Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Teoria de riesgos

No description

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Teoria de riesgos

Riesgo
Amenaza
Vulnerabilidad
Tipos de riesgo
Gestión de riesgos
Incertidumbre
El riesgo se define como la combinación de la probabilidad de que se produzca un evento y sus consecuencias negativas. Los factores que lo componen son la amenaza y la vulnerabilidad.

La materialización del riesgo sera entonces la ocurrencia del evento que fue determinado con anterioridad como incierto y que su desarrollo no dependió de la voluntad del tomador, del asegurado o del beneficiario y cuya materialización daría paso a la obligación de la Compañía de Seguros a pagar la poliza.
Riesgo de integridad:

Este tipo abarca todos los riesgos asociados con la autorización, completitud y exactitud de la entrada, procesamiento y reportes de las aplicaciones utilizadas en una organización. Estos riesgos aplican en cada aspecto de un sistema de soporte de procesamiento de negocio y están presentes en múltiples lugares, y en múltiples momentos en todas las partes de las aplicaciones.
Es un fenómeno, sustancia, actividad humana o condición peligrosa que puede ocasionar la muerte, lesiones u otros impactos a la salud, al igual que daños a la propiedad, la pérdida de medios de sustento y de servicios, trastornos sociales y económicos, o daños ambientales. La amenaza se determina dependiendo de la intensidad y la frecuencia.
Vulnerabilidad son las características y las circunstancias de una comunidad, sistema o bien que los hacen susceptibles a los efectos dañinos de una amenaza. Con los factores mencionados se compone la siguiente fórmula de riesgo.
La incertidumbre nos da una idea de la calidad del resultado, ya que nos muestra un intervalo alrededor del valor estimado dentro del cual se encuentra el valor considerado verdadero.

Es aquella falta de consistencia, precisión o exactitud de la información que no nos permite predecir la realidad que nos rodea, causando inseguridad y dudas.
Diferencia entre riesgo e incertidumbre
Riesgo:
- Los posibles resultados que pueden obtenerse son conocidos.
- Se puede medir el resultado analizando las probabilidades de cada opción.
- Con base a la información elegimos de forma analítica por una opción u otra.
Control
Consiste en examinar los recursos, las operaciones, los beneficios y los gastos de las producciones, como los servicios y/o productos, con la finalidad de evaluar la eficacia y la eficiencia administrativa técnica y/u operacional de los organismos, con los principios, normas, técnicas y procedimientos normalmente aceptados.
4- Control
En esta etapa se analiza y evalúa el funcionamiento, la efectividad y el cumplimiento de las medidas de protección implementadas en la fase de reducción, para determinar y ajustar las medidas deficientes y sancionar el incumplimiento.
2 -Clasificación
Al definir las medidas de protección, debemos encontrar un equilibrio entre su funcionalidad (cumplir el objetivo) y el esfuerzo económico: suficientes, ajustados y optimizados. El objetivo de la clasificación de riesgo es determinar hasta que grado es factible combatir los riesgos encontrados. La factibilidad normalmente depende de la voluntad y posibilidad económica de una institución, sino también del entorno donde nos ubicamos.

3 -Reducción
En esta etapa se establecen e implementan las medidas de protección para la reducción de los riesgos encontrados en la etapa del análisis, además sensibiliza y capacita a los usuarios conforme a las medidas.
Las medidas se dividen en:
- Medidas físicas y técnicas (construcciones del edificio, plana eléctrica, control de acceso, antivirus, datos cifrados)
- Medidas personales (contratación, capacitación,sensibilización)
- Medidas organizativas (Normas y reglas, seguimiento de control, auditoría)
Plan de acción
Un plan de acción es un tipo de plan que prioriza las iniciativas más importantes para cumplir con ciertos objetivos y metas. De esta manera, un plan de acción se constituye como una especie de guía que brinda un marco o una estructura a la hora de llevar a cabo un proyecto.

