Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Administracion Del Riesgo
Administracion Del Riesgo
2-Análisis Cuantitativo
Análisis cuantitativo
el análisis cuantitativo del riesgo a menudo sucede al análisis cualitativo del riesgo,
aunque ambos procesos pueden llevarse por separado o en forma simultanea. En
algunos proyectos, el equipo puede solamente ejecutar el análisis cualitativo. La
naturaleza del proyecto y la disponibilidad de tiempo y dinero influyen en el tipo de
técnica a utilizar. Los proyectos grandes y complejos que involucran tecnología de
punta requieren la aplicación de técnicas cuantitativas. Las principales técnicas para el
análisis cuantitativo exigen la recolección de datos, la aplicación de técnicas
cuantitativas, y técnicas de modelamiento. Las técnicas de análisis cuantitativo más
utilizadas son: el análisis de árboles de decisión, la simulación, y el análisis de
sensibilidad.
No todos los riesgos son cuantificables, algunos pueden definirse de forma cualitativa
Las técnicas matemáticas utilizadas pueden dar una falsa impresión de la precisión y la
fiabilidad
Durante esta etapa, el impacto del riesgo debería cuantificarse en términos monetarios
cuando sea posible. El impacto podría afectar al coste, a la programación, al alcance, a
la calidad o a una combinación de los factores anteriores. El equipo debería definir no
solo cómo de grande es el impacto sino también qué elementos son los más afectados y
documentar los resultados en el registro de riesgos.
Por ejemplo si un riesgo implicara un coste adicional de 5000 euros, esta cantidad será
identificada como el impacto asignado a dicho riesgo. O si por ejemplo un determinado
evento causase un aumento de una semana en la agenda, también sería considerado
como impacto de un riesgo y como tal también debería ser asociado a un coste, por
ejemplo, el coste que implicaría cubrir los recursos que se van a utilizar durante esa
semana. Por lo tanto, los impactos del riesgo normalmente deberían representarse en
forma de costes, siempre aplicando ciertos márgenes.
b) Estimar la probabilidad de ocurrencia de riesgo de forma cuantitativa
Durante esta etapa, la probabilidad de ocurrencia del riesgo está cuantificada, dando así
un valor porcentual real.
También podría tenerse en cuenta un factor para cuantificar aún más el riesgo, en cuyo
caso se utilizaría la siguiente fórmula:
Impacto Descripción
Muy alto Objetivos críticos (la mayor parte de ellos) del proyecto están seriamente impactados o no se
cumplirán (coste, calendario, calidad o satisfacción del cliente).
Dentro de la gestión de riesgo existen actividades de análisis del mismo. Mientras que la
gestión del riesgo es un proceso, el análisis es una metodología que ayuda a identificar
los activos y asociarles riesgos y daños potenciales si no se toman contra medidas
adecuadas.
El análisis de riesgo es utilizado para asegurar que los esfuerzos de seguridad tienen una
relación costo – beneficio aceptable, que las acciones son relevantes, están realizadas en
tiempo y responden a verdaderos peligros. Si estos estudios no se realizaran y las
actividades de seguridad se llevaran por acciones impulsivas y empíricas no se podría
saber si el esfuerzo mayor protege al activo más preciado o está mitigando una
vulnerabilidad con alto riesgo de poderse materializar. Sea el caso de una dependencia
gubernamental encargada de realizar obtener las declaraciones de sus contribuyentes; la
gran utilización de la tecnología es evidente, si ella no se podría recaudar y el gobierno
tendría pérdidas en impuestos. Para realizar todo el proceso es necesario contratar
proveedores externos, expertos en tecnología y logística. La interacción de todos ellos
es lo que hace posible la recaudación. El público interno que maneja esta dependencia
de gobierno es altamente técnico y la información que manejan altamente sensible y
expuesta. Sin hacer un estudio de riesgos se podría implantar tantos detectores de
intrusos y firewalls se supusiera fueran necesarios para filtrar la navegación de los
proveedores. Esta acción no necesariamente es la que protege al activo más preciado (la
información de contribuyentes) sino que sólo controla un recurso que tal vez encerrando
en un perímetro fuera suficiente en lugar de hacer todo un despliegue económico y
tecnológico.
Cuando un profesional de la seguridad realice un análisis de riesgo, al final de ejecutarlo
deberá saber la siguiente información:
Activos identificados y su valor asociado,
Riesgos identificados,
Peligros potenciales con su frecuencia de ocurrencia y daños potenciales cuantificados,
Contra medidas que mantengan un balance costo – beneficio entre el
impacto obtenido y el costo de la implantación
baja, moderada, alta y muy alta) a los riesgos o condiciones, sobre la basede combinar las
escalas de probabilidad e impacto. Los riesgos con altaprobabilidad y alto impacto, están
propensos a requerir un mayor análisis,incluida la cuantificación y una gestión agresiva del riesgo.
La ponderaciónde los riesgos se lleva a cabo utilizando una matriz y las escalas de riesgospara
cada uno de estos eventos o condiciones.
Naturalmente, la escala de probabilidad del riesgo oscila entre 0.0 (ningunaprobabilidad) y 1.0
(certeza). La evaluación de la probabilidad del riesgopuede ser difícil dado que se utiliza el
juicio experto, a menudo sin elbeneficio de la información histórica. Se podría utilizar una escala
ordinal,que represente valores de probabilidad relativa desde muy probable a casicierto.
De modo alternativo, se podrían asignar probabilidades específicas,utilizando una escala
general (por ejemplo: .1/ .3/ .5/ .7/ .9).La escala de impacto del riesgo refleja la gravedad de
su efecto en elobjetivo del proyecto. El impacto puede ser ordinal o cardinal, dependiendode la
cultura de la organización que realice el análisis. Las escalasordinales son simplemente valores
ordenados por rangos, como porejemplo: muy bajo, bajo, moderado, alto y muy alto. Las escalas
cardinalesasignan valores a estos impactos. Estos valores son generalmente lineales(por ejemplo:
.1/ .3/ .5/ 7./ .9/), pero suelen ser no lineales (por ejemplo,.05/ .1/ .2/ .4/ .8), lo que refleja el deseo
de la organización de evitar losriesgos de alto impacto. El intento de ambos enfoques o
metodologías esel de asignar un valor relativo al impacto para con los objetivos del proyectosi
llegara a ocurrir el riesgo en cuestión. Es posible desarrollar escalas biendefinidas, sean estas
ordinales o cardinales, utilizando las definicionesacordadas por la organización. Estas
definiciones mejoran la calidad de lainformación y hacen que el proceso sea más repetible.