Taller de Gestión de Riesgos

Agenda
www.ongei.gob.pe

❑ Introducción
❑ Definiciones
❑ Enfoque a procesos
❑ ¿Que son los riesgos?
❑ Gestión del Riesgo
❑ Gestión de riesgos de seguridad de
la información
❑ Norma ISO/IEC 27005
❑ Norma ISO/IEC 31000
❑ Metodología de Gestión de Riesgos
❑ Taller practico

ONGEI - Seguridad de la Información

Introducción
 Introducción
www.ongei.gob.pe

La gestión del Riesgo

• La gestión de riesgos (traducción del inglés Risk management)

es un enfoque estructurado para manejar la incertidumbre relativa
a una amenaza, a través de una secuencia de actividades.
• Las estrategias incluyen transferir el riesgo a otra parte, evadir el
riesgo, reducir los efectos negativos del riesgo y aceptar algunas
o todas las consecuencias de un riesgo particular.
• Algunas veces, el manejo de riesgos se centra en la contención
de riesgo por causas físicas o legales (por ejemplo, desastres
naturales o incendios, accidentes, muerte o demandas).
• Por otra parte, la gestión de riesgo financiero se enfoca en los
riesgos que pueden ser manejados usando instrumentos
financieros y comerciales

ONGEI - Seguridad de la Información

Definiciones
 Definiciones
ISO/IEC GUÍA 73:2009 (1.1)
Riesgo:
Efecto de la incertidumbre sobre la
consecución de los objetivos.
NOTA 1 Un efecto es una desviación, positiva y/o negativa,
respecto a lo previsto.

NOTA 2 Los objetivos pueden tener diferentes aspectos

(tales como financieros, de salud y seguridad, o ambientales)
y se pueden aplicar a diferentes niveles (tales como, nivel
estratégico, nivel de un proyecto, de un producto, de un
proceso o de una organización completa).

NOTA 3 Con frecuencia, el riesgo se caracteriza por

referencia a sucesos potenciales y a sus consecuencias , o a
una combinación de ambos.

NOTA 4 Con frecuencia, el riesgo se expresa en términos de

combinación de las consecuencias de un suceso (incluyendo
los cambios en las circunstancias) y de su probabilidad
(3.6.1.1).

NOTA 5 La incertidumbre es el estado, incluso parcial, de

deficiencia en la información relativa a la comprensión o al
conocimiento de un suceso, de sus consecuencias o de su
probabilidad.

ONGEI - Seguridad de la Información

 Definiciones
ISO/IEC GUÍA 73:2009 (2.1)

Gestión del riesgo:

Actividades coordinadas para dirigir y

controlar una organización en lo relativo
al riesgo.

ONGEI - Seguridad de la Información

 Definiciones
ISO/IEC GUÍA 73:2009 (2.1.1, 2.1.2, 2.1.3))
Marco de trabajo de la gestión del riesgo:
Conjunto de elementos que proporcionan los
fundamentos y las disposiciones de la
organización para el diseño, la implantación, el
seguimiento, la revisión y la mejora continua de
la gestión del riesgo en toda la organización.

Política de gestión del riesgo:

Declaración de las intenciones y orientaciones
generales de una organización en relación con la
gestión del riesgo.

Plan de gestión del riesgo:

Esquema incluido en el marco de trabajo de la
gestión del riesgo que especifica el enfoque, los
componentes de gestión y los recursos a aplicar
para la gestión del riesgo).

ONGEI - Seguridad de la Información

 Definiciones
ISO/IEC GUÍA 73:2009 (3.1)

Proceso de gestión del riesgo:

Aplicación sistemática de políticas,
procedimientos y prácticas de gestión a las
actividades de comunicación, consulta,
establecimiento del contexto, e
identificación, análisis, evaluación,
tratamiento, seguimiento y revisión del
riesgo.

ONGEI - Seguridad de la Información

 Definiciones
ISO/IEC GUÍA 73:2009 (3.6.1, 3.6.1.1,3.6.1.2,3.6.1.5)
Análisis del riesgo:
Proceso que permite comprender la naturaleza
del riesgo y determinar el nivel de riesgo).

Probabilidad (likehood):
Posibilidad de que algún hecho se produzca.

Exposición:
Grado al que se somete una organización y/o
una parte interesada en caso de un suceso.

