica
Polarizacione
s elctricas.
Alarmas.
Infraestruc
A 14
tura
A 13
antigua.
EN SUS
A 15
INSTALACIONES.-P4
5.3.5 TABLA # 6. MATRIZ DE EVENTOS CON RELACIN A LOS

VIRUS INFORMTICOS.
PROCESOS/AMENAZAS
LOS VIRUS
INFORMTICOS.-P5
Fallas en la
seguridad
Fallas en el
control de
acceso
Actualizacin de
Firewall.
antivirus.
A17
A16
94 | P g i n a
2009
5.3.6 TABLA # 7. MATRIZ DE EVENTOS CON RELACIN A LOS

ACCESOS NO AUTORIZADOS.
PROCESOS/AMENAZAS
Fallas
inadecuada
medida de
seguridad
Fallas por la
libertad de
acceso
Fallas en
el control
del acceso
reas de
Control de
Nivel de
trabajo.
acceso a la
acceso.
A18
informacin.
A20
LOS ACCESOS NO
AUTORIZADOS.-P6
A19
ALMACENAMIENTO DE LOS RESPALDOS (BACKUPS).
PROCESOS/AMENAZAS
ALMACENAMIENTO DE
LOS RESPALDOS
Fallas en las
plataformas de
trabajo SO
Fallas en
cuanto al
tiempo
que
realizan los
resguardos
Backups de
Backups
software.
Data.
A21
A22
(BACKUPS).-P7

ROBO.
PROCESOS/AMENAZAS
EL ROBO.- P8
Fallas en el Fcil
acceso
Fallas en la
seguridad de
acceso
Medios de
Llevndose
la data,
difundiendo
as la
informacin.
A24
almacenamiento
masivo.
A23
95 | P g i n a
2009
5.3.9 TABLA # 10. MATRIZ DE EVENTOS CON RELACIN A LAS

NORMAS Y POLTICAS.
PROCESOS/AMENAZAS
NORMAS Y POLTICAS.-P9
Fallas por no
contar con
normas
Fallas por no
cortar con
polticas
Normas para
Polticas de
el uso de los
seguridad
equipos de la
para la
empresa.
empresa.
A25
A26
5.3.10 TABLA # 11. MATRIZ DE EVENTOS CON RELACIN A

DESASTRES NATURALES.
PROCESOS/AMENAZAS
Fallas por
la falta de
equipo
contra
fuego
Fuego.
DESASTRES
NATURALES.-P10
A27
Fallas por
desages,
invierno
humedad,
Riesgo a
ocurrir
Inundaciones
Sismos
A28
A29
Riesgo a
ocurrir
Huracanes
A30
96 | P g i n a
2009
5.4 NIVEL DE RIESGOS DE PROBLEMAS OCURRIDOS EN LAS EMPRESAS

Para evaluar esta etapa se describen los problemas con ms impacto y
probabilidad de ocurrencia que se les presentan a las empresas desarrolladoras
se describen los procesos y amenazas existentes en los cuales permiten obtener
informacin para los efectos de la toma de decisiones, estos niveles de riesgo son:
ALTO (cuando el riesgo hace altamente vulnerable a la entidad o unidad).
o (Impacto y probabilidad alta vs controles).
MEDIO (cuando el riesgo presenta una vulnerabilidad media).
(Impacto alto probabilidad baja o Impacto bajo - probabilidad alta vs
controles).
BAJO (cuando el riesgo presenta vulnerabilidad baja), (Impacto y
probabilidad baja vs controles).
El mtodo a seguir es el de realizar la matriz de nivel de riesgo de los
problemas encontrados en cada empresa desarrolladora, en las cuales se irn
dando a conocer segn su nivel de impacto y probabilidad de ocurrencia en cada
una de ellas.
97 | P g i n a
2009
5.4.1 Matriz 1.- NIVEL DE RIESGOS DE PROBLEMAS OCURRIDOS EN LAS EMPRESAS.
ALTO
MEDIO
Disoftware, Syscotel SA de CV,
Ryougan technology, Garrobito Web,
Ceminfo.
P1- Anlisis Preliminar (A1), Diseo
(A2), Codificacin (A3), Puesta en

Funcionamiento
A
C
T
(A4),
Evolucin
(A5).
BAJO
O
Baja
Media
Alta
Probabilidad
98 | P g i n a
2009
ALTO
I
M

