Valoracion de riesgos final 2

3,014 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
3,014
On SlideShare
0
From Embeds
0
Number of Embeds
99
Actions
Shares
0
Downloads
107
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Valoracion de riesgos final 2

  1. 1. UNIVERSIDAD NACIONAL FEDERICO VILLARREAL<br />Valoración <br />de Riesgos<br /><ul><li>ASTO CÁCERES, Carlos 2007000734
  2. 2. CARRASCO SOSA, Martín 2001180885
  3. 3. PAPUICO LIMAYMANTA, Ingrid 2007280033
  4. 4. VILLANUEVA ARRASCO, Víctor 2007009404</li></li></ul><li>INTRODUCCION<br />El presente trabajo tiene como fin definir el análisis y valoración de riesgos en proyectos de tecnología de información de una manera estructurada y modular (por fases o etapas) para que sirva como herramienta de apoyo en la gestión de estos proyectos en las Empresas y Organizaciones tanto públicas como privadas.<br />
  5. 5. ANALISIS DEL <br />RIESGO<br />IDENTIFICACION DEL PELIGRO<br />VALORACIÓN DEL RIESGO<br />ESTIMACION DEL RIESGO<br />VALORACION DEL RIESGO<br />EVALUACION DEL RIESGO<br />PROCESO SEGURO<br />RIESGO CONTROLADO<br />SI<br />NO<br />GESTION DEL RIESGO<br />CONTROL DEL RIESGO<br />
  6. 6. OBJETIVOS<br /><ul><li>Establecer el mecanismo de trabajo que relacione el valor del impacto con el análisis de probabilidad de ocurrencia de los eventos negativos.
  7. 7. Priorizar los riesgos de acuerdo con su calificación, a fin de establecer aquellos que pueden causar mayor daño a la entidad al momento de materializarse. </li></li></ul><li>MATRIZ DE CALIFICACION DE RIESGOS<br />1.- Identificación de las principales funciones desde punto de vista de control.2.- Identificación de los principales Riesgos Globales.3.- Definición de las distintas categorías de riesgo y asignación a las  diversas unidades (de negocios, operativas, funcionales, de soporte, etc.).<br />4.-  Ponderación de los riesgos según su importancia relativa(grado o nivel de riesgo cuantitativo)<br />5.- Calificación de los Riesgos v/s funciones (nulo, bajo, medio, alto impacto) y Aplicación de Ponderaciones.<br />6.- Ajuste de la Matriz de Riesgo. El proceso de ajuste será continuo.<br />
  8. 8. ESCALA DE PROBABILIDAD<br />Para poder hacer el análisis y la valoración del riesgo es necesario elaborar las<br />escalas de probabilidad y gravedad en que se pueden presentar las amenazas.<br />
  9. 9. ESCALA DE GRAVEDAD<br />
  10. 10. CALIFICACION DE RIESGOS<br />Una vez que se determina las escalas de probabilidad y gravedad. El próximo paso entonces, de esta etapa, es calificar los riesgos multiplicando el valor del riesgo en cuanto a probabilidad por el valor del riesgo en cuanto a gravedad<br />Riesgo = Probabilidad X Gravedad (R = PxG)<br />
  11. 11. INTERPRETACION DE LA MATRIZ<br />
  12. 12. CASO: ENTIDADES FINACIERAS <br />
  13. 13. MATRIZ DE RIESGOS<br />FLEXIBLE<br />DINÁMICO<br />
  14. 14. MATRIZ DE EVENTOS CON RELACION A LAS ORGANIZACIONES FINACIERAS<br />Probabilidad<br />Evento<br />Gravedad<br />
  15. 15. MATRIZ DE CALIFICACION DE RIESGOS <br />(ejemplo) entidades financieras<br />
  16. 16. ESCALA DE PROBABILIDAD<br />Para poder hacer el análisis y la valoración del riesgo es necesario elaborar las<br />escalas de probabilidad y gravedad en que se pueden presentar las amenazas.<br />
  17. 17. ESCALA DE GRAVEDAD<br />
  18. 18. CALIFICACION DE RIESGOS<br />Una vez que se determina las escalas de probabilidad y gravedad. El próximo paso entonces, de esta etapa, es calificar los riesgos multiplicando el valor del riesgo en cuanto a probabilidad por el valor del riesgo en cuanto a gravedad <br />Riesgo = Probabilidad X Gravedad (R = PxG)<br />
  19. 19. CASO: EMPRESA DE SERVICIOS DE CONSULTORIA EN TECNOLOGIA DE LA INFORMACION<br />PEQUEÑAS Y MEDIANAS EMPRESAS<br />
  20. 20. ESCALA DE PROBABILIDAD<br />ESCALA DE GRAVEDAD<br />
