DEFINICION DE RIESGO

El riesgo se define como la combinación de la probabilidad de que se produzca un evento y sus consecuencias negativas. Los factores que lo componen son la amenaza y la vulnerabilidad.

Amenaza es un fenómeno, sustancia, actividad humana o condición peligrosa que puede ocasionar la muerte, lesiones u otros impactos a la salud, al igual que daños a la propiedad, la pérdida de medios de sustento y de servicios, trastornos sociales y económicos, o daños ambientales. La amenaza se determina en función de la intensidad y la frecuencia.

Vulnerabilidad son las características y las circunstancias de una comunidad, sistema o bien que los hacen susceptibles a los efectos dañinos de una amenaza. Con los factores mencionados se compone la siguiente fórmula de riesgo.

RIESGO = AMENAZA x VULNERABILIDAD 

Los factores que componen la vulnerabilidad son la exposición, susceptibilidad y resistencia, expresando su relación en la siguiente fórmula.

VULNERABILIDAD = EXPOSICIÓN x SUSCEPTIBILIDAD / RESILIENCIA 

Exposición es la condición de desventaja debido a la ubicación, posición o localización de un sujeto, objeto o sistema expuesto al riesgo.

Susceptibilidad es el grado de fragilidad interna de un sujeto, objeto o sistema para enfrentar una amenaza y recibir un posible impacto debido a la ocurrencia de un evento adverso.

Resistencia es la capacidad de un sistema, comunidad o sociedad expuestos a una amenaza para resistir, absorber, adaptarse y recuperarse de sus efectos de manera oportuna y eficaz, lo que incluye la preservación y la restauración de sus estructuras y funciones básicas.

Elementos de un análisis de riesgo

Cuando se pretende diseñar una técnica para implementar un análisis de riesgo informático se pueden tomar los siguientes puntos como referencia a seguir:

1.Construir un perfil de las amenazas que esté basado en los activos de la organización.

2.Identificación de los activos de la organización.

3.Identificar las amenazas de cada uno de los activos listados.

4.Conocer las prácticas actuales de seguridad

5.Identificar las vulnerabilidades de la organización.

6.Identificar los requerimientos de seguridad de la organización.

7.Identificación de las vulnerabilidades dentro de la infraestructura tecnológica.

8.Detección de los componentes claves

9.Desarrollar planes y estrategias de seguridad que contengan los siguientes puntos:

• Riesgo para los activos críticos
• Medidas de riesgos
• Estrategias de protección
• Planes para reducir los riesgos.

ANÁLISIS DE RIESGO INFORMÁTICO

El análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o administrativas a una empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicación de controles. Dichos controles, para que sean efectivos, deben ser implementados en conjunto formando una arquitectura de seguridad con la finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.

Herramientas de apoyo

Existen varias herramientas en el mercado con las que se puede uno apoyar a la hora de evaluar los riesgos, principalmente en el proceso de evaluación de los mismos. Una vez terminado este proceso se debe documentar toda la información recabada para su análisis posterior. 

La herramienta que debemos seleccionar debe contener al menos un módulo de recolección de datos, de análisis de los mismos y otro de reportes.

La importancia de un buen análisis y una buena presentación de los datos analizados nos llevarán a una efectiva interpretación de la situación actual de los riesgos y por ende, la selección de los controles que debemos implementar será la más acertada en el proceso de selección, ahorrando costos en productos y costos de operación además del ahorro de tiempo.

Amenazas informáticas

Las amenazas informáticas están relacionadas con la posibilidad de que algún tipo de evento se pueda presentar en cualquier instante de tiempo, en el cual existe un daño material o inmaterial sobre los activos informáticos y los sistemas de información.

Las amenazas son consideradas como los ataques cometidos por personas internas o externas, que pueden ocasionar daños a la infraestructura tecnológica, a los sistemas de información o a la misma información que circula en la organización.

