Sistema de Gestión

de Riesgos
Ing. Msc. DAEN Patricia Lopez A.
De nada sirve disponer de recursos si se
está en la dirección equivocada

Objetivo: Presentar la Gestión del

Riesgo como un factor clave para el
éxito de la empresa.
 Antecedentes:
“La idea revolucionaria que define los
limites entre los tiempos modernos y el
pasado es el entendimiento del riesgo:
la noción de que el futuro es mas que el
deseo de los dioses y que las personas
no son pasivas ante la naturaleza”
 Antecedentes:
Para el 2009, mínimo dos terceras parte
de las compañías a nivel mundial tienen
implementada una estrategia definida
de Administración basada en riesgos.
 Antecedentes:
• El 81% de las organizaciones usan un
enfoque de administración de riesgos
amplio e integrado.
• Dos de tres compañías están
incrementando la inversión en
administración del riesgo a través de un
a amplia variedad de disciplinas.
• Cerca del 99% de las grandes empresas
clasificadas como en Fortune 1000
tiene un oficial de riesgo.
Tendencias:
Sistemas de
Gestión de la
Calidad
ISO 9001 Sistemas de
Sistemas de Gestión de
Gestión de Salud Riesgos
y Seguridad ISO 24001
Ocupacional
OHSAS 18000
Organización
y su entorno
Sistemas de
Sistemas de Gestión
Control Ambiental
Interna ISO 14000
COSO Cuadro de
Mando Integral
(indicadores)
BSC

Fuente de ventaja Competitiva

 Definición:

DEFINICIÓN DE RIESGO
PARA GESTION DE RIESGOS:
Es la posibilidad de ocurrencia de
aquella situación que pueda
entorpecer el normal desarrollo de
las funciones de la entidad y le
impidan el logro de sus objetivos.
 Definición:
ADMINISTRACION DEL RIESGO:
Es un proceso interactivo e iterativo
basado en el conocimiento,
evaluación y manejo de los
riesgos y sus impactos, con el
propósito de mejorar la toma de
decisiones organizacionales.

Aplicable a cualquier situación

donde un resultado no deseado o
inesperado pueda ser significativo
o donde se identifiquen
oportunidades.
Diagrama : Gestión de Riesgo

Identificación del peligro

Estimación de riesgo
Análisis del riesgo

Valoración del riesgo

SI
¿ Proceso Riesgo
seguro ? controlado
Evaluación del riesgo NO

Control de riesgo
Gestión del Riesgo
 ISO 27005 Gestión de
Riesgo en la Seguridad de
la Información

Ing. MSc. DAEN Patricia López A.

Introducción
 Esta norma proporciona directrices para la Gestión de
riesgo en la seguridad de la información dando soporte a
la ISO 27001.
 Sin embrago esta norma no brinda ninguna metodología
para la gestión de riesgo.
 Corresponde a la organización definir su enfoque para la
gestión de riesgo.
 ESTABLECIMIENTO DEL CONTEXTO

VALORACIÓN DEL RIESGO

MONITOREO Y REVISIÓN DEL RIESGO

ANÁLISIS DEL RIESGO
COMUNICACIÓN DEL RIESGO

IDENTIFICACIÓN DEL RIESGO

ESTIMACIÓN DEL RIESGO

EVALUACIÓN DEL RIESGO

NO
D1 Valoración
Satisfactoria SI

TRATAMIENTO DEL RIESGO Proceso de

D2 Tratamiento
Satisfactorio
NO
Gestión del
SI

ACEPTACIÓN DEL RIESGO Riesgo

Proceso de Gestión del Riesgo
Establecimiento del Contexto
➢ Criterios Básicos
➢ Criterios de Evaluación del Riesgo
➢ Criterios de Impacto
➢ Criterios de la Aceptación del Riesgo
➢ El alcance y los Límites
➢Organización para la Gestión de Riesgo

