Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Como Valorar El Riesgo
Como Valorar El Riesgo
2009
81 | P g i n a
2009
INTRODUCCIN
Para que una empresa desarrolladora de software funcione correctamente y
alcance los objetivos propuestos por la administracin son necesarios activos o
recursos de diferentes ndoles y con diversos fines.
Estos recursos pueden ser humanos, materiales (edificios, instalaciones,
inmuebles, papelera, hardware, etc.) e inmateriales (software, experiencia,
credibilidad, alcance de mercadeo etc.).
Todos estos recursos se encuentran en un entorno de incertidumbre, que
en ocasiones, puede mostrase agresivo y provocar interrupciones inesperadas del
funcionamiento normal de la actividad de la empresa.
La mayor parte de estas interrupciones suelen ser temporales y las
condiciones vuelven a ser normales en un perodo que no ocasiona situaciones
crticas para la actividad normal de la empresa. Sin embargo, puede haber
circunstancias que generen interrupciones prolongadas, que lleguen a influir en la
capacidad de funcionamiento de los servicios o impidan el desarrollo normal de los
mismos.
82 | P g i n a
2009
OBJETIVO GENERAL
Proporcionar a las empresas, una herramienta que le facilite identificar,
evaluar los riesgos en los proyectos informticos que emprenda la compaa,
mejorando su servicio con el fin de disminuir el impacto y el tiempo al entrar en
produccin.
OBJETIVOS ESPECFICOS
83 | P g i n a
2009
Con este plan se pretende dar a conocer los riesgos encontrados en las
empresas en estudio, en relacin a frecuencia, probabilidad, severidad o impacto
en las organizaciones que se consideraron para esta investigacin.
84 | P g i n a
2009
85 | P g i n a
5.0.
2009
5.1.
86 | P g i n a
2009
87 | P g i n a
2009
IDENTIFICACIN
ANLISIS DE RESULTADOS
CONTROL
88 | P g i n a
5.2.
2009
Metodologa de Trabajo.
Proyectos en Desarrollo.
El Robo.
Desastres Naturales.
89 | P g i n a
2009
Anlisis Preliminar
Diseo
Codificacin
Puesta en Funcionamiento
Evolucin
El producto en desarrollo:
Cambios de requerimientos.
El proceso de Desarrollo:
Diseo inadecuado.
El equipo de Desarrollo:
2009
Polarizaciones elctricas.
Alarmas.
Infraestructura antigua.
Actualizacin de antivirus.
Firewall.
reas de trabajo.
Nivel de acceso
Backups de software
Backups Data
5.2.8 EL ROBO
91 | P g i n a
2009
Fuego
Inundaciones
Sismos
Huracanes
Una vez identificadas las amenazas y los riesgos se elaboran las siguientes
matrices:
La matriz de eventos de riesgos con relacin a los procesos se construye
con las amenazas y con los procesos que tienen los proyectos informticos. La
combinacin Proceso Amenaza (fila, columna) lo nombraremos Evento de
riesgos, tal como se muestra en la Tabla N 1.
Fallas
Fallas
Fallas
P1
P1,A1
P1,A2
P1,An
P2
P2,A3
P2,A4
P2,An
Pn
92 | P g i n a
2009
amenazas o fallas bajo las cuales estn sometidos cada uno de los procesos.
Fallas
PROCESOS/AMENAZAS
planificaci
n del
proyecto
Anlisis
preliminar.
A1
METODOLOGA DE
TRABAJO.-P1
Fallas en
los
modelos
del
prototipo
s
Fallas en
la etapa
de realizar
pruebas.
Fallas en la
puesta en
marcha del
producto
Fallas de la
aplicacin
Diseo.
Codificaci
n.
A3
Puesta en
Funcionamie
nto.
A4
Evolucin.
A5
A2
Fallas del
producto en
desarrollo
Cambios de
requerimientos.
