UNIDAD III

www.cybolt.com

Análisis de Riesgos

Líderes en Continuidad de Negocio

Gracias al ambiente en el que nos desenvolvemos como individuos, sociedad, y por consi-guiente como organización, estamos constantemente expuestos a la ocurrencia de percances o eventos que nos pueden impactar de forma negativa o positiva. Después de realizar un BIA,la organización conoce la magnitud y evolución de los impactos que puede sufrir. Lo siguientees conocer los eventos que pueden causarlos, así como los elementos que pueden potenciali-zar el daño. Esto se logra mediante un análisis de riesgo.

Al finalizar esta unidad, usted conocerá:

Lo que es un riesgo y sus elementos que lo componen.

La metodología de RA.

Introducción y Objetivos

Conceptos básicos sobre Riesgo

Metodología RA

01Unidad III Análisis de Riesgo

02Unidad III Análisis de Riesgo

Conceptos básicossobre el Riesgo

El riesgo es un concepto "común" por el vínculo que tiene con todo el quehacer, pues es posible afirmar que no hay actividad que no incluya la palabra riesgo.

Debido a su naturaleza, las sociedades continuamente buscan la manera de conocer aquellos eventos que pueden dañarlas y tomar acciones para evitarlos, para minimizar su ocurrencia, o tomar acciones preventivas y reactivas, en caso de que se lleguen a presentar, esto es, asumir un riesgo.

Entonces... ¿Qué es un riesgo?

Desde el punto de vista de BCM un riesgo es:

"La amenaza de que un evento o acción afecte de manera adversa la habilidad de una organiza-ción para maximizar el valor que ofrece a sus accionistas y alcanzar los objetivos del negocio."

Anatomía de un riesgo

Un riesgo, podría representarse como una ecuación compuesta por cinco elementos básicos.

RIESGO IMPACTO+

+ +Amenaza Vulnerabilidad Probabilidad

Amenaza

Una amenaza, es un evento que puede desencadenar un incidente en la organización, produ-ciendo daños materiales o pérdidas intangibles en sus activos.

Las amenazas, son elementos fortuitos y que no están bajo el control de la organización, tales como desastres naturales, accidentes industriales o situaciones sociales y políticas tales como: huelgas, inestabilidad gubernamental, o crisis financiera.

Vulnerabilidad

Una vulnerabilidad, es la relación que existe entre un activo y una amenaza.

Una vez que se materializa una amenaza, ésta cuenta con ciertos elementos que le ayudan a potencializar el daño sobre un activo específico. Las vulnerabilidades se encuentran bajo el control de la organización.

Ejemplo de ellas son: malas condiciones de las instalaciones, sistema anti incendio ineficaz, entre otros.

Probabilidad

La probabilidad es la posibilidad de que ocurra una amenaza.

Igual que las amenazas, se encuentran fuera del control de la organización, como ejemplo podemos citar un edificio localizado en una zona de alta sismicidad y ubicada a 283 km de la costa. La probabilidad de ocurrencia de un sismo es extremadamente alta, en comparación a la nula probabilidad de verse afectado por un huracán.

Riesgo

El riesgo, es el potencial de pérdida para la empresa y un resultado no deseado que afecta en diversos modos a una organización.

Impacto

El impacto, es el daño producido a la organización por un posible incidente, y es la última con-secuencia de un riesgo.

03Unidad III Análisis de Riesgo

04Unidad III Análisis de Riesgo

Una vez conociendo lo que es un riesgo, así como sus elementos, pueden surgir las siguientes preguntas:

Una organización ¿cómo puede detectar los eventos dañinos?¿Cómo se relacionan estos con la organización?¿Cómo me pueden afectar?¿Cuándo sucederán?

Para resolver estas cuestiones, existe un estudio llamado Risk Assesment, o análisis de ries-gos, en adelante RA.

El BS25999 define al RA como:

“El proceso global de identificación, análisis y evaluación de riesgos”.

