Universidad de guayaquil

Facultad de Ciencias Matemáticas

y Físicas

Assesments

ING. ESPINOZA BAZAN FABIAN ANDRES

Curso TIN-S-NO-7-1

SANTILLAN CAZARES JEOVANKA

Periodo Lectivo

2022 - 2023
 Índice

Que es la evaluación de riegos.............................................................................. 3

Criterios de actuación ....................................................................................... 4

Preparación ....................................................................................................... 5

Ejecución .......................................................................................................... 6

Evaluación de ciberseguridad ............................................................................... 7

Modelo de gestion de riesgos................................................................................ 8

Estructura del marco para gestión del modelo de riesgo .................................. 9

Fase I- políticas de gestión del modelo de riesgo y marco de gobernanza: .. 9

Fase II- validación del modelo y revisión independiente de estándares ....... 9

Fase III- desarrollo del modelo e implantación de estándares .................... 10

Fase IV- definición del modelo, identificación e inventario ...................... 10

Diferencia entre Evaluación de riesgos y Evaluación de ciberseguridad .... 10

 Que es la evaluación de riegos

Tras su revisión, el apartado 1 del artículo 16 de la Ley de Prevención de Riesgos

Laborales establece que "la prevención de riesgos laborales deberá integrarse en el

sistema general de la empresa, tanto en el conjunto de sus actividades como en todos los

niveles jerárquicos de ésta a través de la implantación y aplicación de un Plan de

prevención de riesgos laborales. Este Plan de prevención de riesgos laborales deberá

incluir la estructura organizativa, las responsabilidades, las funciones, las prácticas, los

procedimientos, los procesos y los recursos necesarios para realizar la acción de

prevención de riesgos en la empresa, en los términos que reglamentariamente se

establezcan

Los instrumentos esenciales para la gestión y aplicación del plan de prevención

de riesgos, que podrán ser llevados a cabo por fases de forma programada, son la

evaluación de riesgos laborales y la planificación de la actividad preventiva".

En este tema se va a tratar el primero de los instrumentos, es decir, la evaluación

de riesgos, y en temas posteriores se verá el segundo, la planificación preventiva.

La evaluación de riesgos es la actividad fundamental que la Ley establece que

debe llevarse a cabo inicialmente y cuando se efectúen determinados cambios, para poder

detectar los riesgos que puedan existir en todos y cada uno de los puestos de trabajo de la

empresa y que puedan afectar a la seguridad y salud de los trabajadores.

Esta evaluación es responsabilidad de la Dirección de la empresa, aunque debe

consultarse a los trabajadores o a sus representantes sobre el método empleado para

realizarla; teniendo en cuenta que éste deberá ajustarse a los riesgos existentes y al nivel

de profundización requerido. Para empezar, es recomendable examinar los accidentes,

enfermedades y demás daños derivados del trabajo que hayan acontecido en los últimos

años y de los que se tenga constancia.

El objetivo fundamental de la evaluación es minimizar y controlar debidamente

los riesgos que no han podido ser eliminados, estableciendo las medidas preventivas

pertinentes y las prioridades de actuación en función de las consecuencias que tendría su

materialización y de la probabilidad de que se produjeran.

La evaluación de riesgos es una actividad que debe ser realizada por personal

debidamente cualificado y su procedimiento de actuación debe ser consultado con los

representantes de los trabajadores.

Criterios de actuación

La evaluación de riesgos es una tarea que debe ser llevada a cabo por personas

que tengan la formación legalmente requerida y que sean trabajador designado por la

Dirección de la empresa o formen parte del Servicio de prevención propio o ajeno. Tal

actividad debiera realizarse con la participación del personal expuesto a los riesgos con

la finalidad de recoger su opinión y poder contrastar con lo observado.

Aunque la actividad evaluadora sea realizada por un servicio de prevención ajeno,

es importante que una persona de la empresa esté implicada en el seguimiento y control

de tal actividad. El análisis de riesgos antes del inicio de cualquier actividad debería ser

reflexión obligada y base consustancial de la propia calidad del trabajo a realizar y

difícilmente ello puede ser transferido a personal ajeno. La reunión inicial del mando

intermedio con sus trabajadores para verificar que éstos conocen los riesgos a los que

pueden estar expuestos y las medidas preventivas a adoptar en una nueva actividad o tarea

es algo básico para evitar accidentes, fallos y errores.