Las amenazas pueden presentarse por acciones criminales en las que intervienen seres humanos violando las normas y las leyes, o sucesos de orden físico por eventos naturales que se puede presentar, o aquellos eventos en los que el ser humano propicia las condiciones para determinar un hecho físico, o por negligencia que son las omisiones, decisiones o acciones que pueden presentar algunas personas por desconocimiento, falta de capacitación y/o abuso de autoridad.

Análisis y valoración de riesgos informáticos.

BIBLIOGRAFÍA

https://www.google.com/search?q=CLASIFICACI%C3%93N+DE+LOS+RIESGOS&rlz=1C1SQJL_esPA860PA860&oq=CLASIFICACI%C3%93N+DE+LOS+RIESGOS&aqs=chrome..69i57j0l5.999j0j9&sourceid=chrome&ie=UTF-8

https://www.google.com/search?q=Importancia+de+la+calificaci%C3%B3n+de+riesgo&rlz=1C1SQJL_esPA860PA860&sxsrf=ACYBGNSKJ0x-T_r8OBKkSs9fY_CUPoX7MA:1571958843373&source=lnms&tbm=isch&sa=X&ved=0ahUKEwjLu9eDg7blAhVnvlkKHZELADAQ_AUIEigB&biw=1920&bih=920

https://www.youtube.com/watch?v=d1NAq4jEaR8

https://www.google.com/search?q=METODOLOG%C3%8DA+PARA+LA+IDENTIFICACI%C3%93N+DE+RIESGO&rlz=1C1SQJL_esPA860PA860&sxsrf=ACYBGNSXAMNAE2tyspB5JkkE9Jnlxu7jKw:1571958311723&source=lnms&tbm=isch&sa=X&ved=0ahUKEwjehZaGgbblAhVFjlkKHUo-CfsQ_AUIEigB&biw=1920&bih=969

https://www.youtube.com/watch?v=K422L77h1kA

https://www.google.com/search?q=administraci%C3%B3n+de+riesgos+inform%C3%A1ticos&rlz=1C1SQJL_esPA860PA860&oq=ADMINISTRACI%C3%93N+DE+RIESGOS&aqs=chrome.1.69i57j0l5.3304j0j7&sourceid=chrome&ie=UTF-8

CONCLUSIÓN

El análisis de riesgos una vez que se realizada, la empresa tiene en sus manos una poderosa herramienta para el tratamiento de sus vulnerabilidades y un diagnóstico general sobre el estado de la seguridad de su entorno como un todo. 

Cuando se sabe que las innovaciones tecnológicas son cada vez más frecuentes, aparecen una serie de nuevas oportunidades para que individuos maliciosos se aprovechen de ellas y realicen acciones indebidas en los entornos humanos, tecnológicos, físicos y de procesos.

MÉTRICAS PARA LA MEDICIÓN DE IMPACTO DE RIESGO

En la vida de cualquier individuo existen eventos cuya ocurrencia no es deseada y, sin embargo, acontecen. Por otro lado, y por suerte, también existen sorpresas positivas    que compensan los malos momentos. La gestión de riesgos es el proceso de análisis de los factores internos o externos que afectan a un proyecto, a la definición del proyecto, la planificación, la gestión de recursos o la calidad. Todo para alcanzar el éxito.

Estos eventos probables y con cierto impacto (positivo o negativo), se conocen como eventos de riesgo.

a. Reducimos al mínimo los efectos adversos para los objetivos del proyecto, los costes, la programación y la calidad.
b. Maximizamos las oportunidades para mejorar los objetivos del proyecto con un coste inferior, planificación más corta y mayor calidad.
c. Minimizamos la gestión de crisis y damos bases sólidas para la toma de decisiones.

Es importante entender que para que las métricas sean útiles, la información que suministran debe ser relevante para los roles y las responsabilidades de los receptores. De este modo, los departamentos involucrados podrán llevar a cabo las decisiones pertinentes, como por ejemplo cualquier cosa que resulte de un cambio y pueda ser medido.     

