MAESTRÍA EN SEGURIDAD Y GESTIÓN DE

RIESGOS INFORMÁTICOS.
Protección y Respaldo de Datos.

Técnica Árbol de Decisiones

según ISO 31010
PRESENTADO POR:
DIMAS, HUGO ERNESTO DL091030
FLORES, NOHEMY NATHALY FF060060
FLORES, NESTOR GERARDO FR140377
San Salvador, 31 Mayo 2020
Agenda:
1. ISO 31010 B.19
2. ¿Qué es un Árbol de Decisiones?
3. ¿Para que se utilizan?
4. Fortalezas y Limitaciones.
5. ¿Cómo construir un Árbol de Decisión?.
6. Ejemplo de Uso y Análisis.
1. Presentación Textual de ISO 31010 B.19
Anexo B (informativo)
Técnicas de evaluación de
riesgos
2. ¿Qué es un Árbol de Decisiones?
Un árbol de decisiones presenta decisiones alternativas
Plan A
y resultados de una manera secuencial que tiene en
Plan B
cuenta resultados inciertos.
Es similar a un árbol de eventos en que comienza a
partir de un evento iniciador o de una decisión inicial,
y modelos de diferentes caminos y consecuencias
como un resultado de eventos que pueden ocurrir, y en
que se pueden tomar diferentes decisiones.
3. ¿Para qué se Utilizan?
Un árbol de decisiones se utiliza para gestionar los
riesgos del proyecto y en otras circunstancias para
ayudar a seleccionar la mejor línea de conducta.

Son especialmente útiles cuando:

▰ Las alternativas o cursos de acción están bien
definidas.
▰ Las incertidumbres pueden ser cuantificadas.
▰ Los objetivos están claros.
 4. Fortalezas y Limitaciones.
▰ Fortalezas:
- Proporcionan una presentación gráfica
clara de los detalles de un problema de
decisión.
- Permiten calcular el mejor camino a seguir
en una situación, es decir encontrar la
mejor alternativa.
- Según la solución que se tome como
alternativa, analiza las consecuencias en
las que podría desembocar.
▰ Limitaciones:
- Los árboles de decisiones muy grandes
pueden llegar a ser demasiado
complejos.
- Puede existir una tendencia a simplificar
en exceso la situación, de manera que se
pueda presentar como un diagrama en
árbol.
- Requiere un gran número de datos que,
en ocasiones, no dispones de ellos.
5. ¿Cómo construir un Árbol de Decisión?
1. Los nodos de decisión se anotan como
cuadrados.
2. Los nodos de incertidumbre se anotan como
círculos.
3. Los nodos de resultados finales se anotan como
triángulos.
4. Los eventos se unen con líneas o ramas del
árbol.
5. Los costos o beneficios asociados a una
decisión o evento se anotan en la rama.
6. Las probabilidades de un evento se anotan entre
paréntesis en la rama correspondiente a ese
evento.
 5. ¿Cómo construir un Árbol de Decisión?
7. Los valores asociados a cada pago final se anotan junto al triángulo
correspondiente, e incluyen costos asociados a la rama.
8. Se diseñan comenzando por la decisión inicial, y una rama a la vez.
9. Es importante distinguir entre eventos sobre los cuales se tiene poder de
decisión, y aquellos que no.
10.Se debe estimar el valor o resultado final de cada extremo del árbol.
11.Se deben estimar o calcular las probabilidades de ocurrencia de los eventos
inciertos.
12. Se deben estimar los correspondientes valores esperados para cada rama del
árbol. La resolución es hacia atrás.
5. ¿Cómo construir un Árbol de Decisión?
6. Ejemplo de Uso y Análisis.
El análisis de los problemas de árboles de decisión implica cinco fases:
1. Definir el problema.
2. Estructurar o dibujar el árbol de decisión.
3. Asignar probabilidades a los estados de la naturaleza.
4. Calcular las ganancias o costos de cada combinación posible de
alternativas y estados de la naturaleza.
5. Resolver el problema mediante el cálculo de los valores esperados
(EV), en cada nodo de decisión se debe seleccionar la alternativa
que tiene mejor EV.
F1. Definir el problema.
Una organización con potencial de crecimiento y nuevas oportunidades de
negocio, está utilizando un software heredado de administración de riego
RMS.
Algunas partes interesadas influyentes creen que al actualizar este software,
su organización puede ahorrar millones, mientras que otros consideran que
quedarse con el software heredado es la opción más segura, aunque no
satisfaga las necesidades actuales y futuras de la compañía.
F1. Definir el problema.
Las partes interesadas que respaldan la actualización del
software se dividen en dos facciones:
las que respaldan la compra del nuevo software y
las que respaldan la construcción interna del nuevo software.
¡La confusión reina en la sala de reuniones y las partes
interesadas señalan los riesgos negativos para cada opción!
F1. Definir el problema.
El universo de decisiones a considerar contemplan las siguientes alternativas:
▰ Comprar un nuevo software, con un costo de implementación de
$750,000.
▰ Desarrollar en software in-house implica un costo de implementación
de $500,000.
▰ Seguir utilizando el software heredado implica costos de mantenimiento
de $100,000.
F1. Definir el problema.
Impactos a considerar en la toma de decisión:
▰ Si la implementación de un nuevo software NO es exitosa, entonces el
riesgo se materializará y el impacto negativo será de $2 millones. La
probabilidad de fracasar al momento de la implementación es:
○ Al comprar un nuevo software: 5%
○ Al desarrollar el software en casa: 40%
▰ Si la implementación de un nuevo software SI es exitosa, entonces el
riesgo no se materializará y el impacto es de $0.0.
▰ La continuidad de uso del software heredado dará lugar a un solo
impacto, que es de $ 2 millones, dado que este actualmente no satisface
las necesidades de la empresa.
F2 y F3 Estructurar el Árbol de Decisión y Asignar
Probabilidades $0 ÉXITO
95%
COMPRAR
SOFTWARE
$2,000,000
5% FRACASO
$750,000

