Ing.

Manuel Pereyra Acosta

 INTRODUCCIÓN
• En la actualidad se esta viendo que una de
las principales causas de los problemas
dentro del entorno informático, es la
inadecuada administración de riesgos
informáticos es importante entonces que toda
organización cuenta con una herramienta
informática que le garantice la correcta
evaluación de los riesgos, a los cuales están
sometidos los procesos y actividades que
participan en el área informática.
En un entorno informático existen una serie de recursos (humanos, técnicos,
de infraestructura) que están expuestos a diferentes tipos de riesgos:

los “normales”, aquellos comunes a cualquier entorno,

y los excepcionales, originados por situaciones concretas que afectan o pueden

afectar a parte de una organización o a toda, como la inestabilidad política del país
o una región sensible a terremotos.
Para tratar de minimizar los efectos de un problema de seguridad se realiza
lo que denominamos un análisis de riesgos, término que hace referencia al proceso
necesario para responder a tres cuestiones básicas sobre nuestra seguridad:

¿Qué queremos proteger?

¿Contra quién o qué lo queremos proteger?

¿Cómo lo queremos proteger?

En la práctica existen dos aproximaciones para responder a estas cuestiones,
una cuantitativa y otra cualitativa.

Método de análisis cuantitativo: este método es menos usada, ya que en muchos

casos implica cálculos complejos o datos difíciles de estimar, se basa en dos parámetros
fundamentales: la probabilidad de que un suceso ocurra y una estimación del costo
o las pérdidas en caso de que así sea; el producto de ambos términos es lo que se
denomina costo anual estimado (EAC, Estimated Annual Cost), y aunque teóricamente
es posible conocer el riesgo de cualquier evento (el EAC) y tomar decisiones en función
de estos datos, en la práctica la inexactitud en la estimación o en el cálculo
de parámetros hace difícil y poco realista esta aproximación.
Método de análisis cualitativo: este método es de uso muy difundido en la actualidad
especialmente entre las nuevas “consultoras” de seguridad
(aquellas más especializadas en seguridad lógica, cortafuegos, tests de penetración
y similares). Es mucho más sencillo e intuitivo que el anterior, ya que ahora no entran
en juego probabilidades exactas sino simplemente una estimación de pérdidas
potenciales.

Para ello se interrelacionan cuatro elementos principales:

-las amenazas, por definición siempre presentes en cualquier sistema,
-las vulnerabilidades, que potencian el efecto de las amenazas,
-el impacto asociado a una amenaza, que indica los daños sobre un activo
por la materialización de dicha amenaza,
-y los controles o salvaguardas, contramedidas para minimizar las vulnerabilidades
o el impacto.
 RIESGO
• Se entiende como riesgo informático todo
aquello que pueda afectar el
funcionamiento directo o los resultados de
cualquier sistema.
TIPOS DE RIESGOS
Integridad

Segurida
Relación
General

Tipos

Infraestru
Accesos
ctura

Utilidad
 TIPOS DE RIESGOS
Integridad
Este tipo abarca todos Integri
los riesgos asociados Seguri
dad
con la autorización, dad Relaci
completitud y exactitud Gener ón
de la entrada, l
procesamiento y Tipos
reportes de las Infraes
aplicaciones utilizadas tructur
Acces
os
en una organización. a
Utilida
Se manifiestan en los d

siguientes componentes
de un sistema:
 TIPOS DE RIESGOS
Relación
Integri
Se refieren al uso dad
oportuno de la Seguri
información creada por dad Relaci
Gener ón
una aplicación. Estos l
riesgos se relacionan
Tipos
directamente a la
información de toma de Infraes
Acces
decisiones (Información tructur
a
os
y datos correctos de una
Utilida
persona/proceso/sistem d
a correcto en el tiempo
preciso permiten tomar
decisiones correctas)
 TIPOS DE RIESGOS
Accesos
Estos riesgos se enfocan al
inapropiado acceso a Integri
sistemas, datos e información. dad
Seguri
Estos riesgos abarcan: dad Relaci
Gener ón
• Los riesgos de segregación l
inapropiada de trabajo Tipos
• Los riesgos asociados con
la integridad de la Infraes
tructur
Acces
información de sistemas de a
os
bases de datos Utilida
• Los riesgos asociados a la d
confidencialidad de la
información
 TIPOS DE RIESGOS
Utilidad
Estos riesgos se enfocan en tres Integri
diferentes niveles de riesgo: dad
Seguri
• Los riesgos pueden ser dad Relaci
enfrentados por el Gener ón
direccionamiento de sistemas l
antes de que los problemas Tipos
ocurran.
• Técnicas de Infraes
Acces
tructur
recuperación/restauración os
a
usadas para minimizar la
ruptura de los sistemas. Utilida
• Backups y planes de d
contingencia controlan
desastres en el procesamiento
de la información.
 TIPOS DE RIESGOS