A6
PROYECTOS EN
DESARROLLO.- P2
Fallas del
proceso de
desarrollo
Diseo
inadecuado
A7
Fallas del
equipo de
desarrollo
Aadir ms
personal a un
proyecto
atrasado.
A8
Personal
problemtico
descontrolado.
A9
Fricciones
entre clientes y
desarrolladores
(poltica del
desarrollo).
A10
93 | P g i n a
2009
A11
HARDWARE.- P3
Memorias RAM
A12
FALTA DE
SEGURIDAD FSICA
Fallas en
la
segurida
d
Fallas en
la
seguridad
fsica
Polarizacione
s elctricas.
Alarmas.
Infraestruc
A 14
tura
A 13
antigua.
EN SUS
A 15
INSTALACIONES.-P4
LOS VIRUS
INFORMTICOS.-P5
Fallas en la
seguridad
Fallas en el
control de
acceso
Actualizacin de
Firewall.
antivirus.
A17
A16
94 | P g i n a
2009
PROCESOS/AMENAZAS
Fallas
inadecuada
medida de
seguridad
Fallas por la
libertad de
acceso
Fallas en
el control
del acceso
reas de
Control de
Nivel de
trabajo.
acceso a la
acceso.
A18
informacin.
A20
LOS ACCESOS NO
AUTORIZADOS.-P6
A19
5.3.7 TABLA # 8. MATRIZ DE EVENTOS CON RELACIN AL
ALMACENAMIENTO DE LOS RESPALDOS (BACKUPS).
PROCESOS/AMENAZAS
ALMACENAMIENTO DE
LOS RESPALDOS
Fallas en las
plataformas de
trabajo SO
Fallas en
cuanto al
tiempo
que
realizan los
resguardos
Backups de
Backups
software.
Data.
A21
A22
(BACKUPS).-P7
EL ROBO.- P8
Fallas en el Fcil
acceso
Fallas en la
seguridad de
acceso
Medios de
Llevndose
la data,
difundiendo
as la
informacin.
A24
almacenamiento
masivo.
A23
95 | P g i n a
2009
PROCESOS/AMENAZAS
NORMAS Y POLTICAS.-P9
Fallas por no
contar con
normas
Fallas por no
cortar con
polticas
Normas para
Polticas de
el uso de los
seguridad
equipos de la
para la
empresa.
empresa.
A25
A26
Fallas por
la falta de
equipo
contra
fuego
Fuego.
DESASTRES
NATURALES.-P10
A27
Fallas por
desages,
invierno
humedad,
Riesgo a
ocurrir
Inundaciones
Sismos
A28
A29
Riesgo a
ocurrir
Huracanes
A30
96 | P g i n a
2009
97 | P g i n a
2009
ALTO
MEDIO
Disoftware, Syscotel SA de CV,
Ryougan technology, Garrobito Web,
Ceminfo.
P1- Anlisis Preliminar (A1), Diseo
A
C
T
(A4),
Evolucin
(A5).
BAJO
O
Baja
Media
Alta
Probabilidad
98 | P g i n a
2009
ALTO
I
M
MEDIO
P
A
C
T
O
BAJO
Garrobito Web
P2-Aadir ms personal
proyecto atrasado (A8).
un
Ryougan technology,
P2-Diseo inadecuado (A7), Aadir
ms personal a un proyecto atrasado
(A8),
Personal
problemtico
descontrolado (A9),Fricciones entre
clientes y desarrolladores (poltica del
desarrollo)
Baja
Media
Alta
Probabilidad
99 | P g i n a
2009
ALTO
M
P
MEDIO
A
C
T
O
Ryougan technology
P4-Alarmas (A14)
BAJO
Baja
Media
Alta
Probabilidad
100 | P g i n a
2009
ALTO
I
M
P8-Medios
de
almacenamiento
masivo (A23). Llevndose la data,
difundiendo as la informacin (A24)
MEDIO
P
A
C
T
Syscotel SA de CV
Disoftware, Syscotel SA de CV,
Ryougan technology, Garrobito Web,
Ceminfo.
