Administración de Riesgos

Maestría en Seguridad Informática

Raúl Vicente González Carrión

Profesor

Escuela Superior Politécnica del Litoral, ESPOL

Julio, 2023
 Estructura de la Asignatura

Módulo 1

Módulo 2

Administración de Generalidades Módulo 3

Concepto básico ISO 31000 Sistema
Riesgos Riesgos en
de riesgos Gestión Riesgos
Empresarial Proyectos Módulo 4

Módulo 5

Introducción COSO
ERM
Administración de
riesgos empresarial
 DEBER
Mitigating-the-Risk-Factors-of-IT-Project-Failure_joa_Eng_0517
1. Leer el artículo
2. Preparar un resumen de 1 página.
3. En otra página, contestar las siguientes preguntas:
• Cuales fueron los principales riesgos en el proyecto en los casos A, B y C y las medidas de
mitigación que se recomiendan en este caso,
• Que otras medidas de mitigación propondría usted a los problemas que se presentan y
porqué
• ¿ Cómo puede llevarlo a la práctica ?
4. Para el deber considerar lo siguiente:
•Fuente: Arial 12
•Sin espacio entre líneas,
•Márgenes
•Superior:2 cm
•Inferior:2 cm
•Izquierdo:3 cm
•Derecho:3 cm
5. únicamente incluir el resumen y contestar las preguntas, no incluir carátulas ni presentación.
6. el deber deberá ser cargado en la plataforma.
7. El deber se calificará con la rúbrica : Rúbrica para resumen.docx
 DEBER
Cybersecurity in a COVID-19 World: Insights on How Decisions Are Made
1. Leer el artículo
2. Preparar un resumen de 1 página.
3. En otra página, contestar las siguientes preguntas:
• Indicar en una página cuales son los riesgos en materia de cyber seguridad relacionados con
el COVID y cuales cree que tendrían mayor impacto en el Ecuador y porqué?
• ¿ Cual es su principal aprendizaje?
4. Para el deber considerar lo siguiente:
•Fuente: Arial 12
•Sin espacio entre líneas,
•Márgenes
•Superior:2 cm
•Inferior:2 cm
•Izquierdo:3 cm
•Derecho:3 cm
5. únicamente incluir el resumen y contestar las preguntas, no incluir carátulas ni presentación.
6. el deber deberá ser cargado en la plataforma.
7. El deber se calificará con la rúbrica : Rúbrica para resumen.docx
Razones para implementar administración de riesgos

• El riesgo es un factor en la vida; la vida está cambiando permanentemente

• La nueva economía está creando cambios y oportunidades
• Las organizaciones necesitan un nuevo proceso de negocios estratégico
• Estos procesos implica la necesidad de administrar riesgos
• Controles internos vs administración riesgos

“El verdadero viaje al descubrimiento no consiste en buscar

nuevos paisajes sino en mirar con nuevos ojos”
- Marcel Proust
La Necesidad

La tecnología soporta las diferentes actividades de negocio.

La Necesidad

¿Cuáles son los retos a los que se enfrenta la empresa

actual?

Riesgos por desastres naturales

Necesidad de reducción de costos
Poca optimización de tiempo
Infraestructura de comunicación de distintos
fabricantes y versiones
Falta de integración con oficinas remotas
Incompatibilidad entre sistemas operativos
Sistemas dispersos y aislados para distintas
funciones
Administrar Riesgos Empresariales
Propósito y Objetivos de Administrar el Riesgo
Sistemas de Alertas Tempranas
No a grandes sorpresas • Sistemáticamente identificar, evaluar y priorizar riesgos.
• Evitar riesgos no identificados y proteger los activos.
• Promover el aprendizaje organizacional.
• Reducir la probabilidad de repetir errores.
Infraestructura Integrada
No a grandes
• Prevenir y responder rápidamente a potenciales pérdidas catastróficas. errores
• Mejorar la habilidad de anticiparse y prepararse para el cambio.
• Establecer una cultura basada en el riesgo.
• Asegurar que los riesgos claves son entendidos y mitigados.