Integri
dad
Infraestructura Seguri
Estos riesgos se refieren a dad Relaci
que en las organizaciones no Gener ón
existe una estructura l
información tecnológica
Tipos
efectiva (hardware, software,
redes, personas y procesos) Infraes
para soportar Acces
tructur
os
adecuadamente las a
necesidades futuras y Utilida
presentes de los negocios d
con un costo eficiente.
 TIPOS DE RIESGOS
Seguridad General
Los siguientes riesgos a considerar
son: Integri
dad
Seguri
• Riesgos de choque de
dad Relaci
eléctrico: Niveles altos de ón
Gener
voltaje. l
• Riesgos de incendio:
Inflamabilidad de materiales. Tipos
• Riesgos de niveles
Infraes
inadecuados de energía tructur
Acces
eléctrica. os
a
• Riesgos de radiaciones: Ondas
Utilida
de ruido, de láser y ultrasónicas. d
• Riesgos mecánicos:
Inestabilidad de las piezas
eléctricas.
CICLO DE ANALISIS
DEL RIESGO
Evaluar Identificar
los el escenario
Controle y factor del
riesgo
s
Monitoreo
Determinar
del Mapa
el tipo de
de Amenaza
Procesos
Diseñar
el Plan Identificar
los riesgos
de y el nivel
Segurida Identificar del mismo
d y
Establecer
los
Controles
 ACCIONES A TOMAR
CON LOS RIESGOS
• Después de efectuar el análisis debemos
determinar las acciones a tomar respecto a
los riesgos residuales que se identificaron.
Las acciones
Controlar pueden
el Eliminar ser:
el Compartir el Aceptar el
Riesgo Riesgo Riesgo Riesgo

Fortalecer los Eliminar el Mediante Se determina

controles activo acuerdos que el nivel
existentes relacionado y contractuales de
y/o agregar con ello se parte del exposición es
nuevos elimina el riesgo se adecuado y
controles. riesgo. traspasa a un por lo tanto
tercero. se acepta.
 MATRIZ DE ANALISIS
DE RIESGOS
• Una matriz de riesgo constituye una herramienta de
control y de gestión normalmente utilizada para
identificar las actividades (procesos y productos) más
importantes de una empresa, el tipo y nivel de riesgos
inherentes a estas actividades y los factores exógenos
y endógenos relacionados con estos riesgos.

• Igualmente, una matriz de riesgo permite evaluar la

efectividad de una adecuada gestión y administración
de los riesgos financieros que pudieran impactar los
resultados y por ende al logro de los objetivos de una
organización.
 MATRIZ DE ANALISIS
DE RIESGOS
1=
Magnitud del Daño
1 4 9 12 16
Insignifica
nte
2 3 6 9 12 2 = Baja
3=
Mediana
1-6 =
3 2 4 6 8
4 = Alta
Bajo
8-9 =
4 1 2 3 4 Medio
12 – 16 =
1 2 3 4
Alto
Probabilidad de amenaza
EJEMPLO DE MATRIZ
DE ANALISIS DE
RIESGOS
 NORMAS QUE TRATAN
LOS RIESGOS
Comunicación “A” 4609 del BCRA para entidades Financieras
Requisitos mínimos de gestión, implementación y control de los
riesgos relacionados con tecnología informática y sistemas de
información.

ISO/IEC 27001
Especifica los requisitos necesarios para establecer, implantar,
mantener y mejorar un Sistema de Gestión de la Seguridad de la
Información (SGSI)