 La evaluación inicial tiene valor cuando va asociada a la planificación preventiva

y se convierte en un elemento de gestión ante los riesgos identificados o que puedan surgir

ante posibles cambios. La reglamentación establece que la evaluación inicial deberá ser

revisada ante cualquiera de las siguientes circunstancias:

• Cuando se introduzca algún cambio en las condiciones de trabajo, tanto en

la organización como en la introducción de nuevas tecnologías, productos,

equipos, etc.

• Cuando se produzcan daños en la salud de los trabajadores o se aprecie

que las medidas de prevención son inadecuadas o insuficientes.

• Si legalmente hay establecida una periodicidad de evaluación para

determinados riesgos, o se ha llegado a ese acuerdo entre la empresa y los

representantes de los trabajadores.

En todo caso es aconsejable que periódicamente (cada 2 o 3 años) se proceda a su

actualización. Se tendrán en cuenta siempre, en la evaluación de riesgos, aquellos que

puedan afectar a trabajadores especialmente sensibles como son los menores, las mujeres

embarazadas y los minusválidos.

En la evaluación de riesgos deberían considerarse tres fases: Preparación,

Ejecución y Registro documental.

Preparación

Habría que determinar: Quién va a realizar la evaluación ( el servicio de

prevención si existe, los trabajadores designados, etc.) y proporcionarle la formación, la

información y los medios para llevarla a cabo de manera eficaz. Cómo va a realizarla, qué
procedimiento va a seguir, qué plazo tiene para concluirla, etc. Qué mecanismos de

control va a aplicar para comprobar que la evaluación realizada es operativa y eficaz.

Ejecución

Habría que revisar con especial atención: Las instalaciones, las máquinas, los

equipos, las herramientas y los productos empleados. El entorno del lugar de trabajo. La

formación del personal y las pautas de comportamiento a la hora de realizar las tareas. La

adecuación de las medidas preventivas y de los controles existentes.

 Evaluación de ciberseguridad

La evaluación de ciberseguridad es un proceso de análisis de la madurez de las

capacidades de ciberseguridad de su organización que le proporcionará una comprensión

de la eficacia de su defensa cibernética, ayudándole a obtener la confianza que necesita

en su capacidad para gestionar los riesgos cibernéticos.

• Beneficios Permite conocer el estado actual de la ciberseguridad de su

organización.

• Brinda insumos para priorizar acciones alineadas a la estrategia

organizacional.

• Apoya la concientización por parte de la gerencia. Balancea la

ciberseguridad en: procesos, personas y tecnología.

• Genera un tablero que resume los resultados de una evaluación. Identifica

oportunidades para reducción de costos operativos.

Para la evaluación se cubre la estrategia, políticas, procesos y estructura de gestión

para la ciberseguridad y, lo que es más importante, cómo respalda sus objetivos de

negocio.

La evaluación usa un marco de ciberseguridad de PwC el cual considera los

siguientes componentes:

• Estrategia, gobierno y gestión Tendencias emergentes e innovación

• Gestión de riesgos y cumplimiento

• Gestión de incidentes y crisis Protección de la información y privacidad

• Gestión de identidades y accesos

• Gestión de amenazas y vulnerabilidades

• Arquitectura y servicios de seguridad

 Modelo de gestion de riesgos

En la implantación de medidas de control del riesgo es importante la identificación

de los puntos y procesos de la operación financiera para luego relacionarlos según el tipo

de marco de gestión de riesgos informáticos que se haya utilizado para la evaluación

global (Global Risk Assesments -GRA).

Uno de los modelos de marco de gestión de riesgos más comunes es el modelo

“V”, que se asemeja al usado en informática, para control, desarrollo y puesta en marcha

de proyectos. Sigue un proceso cronológico desde la definición de un proyecto hasta su

puesta en marcha. A partir de este modelo, y de la estratificación considerada en él, se

hacen las consideraciones para implantar métodos y soluciones para la mitigación del

riesgo.

