INTRODUCCIÓN

A LA GESTIÓN DE
RIESGO

Marcos Harasimowicz
CISSP, ISO 27001, QSA, PCIP, CEH, LPI
¿Que es el riesgo?
Es la posibilidad que ocurra un
acontecimiento que tenga un
impacto negativo.

Dos dimensiones del Riesgo:

• La posibilidad de que un evento se
produzca (Probabilidad)
• Las consecuencias que se podrían
generar como consecuencia de ese evento
(Impacto)

Riesgo = Impacto x Probabilidad

¿Que es una amenaza?
Todo fenómeno, acción o evento,
intencional o accidental que
produce un impacto negativo en
los activos.

La organización no tiene control sobre

las amenazas, estas existen en si mismas
y se tiene que tener conciencia de su
existencia y cuales son las que las
afectan.

La empresa si tiene control sobre los

controles de seguridad para mitigar las
amenazas, como ser: alarmas,
matafuegos, guardias, capacitación, etc.
¿Que es una vulnerabilidad?
Propiedad intrínseca que genera
exposición. También es llamada por una
debilidad presente o falta de controles
aplicados a un activo o sistema.

La clave de la gestión del riesgo

es detectar las vulnerabilidades
o debilidades de la empresa. Este
informe que lista las
vulnerabilidades de la empresa
también se puede llamar
“Análisis GAP”.
Ejemplos de amenazas, riesgos y
vulnerabilidades
Amenaza Riesgo Vulnerabilidad
Datacenter
Fuego Que se produzca un Falta de matafuegos y
incendio en el Datacenter presencia de material
combustible en el
Datacenter
Ladrones Que roben un disco del No piden identificación en
Datacenter la entrada el Datacenter
Electricidad Que un empleado se No hay una política de uso
electrocute de guantes asilantes
Terremoto Que se produzca un El Datacenter no soporta
terremoto las vibraciones de un
terremoto
¿Qué es la Administración de
riesgos ?

Es una parte integral de las buenas prácticas

gerenciales que consta de una serie de pasos a
seguir.
ADMINISTRACIÓN DE RIESGOS

Evaluar el riesgo implica asumir a que se está

expuesto, cuán probable es que me ocurra un suceso y
si sucede que impacto o consecuencias puede tener.
Administración
de Gestión de
Riesgo
Es un proceso de toma de
decisiones.
Enfrentar eventos que afectan
los objetivos del negocio.
Asegurar que las decisiones se
implementan en forma de
controles.
 ¿Qué busca la
Administración de
riesgos?

Establecer el contexto,
identificar, analizar, evaluar,
tratar y comunicar los riesgos
asociados a una actividad
determinada.
 Proceso básico de gestión de riesgo

Es importante tener en cuenta que una mala realización del análisis

de riesgo también es un riesgo en si mismo para la organización.
 Gestión del Riesgo

Ejemplo: se observa Ejemplo: se instalan

que no hay EVALUACI CONTROL matafuegos en el
ÓN DEL DEL Datacenter
matafuegos en el
RIESGO RIESGO
Datacenter

GESTIÓN DEL RIESGO

Factores internos y Externo de Riesgo
FINANCIEROS ESTRATEGICOS

Tipo de Cambio Entorno

Tasa de Interés Político,
Económico,
Tecnología Legal
Cobranza

FACTORES EXTERNOS
FACTORES EXTERNOS
I&D
Liquidez Proceso de
Costos Planificación

FACTORES
INTERNOS
Gestión de Gestión de
Procesos Seguridad

Reclutamiento Cultura
Nivel Cultural. Cadena de Preventiva Eventos
Regulación Suministros Naturales.
especifica. Medio
Proveedores. Ambiente.

OPERACIONALES ACCIDENTALES
 Evolución de la Gestión de Riesgos
Gestión bancaria. Gestión de Riesgos
Instinto Natural. Surgió por los fraudes = Gestión de
y moras bancarias Seguros.

Siglo 17: Surgió 1963: Los profesores

debido a la malas de la Universidad de
condiciones de los Illinois, Robert
trabajadores en el Mehr and Bob
auge de la Hedges, publican
revolución “Risk Management
industrial in the Business
Enterprise”.
 Evolución de la Gestión de Riesgos
Enfoque holístico, parte
1970: riesgos fundamental del
financieros y de 2000: grandes planeamiento, estrategia y
mercado. Enfoque fraudes Enron, reporte de las empresas.
de “silos”. WorldCom. Surge el concepto EWRM.