Ceminfo.
P3- Discos duros (A11), Memoria
RAM (A12).
MEDIO

Ceminfo.
P
A
C
T
O
P2-Cambio de requerimientos (A6)
BAJO
Garrobito Web
P2-Aadir ms personal
proyecto atrasado (A8).
un
Ryougan technology,
P2-Diseo inadecuado (A7), Aadir
ms personal a un proyecto atrasado
(A8),
Personal
problemtico
descontrolado (A9),Fricciones entre
clientes y desarrolladores (poltica del
desarrollo)
Baja
Media
Alta
Probabilidad
99 | P g i n a
2009
ALTO

Ryougan
technology,
Garrobito
Web, Ceminfo.
Ceminfo, Ryougan technology.

P4-Polarizaciones elctricas(A13)
P6-Areas de trabajo (A18), Control

de acceso a la informacin (A19),
Nivel de acceso (A20).
M
P
MEDIO
A
C
T
O
Ceminfo, Ryougan technology.
Ryougan technology
P4-Alarmas (A14)
P4- Infraestructura antigua (A15)

Ryougan
technology,
Garrobito
Web, Ceminfo.
P5-Actualizacion de antivirus (A16)
Firewall (A17).
BAJO
Baja
Media
Alta
Probabilidad
100 | P g i n a
2009
ALTO
I
M
P8-Medios
de
almacenamiento
masivo (A23). Llevndose la data,
difundiendo as la informacin (A24)
P7-Backups de software (A21),

Backups de Data (A22).
MEDIO
P
A
C
T
Syscotel SA de CV
Ceminfo.
Disoftware, Ryougan technology,

Garrobito Web, Ceminfo.
P8-Medios de almacenamiento
masivo (A23) Llevndose la data,
difundiendo as la informacin (A24)
BAJO

Ceminfo.
P9-Normas para el uso de los
equipos de la empresa (A25).
Polticas de seguridad para la
empresa (A26).
Baja
Media
Alta
Probabilidad
101 | P g i n a
2009
ALTO
Garrobito Web, Ceminfo.

P10-Fuego (A27).
Syscotel SA
technology.
de
CV,
P10-Inundaciones (A28).
Ryougan technology.
P10-Sismos (A29.)
A
C
T
O
Ryougan
Syscotel SA de CV
P10- Huracanes (A30)
MEDIO
BAJO
Baja
Media
Alta
Probabilidad
Ver anexo de instrumento de recoleccin de informacin Cedula de entrevista, Cuestionario. Anexo N 6 y 7
102 | P g i n a
2009
5.5 FASE 2. - ANLISIS Y VALORACIN RIESGO

Una vez que los riesgos han sido identificados y descrito sus procesos y
amenazas, se llevara a cabo su evaluacin.
El paso a seguir es hacer el anlisis y la valoracin.
En esta actividad se tiene como objetivo, una vez definidos los riesgos, la
determinacin y clculo de los criterios que, con posterioridad, nos facilitarn la
evaluacin y valoracin del riesgo.
Como procedimiento a seguir se identificarn las variables especficas y se

analizarn los factores obtenidos. Los criterios de anlisis del riesgo para este
caso en particular que usaremos son: Probabilidad o frecuencia, gravedad o
impacto y la aceptabilidad del riesgo.
Para poder hacer el anlisis y la valoracin del riesgo es necesario elaborar

las escalas de probabilidad y gravedad en que se pueden presentar las amenazas.
Estas dos tablas tienen como finalidad obtener una calificacin del riesgo en
cuanto a frecuencia o posibilidad de ocurrencia y en cuanto a la consecuencia o
gravedad si se llegara a materializar la amenaza.
103 | P g i n a
2009
5.5.1 Tabla # 12. Contiene una Escala de Probabilidad.
VALOR PROBABILIDAD (FRECUENCIA)
Improbable
Remoto
Ocasional
Moderado
Frecuente
Constante
DEFINICIN
Se presenta bajo circunstancias