A pesar de ser ampliamente difundido, no es el único modelo que se aplica. Una

organización financiera, por ejemplo, sigue un modelo de marco de gestión de riesgo

informático diferente con el cual se busca un mejoramiento continuo cíclico. A este

modelo se le denomina: Marco para Gestión del Modelo de Riesgo.

 Este modelo asegura que:

• Existan políticas apropiadas de gestión de riesgos y un marco de

gobernanza

• Los modelos se desarrollan e implementen de manera robusta y apropiada

• Esos modelos se sometan a validación apropiada y revisiones

independientes y antes después de la implementación

Estructura del marco para gestión del modelo de riesgo

Se divide en cuatro Fases y tiene en total siete etapas de progresión :

Fase I- políticas de gestión del modelo de riesgo y marco de gobernanza:

PROPUESTA DE MODELO Y TÉRMINOS DE REFERENCIA

(Responsabilidad compartida con GRA): Comprender las razones detrás de la creación

de un modelo y las expectativas sobre cómo se usará su resultado

DESARROLLO DEL MODELO (Responsabilidad de GRA): El modelo es

lógico, desarrollado de forma robusta y apropiadamente para su propósito previsto y es

consistente con los estándares globales

VALIDACIÓN DE LA PREIMPLANTACIÓN (Responsabilidad de GRA):

Control de Primera Línea de Defensa (FLOD - First Line Of Defense) para garantizar que

el modelo sea conceptualmente correcto, que los datos utilizados sean los adecuados y

que los resultados cumplan con el propósito previsto

Fase II- validación del modelo y revisión independiente de estándares

REVISIÓN INDEPENDIENTE (Responsabilidad fuera de GRA):

Control de Segunda Línea de Defensa (SLOD - Second Line of Defense) donde los

modelos clave se someten a una revisión independiente para proporcionar un desafío

creíble y una garantía adicional a la administración, lo que ayuda a identificar las

limitaciones antes del uso del modelo.

Fase III- desarrollo del modelo e implantación de estándares

APROBACIÓN (Responsabilidad compartida con GRA): El modelo ya ha

recibido la aprobación apropiada de la autoridad pertinente o individuo (s) responsable

antes de ser usado o implementado

Fase IV- definición del modelo, identificación e inventario

IMPLEMENTACIÓN (Responsabilidad compartida con GRA): El modelo ya se

ha implementado según su diseño y propósito originales luego de haber realizado las

pruebas apropiadas

VALIDACIÓN Y REPORTE DEL MODELO (Responsabilidad compartida con

GRA): El modelo está funcionando satisfactoriamente y se está utilizando según su

diseño y propósito originales. Esto incluye una serie de actividades, incluida la

supervisión y validación de primera línea, y la validación y revisión independientes.

Existen productos informáticos listos para usarse, que están debidamente

soportados para que su implantación sea fluida y sin contratiempos, permitiendo

establecer o complementar las líneas de defensa contra el riesgo en sus diferentes niveles.

Diferencia entre Evaluación de riesgos y Evaluación de ciberseguridad

La evaluación de riesgos es un proceso utilizado para identificar, analizar y

evaluar los riesgos potenciales asociados a una actividad o a un proyecto. Esto implica
examinar todos los factores que pueden afectar negativamente el proyecto y determinar

cómo manejar esos riesgos de manera adecuada.

La evaluación de ciberseguridad, por otro lado, es un proceso utilizado para

evaluar la seguridad de un sistema informático o de una red. Esto incluye examinar la

protección contra amenazas cibernéticas, como virus, malware y ataques de hackers, así

como la protección de la confidencialidad, integridad y disponibilidad de los datos

almacenados y transmitidos a través de la red.

En resumen, la evaluación de riesgos es un proceso más amplio que incluye la

evaluación de ciberseguridad, pero la evaluación de ciberseguridad se centra

específicamente en la seguridad informática y en la protección contra amenazas

cibernéticas