  21. 21. INTERPRETACION DE LA MATRIZ<br /> CALIFICACION DE RIESGOS<br />Riesgo = Probabilidad X Gravedad (R = P x G)<br />
  22. 22. 1000<br />2000<br />500<br /> CALIFICACION DE RIESGOS<br />250<br />500<br />1000<br />5<br />10<br />20<br />
  23. 23. CASO: HELP DESK (OUSOURCING)<br />Empresa: GRUPORPP<br />PEQUEÑAS Y MEDIANAS EMPRESAS<br />
  24. 24. ESCALA DE PROBABILIDAD<br />ESCALA DE GRAVEDAD<br />
  25. 25. CALIFICACION DE RIESGOS<br />Riesgo = Probabilidad X Gravedad (R = P x G)<br />INTERPRETACION DE LA MATRIZ<br />
  26. 26. CALIFICACION DE RIESGOS <br />Finalmente el cuadro siguiente permite estimar los Niveles de Riesgo de acuerdo con su Probabilidad estimada y sus Consecuencias esperadas.<br />
  27. 27. Gestión de Incidentes: GRUPORPP <br />La Gestión de Incidentes tiene como objetivo resolver cualquier incidente que cause una interrupción en el servicio de la manera más rápida y eficaz posible.<br />SOFTWARE: SERVICE DESK PLUS – WORK FLOW<br />
  28. 28. Gestión de Incidentes online<br />
  29. 29. LA T.I SOPORTE EL PROCESO:<br />
  30. 30. METODOLOGÍAS<br />A continuación se enumeran las metodologías más conocidas de análisis y<br />gestión de riesgo: <br /><ul><li>OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) EEUU.
  31. 31. MAGERIT(España) carácter público elaborada por el Ministerio de Administraciones Públicas, siendo probablemente la metodología más utilizada en España.
  32. 32. CRAMM( Risk Analysis and Method Management ) utilizada por la OTAN, el Ejército de Holanda, y numerosas empresas de todo el mundo.
  33. 33. Meharit(Francia).
  34. 34. METRICA3 específica para desarrollo de software (Software Life Cycle Processes).
  35. 35. EAR y Pilar ambas en español.
  36. 36. The Security Risk Management Guide de Microsoft.
  37. 37. COBRA.
  38. 38. Callio.</li></li></ul><li>CONCLUSIONES<br /><ul><li>La monitorización de estos riesgos implica adoptar una posición proactiva que se concrete en campañas de difusión y sensibilización para adiestrar al cliente, elaboración de planes de contingencia y establecimiento de medidas de seguridad, formación de personal cualificado, actualización constante de las tecnologías.
  39. 39. La seguridad es uno de los aspectos que más preocupan a las organizaciones. Sin embargo, pensamos el verdadero problema se trasladará, con el tiempo, desde aspectos tecnológicos a factores estratégicos.
  40. 40. La competencia basada en tecnología de información se está volviendo cada día más fuerte y agresiva, y el contar con la metodología de análisis y valoración de riesgos como una herramienta clave de gestión, ayuda a que la organización enfrente este nuevo reto que se plantea en el siglo XXI, el siglo de era de la información, el nuevo poder.</li></li></ul><li>RECOMENDACIONES<br /><ul><li>Es importante que la alta gerencia tenga una formación sólida en todo estos conceptos, para que no caigan en el error de delegar este tipo de decisiones a personas que no estén comprometidos con el negocios, provocando con ello una desarticulación entre la estrategia del negocio y la tecnología de información.
  41. 41. Los usuarios internos de las empresas tienen que estar comprometidos con la misión , visión y respetar el organigrama y respetar los aspectos éticos que permitan un desarrollo integral en los resultados y objetivos de la empresa
  42. 42. Cuando las empresas implementen tecnología de información debe entonces estar no sólo encaminado a procurar el hardware y el software necesario para resolver las necesidades del proceso de negocio sino que también debe buscar los medios materiales, económicos y humanos para que en el caso de la materialización de un riesgo las pérdidas sean mínimas o incluso se pueda evitar la inviabilidad de un proyecto</li>

×