extremas de orden pblico en el
pas,
de catstrofe o bajo
situaciones excepcionales fuera del
alcance de la organizacin o del
proyecto. Como paros, huelgas,
sabotajes
o
amenazas
de
terrorismo.
Se
presenta
por
situaciones
atribuibles a las personas, y pueden
ser causadas por hechos internos
de la organizacin hacia el proyecto
como suspenderlo, no apoyarlo,
abortarlo, entre otras.
El evento se clasifica como norutinario y no es inherente a la
tecnologa, su frecuencia se asocia
con variables externas a la
tecnologa,
los
procesos
o
componentes del proyecto.
Se
presenta
por
situaciones
atribuibles al descuido o error
humano que afectan la ejecucin
del proyecto.
Se presenta con cierta regularidad,
y su causa es atribuible a los
recursos mnimos del proyecto
(Personas, presupuesto, tiempo,
tecnologa)
los
cuales
son
necesarios para su ejecucin.
Se presenta en el da a da, su
origen es atribuible a situaciones
normales del proyecto como
interrupciones menores de los
procesos, los servicios de la
tecnologa, la desviacin de los
recursos y otros similares.
104 | P g i n a
2009
Definicin Aplicativa.
IMPROBABLE: Cuando el riesgo evaluado no ha sucedido hasta ahora y es muy
difcil que ocurra.
REMOTO: Cuando el riesgo evaluado ha sucedido slo en forma excepcional y se

tiene una posibilidad de ocurrencia muy baja.
OCASIONAL: Cuando el riesgo evaluado ha sucedido pocas veces y tiene baja

posibilidad de ocurrencia.
MODERADO: Si el riesgo sucede en forma espordica y tiene limitada posibilidad

de ocurrencia.
FRECUENTE: Si el riesgo sucede algunas veces y tiene una significativa

CONSTANTE: Cuando el riesgo evaluado sucede en forma reiterada y tiene alta

El termino Gravedad: se refiere a la magnitud en trminos relativos de las

consecuencias que pueden generarse al ocurrir la amenaza evaluada.
La tabla de gravedad, debe construirse en forma estndar para las empresas.
105 | P g i n a
2009
5.5.2 TABLA # 13. ESCALA DE GRAVEDAD.

VALOR
1
GRAVEDAD
Insignificante:
La duracin de
la interrupcin
es menor a 1
Hora.
Marginal:
La duracin de la
interrupcin
esta entre 1-4
Horas.
Grave:
La duracin de la
interrupcin
esta entre 4-8
Horas.
10
Crtico:
20
La duracin de la
interrupcin
esta entre 8-24
Horas.
Desastroso:
50
La duracin de
la interrupcin
esta entre 24-36
Horas.
Catastrfico:
La duracin de
la interrupcin
es mayor a 36
Horas.
106 | P g i n a
2009
INSIGNIFICANTE: Cuando las consecuencias (impacto) pueden ser consideradas

como despreciables porque que no afectan el funcionamiento del proyecto.
MARGINAL: Cuando las consecuencias (impacto) se consideran tolerables

(moderadas) porque afectan en forma leve al proyecto.
GRAVE:
Cuando
las
consecuencias
(impacto)
afectan
parcialmente
el
funcionamiento del proyecto, pero no ponen en peligro su ejecucin.
CRTICO: Se valora la consecuencia (impacto) en trminos considerables porque

dichas consecuencias afectan parcialmente al proyecto desplazando su ejecucin.
DESASTROSO: Las consecuencias afectan totalmente al proyecto, desplazando

su ejecucin y aumentando los costos del mismo de lo inicialmente
presupuestado.
CATASTRFICO: Cuando las consecuencias se consideran de gran magnitud

porque afectan en forma total el proyecto pudiendo poner en riesgo la estabilidad
del mismo e inclusive impidiendo su terminacin.
Podemos hablar con el trmino riesgo cuando la amenaza se evala con las
escalas de probabilidad y gravedad. El prximo paso entonces, de esta etapa, es
calificar los riesgos multiplicando el valor del riesgo en cuanto a probabilidad por el
valor del riesgo en cuanto a gravedad.
Riesgo = Probabilidad X Gravedad (R = PxG).
Tal como se muestra en la Tabla # 14 tomando como referencias las Matrices de

