Está en la página 1de 26

4.

METODO DE EVALUACION DEL RIESGO

• FINALIDAD:

• Herramienta de Gestión con el


propósito de orientar la Decisión de
implementación de una medida de
control y seguridad.

• Sirve para determinar los niveles de


criticidad de un sistema de
protección y de manera adicional
las vulnerabilidades del mismo.
4. METODO DE EVALUACION DEL RIESGO

• PASOS PARA EL DESARROLLO:


– El desarrollo del método comprende los siguientes
Pasos:
• 1a. Fase: Conocimiento de la Organización.
• 2a. Fase: especificar:
– Riesgos.
– Vulnerabilidades.
– Eventos de Perdida.
• 3a. Fase: Calcular la Probabilidad.
• 4a. Fase: Establecer la Criticidad.
• 5a. Fase: Establecer opciones de Mitigación.
• 6a. Fase: Estudiar Viabilidad de medidas.
• 7a. Fase: Análisis Beneficio / Costo.
4.1. CONOCIMIENTO DE LA
ORGANIZACION

Objetivo: Desarrollar comprensión del objeto


de análisis, (Entienda la Organización).

Identifique las personas (incluyendo empleados,


visitantes, contratistas y otros directa o indirectamente
relacionados con el negocio y los activos tangibles e
intangibles que puedan exponerse al riesgo.

Los activos además de la gente, incluyen todas las


características de negocio base e información.
– Son activos tangibles, el dinero, los bienes y las inversiones.
– Son activos intangibles: la característica intelectual, la voluntad
y el buen nombre.
4.1. CONOCIMIENTO DE LA
ORGANIZACION
• Identifique las características del negocio base:
– Misión.
– Visión.
– Políticas y objetivos estratégicos.
(incluye el esfuerzo base, redes e información ), las redes incluyen
sistemas infraestructuras y equipos asociados a datos,
telecomunicaciones y activos de tratamiento por computador .
• Establezca:
– Horarios de operación.
– Tipos de clientes.
– Tipos de servicios o productos.
– Naturaleza competitiva.

• Identifique la información sensitiva de propiedad:


– Información confidencial sobre empleados.
– Planes de expansión.
– Planes de comercialización
4.2. ESTABLECER LOS RIESGOS -
VULNERABILIDADES Y EVENTOS DE
PERDIDA
• Establezca los riesgos y las vulnerabilidades
originados por agentes externos como los
originados por factores internos.
– RIESGO.
– VULNERABILIDAD.
• Los eventos de perdida se pueden definir con un
análisis de vulnerabilidad. Las definiciones
anteriores establecen PERFIL DEL EVENTO DE
PERDIDA es decir el QUE, COMO, CUANDO, QUIEN
PORQUE, DONDE.
4.2. ESTABLECER LOS RIESGOS -
VULNERABILIDADES Y EVENTOS DE
PERDIDA
Defina un perfil de evento de perdida.

QUE CUANDO QUIEN PORQUE COMO DONDE


4.3. ESTABLECER LA PROBABILIDAD

• La probabilidad debe relacionarse con:


– La frecuencia.
• La frecuencia se relaciona como la regularidad de
ocurrencia.
– Las tendencias.
– Los patrones.
– El interés.
– La capacidad del agente agresor y.
– Las vulnerabilidades de la seguridad.
4.3. ESTABLECER LA PROBABILIDAD

VALORACION DE PROBABILIDAD / FRECUENCIA:

P= f/n
P = Probabilidad de ocurrencia de un acontecimiento.
f = Número de ocurrencias reales del acontecimiento.
n = Unidad de tiempo en que se calculan las ocurrencias, es
decir tiempo de exposición

Ejercicio : Calcular la probabilidad de ocurrencia de un


siniestro para el año 2005, teniendo en cuenta que en el
2004 se manifestó 10 veces, en el 2003 se presentaron 8
manifestaciones y en el 2002 se presentaron 11 eventos.
4.3. ESTABLECER LA PROBABILIDAD

