Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Relación Amenazas-Activos-Vulnerabilidades-Impacto-Riesgo-
Salvaguardas
FORMA CUALITATIVA:
Riesgo
• Frecuencia
• Impacto
Salvaguardas
• Preventivos
• Detectives
• Correctivos
Riesgo Residual
Priorizar Riesgos
RESPONSABLE
OPCIONES DEL RESPONSABLE DE
NIVEL DE TRATAMIENTO RIESGO ANÁLISIS DE FECHA DEL
RIESGO TRATAMIENTO LA
RIESGO DEL RIESGO RESIDUAL COSTE/BENEFICIOS LÍMITE SEGUIMIENTO
DEL RIESGO IMPLEMENTACIÓN
DEL RIESGO
Estrategia gestionar el riesgo.
• Asumir el riesgo no hacer nada
• Controlar implantar uno o varios controles
• Transfiere seguros o proveedores de servicios
Seleccionar controles (catálogo de buenas prácticas ISO 17799 u otros).
Implantar controles.
Verificar controles.
FORMA CUANTITATIVA:
Sujeto a datos y registros históricos.
Basado en lo ocurrido y la frecuencia experimentado.
La determinación de la probabilidad de ocurrencia es basada en datos y no en
apreciaciones de participantes.
El nivel de impacto es cuantificable en términos económicos.
La severidad refleja el valor esperado del impacto, aun que de llegarse a dar no
sería el verdadero impacto.
PROBABILIDAD DE OCURRENCIA
PASOS:
Definición de evento x: riesgo
Determinación de un periodo de estudio.
Revisión de data histórica.
Determinación de probabilidad:
De acuerdo a distribución estadística (Prueba de Kolmogorov)
De forma empírica (frecuencias)
Simulaciones (Método montecarlo)
Forma empírica:
Casos favorables de x
P (ocurrencia evento x)
Casos Totales
NIVEL DE IMPACTO
Económicamente como se ve afectada la organización.
Costos:
Tiempo de no funcionamiento.
• Valores que se dejan de percibir por no funcionar.
• Aspectos legales.
Recuperación
• Compra de equipos
• Alquiler de instalaciones y equipos
• Pago de personal
Imagen
• Valorización de pérdida de clientes.
SEVERIDAD
Severidad= P(ocurrencia) x Impacto
La severidad reflejaría el valor esperado de la materialización del riesgo. Este valor
sirve para poder priorizar riesgo, mas no representa el impacto a la organización.
Ejemplo: P(ocurrencia)=0.5, Impacto=$800
Severidad=(0.5)x(800) = $400
En el supuesto que se materialice el riesgo el impacto a la organización es de $800.
Bibliografía
• Análisis de Riesgo Operacional, D&A Consultores
• Análisis y gestión de riesgo, Fernando Aparicio
ANEXOS.