BAJO
Baja
Media
Alta
Probabilidad
101 | P g i n a
2009
ALTO
Syscotel SA
technology.
de
CV,
P10-Inundaciones (A28).
Ryougan technology.
P10-Sismos (A29.)
A
C
T
O
Ryougan
Syscotel SA de CV
P10- Huracanes (A30)
MEDIO
BAJO
Baja
Media
Alta
Probabilidad
Ver anexo de instrumento de recoleccin de informacin Cedula de entrevista, Cuestionario. Anexo N 6 y 7
102 | P g i n a
2009
En esta actividad se tiene como objetivo, una vez definidos los riesgos, la
determinacin y clculo de los criterios que, con posterioridad, nos facilitarn la
evaluacin y valoracin del riesgo.
103 | P g i n a
2009
Improbable
Remoto
Ocasional
Moderado
Frecuente
Constante
DEFINICIN
104 | P g i n a
2009
Definicin Aplicativa.
IMPROBABLE: Cuando el riesgo evaluado no ha sucedido hasta ahora y es muy
difcil que ocurra.
105 | P g i n a
2009
GRAVEDAD
Insignificante:
La duracin de
la interrupcin
es menor a 1
Hora.
Marginal:
La duracin de la
interrupcin
esta entre 1-4
Horas.
Grave:
La duracin de la
interrupcin
esta entre 4-8
Horas.
10
Crtico:
20
La duracin de la
interrupcin
esta entre 8-24
Horas.
Desastroso:
50
La duracin de
la interrupcin
esta entre 24-36
Horas.
Catastrfico:
La duracin de
la interrupcin
es mayor a 36
Horas.
106 | P g i n a
2009
GRAVE:
Cuando
las
consecuencias
(impacto)
afectan
parcialmente
el
Podemos hablar con el trmino riesgo cuando la amenaza se evala con las
escalas de probabilidad y gravedad. El prximo paso entonces, de esta etapa, es
calificar los riesgos multiplicando el valor del riesgo en cuanto a probabilidad por el
valor del riesgo en cuanto a gravedad.
107 | P g i n a
2009
5.5.3 TABLA #14 CALIFICACIN DEL RIESGO CON RELACIN A LOS PROCESOS.
ENTORNO DE PROCESOS
PROBABILIDAD
P
GRAVEDAD
G
RIESGO (PxG)
METODOLOGA DE TRABAJO.P1- A1, A2, A3, A4, A5.
PROYECTOS EN
DESARROLLO.P2-A5, A6, A7, A8, A9, A10.
MAL FUNCIONAMIENTO DE
HARDWARE.- P3- A11, A12.
FALTA DE SEGURIDAD FSICA
EN SUS INSTALACIONES.-P4A13, A14, A15.
LOS VIRUS INFORMTICOS.-P5
A16, A17.
LOS ACCESOS NO
AUTORIZADOS.-P6 A19,A19,A20
ALMACENAMIENTO DE LOS
RESPALDOS (BACKUPS).-P7A21, A22.
EL ROBO. - P8-A23, A24.
OCASIONAL
CRTICO
10
30
OCASIONAL
GRAVE
15
OCASIONAL
CATASTRFICO
50
150
OCASIONAL
MARGINAL
REMOTO
GRAVE
10
OCASIONAL
GRAVE
15
REMOTO
CRTICO
10
20
OCASIONAL
DESASTROSO
20
60
CRTICO
10
30
CATASTRFICO
50
100
NORMAS Y POLTICAS.-P9-A25,
OCASIONAL
3
A26.
DESASTRES NATURALES.-P10REMOTO
2
A27, A28, A29, A30.
Riesgo = P X G
Donde:
P = Probabilidad de ocurrencia (frecuencia)
G = Gravedad o intensidad de las consecuencias (impacto)
108 | P g i n a
2009
109 | P g i n a
2009
terminacin. Por ello estos escenarios requieren una atencin de alta prioridad
para buscar disminuir en forma inmediata su vulnerabilidad.