ESCALA DE PROBABILIDAD
E Virtualmente probable, no dado ningún 0,81 a 1.00
cambio el acontecimiento ocurrirá

D Altamente probable, 0,61 a 0,80


C Moderadamente probable 0,41 a 0,60
B Probabilidad de ocurrencia baja 0.21 a 0,40
A Probabilidad desconocida, grado temporal 0,00 a 0,20
hasta que finalice todo el análisis
4.4. DETERMINAR IMPACTO Y
CRITICALIDAD

Hay que tener en cuenta todos los costos:


• Financieros.
• Psicológicos.
• Directos.
• Indirectos.
– Asociarlos a los activos tangibles e intangibles
de la organización
– Definir costos inmediatos y lejanos.
4.4. DETERMINAR IMPACTO Y
CRITICALIDAD

CRITICALIDAD:
El nivel de impacto o daño, que afecta al sistema, se relaciona con
la severidad, gravedad.

CRITICALIDAD DEL EVENTO DE PERDIDA


Severidad / Impacto / Costo Total de Pérdidas (K)
Los costos se miden en términos de pérdida de activos y pérdidas de
ingresos

Los costos son DIRECTOS o INDIRECTOS y para efectos se calcula el

PML : PERDIDA MÁXIMA PROBABLE


4.4. DETERMINAR IMPACTO Y
CRITICALIDAD
Reemplazo permanente del activo:
– Precio de compra o costo de fabricación.
– Costos de transporte o envió.
– Costos de preparación para instalación.

Costo de reemplazo temporal:


Este puede ser necesario para minimizar oportunidades
perdidas
Renta, compra y /o alquiler

Costos relacionados ,
Personal adicional
Horas extras
Costos de dinero que pudo haber estado invertido.
4.4. DETERMINAR IMPACTO Y
CRITICALIDAD

Costo de renta perdida


I= P x r x t / 365
I Costo de renta no ganada
P Cantidad principal disponible para
inversión
r Índice anual de rentabilidad
t Tiempo en días durante el cual P está
disponible para inversión
4.4. DETERMINAR IMPACTO Y
CRITICALIDAD

PML (Probable Maximun Loss) K


La expresión Máxima Pérdida Probable denota la criticalidad de los
eventos y se basa en los llamados costos REALES, a saber:

• Reemplazo permanente del activo. (Cp).


• Sustitución temporal del activo. (Ct).
• Costos relacionados. (Cr).
• Costo pérdida de ingresos. (Ci).
• Indemnización o seguros disponibles. ( I ).
(menos primas y deducibles)

K = ( Cp + Ct + Cr + Ci ) – ( I )
4.4. DETERMINAR IMPACTO Y
CRITICALIDAD

Cuando se conoce la frecuencia


de un riesgo, se puede hallar la
Criticalidad del acontecimiento.
La forma de obtener este dato
es multiplicando la frecuencia
(número de los acontecimientos
esperados durante el período
considerado, normalmente el
calendario o el ejercicio
económico) por la constante “K”
(Valor de K).
K
4.4. DETERMINAR IMPACTO Y
CRITICALIDAD

Forma de Expresar el valor de “K”


• K equivale al valor nominal de un acontecimiento
determinado. Suponiendo que cada evento costase
$50.000.oo
– Para un acontecimiento con un índice de frecuencia de
una vez al año, el impacto cargado sería $50.000 x 1. en
este caso K = $50.000
– Si el mismo acontecimiento tuviera un índice de frecuencia
de una vez de cada tres años, el impacto cargado sería
$50.000 / 3 = $16.666.
– Si tuviera una frecuencia de tres por año, el impacto
cargado sería $50.000 x 3 o $150.000.
4.4. DETERMINAR IMPACTO Y
CRITICALIDAD
ESCALA DE IMPACTO ó CRITICIDAD Valor en $

5 Fatal . La pérdida daría lugar recapitalización, abandono


o discontinuidad de la operación.

