Pere Pla

Consulting Manager
ppla@aronte.com

Conferencia Internacional de
Continuidad de Negocio 2016
Agenda

Riesgo

1. Presentación
2. Tipos de riesgo y definiciones
3. Riesgos cuantitativos
4. Riesgos cualitativos: reputación
5. Análisis de distintos entornos de riesgo:
1. Fabricante de medicamentos
2. Empresa de logística
3. Línea aérea
6. Percepción humana
7. Conclusiones
Riesgo
Riesgo (Diccionario RAE)
Del ant. riesco 'risco', por el peligro que suponen.
1. m. Contingencia o proximidad de un daño.

 riesgo específico
1. m. Econ. riesgo que puede ser reducido mediante la diversificación
 riesgo sistémico
1. m. Econ. riesgo asociado con el mercado total de activos y que no puede
reducirse mediante la diversificación.
 riesgo operativo (u operacional)
1. m. Econ. riesgo que sufre una empresa derivado de la posibilidad de fallos en su
propio funcionamiento.
Wikipedia: El riesgo operativo es la posibilidad de ocurrencia de pérdidas financieras,
originadas por fallas o insuficiencias de procesos, personas, sistemas internos, tecnología, y
en la presencia de eventos externos imprevistos. Esta definición incluye el riesgo legal, pero
excluye los riesgos sistemáticos, de reputación y pérdidas ocasionadas por cambios en el
entorno político, económico y social.
Gestión de riesgo

Principios básicos de una gestión de riesgo

 Crea valor
 Integrada en procesos de la organización
 Forma parte de la toma de decisiones
 Trata la incertidumbre
 Basada en la mejor información posible
 Hecha a medida
 Tiene en cuenta factores humanos y culturales
 Transparente e inclusiva
 Dinámica, iterativa y sensible al cambio
 Facilita la mejora continua
Sobre el riesgo

La gente responde únicamente ante los riesgos que percibe

Slovic P. Fischhoff B., Lichstenstein S. Facts and Fears: understanding perceived
risk. 1980
Los riesgos que matan a las personas y los riesgos que las
alarman son diferentes
Peter M. Sandman, 2001

No comparar:
 Riesgo voluntario (fumar)
 Riesgo involuntario (desastre nuclear)

Hay riesgo real y riesgo percibido.

RIESGO Problema potencial que puede ocurrir o no.

Técnicas de evaluación del riesgo
 Estadística:
 Análisis de Monte Carlo
 Análisis de Causa Raíz
 Análisis Bayesiano
 Análisis de riesgos y puntos críticos
de control (HACCP)
 Diagramas:
 Análisis bow tie (corbata de lazo)
 Análisis de causa y consecuencia
 Mixtos:
Análisis de causa y efecto

 Análisis de árbol de eventos
 Análisis de árbol de fallos
• Analítico:
• Análisis de la fiabilidad humana (HRA)
• Análisis de Markov
• Análisis preliminar de riesgos
• Mantenimiento centrado en confiabilidad
• Análisis de escenarios
• Análisis de circuito de fugas
• Estudio de riesgos y operabilidad (HAZOP)
• Análisis de capas de protección (LOPA)
• Listas de control
• Análisis de impacto en el negocio (BIA)
 Entrevistas:
 Brainstorming / Entrevista estructurada
 Técnica «Que pasa si… «(SWIFT)
 Método Delphi
Riesgo – Impacto - Oportunidad
Riesgo Impacto Oportunidad

Excesiva rotación de Insatisfacción del personal Captación personal

personal competente
Materia prima de mala Devolución del producto Cambio de proveedor y
calidad mejoras tecnológicas
Absentismo del personal Retraso en la producción Mejoras en políticas RRHH

Falta de coordinación en Pérdida de clientes y menos Cambios y mejoras área de

Ventas producción ventas
Proceso de gestión de riesgos

Identificación Análisis de Planificación Supervisión

de Riesgos Riesgos Crear planes
Listado de Monitorizar y
Prioridades y para evitar o
riesgos revisar planes
consecuencias minimizar
potenciales
Análisis de riesgos: pasos (ISO 27001)

1. Tener clara la metodología: homogénea en todas las áreas

2. Inventariar activos: amenazas, debilidades, probabilidades…
3. Implementar tratamiento del riesgo:
1. Controles: Anexo A ISO 27001 u otros
2. Transferir: contratar seguro
3. Evitar: paralizar o modificar actividad
4. Aceptar: coste > daño
4. Informe de evaluación de riesgo
5. Declaración de Aplicabilidad (perfil)
6. Plan de tratamiento
Riesgo Cuantitativo

