METODOLOGAS BASADAS PARA LA GESTIN DE RIESGOS EN LOS PROYECTOS

AUDITORA Y SEGURIDAD DE TECNOLOGAS DE INFORMACIN

Integrantes:
Huarache Velez, Grecia Paico Bedon, Estefani Segura Bejerano, Jose Luis Moscol Soto, Rogger

METODOLOGAS BASADAS PARA LA GESTIN DE RIESGOS EN LOS PROYECTOS

Concepto de Gestin La palabra gestin proviene del Latn gesto. Este trmino hace la referencia a la administracin de recursos, sea dentro de una institucin estatal o privada, para alcanzar los objetivos propuestos por la misma. Para ello uno o ms individuos dirigen los proyectos laborales de otras personas para poder mejorar los resultados, que de otra manera no podran ser obtenidos. La gestin se sirve de diversos instrumentos para poder funcionar, los primeros hacen referencia al control y mejoramiento de los procesos, en segundo lugar se encuentran los archivos, estos se encargaran de conservar datos y por ltimo los instrumentos para afianzar datos y poder tomar decisiones acertadas. De todos modos es importante saber que estas herramientas varan a lo largo de los aos, es decir que no son estticas, sobre todo aquellas que refieren al mundo de la informtica. Es por ello que los gestores deben cambiar los instrumentos que utilizan a menudo.

Una de las tcnicas que se usa dentro de la gestin es la fragmentacin de las instituciones. Esto quiere decir que se intentar diferenciar sectores o departamentos. Dentro de cada sector se aplicarn los instrumentos mencionados anteriormente para poder gestionarlos de manera separada y coordinarlo con los restantes. Las personas que toman el compromiso de organizar y dirigir las instituciones suelen ser llamadas gestores. Los mismos son responsables de la rentabilidad y xito de los organismos para los que trabajan. Muchas de las personas que alcanzan estos puestos lo hacen a travs de la carrera que han hecho a lo largo de su vida, ocupando en diversos lugares en la institucin para las que trabajan. Se considera que los buenos gestores poseen ciertas caractersticas es comn. Algunas de ellas son el reconocimiento al buen desempeo de sus pares o subordinados y a su vez las buenas crticas que son capaces de realizar. Son idneos para apoyar y ayudar al resto del personal cuando sea requerido, capacitndolos y orientndolos de manera clara, con objetivos precisos. Suelen ser personas que generan la comunicacin sincera y que estimulan confianza entre los individuos con los que trabaja. Los buenos gestores suelen elegir de manera personal aquello con los que trabajar de cerca. Asimismo intenta ganar el respeto del personal con el que trabaja.

Hay quienes consideran que la gestin es un proceso en el cual pueden ser reconocidos ciertas etapas. La primera de ellas es la planificacin, es en esta etapa donde se fijarn los objetivos a corto y largo plazo y el modo en que sern alcanzados. Es a partir de esta organizacin donde se determinaran el resto de las etapas. Luego puede ser mencionada la organizacin, en este momento los gestores determinan detalladamente el procedimiento para alcanzar los objetivos formulados anteriormente. Para ello son creadas la disposicin de las relaciones de trabajo y quien las liderar. Dicho de otra manera, se crea la estructura que organizar a la institucin. La tercer etapa es la de liderar, en este caso se intenta que el personal posea una direccin y motivacin, de tal manera que resulte posible alcanzar los objetivos. Por ltimo debe ser mencionado el control, en este caso el o los gestores examinan si la planificacin es respetada y los objetivos son cumplidos. Para ello deben ser capaces de realizar ciertas correcciones y direcciones si las normas no son acatadas. Todo proceso est definido por un diagrama, que intenta modelar el comportamiento de l, adems de identificar las principales actividades que se desarrollan al interior del proceso, para entregar el resultado deseado, que en este caso, es un producto de calidad. El proceso de Gestin de Riesgo puede ser modelado por un conjunto de cinco actividades: Identificar, Analizar, Planificar, Vigilar y Controlar [Vans92].

A pesar que el diagrama muestra acciones secuenciales, todas las actividades ocurren continua y concurrentemente, puesto que los riesgos son controlados en paralelo mientras, al mismo, tiempo, nuevos riesgos son definidos y analizados. A su vez, la planificacin de un riesgo puede generar el descubrimiento de otros nuevos riesgos.

Metodologas de Gestin de Riesgo MEHARI Es un conjunto de herramientas y funcionalidades metodolgicas, utilizadas para la gestin de la seguridad y de las medidas asociadas, basado en un anlisis de riesgo preciso. MEHARI proporciona un conjunto de enfoques y herramientas que permiten realizar un anlisis de riesgo cuando es necesario. Por qu fue creado? El principal objetivo es proporcionar un mtodo para la evaluacin y gestin de riesgos, proporcionando el conjunto de herramientas y elementos necesarios para su implementacin. Nos proporciona un anlisis directo e individual de situaciones de riesgos descritas en los escenarios. Nos proporcionan un conjunto de herramientas especficamente diseadas para la gestin de la seguridad a corto, mediano y largo plazo. Se adapta a diferentes niveles de madurez y tipos de acciones.