Sin embargo, existen siete criterios fundamentales que deben utilizarse para que una métrica sea apropiada:

Métricas Las mediciones se han convertido en un elemento esencial de las prácticas de ingeniería de software. Son utilizadas para verificar si los requerimientos son consistentes y completos, o si el código producido está listo para ser probado. A nivel gerencial, se miden atributos de proceso y de producto para controlar agenda y presupuesto y los clientes miden aspectos del producto final para determinar si cumple con sus expectativas [Fenton, 1997].

Una medición es el proceso por el cual números o símbolos son asignados a atributos de entidades del mundo real, de tal forma que los describen de acuerdo a reglas claramente definidas. Una entidad es un objeto o un evento del mundo real como puede ser una persona, o una fase de un proyecto. Un atributo es una característica o propiedad de una entidad. Las mediciones son correspondencias del mundo empírico a un sistema formal, y las medidas son los números o símbolos asignados usando esta correspondencia. Existen dos tipos de cuantificaciones, las mediciones y los cálculos. Mientras las mediciones son una cuantificación directa, los cálculos son indirectos, dado que son resultado de la combinación de mediciones. Las mediciones indirectas son útiles para hacer visible la interacción entre mediciones directas [Fenton, 1997].

Una métrica es una medida cuantitativa del grado en que un sistema, componente o proceso, posee un atributo dado. Un indicador es una variable que puede ser configurada con un estado señalado basándose en los resultados de un proceso o de la ocurrencia de una condición especificada. Un indicador generalmente compara una métrica con una línea base o un resultado esperado. 

Qué visibilidad aportan las métricas

Estas métricas aportan una visibilidad imprescindible para conocer si los comportamientos individuales de la plantilla, o de los equipos de trabajo que la componen, están alineados con los objetivos estratégicos de la organización, en términos de actividad y productividad. Tener acceso a estas métricas es algo crucial en cualquier empresa, sea cual sea su área de negocio. La importancia que cada empresa le da a todas esas métricas puede variar, pero hay algunas que son vitales para el éxito de cualquier compañía. 

La empresa que mida estos indicadores conocerá, con la antelación necesaria para poder actuar y corregir si fuera necesario, factores como:

• La dedicación personal de cada empleado.
• El nivel de atención en una tarea de cada individuo.
• El grado de productividad diaria en relación con el tiempo de actividad de cada empleado.
• Y, por supuesto, si la persona cumple con su horario laboral. Lo mismo a nivel de equipos y de proyectos

TÉCNICAS PARA LA MEDICIÓN DE IMPACTO DE RIESGOS

Las empresas deben analizar todos los posibles peligros, situaciones y eventos que se interpongan en el cumplimiento de objetivos, o peor aún, que impliquen pérdidas humanas, ambientales y económicas. Una vez, la compañía tenga ese análisis claro, podrá enfocar sus esfuerzos en los riesgos con mayor amenaza.

Las organizaciones deben tener en cuenta todos los riesgos a los que puede enfrentarse por causa de fallas en los procesos, errores en la ejecución, fraudes internos y externos, entre otras situaciones que pueden llevarla a perder participación en el mercado o afectar su buen nombre.

Esos errores pueden causar daños a consumidores, a la comunidad, al personal operativo, o daños psicológicos; también impacto ambientales como contaminación del aire, del agua, o del suelo; y afectaciones económicas como daños en la propiedad, cambios en producción, producción de baja calidad, pérdida de participación en el mercado, líos legales o pérdida de credibilidad.

Por ello, las compañías deben contar con analistas y herramientas de riesgo para identificar las amenazas de forma temprana y así mitigar esos impactos. En este artículo, se explican diferentes métodos y herramientas que le ayudarán a identificar los riesgos de su organización.