1980 y 1990: Mayor enfoque en 2009: aparece ISO

Gestión de riesgo control financiero y 31000 como
parte de objetivos contable, Gobierno norma.
estratégicos y Corporativo,
creación de valor LeySabarnes-
para el accionista. Oxley, COSO,
FERMA, ANZI.
 Proceso del tratamiento del riesgo
COMUNICACIÓN Y CONSULTA ESTABLECER CONTEXTO

MONITOREO Y REVISIÓN
IDENTIFICAR LOS RIESGOS

ANALIZAR LOS RIESGOS

EVALUAR RIESGOS A continuación

se detallan cada
EVALUACIÓN DE RIESGO / CONTROLES
paso…
TRATAR RIESGOS
 ESTABLECER EL CONTEXTO
Recursos disponibles
Ámbito y alcance de la (técnicos, económicos y
organización humanos)

Necesidades de la Relación con otras

organización empresa

Antes de empezar con la gestión de riesgo se debe tener en cuenta que se tiene
que proteger y cual es el alcance o tamaño de la gestión
 IDENTIFICAR LOS
RIESGOS
Detección de elementos peligrosos
¿Qué puede suceder?
¿Por qué puede suceder?
¿Dónde puede suceder?
¿A quién le puede suceder?
ANALIZAR LOS RIESGOS

• ¿Se puede eliminar el

riesgo?
• Necesidades para eliminar el
riesgo
• ¿Qué o quien puede ser
dañado?
 TRATAR EL RIESGOS

Medidas Medidas Medidas

preventivas detectivas correctivas
 Proceso avanzado de gestión de riesgo
IDENTIFICACIÓN DE LA
AMENAZA

1. ANÁLISIS DEL
ESTIMACIÓN DEL RIESGO RIESGO

2. EVALUACIÓN
VALORACIÓN DEL DEL RIESGO
RIESGO
3. GESTIÓN DEL
RIESGO
¿PROCESO
SI RIESGO
SEGURO? CONTROLADO

NO

CONTROL DEL RIESGO

 CLAVES DEL ÉXITO PARA LA GESTIÓN DE RIESGO

1 POLÍTICA DE ADMINISTRACIÓN DE RIEGOS: Definición por parte de la organización de una Política de

Administración de Riesgos documentada, incluyendo objetivos y el compromiso de la dirección.

2 COMPROMISO DE LA GERENCIA: Compromiso y reporte a la alta gerencia del proyecto.

3 RESPONSABILIDAD Y AUTORIDAD: Definirse claramento los responsables y participantes del proyecto.

4 RECURSOS: La organización debe identificar los recursos necesarios para la gestión del proyecto.

5 CAPACITACIÓN EN LA METODOLOGÍA: El personal involucrado debe estar capacitado

6 REVISIÓN DEL SISTEMA: Revisión del sistema de administración de riesgos a intervalos definidos, con el
objeto de asegurar su conformidad y efectividad.
DAÑOS DERIVADOS DEL TRABAJO

TRABAJ
RIESGOS
O

ACCIDENTE ENFERMEDAD
DE TRABAJO DAÑOS PROFESIONAL
 IMPACTO Y
CONSECUENCIA DEL
RIESGO LABORAL
ACCIDENTE DE TRABAJO
Suceso anormal, no querido ni deseado que
se presenta de forma brusca e inesperada,
aunque normalmente evitable, que
interrumpe la normal continuidad del trabajo
y puede causar lesión a las personas o daños a
la propiedad

ENFERMEDAD PROFESIONAL
Toda enfermedad contraída a consecuencia
del trabajo ejecutado
 Evolución de la Gestión de Riesgos
Laborales o Accidentales
CARACTERISTICA PRIMERA GENERACIÓN SEGUNDA GENERACIÓN TERCERA GENERACIÓN CUARTA GENERACIÓN

INICIOS Revolución Industrial 1900-1970 1970-1990 1990-Siglo XXI

Incidentes, Efectos Físicos,

Lesiones, Enfermedades, Eventos generadores de Económicos, Legales,
¿QUÉ CUBRE? Lesiones Personales daños y derroches (Control
Daño a la Propiedad de Pérdidas) Ambientales, Funcionales,
etc.

¿QUIÉN ES EL Especialista de Seguridad, Comités Línea de Mando de Cada uno de los miembros
Encargado de Seguridad de Seguridad, Departamento de
PROTAGONISTA? Seguridad Operaciones de la Empresa

Precontactos - Sintomas: En el Origen o Fuente de los

PUNTOS DE Postsuceso-Sintomas muy Causas Básicas - Problemas
INTERVENCIÓN Actos y Condiciones Problemas - Análisis de
evidentes Inseguras Reales Riesgo

SISTEMATIZACIÓN DE
ACCIONES PUNTUALES
ESTRATEGIA REACTIVA Y SISTEMÁTICA LA SEGURIDAD SEGURIDAD IMPLICITA
PROACTIVA