Para realizar un RA existen diversas metodologías, algunas de uso gratuito, que auxilian a la organización en el proceso de análisis, sin embargo su aplicación siempre requiere un profun-do conocimiento de ésta y del ambiente en el que se desenvuelve.

¿Qué es RA?

05Unidad III Análisis de Riesgo

Actividades

Actividad 1: Conceptos sobre el riesgo

Instrucciones: De la nube de palabras, ubicada en la parte superior, seleccione y escriba en el espacio aquel que mejor complemente las definiciones siguientes. Algunas palabras se pueden repetir.

Riesgo, Amenaza, Análisis de Riesgo, Vulnerabilidad, Probabilidad, Impacto.

1. “La amenaza de que un evento o acción afecte de manera adversa la habilidad de una organi-zación para maximizar el valor que ofrece a sus accionistas y alcanzar los objetivos del negocio"es la definición de__________________ según BCM.

2. Las ______________ son eventos que pueden desencadenar un incidente en la organización,produciendo daños materiales o pérdidas intangibles en sus activos.

3. La ______________ es la relación que existe entre un activo y una amenaza.

4. La ______________ es la posibilidad de que ocurra una amenaza.

5. El ______________ es el potencial de pérdida para la empresa.

6. La ______________ es el daño producido a la organización por un posible incidente; consecuen-cia última del riesgo.

7. “El proceso global de identificación, análisis y evaluación de riesgos” es la definición de__________________ según BCM.

Proceso de Gestión de Riesgos ANZ 4360

En el mercado existen diversas metodologías y guías dedicadas a la administración de riesgos empresariales, los cuales marcan pautas para realizar análisis de riesgos.

Por ejemplo:

En el ámbito industrial existe HAZOP, el cual es un estudio de las desviaciones de los proce-sos y los daños que pueden causar al personal, equipo, instalaciones, operación del proceso, calidad del producto, ambiente, entre otros.

En el ámbito medioambiental, existe la norma UNE 150008:2008 Análisis del riesgo ambiental que busca identificar riesgos derivados de la situación de una empresa en determinado lugar.

En el ambiente de TI, existen múltiples metodologías de libre uso como son OCTAVE, desarro-llada por Carnegie Mellon University, Magerit desarrollada por el Ministerio de Administracio-nes Publicas de España, Mehari desarrollada por el Club de seguridad de sistemas de infor-mación de Francia, por mencionar algunas. Estas metodologías están orientadas a la admi-nistración de riesgos desde el punto de vista informático y de comunicaciones.

Para este curso, utilizaremos el estándar australiano para la administración de riesgos ANZ 4360, el cual proporciona orientaciones para la gestión de riesgos y puede aplicarse en un con-texto amplio de actividades y en cualquier tipo de entidad, ya sea pública, privada o comunitaria. Este estándar es suficientemente flexible como para definir objetivos específicos de acorde a las necesidades de la organización.

A continuación, se explicará cada parte de la metodología.

06Unidad III Análisis de Riesgo

Metodología RA

07Unidad III Análisis de Riesgo

Comunicar y Consultar

Monitoreary Revisar

Establecer el contexto

Todo análisis, estudio o proyecto de una organización, debe estar enmarcado por el conocimien-to previo del entorno, las necesidades y el ambiente en general de modo que garantice el éxito del mismo. Este conocimiento marcará las pautas para la toma de decisiones, basadas en los resultados obtenidos, así como especificar el objetivo que se pretende alcanzar, para este caso, un análisis de riesgos.

El contexto debe incluir:

1. La descripción del entorno en que se desenvuelve la organización y como se relacionanentre sí. Debe incluir aspectos económicos, políticos, socioculturales, legales, regulatorios eincluso ambientales.

2. La identificación de las metas, objetivos y estrategias de la organización, de modo que laadministración de riesgos apoye su consecución.

Establecer el conntexto

Identificar riesgos

Analizar Riesgos

Evaluar Riesgos

Comunicar y Consultar

3. Las características bajo las que se llevará a cabo la administración de riesgos, aquí se debetomar en cuenta los siguientes elementos:

a. Los recursos económicos, materiales y financieros con los que se contarán.b. Los objetivos, metas y alcance de las actividades de la administración de riesgos.c. El respaldo de la Alta Dirección.