Las siguientes técnicas son:

1. Análisis Preliminar de Peligros
2. Técnica Delphi
3. Técnica Estructurada “What –If”
4. Evaluación Fiabilidad Humana
5. Causa y Origen
6. Análisis de Escenarios
7. Impacto Negocio
8. Árbol de Defectos
9. Árbol de Acontecimientos
10. Causa y Efecto (Ishikawa)
11. Modos Fracasos y Análisis Efectos (FMEA)
12. Fiabilidad Centro Mantenimiento (RCM)
13. Análisis Sneak
14. Peligros y Estudio Operatividad (HAZOP)
15. Riesgos y Puntos Críticos de Control (HCCAP)
16. Análisis LOPA
17. Análisis Bow Tie
18. Análisis Markov
19. Simulación Montecarlo
20. Estadístico Bayesiano
21. Costo/Beneficio
22. Curva FN

ADMINISTRACIÓN DE RIESGOS

La Administración o Gestión de Riesgos es reconocida como una parte integral de las buenas prácticas gerenciales. Es un proceso iterativo que consta de pasos, los cuales, cuando son ejecutados en secuencia, posibilitan una mejora continua en el proceso de toma de decisiones.

La Administración de riesgos es un término aplicado a un método lógico y sistemático de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados con una actividad, función o proceso de una forma que permita a las organizaciones minimizar pérdidas y maximizar oportunidades.

La Administración de riesgos es tanto identificar oportunidades como evitar o mitigar pérdidas. Puede ser aplicado  a todas las etapas de la vida de una actividad, función, proyecto, producto o activo.

Según Peter Drucker, tratar de eliminar el riesgo en las empresas es algo inútil. El riesgo es algo inherente al hecho de comprometer recursos actuales en busca de resultados futuros. De hecho, el progreso económico se define como la habilidad de tomar riesgos.

La administración de riesgos se puede definir entonces como el proceso de identificación, medida y administración de los riesgos que amenazan la existencia, los activos, las ganancias o al personal de una organización, o los servicios que ésta provee.

El principal objetivo de la ciencia de la administración de riesgos debe ser el de permitirle a la organización tomar los riesgos adecuados, proveyendo el conocimiento y la comprensión de dichos riesgos, identificando los recursos y esfuerzos necesarios para alcanzar los resultados deseados, movilizando las energías necesarias para ello y midiendo los resultados contra las expectativas presupuestas; además de proveer los medios para la temprana detección y corrección de decisiones erradas o inadecuadas.

Tipos de Riesgos

La palabra riesgo ha sido utilizada de manera indistinta para referirse a varias situaciones diferentes. Para efectos del proceso de administración de riesgos es preciso diferenciar el concepto de riesgo y su definición básica, del concepto de AMENAZA, la cual se entiende como la percepción que se tiene de un peligro.

Los riesgos se clasifican según los diversos criterios aplicables a cada situación.

Riesgo Subjetivo: Es la percepción particular que una persona posee sobre un riesgo. Puede tener o no relación directa con la verdadera probabilidad de ocurrencia. Dicha percepción puede verse afectada por factores como:

• La potencial severidad de sus consecuencias;
• El grado de conocimiento de la persona respecto al riesgo;
• La familiaridad con el riesgo
• Factores sicológicos que predisponen;
• El grado de aversión al riesgo.

Riesgo aceptable: Es el nivel de riesgo subjetivo que un individuo u organización están dispuestos a aceptar.

Riesgos puros: Son aquellos cuya materialización siempre representarán una pérdida, nunca una utilidad.

Riesgos especulativos: Pueden producir ganancias o pérdidas. La mayoría de los riesgos asumidos por las organizaciones son especulativos.

Los principios básicos de la administración de estos dos tipos de riesgos son esencialmente los mismos, pero las técnicas de administración de riesgos puros se han desarrollado en forma separada de las de administración de riesgos financieros y especulativos. Esto refleja la tendencia de muchas empresas que encuentran operacionalmente conveniente para la administración de cada tipo de riesgo su manejo por diferentes áreas. No obstante, la frontera entre los dos tipos de riesgos a veces no está claramente definida. Tal es el caso del riesgo político.