✓ Realizar la valoración del riesgo y establecer un plan de tratamiento

para el riesgo
✓Definir e implementar las políticas y los procedimientos que incluya la
implementación de controles seleccionados. Para su monitoreo posterior.
✓Monitoreo de los procesos de gestión de riesgo en la Seguridad de la
Información
✓La organización deberá evaluar si los recursos necesarios están
disponibles.
 Proceso de Gestión del Riesgo
Establecimiento del Contexto
✓Los criterios de evaluación del riesgo consideran: el valor estratégico
de la información, criticidad de activos de información, requisitos
legales y reglamentarios, expectativas de las partes interesadas
✓ Los criterios de impacto del riesgo especificados en términos de grado
de daño o de los costos para la organización, brechas en seguridad,
operaciones deterioradas, daños para la reputación, incumplimientos
legales
✓ Los criterios de aceptación del riesgo, dependen de las políticas y
metas objetivos de la organización y partes interesadas (Relación entre
beneficio estimado y riesgo estimado), tratamiento adicional , factores
sociales, operaciones, tecnología.
✓ Alcance y los limites considerando los objetivos estratégicos del
negocio, las funciones estructura, los requisitos legales y
reglamentarios, la política del negocio, los activos expectativas y
requisitos propios (ANEXO A)
 Proceso de Gestión del Riesgo
Identificación del Riesgo
➢Analizar:
➢¿Qué puede suceder?
➢ ¿Cómo y por qué puede suceder?
✓Fuentes de riesgo: eventos naturales,
circunstancias económicas, comportamiento
humano, normativa.
Áreas de impacto: recursos, ingresos, comunidad,
intangibles (reputación).

➢ Definir herramientas y técnicas apropiadas

para la identificación.

✓ Identificación de los activos, propietarios de los activos ANEXO B

✓ Identificación de las amenazas
✓Identificación de los controles existentes
✓Identificación de las vulnerabilidades
✓Identificación de las consecuencias
Proceso de Gestión del Riesgo
Identificación del Riesgo

✓ Entre los métodos mas empleados para identificar riesgos

se encuentran:

❑ Las listas de chequeo

❑ Juicios basados en la experiencia registros SMR
❑ Diagramas de Flujo
❑ Lluvia de ideas
❑ Análisis de sistemas
❑ Árboles de decisión.
❑ Modelos de evaluación de riesgos previos
❑ Tomar como base la ISO 31000
 Proceso de Gestión del Riesgo
Estimación del Riesgo

➢ Definir las herramientas y técnicas

para el análisis.
➢ Analizar los controles existentes
➢ Analizar riesgos en términos de
consecuencias y probabilidades.
➢ Definir el tipo de análisis
(cualitativo y-o cuantitativo)

✓ El objetivo es separar los riesgos menores aceptables de los riesgos

mayores, y proveer datos para asistir la evaluación y tratamiento de los
riesgos.

✓ Valoración de las Consecuencias y probabilidades pueden ser

combinadas para producir un nivel estimado de riesgo
 Proceso de Gestión del Riesgo
Estimación del Riesgo
A fin de evitar los sesgos subjetivos, al analizar las consecuencias y la
posibilidad, se recomienda emplear los mejores recursos y técnicas de
información disponibles.

Entre las fuentes de información se puede incluir:

✓Valoración de incidentes
✓Registros pasados
✓ Experiencia pertinente
✓ Practica y experiencia industrial
✓ Marketing de ensayo e investigación de mercado
✓Juicios de especialistas y expertos.

Entre las técnicas, se emplean:

✓ Entrevistas estructuradas con expertos en el area de interés
✓Empleo de grupo de expertos multidisciplinarios
✓ Evaluaciones individuales empleando cuestionarios
Proceso de Gestión del Riesgo
Evaluación del Riesgo

➢ Compara niveles estimados de riesgo

contra los criterios preestablecidos.
➢ Establecer prioridades de los
riesgos para su tratamiento.

✓ El resultado de una evaluación del riesgo es una lista priorizada

de riesgos para tomar acciones posteriores.

✓ Las decisiones del análisis deben dar cuenta de la consideración

de tolerancias de los riesgos asumidos.
 Proceso de Gestión del Riesgo
Evaluación del Riesgo

✓ Se deben considerar los objetivos de la organización y el grado de

oportunidad que pudiera resultar de asumir el riesgo, considerando la
importancia de los procesos del negocio de la actividad de los acticos, las
propiedades de la seguridad de la información.