4 Muy serio . La perdida origina un cambio importante de


política inversión y tendría impacto importante en los
activos del balance

3 Moderadamente serio. La pérdida tendría un impacto


sensible en las ganancias y requeriría atención de la
media gerencia

2 Relativamente poco importante , la pérdida sería


cargada a los gastos de operación normales en el
período en el cual se sostuvo

1 Seriedad desconocida Es un grado provisional ,


antes de establecer prioridades debe ser sustituido
MATRIZ DE PRIORIZACION DEL RIESGO
E1 E2 E3 E4 E5

D1 D2 D3 D4 D5
PROBABILIDAD

C1 C2 C3 C4 C5

B1 B2 B3 B4 B5

A1 A2 A3 A4 A5

CRITICALIDAD
Los riesgos se deben alinear de acuerdo a su criticidad y probabilidad y de allí
llevarlo al árbol de lógica de las amenazas, basado en prioridades relativas
4.5. ESTABLECER OPCIONES DE
MITIGACION

• Identifique opciones disponibles para atenuar o


disminuir las pérdidas a través de procesos:
– Físicos.
– Lógicos.
– Psicológicos.
– Procedimentales.
• La mitigación debe enfocarse en dos aspectos:
– Mitigación de la probabilidad.
– Mitigación del impacto.
MATRIZ DE PRIORIZACION DEL RIESGO

E1 E2 E3 E4 E5

D1 D2 D3 D4 D5
PROBABILIDAD

C1 C2 C3 C4 C5

B1 B2 B3 B4 B5

A1 A2 A3 A4 A5

CRITICALIDAD
4.6. ESTUDIAR VIABILIDAD DE MEDIDAS

El estudio de las medias debe hacerse desde el punto de vista:


• Legal, normativo y técnico
• De compatibilidad con:
– El tipo y razón de negocio de la organización.
– La operación.
– Técnica con otros sistemas.
• De capacidad:
– De Operación.
– Mantenimiento.
• De proporcionalidad entre complejidad de la medida y
magnitud del riesgo o amenaza
• De capacidad financiera:
– Inicial.
– Proyectada y
– De mantenimiento.
4.7. ANALISIS BENEFICIO COSTO

La única forma útil de evaluar las medidas de


seguridad es comparando el

costo estimado de la pérdida (Kp)


con el costo de la protección (K).

K- Kp
4.7. ANALISIS BENEFICIO COSTO

MATRIZ DE COMPARACION – ANALISIS DE RIESGOS

Ítem Cod QUE


4.7. ANALISIS BENEFICIO COSTO

COSTO DE LAS MEDIDAS (criterios )


EFICIENCIA:
– Impacto de la medida sobre la criticidad o el impacto.
• Considera la gobernabilidad sobre la criticidad y/o el impacto
• Considere la cultura de utilización y capacidad de aplicación.

EFICACIA:
– Impacto de la medida sobre los costos de compra,
operación y mantenimiento.
• Valore las medidas como proyecto, dentro de un sistema.
• Considere planes de amortización y depreciación.

EFECTIVIDAD:
– Impacto sobre oportunidad, eficiencia y eficacia.
4.7. ANALISIS BENEFICIO COSTO

Efectividad:
• Para cada medida establezca objetivos y logros
que puedan ser medibles y/o demostrables.
INDICADORES DE GESTIÓN.
• Recuerde que una buena relación costo /
beneficio, define que la seguridad sea considerada
como una Inversión y no como un costo.
4.7. ANALISIS BENEFICIO COSTO

MATRIZ DE DECISION – MANEJO DE RIESGOS


SEVERIDAD DE LA PERDIDA FRECUENCIA DE PERDIDAS

Transferencia por via Prevención y evasion


ALTO Evasion
seguro. de pérdidas

Prevención de pérdida
Asumir y compartir el Evasion y Prevención
MEDIO y transferencia via
riesgo de perdida.
seguro

Prevención de pérdida
BAJO Asumir riesgo Prevención de pérdida
y asumir riesgo

BAJO MEDIO ALTO

Intereses relacionados