Por qu utilizar MEHARI? La necesidad puede ser, en funcin de la organizacin: Un mtodo permanente de trabajo. Un mtodo de trabajo utilizado en paralelo junto a otras prcticas de gestin de la seguridad. Un mtodo de trabajo utilizado de forma ocasional para complementar otras prcticas regulares. A quines est dirigido? Este mtodo est pensado para profesionales IT y para los gerentes y dueos de negocio. Actualmente es posible hacer un curso para obtener la certificacin en el mtodo. Quienes posean la certificacin, podrn aplicar la metodologa en la empresa con mayor entendimiento y resultara en una mejor evaluacin de los riesgos. Fundamentos principales: El principal fundamento de MEHARI es que las herramientas requeridas en cada fase del desarrollo de la seguridad, deben ser consistentes. Y cada resultado obtenido en una fase, debe poder ser reutilizado por otras herramientas o en otro lugar de la organizacin.

Aspectos: Su modelo de riesgo (cualitativo y entitativo) El examen de la eficacia de las medidas de seguridad en vigor o previstas. La capacidad para evaluar y simular los niveles de riesgo derivados de las medidas adicionales. Ventaja: El mrito principal de MEHARI es que las diferentes herramientas y mtodos de esta metodologa se pueden utilizar de forma separadas unas de otras en cualquier etapa del desarrollo de la seguridad, utilizando diferentes enfoques de gestin y garantizando la consistencia de las decisiones resultantes. Cmo evala la seguridad MEHARI? Mediante cuestionarios de control de seguridad, lo que permite evaluar el nivel de calidad de los mecanismos y soluciones utilizadas para la reduccin del riesgo. Dicha evaluacin la realiza mediante su base de datos de conocimiento, lo que permite evaluar el nivel de la calidad de las medidas de seguridad. Qu cosas tenemos a disposicin para trabajar con el mtodo? MEHARI incluye, directamente en las bases de conocimiento, las frmulas para la evaluacin directa de los riesgos y seleccin de las maneras de reducirlos. Las bases de conocimiento estn disponibles como un libro (para Excel u Open Office), capaz de llevar a cabo la calificacin y cuantificacin de todos los elementos del riesgo. Enfoques que proporcionan MEHARI El enfoque que proporciona MEHARI, proviene de una base de datos de conocimientos y de procedimientos automatizados para evaluar los factores que caracterizan cada uno de los riesgos y su nivel. Para evaluar el riesgo propone dos opciones: 1. Utilizar una serie de funciones de la base de conocimiento de MEHARI, que permiten integrar los resultados de los mdulos de MEHARI. Desde estas funciones se pues evaluar el nivel actual de riesgo y proponer medidas para su reduccin.

2. Emplear una aplicacin software que proporcione una interfaz ms completa que permita simulaciones, visualizaciones y ms optimizaciones. Dominios que cubre MEHARI MEHARI no se limita al domino IT. Tambin cubre los sistemas de informacin, as como la proteccin del sitio en general, el entorno de trabajo y aspectos legales y regulatorios. Resultados que brinda MEHARI El mdulo de analistas de amenazas de MEHARI proporciona dos tipos de resultados, los cuales son:

OCTAVE Sus siglas significan: Evaluacin de la vulnerabilidad ante amenazas desde el punto de vista operativo crtico, activo. Es un mtodo de anlisis de riesgos orientado a activos, y a la gestin de los riesgos para garantizar la seguridad de sistemas informativos, desarrollado por el CERT. Realiza una evaluacin de riesgos en la seguridad de la informacin considera los temas organizacionales y tcnicos, examina como la gente emplea la infraestructura en forma diaria. Objetivo: Desarrollar una perspectiva de seguridad dentro de una organizacin, teniendo en cuenta perspectivas de todos los niveles para asegurarse que las soluciones puedan implementarse con facilidad. Funciones: OCTAVE clasifica a los componentes de la empresa en activos y los ordena de acuerdo a su importancia en amenazas y vulnerabilidad. Tipos de activos de OCTAVE: Sistemas (Hardware, Software y Datos) Personas Desarrollo: OCTAVE fue desarrollada pensando en las empresas, y ser flexible y adaptada a cualquier entorno.