Eventos o escenarios en cuanto a Procesos:
107 | P g i n a
2009
5.5.3 TABLA #14 CALIFICACIN DEL RIESGO CON RELACIN A LOS PROCESOS.
ENTORNO DE PROCESOS
PROBABILIDAD
P
GRAVEDAD
G
RIESGO (PxG)
METODOLOGA DE TRABAJO.P1- A1, A2, A3, A4, A5.
PROYECTOS EN
DESARROLLO.P2-A5, A6, A7, A8, A9, A10.
MAL FUNCIONAMIENTO DE
HARDWARE.- P3- A11, A12.
FALTA DE SEGURIDAD FSICA
EN SUS INSTALACIONES.-P4A13, A14, A15.
LOS VIRUS INFORMTICOS.-P5
A16, A17.
LOS ACCESOS NO
AUTORIZADOS.-P6 A19,A19,A20
ALMACENAMIENTO DE LOS
RESPALDOS (BACKUPS).-P7A21, A22.
EL ROBO. - P8-A23, A24.
OCASIONAL
CRTICO
10
30
OCASIONAL
GRAVE
15
OCASIONAL
CATASTRFICO
50
150
OCASIONAL
MARGINAL
REMOTO
GRAVE
10
OCASIONAL
GRAVE
15
REMOTO
CRTICO
10
20
OCASIONAL
DESASTROSO
20
60
CRTICO
10
30
CATASTRFICO
50
100
NORMAS Y POLTICAS.-P9-A25,
OCASIONAL
3
A26.
DESASTRES NATURALES.-P10REMOTO
2
A27, A28, A29, A30.
Riesgo = P X G
Donde:
P = Probabilidad de ocurrencia (frecuencia)
G = Gravedad o intensidad de las consecuencias (impacto)
108 | P g i n a
2009
5.6 FASE 3. - ANALISIS DE RESULTADOS

5.6.1 Elaborar la Matriz de Aceptabilidad, que nos permita
determinar el nivel de aceptabilidad hacia el riesgo.
La Matriz de Aceptabilidad de Riesgos nos determina el nivel de

aceptabilidad del evento o escenario (combinacin de Riesgo proceso, o
combinacin de riesgo tecnologa) que pueda suceder en el proyecto.
Esta matriz est conformada por cuatro zonas de acuerdo con la escala de
probabilidad y de gravedad definida en los pasos anteriores:
Zona Aceptable: Donde la probabilidad de ocurrencia del riesgo es muy baja, es
decir, un evento o escenario situado en esta regin de la matriz, significa que la
combinacin frecuencia consecuencia no implica una gravedad significativa, por lo
que no amerita la inversin de recursos y no requiere acciones adicionales para la
gestin sobre el factor de vulnerabilidad considerado, diferentes a las ya aplicadas
en el proyecto.
Zona Tolerable: Un evento o escenario situado en esta regin de la matriz,

significa que, aunque deben desarrollarse actividades para la gestin sobre el
riesgo en el proyecto, tienen una prioridad de segundo nivel, pudiendo ser a
mediano plazo.
Zona Inaceptable: Donde la probabilidad de ocurrencia del riesgo es alta, y su
consecuencia es considerable, es decir, un evento o escenario situado en esta
regin de la Matriz, significa que se requiere siempre desarrollar acciones
prioritarias a corto plazo para su gestin, debido al alto impacto que tendran sobre
el proyecto.
Zona Inadmisible: Un riesgo identificado situado en esta regin de la matriz,
significa que bajo ninguna circunstancia se deber mantener un escenario con esa
capacidad potencial de afectar la estabilidad del proyecto e inclusive su
109 | P g i n a
2009
terminacin. Por ello estos escenarios requieren una atencin de alta prioridad
para buscar disminuir en forma inmediata su vulnerabilidad.
Para determinar los lmites de cada una de las zonas de aceptabilidad en la

matriz, se utilizan los siguientes criterios de valoracin:
5.6.1.1 Tabla # 15 Matriz de Zona de Aceptabilidad.
ZONA
CRITERIO DE ACEPTABILIDAD
(% de vulnerabilidad).
Aceptable
Hasta el 3.0
Tolerable
Del 3.1 al 5.0
Inaceptable
Del 5.1 al 25.0
Inadmisible
Ms del 25.0
5.6.1.2 Tabla # 16 PROBABILIDAD RELATIVA.