ISO/IEC 27005
Esta Norma proporciona directrices para la Gestión del riesgo de
Seguridad de la Información en una Organización. Sin embargo, esta
Norma no proporciona ninguna metodología específica para el
análisis y la gestión del riesgo de la seguridad de la información.
 NORMAS QUE TRATAN
LOS RIESGOS
Basilea II
Estándar internacional que sirva de referencia a los
reguladores bancarios, con objeto de establecer los
requerimientos de capital necesarios, para asegurar la
protección de las entidades frente a los riesgos financieros y
operativos.
Ley Sarbanes Oxley (SOX)
Impulsada por el gobierno norteamericano como respuesta a
los mega fraudes corporativos que impulsaron Enron, Tyco
International, WorldCom y Peregrine Systems. Es un conjunto
de medidas tendientes a asegurar la efectividad de los
controles internos sobre reportes financieros.
PCI DSS
Impulsada por las principales marcas de tarjetas de pago,
este estándar busca garantizar la seguridad de los datos de
titulares de tarjetas de pago en su procesado,
almacenamiento y transmisión.
 PREVENCIÓN DE
RIESGOS
• No ingresar a enlaces sospechosos
• No acceder a sitios web de dudosa reputación
• Actualizar el sistema operativo y aplicaciones
• Aceptar sólo contactos conocidos
• Descargar aplicaciones desde sitios web oficiales
• Evitar la ejecución de archivos sospechosos
• Utilizar tecnologías de seguridad
• Evitar el ingreso de información personal en
formularios dudosos
• Tener precaución con los resultados arrojados por los
buscadores web
• Utilizar contraseñas fuertes
MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información de las Administraciones Públicas); se trata de un método formal
para realizar un análisis de riesgos y recomendar los controles necesarios
para su minimización.
 TIPOS DE AMENAZAS

En el presente cuadro se podrá incrementar o eliminar algunos de los tipos

de amenazas sugeridos como patrón a seguir, debido a que cada Unidad o
Dependencia , se encuentra ubicada en un lugar físico diferente, y esto conlleva
a diferentes medidas y amenazas como por ejemplo habrá zonas en la que los rayos
son una amenaza a los sistemas de computo.
O quizás el personal tiene otra idiosincrasia o costumbres, etc. Por ello que cada
responsable de tener la misión de hacer dicho Análisis de Riesgo, deberá
antes de iniciarlo ver y señalar todas las posibles amenazas.
TIPOS DE AMENAZAS
MATRIZ: UMBRAL DEL RIESGO
NIVEL Y TIPO DE IMPACTO
 AMENAZAS Y VULNERABILIDADES DE LAS DEPENDENCIAS

Esta es la matriz inicial donde en forma de atributos, se califica a cada amenaza y

vulnerabilidad por cada área laboral, o si en caso la Unidad es muy amplia se puede
remplazar las Unidades por áreas dentro de una sola Unidad.
Los atributos pueden ser desagrados a más niveles con el fin de dar mayor detalle
de cada amenaza y vulnerabilidad.

Bajo = “b”
Medio bajo = “mb”
Medio = “m”
Medio alto = “ma”
Alto = “a”
No aplicable = “xx”
CÁLCULO DE RIESGO CUALITATIVO POR CADA ORGANIZACION
OBJETIVO : ANÁLISIS DE RIESGO
• Asegurar mejor los activos
• Facilitar la toma de decisiones informadas
• Asistir a la gerencia en la acreditación de las
soluciones, resultado de la administración del
riesgo
• Para brindar un mejor tratamiento al riesgo.
• Identificar y ponderar los riesgos a los cuales
los sistemas de información y sus activos están
expuestos, con miras a identificar y
seleccionar controles apropiados.
¿COMO TRATAR UN RIESGO ?
Para ser capaz de decidir sobre los mecanismos de
seguridad, los activos de TI necesitan ser clasificados
basado en la criticidad al negocio
Activos

Activos clasificados
por criticidad al
negocio

Agregar
mecanismos
Vulnerabilidad de seguridad,
Amenazas
transferir

no
Riesgo Acepto?

si

Seguimiento a las
amenazas y riesgos
Algunos métodos o modelos para discutir
Siempre es bueno indicar que no existe método
bueno o malo para calcular el riesgo. El único
requisito es que los conceptos para determinar
los activos de la información, su tasación, la
identificación de las amenazas y
vulnerabilidades se cumplan.

• Delphi ( entrevistas y expertos)

• MonteCarlo (simulación)
Evaluación del Riesgo

• Primer proceso de la metodología de

administración del riesgo.