DECISIÓN $0
ÉXITO
SOBRE DESARROLLAR 60%
$500,000
SOFTWARE SOFTWARE
RMS $2,000,000
40% FRACASO
$100,000

UTILIZAR EL $2,000,000 ÉXITO

SOFTWARE 100%
ACTUAL

Herramienta: POM for Windows

F2 y F3 Estructurar el Árbol de Decisión y Asignar
Probabilidades

Herramienta: POM for Windows

F4. Calcular los costos o ganancias de cada combinación
posible de alternativas y estados de la naturaleza.
Se calcula el Valor Monetario Esperado asociado con cada riesgo, se calcula
multiplicando la probabilidad del riesgo con el impacto.
● Construya el nuevo software : $ 2,000,000 * 0.4 = $ 800,000
[Costo de impacto negativo] * [40% de probabilidad que la implementación NO
sea exitosa]

● Compre el nuevo software : $ 2,000,000 * 0.05 = $ 100,000

[Costo de impacto negativo] * [5% de probabilidad que la implementación NO sea
exitosa]

● Mantenerse con el software heredado : $ 2,000,000 * 1 = $ 2,000,000

F5. Cálculo de los valores esperados (EV), en cada nodo de
decisión se debe seleccionar la alternativa que tiene mejor EV.
Al VME obtenido anteriormente, se suma los costos de configuración definidos al
inicio:

● Construya el nuevo software : $ 500,000 + $ 800,000 = $ 1,300,000

● Compre el nuevo software : $ 750,000 + $ 100,000 = $ 850,000

● Mantenerse con el software heredado : $ 100,000 + $ 2,000,000 = $

2,100,000
F5. Resolver el problema y
seleccionar la alternativa que
tiene mejor EV. $ 850,000
Comprar el nuevo
Al observar los valores monetarios esperados software es la
calculados en este ejemplo de árboles de decisión, opción más rentable
se puede determinar que comprar el nuevo
software es en realidad la opción más rentable, a
pesar de que su costo de configuración inicial es el
más alto.

Quedarse con el software heredado es por la opción

más cara.
F2 y F3 Estructurar el Árbol de Decisión y Asignar
Probabilidades

Herramienta: POM for Windows

 CONCLUSIONES
▰ El árbol de decisiones nos brinda ayuda para tomar las mejores decisiones sobre la
base de la información existente y de las mejores suposiciones o probabilidades.
Provee un esquema para cuantificar el costo de un resultado y la probabilidad de
que suceda. La gestión del riesgo es un tema muy importante dentro de una
compañía, ya que es un esfuerzo anticipado para reducir las pérdidas en el futuro,
por lo que es necesario tener en cuenta, si esto puede ocurrir o no, y si los recursos
comprometidos sean suficientes para reponer las pérdidas o realizar las inversiones
preventivas y evitar que una vulnerabilidad afecte a la compañía.
THANKS!
Any questions?

22