Constante
6 (2.0%)
12 (4.0%)
30 (10.0%)
60 (20.0%)
120 (40.0%)
300 (100.0%)
Frecuente
5 (1.6%)
10 (3.3%)
25 (8.3%)
50 (16.6%)
100 (33.3%)
250 (83.3%)
Moderado
4 (1.3%)
8 (2.6%)
20 (6.6%)
40 (13.3%)
80 (26.6%)
200 (66.6%)
Ocasional
3 (1.0%)
6 (2.0%)
15 (5.0%)
30 (10.0%)
60 (20.0%)
150 (50.0%)
Remoto
2 (0.6%)
4 (1.3%)
10 (33.3%)
20 (6.6%)
40 (13.3%)
100(33.3%)
Improbable
1(0.3%)
2 (0.6%)
5 (1.6%)
10 (3.3%)
20 (6.6%)
50 (16.6%)
10
20
50
Insignificante
Marginal
Grave
Crtico
Desastroso
Catastrfico
GRAVEDAD RELATIVA
110 | P g i n a
2009
Cada riesgos encontrados (Pn An), resultante de la matriz de eventos con

relacin a los procesos informticos, se sita dentro de la matriz de aceptabilidad
para poder determinar los requerimientos de medidas de control como insumos
necesarios para la prxima etapa o fase que es la de Control.
La Matriz de Aceptabilidad del riesgo est determinada por la escala de
probabilidad tomada de la Tabla #12 y la escala de gravedad basada en la Tabla
#13 con la definicin de los valores de aceptable, tolerable, inaceptable e
inadmisible como se muestra a continuacin en la Tabla # 17:
5.6.1.3 Tabla # 17 Matriz de Aceptabilidad.

PROBABILIDAD RELATIVA
Constante
Aceptable
Tolerable
Inaceptable
Inaceptable
Inadmisible
Inadmisible
Frecuente
Aceptable
Tolerable
Inaceptable
Inaceptable
Inadmisible
Inadmisible
Moderado
Aceptable
Aceptable
Inaceptable
Inaceptable
Inadmisible
Inadmisible
Ocasional
Aceptable
Aceptable
Tolerable
Inaceptable
Inaceptable
Inadmisible
Remoto
Aceptable
Aceptable
Tolerable
Inaceptable
Inaceptable
Inadmisible
Improbable
Aceptable
Aceptable
Aceptable
Tolerable
Inaceptable
Inaceptable
1
Insignificante
2
Marginal
5
Grave
10
Crtico
20
Desastroso
50
Catastrfico
GRAVEDAD RELATIVA.
111 | P g i n a
2009
5.6.1.4 Tabla #18. Matriz de Aceptabilidad para el entorno de Procesos.

PROBABILIDAD RELATIVA.
Constante
Frecuente
Moderado
Ocasional
Remoto
Improbable
Falta de
seguridad
fsica en sus
instalaciones.
-P4-A13,
A14, A15.
1
Insignificante
El robo.- P8-
Proyectos en
desarrollo.- P2A5, A6, A7, A8,
A9, A10.
Los accesos no
autorizados.-P6
A19,A19,A20
Los virus
informticos.P5
A16, A17.
Metodologa de
trabajo.-P1- A1,
A2, A3, A4, A5.
Normas y
polticas.-P9A25, A26.
10
20
50
Marginal
Grave
Crtico
Desastroso
Catastrfico
A23, A24.
Almacenamient
o de los
respaldos
(backups).-P7A21, A22.
Mal
funcionamiento
de hardware.P3- A11, A12.
Desastres
naturales.-P10A27, A28, A29,
A30.
GRAVEDAD RELATIVA.
112 | P g i n a
2009
Perfil de los riesgos.

El conjunto de todos los riesgos encontrados ubicados en la matriz de
aceptabilidad configura el perfil de los riesgos para el proyecto o sistema y que se
realiza para el entorno de los procesos y los proyectos informticos: Metodologa
de trabajo, Proyectos en desarrollo, Mal funcionamiento de hardware, Falta de
seguridad fsica en sus instalaciones, Los virus informticos, Los accesos no
autorizados, Almacenamiento de los respaldos (backups), El robo, Normas y
polticas, Desastres naturales.
5.7 FASE 4.- CONTROL
Esta fase consiste en identificar y analizar las soluciones disponibles para
tratar los riesgos estudiados en las etapas anteriores, con el fin de reducir la
frecuencia y severidad de las prdidas, en caso de que los riesgos identificados se
materialicen.
Control es toda accin orientada a minimizar la frecuencia de ocurrencia de
las causas del riesgo o valor de las prdidas ocasionadas por ellas.
Los controles sirven para asegurar la consecucin de los objetivos de la