Riesgos estáticos: Son aquellos que siempre están presentes en un sistema ordenado. Los riesgos de rayo y otros fenómenos naturales son ejemplos de este tipo de riesgos; los cuales a su vez caen dentro de la categoría de riesgos puros.

Riesgos dinámicos: Son aquellos que cambian y se transforman al ritmo que cambia el sistema mismo. Los cambios económicos, políticos, sociales, legales, tecnológicos y ambientales pueden crear nuevos riesgos o modificar los existentes. Los riesgos dinámicos usualmente son también especulativos, pero incluyen además una categoría especial de riesgos puros: los riesgos de responsabilidad, los cuales dependen enteramente del desarrollo de la legislación.

Riesgos fundamentales: Son aquellos que pueden afectar a la totalidad o a la mayor parte de una sociedad, como son los desastres naturales o factores económicos o políticos de amplio espectro, como las guerras o la recesión. Las organizaciones usualmente tienen poco control sobre este tipo de riesgos y su administración se concentra en reducir sus efectos.

Riesgos particulares: Son aquellos que de manera directa pueden afectar a una organización, los cuales pueden ser controlables en alguna medida.

De acuerdo con el tipo de amenaza que puede materializarse, se tiene la siguiente clasificación:

• Riesgos físicos: incluyen las lesiones o muerte de personas y todas las formas de pérdida o daño de propiedades. Las causas de pérdidas físicas son usualmente el resultado de la materialización de peligros comunes, como incendio, explosión, terremoto, colisión, contaminación, rayo. Etc.; pero también puede ser el resultado del incendio intencional, robo, actos mal intencionados o daños causados por error humano.

• Riesgos de responsabilidad: Los riesgos de responsabilidad pueden provenir de reclamaciones de los empleados, de los clientes o proveedores y del público en general. Si bien dichas reclamaciones pueden resultar de factores mencionados en la clasificación anterior, también pueden relacionarse con los productos o servicios que presta la empresa, los efectos de la responsabilidad contractual con los clientes, proveedores u otros y el efecto de regulaciones nacionales o internacionales. 

• Riesgos de interrupción de negocios: Fenómenos de esta naturaleza suelen seguir a la materialización de los riesgos físicos de responsabilidad antes descritos. Aquí es necesario considerar el efecto de potenciales pérdidas debido a factores externos, tales como falta de suministros, dependencia de sistemas electrónicos, especialmente en operaciones altamente sistematizadas; además de las interrupciones forzadas por decisiones de tipo legal (por ejemplo debido a la contaminación). Otra causa de interrupción de negocios podría ser la pérdida de mercado.

• Riesgos sociales: El efecto de los cambios sociales es una amenaza creciente para las organizaciones. Esta categoría incluye los cambios en los hábitos de consumo, el desempleo, la recesión, el vandalismo y todas las manifestaciones de fraude.

• Riesgos políticos: Los cambios bruscos en las políticas gubernamentales, las nuevas legislaciones, las decisiones proteccionistas, los efectos de la inflación, los cambios bruscos en la política monetaria, la imposición de nuevos aranceles de importación y en general, todo cambio en las reglas de juego del sector.

• Riesgos ambientales: La identificación de los riesgos ambientales implica el reconocimiento de cambios en el medio ambiente con cierta anticipación. Deberán considerarse los efectos del clima, el agotamiento de los recursos, la necesidad de elegir fuentes alternativas de energéticos y la posible necesidad de un cambio en la tecnología.

• Riesgos de administración: Una administración deficiente puede tener un efecto catastrófico en las organizaciones, aunque su costo muchas veces permanezca oculto hasta que los resultados de una pobre administración se hacen evidentes en los resultados generales de la organización. Una administración inadecuada se traducirá en desperdicios, mala planeación, fallas en almacenamiento, errores en la selección y políticas de personal, etc. Una planeación inadecuada puede determinar la imposibilidad de la empresa para mantenerse al día con los cambios tecnológicos y administrativos y un errado desarrollo de nuevos productos, servicios y alternativas, lo cual puede determinar una irremediable pérdida de mercado.