Políticas y Procedimientos Comprensivos

No perder grandes
oportunidades • Buscar crecimiento asegurando que los riesgos
estratégicos son mitigados.
• Maximizar oportunidades de alcanzar el éxito en planes de
negocio.
• Acelerar la habilidad de responder al cambio y a las
oportunidades.
• Implementar una apropiada infraestructura de control.
Evolución de la gestión de riesgos

Gestión Estratégica
Impulso riesgo-recompensa

Pregunta Clave: ¿Cómo tomar mejores decisiones Actividad Clave: Establecer el marco general para la Objetivo Clave: Mejorar el logro de los objetivos
acerca de las incertidumbres que afectan a nuestro gestión de los riesgos más significativos de la estratégicos y la supervisión de riesgos de la junta
futuro? organización directiva
Enfoque Ofensivo:

Gestión Integrada
Pregunta Clave: ¿Cuáles son las amenazas clave Objetivo Clave: Establecer procesos para gestionar
Actividad Clave: Identificación y análisis de riesgos
que enfrentamos en el logro de nuestros objetivos proactivamente amenazas operativas para el
con la coordinación de otras funciones de riesgos
de negocio y cómo debemos responder? negocio
Impulso costo-beneficio
Enfoque Defensivo:

Gestión Tradicional
Pregunta Clave: ¿Cuáles son los riesgos Objetivo Clave: Tratar los riesgos como un gasto,
Actividad Clave: Identificación y valoración de
asegurables y contractuales que enfrenta la gestionándolos mediante la compra de seguros y/o
peligros
organización? ¿Cómo los estamos mitigando? coberturas
“Enfoque Tradicional” versus “Inteligencia al Riesgo”
Riesgo sin Recompensa vs. Riesgo con Recompensa
Enfoque Tradicional
➢ Foco en cumplimiento, seguridad,
finanzas
➢ Mitigando riesgos de fraude,
seguridad física
Gerencia de Riesgo en Silos
Enfoque Tradicional
➢ Lenguaje diferente y metodologías
distintas
➢ Comunicación pobre entre los silos
Interacciones de riesgos y Análisis de Escenarios
Enfoque Tradicional
➢ Enfoque en eventos individuales de
riesgo sin considerar impacto en el
largo plazo
Inteligencia al Riesgo
➢ Ventaja competitiva Empresa Inteligente al Riesgo™
➢ Atracción de mejores clientes
• Universo Comprensivo de
Riesgos
• Los silos se conectan
• Mejora la comunicación
• Disminuye la exposición
Inteligencia al Riesgo • Se enfoca en vulnerabilidad
➢ Lenguaje común
➢ Coordinación de roles y
responsabilidades
➢ Controles racionalizados y
estandarizados
Una empresa Inteligente al
TM
Riesgo tiene la habilidad de
Inteligencia al Riesgo manejar proactivamente los
➢Se estudian las interacciones entre riesgos con y sin recompensa
riesgos individuales
➢Se usan escenarios en la
evaluación de riesgos
Las dos caras del riesgo

Los riesgos identificados deben gestionarse, no sólo ser mitigados o evitados

Administrar los riesgos para ayudar a crear valor para los accionistas (crecimiento)

Desarrollo de nuevos productos

Riesgos Nuevos modelos de precios

recompensados
Nuevos mercados objetivos

Valor
Sanciones y multas
Riesgos no
recompensados Fraude

Desastres

Administrar los riesgos para ayudar a proteger el valor del accionista (activos existentes)

Los negocios prosperan por tomar riesgos, pero fallan cuando los riesgos se gestionan de manera ineficaz. Las organizaciones deben dedicar
recursos tanto para la toma de riesgos como para su gestión
Valor para el Accionista

¿Cómo se crea valor?