Dentro de una empresa, un plan de acción puede involucrar a distintos departamentos y áreas. El plan establece quiénes serán los responsables que se encargarán de su cumplimiento en tiempo y forma. Por lo general, también incluye algún mecanismo o método de seguimiento y control, para que estos responsables puedan analizar si las acciones siguen el camino correcto.




Plan de prevención
El Plan de Prevención de Riesgos Laborales habrá de reflejarse en un documento que deberá incluir la estructura organizativa, las responsabilidades, las funciones, las prácticas, los procedimientos, los procesos y los recursos necesarios para la realizar la acción de prevención de riesgos en la empresa en los términos que reglamentariamente se establezcan.
Plan de mitigación
Un plan de mitigación, también llamado plan de riesgos o plan de respuesta a los riesgos, es un documento que registra el parecido de los eventos riesgosos que sucederán en un proyecto y reduce el impacto de dichos eventos si llegaran a suceder. Se desarrollan estrategias y acciones en un plan de mitigación para mejorar las oportunidades del proyecto, estas estrategias sirven como guía para respuestas a riesgos en un plan de mitigación: Evitación, ignorando una tarea para eliminar las condiciones de riesgo. Aceptación, reconocer que el riesgo existe pero evitar tomar acciones para resolverlo. Mitigación, minimizar la probabilidad de que ocurra el riesgo y reducir el impacto que debería tener dicho riesgo. Transferencia, mover el riesgo a otra persona u organización, alguien con mayor capacidad para manejar dicho riesgo.

Son procesos consistentes en identificar acontecimientos posibles, cuya materialización afectara al logro de los objetivos y la aplicación de las medidas destinadas a reducir la probabilidad o el impacto de esos acontecimientos.
Incertidumbre:
-Valoramos los efectos posibles como resultados no esperados.
-No se puede medir de forma controlado, solo se valoran las opciones.
-Mejoramos las posibilidades actuando de forma intuitiva.
Riesgo de relación
Los riesgos de relación se refieren al uso oportuno de la información creada por una aplicación. Estos riesgos se relacionan directamente a la información de toma de decisiones (Información y datos correctos de una persona/proceso/sistema correcto en el tiempo preciso permiten tomar decisiones correctas).
Impacto o severidad del riesgo
Un riesgo puede tener un impacto técnico (sistemas, datos almacenados, etc…) y un impacto sobre el negocio (operativa, lógica de la aplicación).
factores:
- Información revelada
- Información corrompida
- Interrupción del servicio