Consecuencia:
Resultado de un suceso que afecta a los
objetivos.

Frecuencia:
Número de sucesos o de efectos en una unidad
de tiempo definida.

ONGEI - Seguridad de la Información

 Definiciones
ISO/IEC GUÍA 73:2009 (3.6.1.6,3.6.1.7,3.6.1.8)
Vulnerabilidad:
Propiedades intrínsecas de que algo
produzca como resultado una sensibilidad
a una fuente de riesgo que puede
conducir a un suceso con una
consecuencia .

Matriz de riesgo:
Herramienta que permite clasificar y
visualizar los riesgos , mediante la
definición de categorías de
consecuencias y de su probabilidad.

Nivel de riesgo:
Magnitud de un riesgo o combinación de
riesgos, expresados en términos de la
combinación de las consecuencias y de
su probabilidad.
ONGEI - Seguridad de la Información
 Definiciones
ISO/IEC GUÍA 73:2009 (3.7.1,3.7.1.1,3.7.1.2)
Evaluación del riesgo:
Proceso de comparación de los resultados
del análisis del riesgo con los criterios
de riesgo para determinar si el riesgo y/o
su magnitud son aceptables o tolerables.

Actitud ante el riesgo:

Enfoque de la organización para apreciar
un riesgo y eventualmente buscarlo,
retenerlo, tomarlo o rechazarlo.

Apetito por el riesgo:

Cantidad y tipo de riesgo que una
organización está preparada para buscar o
retener.

ONGEI - Seguridad de la Información

 Definiciones
ISO/IEC GUÍA 73:2009 (3.7.1.3,3.7.1.4,3.7.1.5,3.7.1.6)
Tolerancia al riesgo:
Disponibilidad de una organización o de las
partes interesadas para soportar el riesgo
después del tratamiento del riesgo con objeto
de conseguir sus objetivos.

Aversión al riesgo:
Actitud de rechazar el riesgo

Agregación de riesgos:
Combinación de un número de riesgos en un
solo riesgo para desarrollar una comprensión
más completa del riesgo general.

Aceptación del riesgo:

Decisión informada en favor de tomar un
riesgo particular.

ONGEI - Seguridad de la Información

Enfoque a
Procesos
 Enfoque a procesos
ISO 9000 (2.4)
Cualquier actividad, o conjunto de
actividades, que utiliza recursos para
transformar elementos de entrada en
resultados puede considerarse como un
proceso.
Para que las organizaciones operen de
manera eficaz, tienen que identificar y
gestionar numerosos procesos
interrelacionados y que interactúan. A
menudo el resultado de un proceso
constituye directamente el
elemento de entrada del siguiente proceso.
La identificación y gestión sistemática de
los procesos empleados
en la organización y en particular las
interacciones entre tales procesos se
conoce como "enfoque basado en
procesos".

ONGEI - Seguridad de la Información

 Enfoque a procesos
¿Qué es un proceso?

Un proceso es un conjunto de actividades recurrentes mediante

las cuales se transforma un grupo de entradas en un grupo de
salidas valiosas para un cliente (interno o externo)

ONGEI - Seguridad de la Información

 Enfoque a procesos
Ejemplo de procesos

• Ventas
• Compras
• Producción
• Presupuesto
• Cierre Contable

ONGEI - Seguridad de la Información

 Enfoque a procesos
Detalle de procesos
Gestión
MacroProcesos Logística

ONGEI - Seguridad de la Información

 Enfoque a procesos
Ejemplo 1: Proceso Comercial (simple)
Estudiante que compra cuadernos en una librería

• Identificación del Cliente

• Identificación de las entradas del Proceso
• Identificación de las actividades principales del proceso
• Identificación de las salidas/resultados del proceso

ONGEI - Seguridad de la Información

 Enfoque a procesos
Ejemplo 1: Proceso Comercial (simple)

ONGEI - Seguridad de la Información

 Enfoque a procesos
Ejemplo 1: Proceso Comercial (simple)

ONGEI - Seguridad de la Información

 Enfoque a procesos
Ejemplo 2: Proceso Abastecimiento

Requerimiento de compra de papel

para fabricar Cuadernos

Trabajo individual
5 minutos

ONGEI - Seguridad de la Información

 Enfoque a procesos
Ejemplo 2: Proceso Abastecimiento

ONGEI - Seguridad de la Información

 Enfoque a procesos
Ejemplo 2: Proceso Abastecimiento

ONGEI - Seguridad de la Información

 Enfoque a procesos
Procesos y estructura

Los procesos atraviesan áreas o unidades (departamentos) dentro de una

empresa. Varias áreas o unidades de una empresa pueden realizar
actividades de un mismo proceso. Los procesos son anónimos.