Los drivers de valor se vuelven objetivos e iniciativas estratégicas……

Valor para el accionista

Crecimiento de Optimización de Efectividad de Atención de las

Ingresos costos los activos expectativas

Propiedad,
Numero de Productos por Precio por CxC y Factores
planta Inventarios Fortalezas
Clientes Clientes Producto CxP externos
Y equipo

Costeo de Distribución Intereses

Administrativos
Producto Y venta E impuestos
Oportunidades que plantea COSO a la Organización
Integrando el Control Interno al Modelo de Negocios

Generación de Valor

Misión - Visión

Objetivos estratégicos

Estrategias

Objetivos Relacionados

Operacionales Informes Cumplimiento

Eventos

Valoración de Riesgos

Actividades de Control
Definiciones claves

Riesgo de Es el nivel de exposición a incertidumbres que la organización debe identificar y efectivamente

negocio administrar para alcanzar sus objetivos, ejecutar sus estrategias exitosamente y crear valor

“… un proceso, afectado por la Dirección, Administración y demás personal de la entidad, aplicado

en el establecimiento de estrategias en toda la empresa, diseñado para identificar eventos
potenciales que puedan afectar a la entidad, y gestionar los riesgos dentro de su apetito al riesgo, para
ERM proporcionar una seguridad razonable en cuanto a la consecución de objetivos de la entidad”.
Source: COSO Enterprise Risk Management – Integrated Framework. COSO.

• Un proceso, afectado por la junta directiva, la gerencia y otro personal, diseñado para proveer
una seguridad razonable en relación con el cumplimiento de objetivos.
Control Interno • Ejecutado por personas. No son solo políticas y manuales.
• Proceso continúo.
Definiciones claves

Conceptos generales clave para la gestión de riesgos de un proyecto

El riesgo existe en dos niveles en cada proyecto, presenta riesgos individuales que pueden afectar la consecución de los
objetivos, así como también es importante considerar el grado de riesgo de la totalidad del proyecto

Riesgo individual del proyecto: es un evento o condición incierta que, si se produce,

11 tiene un efecto positivo o negativo en uno o más de los objetivos del proyecto

Riesgo general del proyecto: es el efecto de la incertidumbre sobre el proyecto en conjunto,

2 proveniente de todas las fuentes de incertidumbre incluidos riesgos individuales

Con el fin de gestionar los riesgos de manera efectiva, el equipo de proyecto debe saber que exposición al riesgo es aceptable para lograr los objetivos del
proyecto
Otras definiciones

• Activo de información: información tangible o intangible que tiene valor para los procesos de negocio de la
organización.
• Seguridad: Protección de la confidencialidad, integridad y disponibilidad de la información según el nivel
requerido para los objetivos de negocio de la empresa.

Confidencialidad:

Está relacionado con que la

información se revele sólo al
personal autorizado.

Integridad:
Disponibilidad:
Se refiere a que la información
Está relacionado con que la se mantenga sin alteraciones
información pueda ser utilizada en no autorizadas durante todo
el momento que se la requiera por su ciclo de vida.
el personal autorizado.
Otras definiciones

• Vulnerabilidad

Debilidad presente en la tecnología, proceso y/o

personas. (2.89, ISO 27000, 2016)

Es una debilidad en la organización:

• Puertas abiertas (lógicas y físicas)
• Mantenimiento inexistente
• Falta de personal clave
• Falta de actualización de sistemas críticos
• Falta de control de acceso
Una vulnerabilidad, por sí
misma, no produce daños. Es
un condicionante para que una
amenaza afecte un activo.
Otras definiciones
Amenazas:

Causa potencial de un efecto

• Amenaza:
no deseado (2.83, ISO
Acción que se ejecuta para explotar exitosamente una vulnerabilidad. Dicha acción puede ser
27000, 2016)
ejecutada de forma accidental o intencional por un ente denominado “fuente de amenaza”.
Es una declaración de hacer un daño (robo, virus, acceso no autorizado).
NP: puede ser externo o
interno y la Institución no
tiene control sobre esto.
 Taller
• Determinar cuál sentencia es una Amenaza
o una Vulnerabilidad.
• Para cada Amenaza definir 1
Vulnerabilidades que podría explotar.
SECTION BREAK
• RECURSO:
Insert the TallerHere
title of your subtitle Amenazas y
Vulnerabilidades
Otras definiciones

• Riesgo: La posibilidad que una amenaza se materialice, utilizando la vulnerabilidad existente en un activo o grupos
de activos, generándose así perdidas o daños. Eventualidad que imposibilita el cumplimiento de un objetivo.