• El riesgo es una función de la probabilidad de

que una amenaza actué sobre una
vulnerabilidad, resultando en un impacto
adverso a la organización.
Metodología
• Paso 1 Caracterización del Sistema
• Paso 2 Identificación de la Amenaza
• Paso 3 Identificación de la Vulnerabilidad
• Paso 4 Análisis de Control
• Paso 5 Determinación de la Probabilidad
• Paso 6 Análisis de Impacto
• Paso 7 Determinación del Riesgo
• Paso 8 Recomendaciones de Control
• Paso 9 Documentación de Resultados
Caracterización del sistema
Hardware
Software Limites del Sistema

Interfases del Sistema Caracterización del Limites de las Funciones

Sistema Criticidad del Sistema y Data
Data e información
Personal Sensitividad del Sistema y Data

Misión del sistema

PROCESOS
Identificación de amenazas
• Amenaza:
– El potencial de una fuente de amenaza de actuar
(de manera accidental o intencional) sobre una
vulnerabilidad especifica.
• Fuente de amenaza
– Intencionalidad y método para explotar
intencionalmente una vulnerabilidad, o
– Situación y método que accidentalmente pueden
actuar sobre una vulnerabilidad.
Fuentes de amenaza comunes
• Amenazas naturales
– Inundaciones, terremotos, tornados, deslizamientos,
avalanchas, maretazo, tormenta electrica, lluvias, y otros
eventos de este tipo.
• Amenazas humanas
– Eventos que son causados directa o indirectamente por
humanos, tales como: actos no intencionales (errores de
digitación) o actos deliberados (accesos no autorizados).
• Amenazas Ambientales
– Fallas en la distribución de energía eléctrica, polución,
escape de gases, etc.
• Es importante considerar todas las fuentes de amenaza
potencial que pueden dañar los sistemas de IT y el
ambiente de procesamiento.
Identificación de vulnerabilidades
Vulnerabilidad:

Falla o debilidad en:

 Proceso
 Diseño
 Implementación
 Controles internos del sistema de seguridad

que pueden ser explotados (accidentalmente o

intencionalmente) y resultar en una brecha o violación
del sistema de seguridad.
Análisis de Control
• Objetivo
– Analizar los controles implementados o planeados para minimizar o
eliminar la probabilidad de que una amenaza actué sobre una
vulnerabilidad del sistema.
• Los controles de seguridad abarcan métodos técnicos y no técnicos
• Los controles técnicos son medidas de protección que son incorporados en el
hardware, o software (ej., mecanismos de control de acceso, mecanismos de
identificación y autenticación, métodos de encriptación, software de
detección de intrusos).
• Los controles no técnicos son controles operacionales y administrativos, tales
como; políticas de seguridad, procedimientos operacionales; seguridad del
personal, etc.
• Los controles preventivos impiden atentos de violar las políticas de
seguridad, e incluyen controles como control de acceso, encriptación y
autenticación.
• Controles de detección, avisan de violaciones o intentos de violación de las
políticas de seguridad, e incluyen controles como trazos de auditoria,
métodos de detección de intrusos).
Determinación de la probabilidad
Escenario Descripción Casos por Notación
Año

1. Imposible Muy difícil que ocurra 0.0001 1 x 10-4

2. Improbable Muy baja posibilidad de ocurrencia 0.001 1 x 10-3

3. Remoto Limitada posibilidad de ocurrencia 0.01 1 x 10-2

4. Ocasional Ha ocurrido pocas veces 0.1 1 x 10-1

5. Moderado Ha ocurrido varias veces 1 1 x 100

6. Frecuente Alta posibilidad de ocurrencia 10 1 x 101

Análisis de Impacto
ECONOMICO – FINANCIERO – CONTINUIDAD DE NEGOCIO -IMAGEN – HUMANO - SOCIAL

Severidad Descripción Valor relativo

Insignificante o Consecuencias no afectan el

menor funcionamiento de la empresa: sin 1
pérdidas
Marginal Consecuencias afectan en forma
leve a la empresa; pérdidas 10
menores.
Crítica Consecuencias afectan
parcialmente a la empresa en forma 100
grave; pérdidas moderadas
Catastrófica Consecuencias afectan en forma
total a la empresa; pérdidas 1000
mayores
Determinación del Riesgo

Nivel de Riesgo Definición

La relación de probabilidad y gravedad no representa una amenaza
Aceptable significativa para la empresa. No amerita inversión inmediata ni
requiere acción específica para su control
Requiere desarrollar actividades de control e inversiones menores.
Tolerable Tiene prioridad de segundo orden. Las acciones son de tipo general.

Requiere desarrollar planes prioritarios para su control. Alto impacto.