4. Los criterios o pautas a seguir para evaluar los riesgos, así como para decidir aceptarlos,tolerarlos, transferirlos o mitigarlos. Estos criterios deben considerar aspectos operativos,factibilidad técnica, costobeneficio y el aspecto regulatorio que pesa sobre la organización.

En resumen: El contexto de una organización ayuda a decidir la gravedad de los riesgos detecta-dos, y el modo en que se procederá para hacerles frente sin afectar los intereses de la organiza-ción.

Identificar riesgos

Esta etapa debe responder a dos interrogantes principales:

1. ¿Qué puede suceder?2. ¿Cómo y porqué pueden suceder?

Para responder ambas interrogantes, primero se debe realizar un listado con todos aquellos eventos que pueden afectar a la organización. Posteriormente, se debe identificar las causas que detonen dichos eventos y los elementos o vulnerabilidades que pueden potenciar el posible daño.

Para facilitar la identificación de los riesgos correspondiente a esta etapa, la metodología pro-porciona diferentes categorías de riesgo, a partir de las cuales se pueden identificar los eventos.

Herramientas y técnicas.

08Unidad III Análisis de Riesgo

Entre los métodos más empleados para identificar los riesgos se encuentran:

Listas de chequeo.Juicios basados en experiencia y registros.Diagramas de flujo.Lluvia de ideas.Análisis de sistemas.Análisis de escenarios.

Analizar riesgos

Una vez teniendo la relación de los eventos y sus causas, viene el momento de asignarle un nivel, así como de proveer los datos para asistir en la evaluación y tratamiento de los riesgos.

Analizar un riesgo, implica combinar los siguientes elementos:

I. Controles existentes de carácter administrativo, técnico y de procedimientos, previamenteimplementados. Se deben evaluar las fortalezas y debilidades de la organización.

II. La magnitud de las consecuencias si un evento llega a ocurrir.

III. La probabilidad de que un evento llegase a ocurrir.

Al combinar las consecuencias y probabilidades, se obtiene un nivel de riesgo, el cual debe ser afectado por los controles existentes.

La obtención de las consecuencias y probabilidades se realiza mediante el uso de análisis y cálculos estadísticos, o se usan fuentes de información como son: registros anteriores, expe-riencia relevante, prácticas y experiencia de la industria, literatura relevante publicada, compro-baciones de marketing e investigaciones de mercado, experimentos y prototipos, modelos eco-nómicos y de ingeniería, opiniones y juicios de especialistas y expertos.

El análisis de riesgo, implica diversos grados de profundidad dependiendo de los requerimientos de la organización y los datos disponibles.

09Unidad III Análisis de Riesgo

El análisis puede ser:

Cualitativo:

Este análisis se basa en la experiencia de un grupo con amplio conocimiento de la organización.

Este tipo de análisis, se compone básicamente de palabras que conforman escalas que descri-ben la magnitud de las consecuencias y la probabilidad de ocurrencia de los eventos. Dichas escalas son adaptadas de acuerdo a la organización y a sus circunstancias.

Cuantitativo:

Este análisis cuantifica la probabilidad esperada de ciertos eventos, así como las consecuencias dañinas en términos, por ejemplo, de costo financiero, o heridos. También asigna valores al costo de las medidas de control.

Evaluar riesgos

Evaluar los riesgos significa realizar una comparación entre el nivel de riesgo detectado durante el análisis, y los criterios previamente establecidos.

El entregable de esta etapa es una lista de riesgos priorizados y clasificados, propiamente dicho, un mapa de riesgos.

Este mapa, en conjunto con el contexto organizacional, son la base para la toma de decisiones sobre acciones posteriores.

Si los riesgos se encuentran dentro de las categorías de riesgos bajos o aceptables, éstos pueden ser atacados con un tratamiento mínimo a largo plazo. Este tipo de riesgos deben ser monitoreados periódicamente para asegurar que se mantienen aceptables.