En términos generales, una amenaza es todo aquello que tenga una posibilidad o probabilidad de ocurrir, como
causante de daño. Y el riesgo es el producto de la ocurrencia de la amenaza y su consecuencia. Sin la
ocurrencia de amenazas el riesgo sería cero.
Otras definiciones

Impacto:

• Magnitud de las consecuencias que tiene para la

organización el hecho de que uno o varios activos hayan sido
comprometidos en su confidencialidad, integridad o
disponibilidad, debido a que una o varias amenazas hayan
explotado las vulnerabilidades de estos u otros activos.

• Su medición puede ser cuantitativa o cualitativa.

• Cuando se estima el nivel del impacto se debe considerar la

criticidad de los activos de información.
Otras definiciones

Nivel de
• Impacto: Impacto Cualitativo
Impacto
Interrupción de las operaciones de la Compañía por más de 24 horas*.
Intervención a la Compañía por parte del Ente de Control por Incumplimientos legales y/o contractuales.
Superior Impacto que afecte la imagen de la Compañía negativamente en el mercado relacionada con prácticas inseguras y/o
irregulares.
Pérdida de información crítica de la Compañía o de terceros que no se pueda recuperar.
Interrupción de las operaciones de la Compañía entre 16 y 24 horas*.
Interrupción de las operaciones en todas las oficinas de Guayaquil.
Interrupción de las operaciones en todos los centros de servicios.
Mayor Sanciones económicas por incumplimiento de las normas establecidas / operaciones / obligaciones contractuales.
Pérdida de información crítica de la Compañía o de terceros que no se pueda recuperar fácilmente.
Incremento en el 100% (o más) del número de reclamos formulados por los clientes.
Impacto que afecte la imagen de la Compañía en el mercado relacionado con el servicio al cliente.
Interrupción de las operaciones de la Compañía entre 12 y 16 horas*.
Interrupción de las operaciones en las grandes ciudades.
Inoportunidad de la información ocasionando retrasos en las labores de las áreas y/o en la respuesta a los entes
Importante reguladores.
Reproceso de actividades y aumento de la carga operativa (ejecutar nuevamente actividades de los procesos por
errores operativos).
Incremento entre el 50% - 100% del número de reclamos formulados por los clientes.
Interrupción de las operaciones de la Compañía por algunas horas*.
Interrupción de las operaciones en las poblaciones.
Menor No afecta la oportunidad de la información de manera significativa, no altera el funcionamiento de las áreas receptoras
y procesadoras de información.
Incremento entre el 10% - 50% del número de reclamos formulados por los clientes.
No hay interrupción de las operaciones de la Compañía.
No genera sanciones económicas y/o administrativas.
Inferior No afecta las relaciones con los clientes.
No afecta la oportunidad de la información.
Otras definiciones

• Probabilidad:

Estimación con la que las amenazas pueden explotar las vulnerabilidades de los activos. Por lo general se expresa en
términos de frecuencia o número de veces de ocurrencia.

Probabilidad Descripción
de
Ocurrencia
Muy Alta • Nos ocurre con cierta periodicidad (1 vez cada mes)
Alta • Se presenta con alguna frecuencia (1 vez cada trimestre)
Moderada • Se presenta por lo menos una vez cada año
Baja • Se ha presentado alguna vez en la Entidad ó en el sector en los últimos cinco años
Muy Baja • Se ha presentado una vez en al Entidad o en el sector en los últimos 20 años
Otras definiciones

Activo de
Amenaza Vulnerabilidad
Información

Impacto Riesgo inherente Probabilidad

 Otras definiciones

Riesgo inherente: riesgo sin la participación de controles

Es el riesgo intrínseco de cada actividad, sin tener en cuenta los controles que de éste se hagan a su interior. Este riesgo
surge de la exposición que se tenga a la actividad en particular y de la probabilidad que un choque negativo afecte la
rentabilidad y el capital de la compañía.
El riesgo inherente es propio del trabajo o proceso, que no puede ser eliminado del sistema; es decir, en todo trabajo o
proceso se encontrarán riesgos para las personas o para la ejecución de la actividad en sí misma.
Ejemplos:
• Transporte: Choques, colisiones, volcamiento
• Metalmecánica: Quemaduras, golpes
• Minería: Derrumbes, explosiones, caídas, atrapamiento, asfixia
 Otras definiciones