Intolerable Acciones específicas. Inversión moderada.
Determinación del Riesgo
Probabilidad
Matriz de Riesgos
relativa
Frecuente 6

Moderada 5

Ocasional 4

Rem ota 3

Im probable 2

Im posible 1

1 2 3 4
Insignificante Marginal Crítico Catastrófico

Severidad relativa
Determinación del Riesgo
• Evaluación del riesgo
Activo Amenaza Vulnerabilidad Controles existentes Probabilidad Impacto VALOR
Servidor Web Hacker Firewall debil Firewall 5 3
Insider Facil acceso Control acceso red 5 3
Aniego Sanitario cerca 3 4
Fuego Material inflamable Extinguidor 3 4
Falla de disco Discos antiguos Backup diario 4 3
Falla de firewall Computadora obsoleta Ninguno 4 4
Robo Poco control en la noche Ninguno 3 4
Terremoto Edificio no acondicionado Ninguno 4 4
Roedor Desague cerca Fumigación 3 2

PROBABILIDAD IMPACTO FRECUENTE

IMPOSIBLE 1 INSIGNIFICANTE 1 MODERADA
IMPROBABLE 2 MARGINAL 2 OCACIONAL
REMOTA 3 CRITICO 3 REMOTA
OCACIONAL 4 CATASTROFICO 4 IMPROBABLE
MODERADA 5 IMPOSIBLE
FRECUENTE 6 INSIGNIFICANTE MARGINAL CRITICO CATASTROFICO
Determinación del Riesgo
• Evaluación del riesgo
Amenaza Activo Vulnerabilidad Controles existentes Probabilidad Impacto VALOR
Hacker Pagina Web Actualizacion de la Version Firewall 5 4
Cuentas de Correo Firewall debil Control usuario 4 3
B.D. Cta Cte Proceso debil Control usuario 4 4
Documentos Gerencia Texto plano Backup 4 4
Firewall Equipo obsoleto Ninguno 3 4
Configuracion Router Diseño debil Control de acceso 3 4
Codigo Aplicaciones Control de acceso debil Control de acceso 3 4
B.D. Precios Control de acceso debil Control de acceso 4 4
B.D. Clientes Control de acceso debil Control de acceso 3 2

PROBABILIDAD IMPACTO FRECUENTE

IMPOSIBLE 1 INSIGNIFICANTE 1 MODERADA
IMPROBABLE 2 MARGINAL 2 OCACIONAL
REMOTA 3 CRITICO 3 REMOTA
OCACIONAL 4 CATASTROFICO 4 IMPROBABLE
MODERADA 5 IMPOSIBLE
FRECUENTE 6 INSIGNIFICANTE MARGINAL CRITICO CATASTROFICO
 PROCESO DE TOMA DE DECISIONES PARA UN
PROCESOOPCION
DE TOMA DE DECISIONES
DE TRATAMIENTO PARA UN
DE RIESGO
OPCION DE TRATAMIENTO DE RIESGO
OPCION DE REDUCCION
DEL RIESGO

NO
SI
LOS CONTROLES SON
LAS CONSECUENCIAS SON
ECONOMICAMENTE OPCION EVITAR
ECONOMICAMENTE
FACTIBLES DE EL RIESGO
DESVASTADORAS?
IMPLANTARLOS?

SI
NO

LOS CONTROLES PERMITEN NO OPCION DE

DISMINUIR LOS RIESGOS TRANSFERENCIA DEL
A CONDICIONES RIESGO
ACEPTABLES?

SI

OPCION DE
ACEPTACION DEL
IMPLANTAR RIESGO
CONTROLES
Mitigación del riesgo
El segundo proceso del manejo del riesgo.
– Priorizar, evaluar e implementar los controles
apropiados para reducir el riesgo.

Amenaza Vulnerabilidad Activo

TIPOS DE CONTROLES
• Que tipo de control es el mas adecuado.

Amenaza Vulnerabilidad Activo

Opciones de Mitigación del Riesgo

• Asumir el riesgo
– Aceptar el riesgo potencial y continuar operando el sistema
• Evitar el riesgo
– Evitar el riesgo, eliminando las causas y consecuencias
• Limitar el riesgo
– Limitar el riesgo al implantar controles que minimizan el
impacto negativo de una amenaza
• Planeamiento del riesgo
– Manejar el riesgo desarrollando un plan de mitigación del riesgo
que prioriza, implementar y mantiene el control.
• Investigación y reconocimiento
– Disminuir el riesgo, reconociendo la vulnerabilidad e
investigando controles para corregir la vulnerabilidad.
• Transferir el Riesgo
– Utilizando opciones para compensar la perdida; seguro.
CASO PRACTICO – Tratamiento del riesgo