Si por el contrario, los riesgos caen en categorías superiores, entonces deben ser tratados dependiendo su criticidad.

10Unidad III Análisis de Riesgo

Tratar riesgos

Tratar un riesgo significa identificar, evaluar y seleccionar de entre un rango de soluciones aque-llas que se adapten a las necesidades de la organización; también implica el preparar los planes e implementarlas estrategias seleccionadas.Al definir las alternativas para administrar y mitigar los riesgos, la empresa debe tomar en cuenta aspectos como:

1. Las opciones deben balancear el costo que implican con el beneficio que se alcanzará, encaso de ser implementadas;

2. El esfuerzo que tomará, la implementación de las soluciones;

3. El tiempo para impactar la gestión del proceso, a través de la implementación del trata-miento de riesgo.

Todas las opciones deben considerar el alcance de la reducción del riesgo, así como apegarse al contexto y criterios que se establecieron en la primera etapa.

Integración con el BIA:

Basados en los resultados del BIA y RA, la organización debe identificar medidas que reduzcan las posibilidades de una interrupción, o bien, que minimicen la duración y los impactos a los pro-ductos y servicios, en caso de que llegara a materializarse.

Modelo de las 4 T’s.

El modelo de las 4 T’s, proporciona las cuatro opciones más comunes para responder ante los riesgos presentes.

Tratar: esta opción explota la continuidad de negocio, pues propone acciones para reducir la probabilidad de ocurrencia, así como reducir las consecuencias o posibles impactos.

11Unidad III Análisis de Riesgo

Tolerar: es aceptar el riesgo junto con el costo del impacto.

Transferir: involucra a una tercera parte para soportar o compartir el riesgo. Este mecanismo incluye contratos, compra de seguros entre otros. Es importante notar que al transferir el riesgo se adquiere uno nuevo: el de que el tercero no logre administrar efectivamente el riesgo.

Terminar: Se decide no continuar con la actividad que genera el riesgo.

Como cualquier decisión, se debe tener especial cuidado para no afectar los intereses ni las obli-gaciones de la organización.

Comunicar y consultar

La comunicación y consulta busca establecer canales de comunicación efectiva y bidireccional entre los interesados, las partes encargadas de tomar las decisiones y aquellas encargadas de la implementación de la administración de riesgos.

Es importante tener presente todas las percepciones de los interesados relativas a los riesgos, y a los beneficios que acarrearán la implementación de las soluciones, así como las bases sobre las cuales se toma una decisión en particular, con la finalidad de que todas las partes involucra-das comprendan la administración de riesgos.

Monitorear y revisar

Sin duda alguna, el entorno donde una organización se desenvuelve no es estático, por tanto los riesgos pertenecientes a ésta, junto con las medidas de control, son susceptibles de sufrir cam-bios, ya sea alterándose las probabilidades de ocurrencia o los impactos que podría acarrear lamaterialización de un evento. Por lo que es importante realizar revisiones periódicas en la admi-nistración de riesgos.

12Unidad III Análisis de Riesgo

13Unidad III Análisis de Riesgo

Actividades

Actividad 1: Metodología RA

Instrucciones: Coloque el nombre de la fase de Metodología ANZ 4360 según corresponda a la descripción dada.

Fase: __________________________.Esta fase se encarga de describir el entorno de la organización y las condiciones bajo las cuales se realizará la administración de riesgo.

Fase: __________________________.Esta fase se encarga de detectar los eventos que pueden o no suceder, y porque.

Fase: __________________________.En esta fase, mediante el uso de métodos cualitativos o cuantitativos, se asigna un nivel a los riesgos detectados en la organización.

Fase: __________________________.Esta fase arroja una lista priorizada y clasificada de los riesgos, propiamente dicho, un mapa de riesgos.

Fase: __________________________.Esta fase hace uso del modelo de las 4 T's para identificar, evaluar y seleccionar las mejores opciones para hacer frente a los riesgos existentes.