Riesgo residual: riesgo teniendo en cuenta la participación de controles

Es aquel riesgo que subsiste, después de haber implementado controles.
Es importante advertir que el nivel de riesgo al que está sometido una compañía nunca puede erradicarse totalmente.
Por ello, se debe buscar un equilibrio entre el nivel de recursos y mecanismos que es preciso dedicar para minimizar o
mitigar estos riesgos y un cierto nivel de confianza que se puede considerar suficiente (nivel de riesgo aceptable). El
riesgo residual puede verse como aquello que separa a la compañía de la seguridad absoluta.
El riesgo residual es aquél que permanece después de que la dirección desarrolle sus respuestas a los riesgos. El riesgo
residual refleja el riesgo remanente una vez se han implantado de manera eficaz las acciones planificadas por la
dirección para mitigar el riesgo inherente.
Opciones de Tratamiento

Mitigar
Opciones de Tratamiento
Otras definiciones

Control:

• Es un mecanismo preventivo, detectivo y/o correctivo

adoptado por la administración de una compañía;

• Permite la oportuna detección y corrección de

desviaciones, ineficiencias o incongruencias,

• Principal propósito de procurar el cumplimiento de la

normatividad que las rige, y las estrategias, políticas,
objetivos, metas y asignación de recursos.
Otras definiciones

Control:

Se diseñan para cumplir varias funciones:

Preventivos Detectivos Correctivos

Anticipan eventos no Identifican los eventos en el Aseguran que las acciones

deseados antes de que momento en que se correctivas sean tomadas
sucedan presentan. para revertir un evento no
deseado.
Otras definiciones

Control: Preventivos Detectivos Correctivos

Control preventivo:
• Desalentar o evitar la aparición de
problemas
• Son más rentables
• Deben quedar incorporados en los
sistemas
• Evitan costos de corrección o
reproceso
Ejemplos:
• Publicación de la política de
seguridad de la información.
• Hacer que socios y empleados
firmen un acuerdo de
confidencialidad.
• Establecer y mantener contactos
apropiados con los grupos de
especialistas en seguridad de la
información.
• Contratar sólo personal calificado.
Control detectivo
• Buscar e identificar anomalías
• Son más costosos que los
preventivos
• Miden la efectividad de los
preventivos
• Algunos errores no pueden ser
evitados en la etapa preventiva
• Incluyen revisiones y
comparaciones (registro de
desempeño)
• Conciliaciones, confirmaciones,
conteos físicos de inventarios,
análisis de variaciones, técnicas
automatizadas,
• Límites de transacciones,
contraseñas.
Ejemplos:
• Alarmas para detectar el calor,
fuego
• Verificación de los dobles cálculos.
• Cámaras de vídeo.
• Inventarios físicos.
Control correctivo
• Evitar la repetición de anomalías
• Acciones y procedimientos de
corrección (la recurrencia)
• Documentación y reportes que
informan a la Gerencia,
supervisando los asuntos hasta
que son corregidos o solucionados
Ejemplos:
• Implementar planes de
emergencia con la formación,
concienciación, pruebas,
procedimientos y actividades de
mantenimiento necesarios.
• Procedimientos de emergencia,
tales como copias de seguridad
periódicas, el almacenamiento en
un lugar seguro y la recuperación
de las transacciones.
• Procedimientos re-ejecutados.
Otras definiciones

• Manuales: Controles que son efectuados fuera de cualquier aplicativo de TI (ej.: Control manual de
acceso al centro de cómputo)