Términos:
 ALE: Expectativa de Pérdida Anual
 SLE: Expectativa de Pérdida Individual
 ARO: Tasa de Ocurrencia Anualizada
 FE: Factor de Exposición
INVESTIGACIÓN
 VA: Valor del activo ¿Cuáles son los
efectos en la
salud humana y
en el medio EVALUACIÓN DE
RIESGOS
ALE = SLE x ARO ambiente?
GENERACIÓN ¿Cuál es la
SLE = FE x VA DE DATOS probabilidad y
severidad de sus
GESTIÓN DE
RIESGOS
efectos en la salud
¿Qué riesgos son
humana?
inaceptables y
INTERPRETACIÓN
cómo los
DE DATOS
tomamos en
cuenta?
USO DE DATOS
Riesgo cuantitativo: Ejemplo (I)

1. Alcance y activos (costo activos del servicio de hosting)

Alcance Activos Valor % sobre total
Hosting Servidor de aplicaciones 10.000,00 € 2%
Servidor de BBDD 8.000,00 € 2%
Líneas de datos 12.000,00 € 3%
Licencias 175.000,00 € 37%
Salarios 20.000,00 € 4%
Propiedad intelectual 250.000,00 € 53%
TOTAL 475.000,00 € 100%

2. Selección de los activos críticos (€ generados por activo)

Promedio de ventas
Activo 1h 24 h 1 año
Servidor de aplicaciones 1.000,00 € 24.000,00 € 8.760.000,00 €

3. Amenazas y prob. de ocurrencia (escenarios de amenaza)

Amenazas Veces cada año ARO
Virus 1 cada 2 50%
Fallos eléctricos 1 cada 4 25%
Intervención humana (consciente) 1 cada 3 33%
Intervención humana ( no consciente) 1 cada 3 33%
Riesgo cuantitativo: Ejemplo (y II)

4. Identificación FE (% pérdida potencial si una amenaza se

materializa)
Factor de Exposición (FA) %
Sistema con redundancia 30%
Firewall de red (con AV perimetral) 10%
Antivirus instalado 10%
Firewall de aplicaciones 30%
Sistema actualizado 40%

5. Cálculo de ALE (Expectativa de pérdida anual)

Activo Amenaza VA FE ARO ALE
Servidor de aplicaciones Infección por virus 10.000,00 € 20% 50% 1.000,00 €

 Valor del Activo (VA): 10,000.00 €

 Factor de Exposición (FE): 20% (% de pérdida de activo causada por amenaza)
 Tasa Anualizada de Ocurrencia (ARO): 50% (1 vez cada 2 años)
 ALE = (VA x FE) x ARO  ALE = (10.000 € x 0,2) x 0,5  ALE = 1.000 €
Es necesario considerar todas las amenazas identificadas para el activo. El resultado final es la suma de los
valores de ALE de cada amenaza.
Riesgo cualitativo (I)

1. Establecer criterios

 Reputación/confianza del cliente

 Financiera
 Productividad
 Seguridad/salud
 Multas/penas legales

EJEMPLO: Criterio de medición del riesgo, reputación y confianza del cliente

Área de Impacto Bajo Moderado Alto
Afecta a la imagen La información Se conoce dentro Se conoce
de la organización relacionada sólo de la organización públicamente
se conoce en TI
Riesgo cualitativo (II)

2. Priorizar
Prioridad de la áreas de impacto
Prioridad Área de impacto
5 Reputación y confianza del cliente
4 Financiera
3 Productividad
2 Seguridad y salud
1 Multas y penas legales
N/A Definido internamente
3. Identificar escenarios de amenaza y riesgos
 Riesgo = Amenaza (condición) + Impacto (consecuencia)
Top 10 Reputation Institute (I)
Top 10 Reputation Institute (I)
Global 2015 Reputation Institute

La

La reputación se mide de distinta

forma según las culturas
RA vs BIA

RA BIA
Identificación, Proceso que
evaluación y identifica los
estimación de los efectos
niveles de riesgo Análisis de potenciales de
en una Evaluación eventos naturales o
Impacto en
determinada de Riesgo provocados por el
el Negocio
situación (RA) hombre en las
(BIA) operaciones de
negocio

ENTRADA SALIDA ENTRADA SALIDA

Amenaza, RA Impacto, Activos BIA Estrategia para

activo, probabilidad, críticos, continuidad y
vulnerabilidad contramedidas, clasificación de recuperación de
controles recursos negocio,
priorización,
RTO, RPO, etc.
Fabricante de medicamentos

Amenazas:
 Falsificación de medicamentos.
 Descenso continuado de la rentabilidad.
 Cambios legislativos.
 Competencia de hipermercados y grandes
superficies.
 Empeoramiento situación socioeconómica de los
pacientes.
 Clientela basada en la receta del médico y no en la
marca.
 Genéricos.