Riesgo de acceso
Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e información. Estos riesgos abarcan: Los riesgos de segregación inapropiada de trabajo, los riesgos asociados con la integridad de la información de sistemas de bases de datos y los riesgos asociados a la confidencialidad de la información. Los riesgos de acceso pueden ocurrir en los siguientes niveles de la estructura de la seguridad de la información:
- Administración de la información
-Entorno de procesamiento
-Redes
-Nivel físico
Riesgo de utilidad
Estos riesgos se enfocan en tres diferentes niveles de riesgo:
- Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los problemas ocurran.
- Técnicas de recuperación/restauración usadas para minimizar la ruptura de los sistemas.
- Backups y planes de contingencia controlan desastres en el procesamiento de la información.
Riesgo de seguridad general
Los estándar IEC 950 proporcionan los requisitos de diseño para lograr una seguridad general y que disminuyen el riesgo:
• Riesgos de choque de eléctrico: Niveles altos de voltaje.
• Riesgos de incendio: Inflamabilidad de materiales.
• Riesgos de niveles inadecuados de energía eléctrica.
• Riesgos de radiaciones: Ondas de ruido, de láser y ultrasónicas.
• Riesgos mecánicos: Inestabilidad de las piezas eléctricas.
Riesgo de infraestructura
Estos riesgos se refieren a que en las organizaciones no existe una estructura información tecnológica efectiva (hardware, software, redes, personas y procesos) para soportar adecuadamente las necesidades futuras y presentes de los negocios con un costo eficiente. Estos riesgos están asociados con los procesos de la información tecnológica que definen, desarrollan, mantienen y operan un entorno de procesamiento de información y las aplicaciones asociadas (servicio al cliente, pago de cuentas, etc)
Etapas de un ciclo de gestión de riesgos
1 - Análisis del riesgo: En esta etapa lo que se busca es conocer el sistema que se desea proteger conociendo sus vulnerabilidades y las amenazas a las que esta expuesto con la finalidad de conocer la probabilidad de que un riesgo se manifieste. Durante este proceso se llevan a cabo los siguientes pasos:
- Definir los activos informáticos a analizar (Confidencial, Privado, Sensitivo, Público).
- Identificar las amenazas y determinar la probabilidad de ocurrencia de ellas (Baja, Media, Alta).
- Determinar el impacto de las amenazas (Pérdida de la información)
- Recomendar controles que disminuyan la probabilidad de los riesgos.
Valoración cualitativa
Son tratamientos categóricos o descriptivos de la
información. Se lleva a cabo cuando no se dispone de datos suficientes,
tiempo y/o los recursos son limitados. También puede ser un primer
paso en la evaluación del riesgo, con el fin de determinar si es necesario
realizar posteriormente una evaluación cuantitativa.
Valoración cuantitativa
El análisis cuantitativo de riesgos, como su nombre lo indica, pone un número a un riesgo en particular. Este número puede representar la cantidad de dinero que una empresa perderá si un determinado evento ocurre. Estos eventos pueden incluir casos como la penetración de la base de datos por parte de intrusos, inversiones que pierden dinero y consecuencias de robo.
Un análisis adecuado de este tipo de valoración requiere no sólo la cantidad de dinero que está en juego, sino que la probabilidad de que un evento en particular va a suceder.
Probabilidad del riesgo
Pasos para elaborar una matriz de riesgos
Gobierno TI
Se entiende por Gobierno TI, el conjunto de acciones que realiza el área de TI en coordinación con la alta dirección para movilizar sus recursos de la forma más eficiente en respuesta a requisitos regulatorios, operativos o del negocio.

Se recomienda definir un gobierno para:
- Asegurar el alineamiento con los objetivos de la organización.
- Determinar y mitigar los riesgos empresariales.
- Asegurar el cumplimiento normativo de forma general.
- Calcular/proveer formalmente los recursos apropiados.
- Hacer el seguimiento de la aportación de las TI al negocio.
En cuanto a la Probabilidad de que ocurra el daño, se puede graduar desde baja a alta
según el siguiente criterio:

1º Probabilidad Alta: El daño ocurrirá siempre o casi siempre.
2º Probabilidad Media: El daño ocurrirá en algunas ocasiones.
3º Probabilidad Baja: E l daño ocurrirá raras veces.

A la hora de establecer la Probabilidad del Daño, se deberá considerar si las medidas de control
ya implantadas son adecuadas, los requisitos legales, etc. Además se deberá considerar lo siguiente:
- Fallos en los componentes de las instalaciones y de las máquinas, así como en los dispositivos de protección.
- Exposición a elementos.
- Actos inseguros de las personas, tanto errores involuntarios como violaciones intencionadas
Reconocimiento: :identificar todas las secciones, áreas
productivas y puestos de trabajo.
Identificación y localización del riesgo y consecuencias
Evaluación y valoración de riesgos
Definición de actividades prioritarias
Intervención y control

Matriz de riesgos
Una matriz de riesgo es una herramienta de control y de gestión normalmente utilizada para identificar las actividades (procesos y productos) más importantes de una institución financiera, el tipo y nivel de riesgos inherentes a estas actividades y los factores exógenosy endógenos que engendran estos riesgos (factores de riesgo). Igualmente, una matriz de riesgo permite evaluar la efectividad de una adecuada gestión y administración de los riesgos financieros, operativos y estratégicos que impactan la misión de la organización.
Teoría de riesgos
Full transcript