Procesos de Octave

Mtodos de la metodologa OCTAVE Se basan en los criterios del estndar con un enfoque en la prctica y evaluacin de la seguridad basada en la informacin de riesgo. Establecen los principios fundamentales de gestin de riesgos. Mtodo OCTAVE Se desarroll tomando en cuento a grandes organizaciones que tienen una jerarqua de trabajo y su propia infraestructura informtica, tambin tienen herramientas de evaluacin de la vulnerabilidad e interpretar los resultados en base a los activos crticos.

Mtodo OCTAVE-S Se desarroll pensando en las organizaciones ms pequeas. Cumple con los mismos criterios que en mtodo Octave pero adaptado a los limitados medios y restricciones de estas organizaciones.

Mtodo OCTAVE ALLEGRO Se centra en los activos de la informacin en muy apropiado para las personas que desean realizar la evaluacin de riesgo sin una amplia participacin de la organizacin.

Fases de Octave Fase 1: Evaluacin de los participantes desarrollando criterios de medicin del riesgo Fase 2: Crear un perfil de activos crticos y establecer lmites claros que identifica sus necesidades de seguridad Fase 3: Los participantes identifican las amenazas a la informacin de cada activo Fase 4: Los participantes analizan los riesgos para los activos de informacin y desarrollan planes de mitigacin o disminucin de riesgos. [Web03]

METODOLOGA PMBOK

PMBOK es el estndar para la Administracin de Proyectos y cuyas siglas significan en ingls Project Management Body of Knowledge (el Compendio del Saber de la Gestin de Proyectos en espaol). ste a su vez puede ser entendido como una coleccin de sistemas, procesos

y reas de conocimiento que son universalmente aceptados y reconocidos como los mejores dentro de la gestin de proyectos.

El compendio de informacin proveda en el PMBOK provee a todo profesional que desee especializarse en sta rea de los fundamentos de la administracin de proyectos para poder aplicarlo en campos tan dismiles como la electrnica, el desarrollo de software, construccin, proyectos web, proyectos en industrias alimentarias, etc.

HISTORIA DEL PMBOK El PMBOK fue desarrollado por el PMI (Project Management Institute por sus siglas en ingls o el Instituto de Gestin de Proyectos en espaol) a fines de los aos ochenta con el objetivo de documentar, unificar y estandarizar los conocimientos y prcticas dentro del campo de la administracin de proyectos. Actualmente existen 05 versiones del PMBOK, siendo la quinta recientemente publicada por el PMI a mediados del 2012. Esta ltima edicin comprende la documentacin y explicacin de 47 procesos de gestin y se caracteriza por presentar la nocin de que cada rea debe presentar su propio Plan Maestro con el fin de maximizar la eficiencia de cada una de stas y liberar al proceso de cuellos de botella (por ejemplo: desarrollar un plan maestro para la Gestin de Recursos Humanos, un plan maestro para la Gestin de Calidad y as sucesivamente). Cabe destacar que el PMBOK ha sido redactado en un lenguaje comn, utlilizando conceptos que han sido universalizados en el campo de la gestin de proyectos, lo cual significa que cualquier profesional que recin se encuentre introduciendo en sta rea de especializacin podr comprender fcilmente un concepto presentado y relacionar su aplicabilidad en distintos tipos de proyectos por ms dismiles que parezcan.

ALCANCE DEL PMBOK El PMBOK documenta nueve reas de conocimiento los cuales considera universales para casi todo tipo de proyectos as como cinco grupos de procesos. Las reas de conocimiento comprendidas en el PMBOK son: Integracin, Alcance, Tiempo, Costos, Calidad, Recursos Humanos, Comunicacin, Riesgo y Adquisiciones.

Los grupos de procesos por su parte son: de Iniciacin, Planificacin, Ejecucin, Seguimiento y Control y Cierre. stas reas de conocimiento y grupos de procesos se encuentran relacionados entre s, y la relacin de los mismos es lo que conduce a una correcta gestin de proyectos y por tanto en esta documentacin y sistematizacin de la documentacin de los mismos reside el poder y alcance del PMBOK como la principal herramienta de todo profesional que busque especializarse en la Gerencia de Proyectos.

Metodologa de anlisis preliminar de riesgos (Mtodo APELL). Seala los principales aspectos que deben considerarse para establecer el anlisis preliminar de riesgos, integrando de manera articulada elementos de salud, ambiente y riesgo industrial, para lo cual se divide en cuatro partes, cada una con peso dentro de la evaluacin total: 1. 2. 3. 4. Matriz de riesgos: 40 %. Elementos de gestin en seguridad, salud y ambiente: 20 %. Aspectos ambientales: 20 %. Otras caractersticas: 20 %.