organizacin o asegurar el xito de un sistema y para reducir la exposicin de los
riesgos, a niveles razonables. Los objetivos bsicos de los controles son:
Prevenir las causas del riesgo, detectar la ocurrencia de las causas del
riesgo, retroalimentando el sistema de control interno con medios correctivos para
establecer las respectivas medidas de proteccin y permitiendo as la continuidad
de la organizacin o el proyecto que est en ejecucin.
113 | P g i n a
2009
En el siguiente grafico muestra cuales son las actividades que se deben

seguir para tener un buen control de riesgos en el proyecto que se est
desarrollado.
5.7.1 C O N T R O L DEL R I E S G O S
Control
Fsico/Lgico:
En
esta
actividad
se
definen
dos
alternativas
fundamentales para obtener un buen control del riesgo:
Prevencin: Estudio exhaustivo de las alternativas lgicas conducentes a reducir

en la medida de lo posible, las causas que originan la materializacin de un riesgo.
Son aquellas medidas tendientes a minimizar las causas que puedan

provocar una prdida teniendo en cuenta los procesos, la gente y la tecnologa.
Proteccin: Conjunto de actividades encaminadas a reducir la severidad del

impacto causado por la materializacin de un riesgo. Actan sobre las
consecuencias.
114 | P g i n a
2009
Son aquellas medidas tendientes a reducir la severidad de la prdida, es

decir en caso de que sta suceda, reduzca las consecuencias al mnimo, teniendo
en cuenta los procesos, la gente y la tecnologa.
Control Financiero: En esta actividad se definen dos alternativas fundamentales

la de retener y la de transferir el riesgo:
Retener: Consiste en proveer los medios hoy, para el estado de necesidad, que la
materializacin de un riesgo pueda causar en el futuro. De acuerdo con la
capacidad financiera de la organizacin, se pueden asumir los riesgos que se
determinen despus de analizar la matriz de riesgos. Se asumen generalmente los
riesgos de baja probabilidad de ocurrencia y baja severidad (riesgos no
catastrficos).
Uno de los mecanismos que se pueden definir en la empresa o en el

proyecto para tratar los riesgos que se consideren, se pueden asumir el fondo en
reservar de dinero para anticiparse a las consecuencias de una prdida que se
podra generar al materializarse el riesgo asumido y previamente calculado su
posible costo.
Transferir: Es el traslado del riesgo a una compaa aseguradora mediante el

pago de una prima. (Contrato de seguro). Consiste tambin en la transferencia
contractual de los riesgos a los contratistas y subcontratistas de la organizacin o
de los que interviene en el desarrollo del proyecto.
Anlisis de resultados: Cualquier proceso requiere de una retroalimentacin,

para mantenerse en el tiempo y hacerse flexible ante los mltiples y vertiginosos
cambios que se viven en las organizaciones y con mayor razn en los proyectos y
especialmente en los de tecnologa de informacin.
115 | P g i n a
2009
Cuando ocurren cambios en el proyecto, es ciclo bsico de identificacin,

evaluacin, anlisis y valoracin de riesgos se repite.
Es importante comprender que incluso el anlisis ms profundo y completo
no puede identificar todos los riesgos y probabilidades correctamente se requiere
un control y una iteracin.
Los riesgos son dinmicos y deben ser monitoreados permanentemente
116 | P g i n a
2009
5.8. RECOMENDACIONES.
La metodologa aqu definida y documentada se convierte en una

herramienta clave para las empresas desarrolladoras de software de la
ciudad de san Miguel. Porque a travs de su utilizacin y aplicacin le
facilita identificar, evaluar, controlar y valorar los riesgos de en proyectos
informticos que emprenda la compaa, mejorando la gestin con el fin de
disminuir el impacto de la tecnologa en los costos, recursos y el tiempo al
entrar en produccin.
La aplicacin de esta metodologa, deber realizarse en todas las etapas de

los proyectos informticos, hacindola extensiva a que la empresa en
adelante pueda emplearla en cada aspecto especfico.
El plan cubre una gama de aspectos ticos, econmicos, administrativos y

tecnolgicos que le permitirn al administrador o especialistas en
informtica (programadores) tener un dominio integral sobre cada aspecto
de la ejecucin del proyecto garantizando su continuidad.
117 | P g i n a
2009
5.9. CONCLUSIONES.
Para definir la metodologa de anlisis y valoracin de riesgos en proyectos

informticos se tuvo en cuenta las tres dimensiones fundamentales que
componen una organizacin informtica a nivel mundial: Los procesos la
gente y la tecnologa, sin olvidar que la parte ms importante es la gente, la
que hace que los procesos y la tecnologa funcionen.
Desde los comienzos de la computacin, los recursos informticos

incluyendo la informacin, han estado expuestos a una serie de peligros o
riesgos que han aumentado y evolucionado
Proteger los activos ms valiosos de las empresas frente a posibles

amenazas que ofrece permanentemente el medio, es un gran desafo. Este
inters crece aun ms cuando la informacin cobra importancia para
sobrevivir frente a la competencia y permanecer en el mercado.
118 | P g i n a