Una adecuada Administración de Riesgos, deberá seguir invariablemente el siguiente proceso:

1. Identificación del riesgo y lo que lo provoca.

2. Evaluación del riesgo y sus consecuencias.

3. Definición de una estrategia ante dicho riesgo.

4. Ejecución de la estrategia y vigilancia del proceso.

5. Medición del resultado de la estrategia. 

Estrategias ante el riesgo

En términos generales, ante la presencia de la amenaza de algún riesgo, existen varias actitudes o estrategias que podemos asumir:

1. Eliminar: consiste en desaparecer la fuente de riesgo.

2. Reducir: consiste en minimizar la exposición disminuyendo aquellas variables que lo causan.

3. Prevenir: realizar las acciones necesarias para contrarrestar la severidad del riesgo.

4. Retener: correr el riesgo y aceptar sus consecuencias.

5. Distribuir: repartir el riesgo entre varios participantes.

6. Transferir: traspasar las consecuencias del riesgo a otra entidad.

Etapas de la Administración de Riesgos

1) Identificación de riesgos: consiste en identificar los posibles riesgos de un proyecto a través de la aplicación de técnicas.

2) Cuantificación de riesgos: consiste en cuantificar el impacto de los riesgos de un proyecto en término de costo y plazo mediante el uso de técnicas de análisis de riesgos.

3) Elaboración de respuestas de riesgos: consiste en analizar y seleccionar la estrategia que contrarreste el impacto de los riesgos de un proyecto.

4) Administración de contingencias: consiste en monitorear y controlar los recursos asignados a la estrategia implementada.  

Administración de riesgos en tecnología informática

Es importante en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que participan en el área informática; y por medio de procedimientos de control se pueda evaluar el desempeño del entorno informático.

una de las principales causas de los problemas dentro del entorno informático, es la inadecuada administración de riesgos informáticos, este trabajo sirve de apoyo para una adecuada gestión de la administración de riesgos, basándose en los siguientes aspectos:

• La evaluación de los riesgos inherentes a los procesos informáticos.
• La evaluación de las amenazas ó causas de los riesgos.
• Los controles utilizados para minimizar las amenazas a riesgos.
• La asignación de responsables a los procesos informáticos.
• La evaluación de los elementos del análisis de riesgos.

Tipos de gestión de riesgos informáticos

A continuación, listamos los tipos de amenazas más comunes que debe tener en cuenta en su proceso de análisis de gestión de riesgos informáticos:

• Accesos no autorizados: esto puede ser por un ataque directo de hacking, una infección de malware o una amenaza interna.
• Uso indebido de la información: esta se puede dar por parte de un usuario autorizado de la organización.
• Fuga de datos o exposición involuntaria de información: esto incluye permitir el uso de USB, discos duros no cifrados o accesos sin restricciones. También es común en prácticas deficientes de retención de documentos y destrucción de papel; transmisión de información personal no pública (NPPI) a través de canales no seguros; o envío accidental de información sensible al destinatario equivocado.
• Pérdida de datos: esto se puede presentar como resultado de procesos de replicación de datos y copias de seguridad deficientes.
• Interrupción total de los servicios informáticos y disminución de la productividad

Identificar las amenazas de gestión de riesgos informáticos

Si bien los hackers y el malware probablemente sean lo primero que se le acerque a la mente, existen muchos otros tipos de amenazas dentro de la gestión de riesgos informáticos:

• Desastres naturales. Inundaciones, huracanes, terremotos, incendios y otros desastres naturales.
• Fallo del sistema. La probabilidad de falla del sistema depende de la calidad de su computadora.
• Interferencia humana accidental. Esta amenaza siempre es alta, sin importar en qué negocio se encuentre.
• Suplantación. Es el uso indebido de las credenciales de otra persona.