1

EVALUACIÓN DEL RIESGO

Diseño de Sistemas
 Evaluación de riesgo
 Riesgo
– Es cualquier evento que pueda tener un
impacto adverso de tipo financiero
(patrimonio – utilidades) para la
organización.
 Evaluación de riesgo
– Es el proceso mediante el cual se identifican,
analizan y valoran los procedimientos de
control diseñados para manejar y reducir
situaciones que afectan la eficiencia en la
ejecución de las operaciones
2
 Evaluación de riesgo

 Componentes de la Evaluación de Riesgo

3
Evaluación de riesgo

 Aspectos generales
– Identificación de riesgo
• Riesgo Inherente
– Es permanente, siempre está presente
• Riesgo de Control
– Los controles no detectaron errores e
irregularidades
• Riesgo de Detección
– Está en función de la efectividad de los
procedimientos
4
 Evaluación de riesgo

 Categorías de riesgo
– Errores humanos
– Fallas de hardware y software
– Actos malintencionados
– Actos de la naturaleza

5
Evaluación de riesgo

 Variables consideradas para la

determinación
– Probabilidad de ocurrencia
– Valor de la pérdida en cada ocurrencia

Riesgo = Probalidad X Valor

6
 Evaluación de riesgo
 Causas del riesgo  Causas del riesgo
– Eventos naturales – Actos humanos
• Fuego • Sabotaje
• Inundación
• Bombas
• Terremotos
• Robo
• Huracán
• Destrucción de
– Eventos Tecnológicos información
• Falla corriente eléctrica
• Fallas en el hardware
• Fallas en las
comunicaciones

7
Relación entre riesgo y causa

8
 Tolerancia al riesgo

 Concepto
– Es la capacidad de hacerle frente a una
interrupción del sistema durante un
periodo de tiempo específico
– Si el nivel de tolerancia es bajo, el valor
de las pérdidas será alto. Si el nivel de
tolerancia es alto, las pérdidas
ocasionadas por la interrupción serán de
bajo costo

9
 Tolerancia al riesgo

 Aplicaciones críticas  Aplicaciones no

– Son aplicaciones o críticas
equipo con bajo nivel – Son aplicaciones o
de tolerancia equipos con alto nivel
de tolerancia

Aplicaciones Tolerancia Costos de las

Recursos interrrupciones
Críticas Baja Alto
No críticas Alta Bajo
10
 Categorías de causas de riesgo
 Errores humanos Frecuencia ALTA
Efecto financiero: BAJO

 Mal funcionamiento de Frecuencia: ALTA

equipos Efecto financiero: BAJO

 Actos malintencionados Frecuencia: BAJA

Efecto financiero: ALTO

Catástrofes naturales Frecuencia: BAJA

Efecto financiero: ALTO

11
Tipos de pérdidas
 Tangibles
– Costos directos
• Sanciones legales
• Multas por incumplimiento
– Indirectos
• Pérdida en ganancias de la empresa
• Pérdida en la posibilidad de negocios
 Intangibles
– Imagen
– Moral

12
 13

Organización del plan de

contingencias
Fases
Inicialización del plan
 Inventario de Activos críticos de la
Empresa
– Hardware
– Software
– Comunicaciones
– Activos
– Recurso humano

14
Inicialización del plan
 Análisis de riesgo de la empresa
– Detección – identificación
– Categorización del riesgo
– Detección de causas
– Ponderación de riesgo

15
Funciones del plan
 Minimizar la toma de decisiones
durante la crisis
 Definir alternativas para los procesos
críticos
 Definir las prioridades de la
organización y los marcos de tiempo
 Probar por anticipado las
operaciones de recuperación
 Capacitar al personal

16
Características del plan
 Alcance global (empresa)
 Basado en proceso de negocios
 Planes de acción con prioridades
 Organiza utilizando estructuras de
equipos de recuperación
 Procedimiento dinámico (sujeto a
una contínua revisión y
modificación)

17
No es un plan de contingencia
 Un documento que no ha sido
probado
 Programas de prevención
 Planes de recuperación de centro de
cómputo
 Planes específicos a eventos

18
Qué es un plan de
contingencia?
Los planes de contingencia se organizan
para que las intituciones y empresas
puedan prevenir fallas o accidentes en sus
operaciones diarias y les permitan seguir
activas, en la provisión de servicios o
productos, en el caso de que algún
componente sufra algún tipo de problema,
que condicione el correcto funcionamiento
de sus equipos tecnológicos, aplicaciones
informáticas y otros sistemas críticos.

19
Definición
Es un documento que preve las actividades,
debidamente cronogramadas, que suplen,
en caso de falla, mal funcionamiento o
emergencia, los procedimientos de trabajo
de un proceso institucional regular.

Su objetivo es asegurar la continuidad de los

procesos institucionales, a pesar de los
problemas que puedan presentarse en
cualquier circunstancia.

20
Fases
Análisis de riesgo
Análisis de
impacto

Mantenimiento del Estrategia de

plan recuperación

Pruebas y
Implantación
capacitación

Desarrollo de
procedimientos

21
Fases del plan de contingecia
 Planeación y organización
 Fase ANTES
 Fase DURANTE
 Fase DESPUES

22
Planeación y organización
 Tiende al definir la estrategia para realizar el
análisis de la continuidad del negocio
– Requiere de la participación de las oficinas
usuarias de los sistemas y del área de sistemas
– Debe contarse con los funcionarios
relacionados con los procesos críticos de los
sistemas.
 Etapas
– Etapa de establecimiento de un grupo de
trabajo
– Etapa de identificación de los procesos
críticos del negocio
– Elaboración de un cronograma de trabajo
23