✓Si los riesgos resultantes se encuentran en las categorías de riesgo bajo o

aceptable, pueden aceptarse con mínimo tratamiento posterior. Los riesgos
bajos y aceptados deben monitorearse y revisarse periódicamente para
garantizar que siguen siendo aceptables.

✓El tratamiento de los riesgos deberá orientarse principalmente a los riesgos

altos o a los medios que de acuerdo a la experiencia, la organización considera
que podrían materializarse.
Proceso de Gestión del Riesgo
Tratamiento del riesgo

➢ Identificar opciones de tratamiento de

riesgos.
✓ Reducción del riesgo
✓ Retención del riesgo
✓ Evitación del riesgo
✓ Transferencia del riesgo

➢ Evaluar opciones de tratamiento

(costo/beneficio)
➢ Preparar planes de tratamiento
➢Implementar planes

✓ Si los riesgos no caen dentro de las categorías de riesgo bajos o

aceptables, se tratan utilizando la opciones consideradas.
✓ Aceptar y monitorear permanentemente los riesgos de baja prioridad.
✓Riesgo residual
Proceso de Gestión del Riesgo
Tratamiento del riesgo

Para definir la mejor alternativa para administrar y mitigar los

riesgos, la Empresa debe tomar en cuenta los siguientes aspectos y
posteriormente establecer la estrategia:

✓ Beneficio al implementar el tratamiento del riesgo

✓Costo de la implementación del tratamiento del riesgo

seleccionado.

✓Esfuerzo requerido para la implementación del tratamiento del

riesgo

✓ Tiempo para impactar la gestión del proceso a través de la

implementación del tratamiento del riesgo.
Proceso de Gestión del Riesgo
Aceptación del riesgo
➢Aceptación de los riesgos .
✓ Responsabilidades
✓ Decisión de la aceptación
✓ Determinación de riesgos residuales si los
mismos están o no sobre un umbral
✓Casos de riesgos que no satisfacen criterios
normales de aceptación
✓Justificaciones de casos de omisión de
criterios normales de aceptación

✓ Listas de riesgos aceptados con las justificación para los que si

satisfacen y los que no satisfacen los criterios normales de aceptación de
riesgos de la organización
 Proceso de Gestión del Riesgo
Comunicación del Riesgo

➢ Desarrollar un plan de comunicación

para los interesados

➢ Crear dialogo en ambas direcciones

entre los interesados

➢Identificar y documentar percepciones

de los riesgos de los interesados.

➢ Llevar registros de cada etapa y ciclos.

✓ Comunicar y consultar con interesados internos y externos según

corresponda en cada etapa del procesos de gestión de riegos y
concerniendo al proceso como un todo.
 Proceso de Gestión del Riesgo
Monitoreo y revisión del riesgo

➢ Monitorear los riesgos, la efectividad del

plan de tratamiento de los riesgos, las
estrategias y el sistema de administración
que se establece para controlar la
implementación.

➢ Revisar sobre la marcha para asegurar

que el plan de administración se mantiene
relevante.

✓ Monitorear y revisar el desempeño del sistema de administración

de riesgos y los cambios que podrían afectarlo.
✓ Repetir y revisar regularmente el ciclo de administración de
riesgo.
Riesgos y controles para mejorar el
desempeño y el Sistema de Control Interno
Tendencias: Madurez en la administración del Riesgo
Gracias
 Bibliografía

The Australian/New Zealand Joint Standards Committee AS/NZS 4360 Risk

Management
COSO - The Committee of Sponsoring Organizations of the commission
Treadway
COCO - Instituto Canadiense de Contadores Certificados (CICA)
IFAC - Financial & Management Accounting Committee
A Guide to Security Risk Management for Information Technology Systems -
Government of Canada, Communications Security
MAGERIT - Metodología de Análisis y Sesión de Riesgos de los Sistemas de
Información - Versión 1.0
Magda Giraldo – Proyectos Advisory Services Ltda. Sensibilización del Sistema
de Administración de Riesgo, KPMG.