• Automáticos: Controles automáticos encontrados en todos los tipos de ambientes, sin tener en cuenta
la plataforma tecnológica, el aplicativo o sistema que está siendo usado (ej.: validaciones, cálculo,
interfaz entre aplicaciones, reportes, accesos).
 Taller
Reunirse en grupos y dar un ejemplo de:
• Un control preventivo
• Un control detectivo
• Un control correctivo
SECTION BREAK
• Un control automático
Un of
• title
Insert the control manual
your subtitle Here
• Un control semi automático
Otras definiciones

Activo de
Amenaza Vulnerabilidad
Información

Impacto Riesgo inherente Probabilidad

Control

Impacto Riesgo residual Probabilidad

Otras definiciones
Ejemplo

Vulnerabilidad Amenaza Riesgo Control

Debilidades en la • Intrusión de sistemas. • Pérdida de información. • Aseguramiento de la
configuración de • Hacking. • Información para la plataforma.
seguridad de los sistemas competencia. • Políticas y
operacionales de los • Robo.
• Parálisis en las procedimientos.
servidores • Manipulación.
operaciones. • Monitoreo.

Errores en la generación • Robo. • Pérdida de información. • Procedimientos

de las copias de respaldo • Terrorismo. • Parálisis en las automáticos de backup.
(alcance, periodicidad, operaciones. • Custodia con terceros.
custodia) • Naturaleza.
• Programación de copias
de respaldo.
Otras definiciones

Objetivo de Control:

• Una meta de la administración (es decir, instrucción de la administración).

• Declaración formal de los resultados que se esperan de la implantación de procedimientos concretos de control en un
determinado proceso.
• Un estatuto del resultado o propósito que se desea alcanzar al implantar procedimientos de control en un proceso en
particular.
Otras definiciones

Actividad de Control:

• Un componente del control interno que incluye políticas y procedimientos que ayudan a asegurar que se lleven a cabo
las instrucciones de la administración. Las actividades de control que normalmente son relevantes para una auditoría
son aquéllas que previenen o detectan y corrigen, de manera oportuna, errores en la información que se consideran
importantes por la administración.
• Son las normas y procedimientos (actividades necesarias para implementar las políticas), cuyo fin es asegurar el
cumplimiento de las directrices establecidas por la dirección para controlar los riesgos.
• Las actividades de control se dividen en tres categorías en función al objetivo relacionado:
− Operaciones.
− Información
− Cumplimiento de la legislación
 Taller
• Determinar cuál sentencia es una actividad de
control o un objetivo de control

SECTION BREAK
RECURSO: Taller Objetivos y actividades de
control
Insert the title of your subtitle Here
Referente de Gestión de Riesgos y Control Interno

COSO
ERM

ISO
MECI 31000

Riesgos y
Control
Interno

ANZ Basilea

COBIT
Porque es importante gestionar los riesgos en Proyectos

Aumenta la posibilidad de éxito del proyecto

Ayuda a ser proactivos y no reactivos

Mejora la predicción de resultados

Asegura tener planes para responder ante riesgos

Permite un mejor control de los riesgos

Fomenta gestionar reservar para imprevistos

Permite tomar decisiones con información

Importancia de la Gestión de Riesgos Integral
Conceptos de Riesgo
Es un evento o condición
Condición o situación6
Ref. PMBOOK
incierta que, si sucede favorable que tendrá un
Riesgo
puede tener un efecto impacto positivo.
negativo o positivo en los
objetivos del proyecto

Condición o situación Es la estimación en términos

Probabilidad de
Riesgo desfavorable que si se hace probabilísticos de que un ocurrencia
Negativo realidad tendrá un impacto daño se manifieste en el
negativo. proyecto.

Condición o situación
Riesgo Positivo
favorable que tendrá un
impacto positivo.
39%
Cultura de Gestión de Riesgos - Estrategias
Visión holística de riesgos desde “arriba”
Diálogo constante sobre riesgos emergentes
Gestión de riesgos y planificación estratégica
Definir indicadores clave de Riesgos
Preparación para la gestión de eventos significativos
En la encuesta del Comité de
Auditoría Global de KPMG de
2019, el 56% de los encuestados
indica que dispone de una gestión
de riesgos madura. Sin
embargo, sólo un 25%-30%
incluye procesos para identificar
riesgos estratégicos emergentes
o disruptivos
Gracias !!