Amenazas Vulnerabilidades Riesgos

Línea Aérea

Amenazas:
 Crisis económica mundial.
 Sistemas de información.
 Variaciones en precio de combustible.
 Secuestros y otros actos.
 Supervisión constante de las autoridades.
 Cambios legislativos frecuentes.
 Tasas establecidas políticamente.
 Clientela poco fiel.
 Accidentes o incidentes.

Amenazas Vulnerabilidades Riesgos

Tipos de riesgo en diversos sectores

Tipo Riesgo Laboratorio Logística Línea Aérea

1=raro, 5=máximo

Estrategia - 4 3
Organización - - 4
Operativos 5 5 5
Capital Humano 5 5 5
Legales 4 4 3
Naturales - 4 1
Políticos - - -
Financieros - - -
Mercados 1 1 4
Macroeconómicos - - -
Demográficos 4 - -
Ejemplo 1: Amenaza-Riesgo
Amenaza Vulnerabilidad Riesgo
Naturales • Sismos De las personas: • Geológicos
• Movimientos de masa • Social • Hidrometeorológicos
• Hundimientos • Cultural • Oceanográficos
• Erosión • Política • Biológicos
• Precipitaciones Intensas • Económica
• Vaguadas
• Ciclones tropicales Física:
• Descargas atmosféricas • Estructural
• Trombas marinas • No Estructural
• Tsunamis • Funcional
• Plagas • Operativa

Humanos • Materiales peligrosos • Personas • Tecnológicos

• Conflictos políticos • Estructuras • Sociales
• Incubación no controlada de virus en • Biológicos
laboratorios • Sanitarios
• Vertederos de basura no controladas • Forestales
• Incendios forestales
• Residuos y desechos peligrosos
• Deforestación
• Enfermedades transmitidas por
vectores
Ejemplo 2: Análisis CID
Activo Vulnerabilidades Probabilidad Amenaza Impacto C I D

Servidor Instalación de actualizaciones sin Muy alta (10) A1 I1 (MA) - 2 5

de la debida certificación de
dominio seguridad
Sin mantenimiento Alta (08) Muy Alto (MA)

Falta de renovación del HW Media (05) Alto (A)

Confidencialidad
• Evitar que personas no autorizadas accedan a la
información

Integridad
• Guardar totalidad de la información con contenido
inalterado excepto modificación por personal autorizado

Disponibilidad
• Información y recursos disponibles para personal
autorizado
Conceptos involucrados y su relación

Amenazas
Estudio de las causas potenciales del
Enfoque general de causas
daño

Vulnerabilidad
Estudio de las debilidades en bienes o
Enfoque en bienes o controles
controles

Riesgo
Estudio de la probabilidad de ocurrencia
Enfoque general sobre impacto
de un incidente y su impacto
Percepción humana del riesgo

Frases lapidarias
 “alguien tiene que subirse a colocar el pararrayos…”
 “siempre se ha hecho así…”
 “llevo veinte años trabajando y nunca me ha pasado nada…”
 “yo controlo…”
Peligro y percepción de riesgo
 Riesgos aceptables:
 Voluntarios
 Bajo su control
 Claramente benéficos
 Distribuidos justamente
 Naturales
 Estadísticos
 De una fuente de confianza
 Familiares
 Que afectan a los adultos
 Riesgos NO aceptables:
 Involuntarios
 Controlados por otros
 De poco o nulo beneficio
 Distribuidos injustamente
 Causados por el hombre
 Catastróficos
 De fuentes desconocidas
 Exóticos / Ajenos
 Que afectan a los niños
 Baruch Fischhoff
Percepción del riesgo

Desarrollo de la percepción del riesgo en una persona:

 Instinto
 Conocimiento
 Actitud

Tipo de percepción:
 Objetiva o técnica (método analítico)
 Subjetiva o intuitiva (escala de valores)
Conclusiones

 Debemos convivir con

el riesgo
 El riesgo lo podemos
ver como:
 Incertidumbre
 Amenaza
 Oportunidad
Contacto

www.aronte.com

Calvet, 30 – 34, 4ª Planta - 08021 Barcelona

Paseo de la Castellana, 79 – 28046 Madrid

93 545 05 55 // 91 793 63 00

comercial@aronte.com