ONGEI - Seguridad de la Información

 Enfoque a procesos
Elementos de un Proceso

En todos los casos debemos:

1. Identificar el objetivo del proceso

2. Identificar el “cliente” (interno o externo)
3. Identificar el desde y el hasta (alcance)
4. Identificar las entradas
5.Definir los sub procesos, actividades, etapas,
etc. (Niveles de detalle)
6. Describirlos (presentando las interrelaciones)
7. Identificar las salidas

ONGEI - Seguridad de la Información

 Enfoque a procesos
Ejemplo de elementos de un Proceso de compras
Objetivo: Gestionar las compras de insumos y materiales necesarios para
realizar las actividades de la empresa, en tiempo y forma, cumpliendo además
con las especificaciones de calidad, precios, fecha y lugar de entrega.

Entradas: Pedido de insumos de las distintas áreas de

la empresa

Actividades principales:
– Solicitar cotizaciones
– Seleccionar proveedor
– Recepcionar y controlar insumos
– Entregar insumos al Area solicitante de la empresa
– Pagar al Proveedor

ONGEI - Seguridad de la Información

 Enfoque a procesos
Ejemplo de elementos de un Proceso de compras

Tareas de “Solicitar una cotización”:

– Buscar datos de los proveedores

– Completar el formulario de pedido de cotización
– Enviar por fax a cada proveedor
– Archivar el pedido de cotización

Pasos en la tarea de “Completar pedido de cotización”:

– Buscar la libreta de formularios de pedido de cotización

– Escribir la fecha
– Escribir el nombre del primer proveedor a consultar
– Especificar los datos de la mercadería
– Firmar el formulario

A diferencia de las tareas, los pasos no tienen resultados por sí mismos

ONGEI - Seguridad de la Información

 Enfoque a procesos
Herramientas para la descripción de Procesos
Tabla de actividades por área interviniente

ONGEI - Seguridad de la Información

 Enfoque a procesos
Herramientas para la descripción de Procesos
Representación gráfica (Flujograma)

Se sugiere usar notación BPM

ONGEI - Seguridad de la Información

 Enfoque a procesos
Herramientas para la descripción de Procesos
Dibujogramas

Se sugiere usar notación BPM

ONGEI - Seguridad de la Información

 Enfoque a procesos
Categorías de Procesos

ONGEI - Seguridad de la Información

 Enfoque a procesos
Cadena de Valor
La CADENA de VALOR es una forma de representar al MODELO de PROCESOS
de la empresa

ONGEI - Seguridad de la Información

 Enfoque a procesos
Mapa de Procesos

ONGEI - Seguridad de la Información

ONGEI - Seguridad de la Información
ONGEI - Seguridad de la Información
ONGEI - Seguridad de la Información
ONGEI - Seguridad de la Información
¿Que son los
riesgos?
 ¿Qué son los riesgos?
Riesgos Comunes

ONGEI - Seguridad de la Información

 ¿Qué son los riesgos?
Peligro y Riesgo

ONGEI - Seguridad de la Información

 ¿Qué son los riesgos?
Definición

• Riesgo se puede definir

como: “La exposición a las
consecuencias de la
incertidumbre”.
• La incertidumbre puede
originarse en factores
internos o externos.
• Riesgo es
la vulnerabilidad ante un
potencial perjuicio o daño
para las unidades,
personas, organizaciones o
entidades.

RIESGO = PROBABILIDAD X IMPACTO

ONGEI - Seguridad de la Información
 ¿Qué son los riesgos?
Manera de expresar el riesgo

ONGEI - Seguridad de la Información

 ¿Qué son los riesgos?
Escalas

Probabilidad Probabilidad ProbaybRiliiedsagdo

1=Muy baja 0.01 a 0.33 = Baja Muy baja
2=Baja 0.34 a 0.66 = Media Baja
3=Mediana 0.67 a 1.00 = Alta Mediana
4=Alta Alta
5=Muy Alta Muy Alta

ONGEI - Seguridad de la Información