ZONA
CRITERIO DE ACEPTABILIDAD
(% de vulnerabilidad).
Aceptable
Hasta el 3.0
Tolerable
Inaceptable
Inadmisible
Ms del 25.0
6 (2.0%)
12 (4.0%)
30 (10.0%)
60 (20.0%)
120 (40.0%)
300 (100.0%)
Frecuente
5 (1.6%)
10 (3.3%)
25 (8.3%)
50 (16.6%)
100 (33.3%)
250 (83.3%)
Moderado
4 (1.3%)
8 (2.6%)
20 (6.6%)
40 (13.3%)
80 (26.6%)
200 (66.6%)
Ocasional
3 (1.0%)
6 (2.0%)
15 (5.0%)
30 (10.0%)
60 (20.0%)
150 (50.0%)
Remoto
2 (0.6%)
4 (1.3%)
10 (33.3%)
20 (6.6%)
40 (13.3%)
100(33.3%)
Improbable
1(0.3%)
2 (0.6%)
5 (1.6%)
10 (3.3%)
20 (6.6%)
50 (16.6%)
10
20
50
Insignificante
Marginal
Grave
Crtico
Desastroso
Catastrfico
GRAVEDAD RELATIVA
110 | P g i n a
2009
Aceptable
Tolerable
Inaceptable
Inaceptable
Inadmisible
Inadmisible
Frecuente
Aceptable
Tolerable
Inaceptable
Inaceptable
Inadmisible
Inadmisible
Moderado
Aceptable
Aceptable
Inaceptable
Inaceptable
Inadmisible
Inadmisible
Ocasional
Aceptable
Aceptable
Tolerable
Inaceptable
Inaceptable
Inadmisible
Remoto
Aceptable
Aceptable
Tolerable
Inaceptable
Inaceptable
Inadmisible
Improbable
Aceptable
Aceptable
Aceptable
Tolerable
Inaceptable
Inaceptable
1
Insignificante
2
Marginal
5
Grave
10
Crtico
20
Desastroso
50
Catastrfico
GRAVEDAD RELATIVA.
111 | P g i n a
2009
Frecuente
Moderado
Ocasional
Remoto
Improbable
Falta de
seguridad
fsica en sus
instalaciones.
-P4-A13,
A14, A15.
1
Insignificante
El robo.- P8-
Proyectos en
desarrollo.- P2A5, A6, A7, A8,
A9, A10.
Los accesos no
autorizados.-P6
A19,A19,A20
Los virus
informticos.P5
A16, A17.
Metodologa de
trabajo.-P1- A1,
A2, A3, A4, A5.
Normas y
polticas.-P9A25, A26.
10
20
50
Marginal
Grave
Crtico
Desastroso
Catastrfico
A23, A24.
Almacenamient
o de los
respaldos
(backups).-P7A21, A22.
Mal
funcionamiento
de hardware.P3- A11, A12.
Desastres
naturales.-P10A27, A28, A29,
A30.
GRAVEDAD RELATIVA.
112 | P g i n a
2009
113 | P g i n a
2009
5.7.1 C O N T R O L DEL R I E S G O S
Control
Fsico/Lgico:
En
esta
actividad
se
definen
dos
alternativas
2009
Retener: Consiste en proveer los medios hoy, para el estado de necesidad, que la
materializacin de un riesgo pueda causar en el futuro. De acuerdo con la
capacidad financiera de la organizacin, se pueden asumir los riesgos que se
determinen despus de analizar la matriz de riesgos. Se asumen generalmente los
riesgos de baja probabilidad de ocurrencia y baja severidad (riesgos no
catastrficos).
115 | P g i n a
2009
116 | P g i n a
2009
5.8. RECOMENDACIONES.
117 | P g i n a
2009
5.9. CONCLUSIONES.
118 | P g i n a