ACTIVO AMENAZA VULNERABILIDAD TRATAMIENTO CONTROL A IMPLEMENTAR

Implementar Firewall mejorado, instalar
SERVIDOR WEB HACKER FIREWALL DEBIL, NO DETECTOR CONTROL IDS
INSIDER NO FIREWALL CONTROL Implementar Firewall Interno
FALLA DEL FIREWALL FIREWALL REDUNDANTE CONTROL Implementar Firewall redundante
TERREMOTO EDIFICIO NO CONDICIONADO ACEPTAR
Estrategias
• Cuando existe una vulnerabilidad.
– Implementar técnicas de aseguramiento para reducir la
probabilidad de que se actué sobre la vulnerabilidad.
• Cuando se puede actuar sobre una vulnerabilidad
– Agregar capas de protección, diseños y controles
administrativos para minimizar la ocurrencia.
• Cuando el costo del ataque es menor que la ganancia
potencial
– Aplicar protecciones para reducir la motivación del
atacante, al incrementar el costo del ataque.
• Cuando la perdida es muy grande
– Aplicar principios de diseño, protecciones técnicas y no
técnicas para limitar el daño y alcance, reduciendo la
perdida.
Riesgo residual

• El riesgo que queda luego de implementar

nuevos o mejores controles.
• En la práctica no existe un sistema libre de
riesgos, y no todos los controles
implementados pueden eliminar el riesgo o
reducirlo a nivel 0.
Obstáculos

• Cuando los riesgos son diferente de los riesgos

conocidos por la organización.
• Los riesgos son muy técnicos
• La proliferación y descentralización de la
capacidad de computo hace difícil identificar
activos críticos que estén en riesgo.
Claves de Exito

• Compromiso de la alta gerencia

• Soporte y participación del equipo de IT
• Equipo de evaluación del riesgo competente.
• Conciencia y cooperación de los miembros de
la comunidad de usuarios.
• Evaluación continua
Otro tipo de valorización de Riesgo

EJEMPLO DE VALORIZACION DEL RIESGO

Administración del riesgo

Matriz de Criticidad del Riesgo CMT

Criticidad = I x P
I = Impacto del factor de vulnerabilidad
P = Probabilidad de ocurrencia
Administración del riesgo

Matriz de Vulnerabilidad del Riesgo

Vulnerabilidad = I x P
CMT
I = Impacto del factor de vulnerabilidad
P = Probabilidad
CMT = Criticidad Máxima Teórica (para este caso, 400)
Administración del riesgo

Matriz de Aceptabilidad del Riesgo

Administración del riesgo
Criterios de Aceptabilidad del Riesgos
Inadmisible (Mayor a 15%): Bajo ninguna circunstancia se deberá mantener un riesgo con esa
capacidad de afectar a la organización. Requiere la atención inmediata de las gerencias.

Inaceptable (Mayor a 4% y menor o igual a 15%): Requiere siempre desarrollar acciones

prioritarias a corto plazo para su gestión, debido al alto impacto que tendría sobre la
organización.

Tolerable (Mayor a 2% y menor o igual a 4%): Podrían desarrollarse actividades para la

administración del riesgo en el caso que las medidas de mitigación sean ineficaces. Estas
actividades tienen una prioridad de segundo nivel, pudiendo ser a mediano plazo.

Aceptable (Menor o igual a 2%): No implica una gravedad significativa, por lo que no amerita la
inversión de recursos y no requiere la implementación de acciones adicionales a las medidas
de mitigación existentes. Es administrado por procesos rutinarios.
Administración del riesgo
Categorías de Medidas de Mitigación

Categoría Estrategia Objetivo

Operativa Proteger Disminuir el impacto.
Prevenir Disminuir la probabilidad
de ocurrencia.
Evitar Eliminar la actividad
riesgosa.
Estratégica Transferir Trasladar el riesgo a otra
entidad o compartirlo.
Asumir Asumir el riesgo.

Efectividad= VRR2 – VRR1

VRR2

VRR1 = Valor riesgo residual 1 (antes del control)

VRR2 = valor riesgo residual 2 (después del control)
 CONCLUSIONES
• La evaluación y prevención de riesgos es
una lucha constante por el cual una
organización debe estar siempre tomando
las medidas y las capacitaciones necesarias
para que en cualquier momento pueda
tener un riesgo pueda solucionarlo de
acuerdo a normas y/o políticas existentes.