Como Valorar El Riesgo

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Como Valorar El Riesgo

Cargado por

Copyright:

Formatos disponibles

PLAN DE VALORACIN DE RIESGO.

PLAN DE VALORACIN DE RIESGO.

Detallar el anlisis y la valoracin de riesgos en los proyectos de

PLAN DE VALORACIN DE RIESGO.

Reconocer los riesgos en las diversas operaciones que realiza la empresa.

Determinar el mtodo de evaluacin y valoracin de riesgos para los

Documentar las amenazas y los posibles atentados en contra de las

PLAN DE VALORACIN DE RIESGO.

ALCANCES DEL PLAN

Definir y documentar la valoracin de los riesgos en los proyectos

Se desarrollar documentando cada una de las fases que componen la

PLAN DE VALORACIN DE RIESGO.

BENEFICIO DEL PLAN

Dimensionar el impacto de los riesgos sobre la empresa en trminos de

PLAN DE VALORACIN DE RIESGO.

QUE ES LA VALORACIN DE RIESGOS: Proceso mediante el cual se

establece la probabilidad de que ocurran daos personales o prdidas materiales

Es importante en toda organizacin contar con una herramienta, que

Viendo la necesidad en el entorno empresarial de este tipo de herramientas

FASE 0: GESTIN DEL RIESGO

La fase 0 est destinada a identificar, evaluar, valorar y controlar los

PLAN DE VALORACIN DE RIESGO.

Riesgo: Definimos el riesgo como la probabilidad de que la amenaza se

PLAN DE VALORACIN DE RIESGO.

el xito de un proyecto y para reducir la exposicin de los riesgos, a niveles

5.1.1. DIAGRAMA DE ADMINISTRACIN DE RIESGOS

VALORACIN DEL RIESGO

ANLISIS Y VALORACIN DEL RIESGO

PLAN DE VALORACIN DE RIESGO.

FASE 1.- IDENTIFICACIN RIESGOS POTNCIALES

La identificacin de riesgos consiste en determinar qu tipos de riesgos es

Mal funcionamiento de Hardware.

Falta de Seguridad fsica en sus Instalaciones.

Los Virus Informticos.

Los accesos no autorizados.

Almacenamiento de los Respaldos (Backups).

Las Normas y Polticas.

PLAN DE VALORACIN DE RIESGO.

La siguiente metodologa a seguir es, detallar los riesgos relacionados a

5.2.2 PROYECTOS EN DESARROLLO.

Aadir ms personal a un proyecto atrasado.

Personal problemtico descontrolado.

Fricciones entre clientes y desarrolladores (poltica del desarrollo).

Fallas en los equipos

PLAN DE VALORACIN DE RIESGO.

5.2.4 FALTA DE SEGURIDAD FSICA EN SUS INSTALACIONES.

5.2.5 LOS VIRUS INFORMTICOS.

5.2.6 LOS ACCESOS NO AUTORIZADOS.

Control de acceso a la informacin.

5.2.7 ALMACENAMIENTO DE LOS RESPALDOS (BACKUPS).

Medios de almacenamiento masivo

Llevndose la data, difundiendo as la informacin

5.2.9 NORMAS Y POLTICAS.

Normas para el uso de los equipos de la empresa.

Polticas de seguridad para la empresa.

PLAN DE VALORACIN DE RIESGO.

5.2.10 DESASTRES NATURALES.

5.3 TABLA # 1. MATRIZ DE EVENTOS CON RELACIN A PROCESOS.

P1= proceso 1, P2= proceso 2 Pn= proceso n

El mtodo a seguir es la realizacin de las Matrices de procesos y amenazas.

PLAN DE VALORACIN DE RIESGO.

Las siguientes tablas

de eventos se desarrollan para conocer las