La metodologa adoptada se basa en el Programa de Concientizacin y Preparacin para Emergencias a Nivel Local (APELL) el cual fue dado a conocer en 1988 por el Centro de Actividades del Programa de Industria y Medio Ambiente (UNEP IE/PAC) del Programa de las Naciones Unidas. Esta metodologa pretende obtener un anlisis primario que permite conocer de manera general y anticipada los principales riesgos, siendo indicada para Organizaciones de carcter evidentemente industrial, Industrias qumicas, Empresas petroleras, Industrias, Instalaciones u Organizaciones en general cuya actividad pueda producir daos medioambientales o para la seguridad de las personas. Metodologa de anlisis y estrategias para el Control del Riesgo. La metodologa parametriza el anlisis de un riesgo de modo muy completo, considerando las Amenazas que representa el riesgos, la Probabilidad y Consecuencias del Riesgo, la Vulnerabilidad de las personas, bienes, medio ambiente, infraestructuras y operaciones, as como las Estrategias para el Control del Riesgo. Esta metodologa se aplica a edificios y actividades de cualquier naturaleza, aunque estara ms indicado para edificios o actividades que no tengan una gran ocupacin o personal en sus instalaciones, como por ejemplo Comercios, Restaurantes, Hoteles de pocas habitaciones, Residenciales, etc...

Metodologa de matriz DOFA. La matriz DOFA (conocido por algunos como DAFO y SWOT en ingls) es una herramienta de gran utilidad para entender y tomar decisiones en toda clase de situaciones. DOFA es el acrnimo de Debilidades, Oportunidades, Fortalezas y Amenazas, encabezados de una matriz que proveen un buen marco de referencia para analizar por ejemplo, los riesgos de una empresa. Completar la matriz es sencillo, y resulta apropiada para reportes de investigacin de los riesgos y amenazas en una Organizacin. El anlisis DOFA es una evaluacin subjetiva que ayuda a comprender, presentar, discutir y tomar decisiones. Puede ser utilizada en cualquier tipo de toma de decisiones, ya que la plantilla estimula a pensar pro-activamente. La metodologa analiza con meticulosidad y en profundidad los riesgos y amenazas de una Organizacin, siendo por tanto muy indicada para edificios crticos como Hospitales, Laboratorios, Centros de Salud, etc. Metodologa de matriz de supervisin de riesgos (Comit de Basilea) En las ltimas dos dcadas los documentos publicados por el Comit de Basilea han tenido un gran impacto en el mundo de la supervisin bancaria, tanto en la regulacin como en la prctica supervisora. Los principios establecidos en el Pilar 2 del documento consultivo del Comit de Basilea II, representan la base para reenfocar la supervisin, asignndole una doble finalidad: por un lado, asegurar que las entidades tienen el capital adecuado a sus riesgos y por otro, alentar el desarrollo y uso tcnicas de gestin y control de riesgos. En este contexto, Organismos Supervisores en diferentes pases estn en proceso de implementacin de metodologas de supervisin basadas en la gestin de riesgos. Entre las experiencias desarrolladas se puede citar a la Office of the Superintendent of Financial Institutions (OSF) de Canad y al Banco de Espaa. Esta Metodologa de matriz de supervisin de riesgos es clave en el proceso de supervisin basado en riesgos y orientada a Bancos e Instituciones financieras (Bolsa, Asesores burstiles, Organizaciones de Inversin, etc...), debido a que realiza una evaluacin cualitativa y cuantitativa de los riesgos inherentes de cada unidad de negocio o actividad significativa y la determinacin del perfil de riesgo de la institucin. Es una metodologa aplicable para este tipo de Organizaciones para el desarrollo de Planes BCM o Planes Continuidad de Operacione Metodologa de matriz de riesgos.

Seala los principales aspectos que deben considerarse para establecer el anlisis preliminar de riesgos, pero no contempla elementos de salud, ambiente y riesgo industrial. La metodologa se basa en una parte concreta del Programa de Concientizacin y Preparacin para Emergencias a Nivel Local (APELL), siendo indicada la aplicacin de este mtodo en Organizaciones, Empresas, Industrias e Instalaciones cuya actividad no origina riesgos medioambientales, como Organizaciones administrativas, Centros Comerciales, Galeras Comerciales, Edificios Comerciales, Comercios de cualquier naturaleza, Centros de Enseanza, Universidades, Oficinas, Hoteles, Hospitales, etc. Metodologa de matriz de anlisis de vulnerabilidad por amenaza. Metodologa aplicable a cualquier tipo de edificio y actividad, est indicada para edificios patrimoniales y edificios pblicos, (Museos, Bibliotecas, Teatros, Hospitales, etc.) ya que contempla y evala en detalle la ocupabilidad y evacuacin del mismo. La determinacin del grado o nivel de riesgo de la organizacin (Alto / Medio / Bajo), permitir establecer los planes de accin especficos para prevenir la ocurrencia de una emergencia o minimizar las consecuencias de estos eventos. El alcance de las acciones de prevencin o minimizacin de consecuencias est basado en la Aceptabilidad del Riesgo para la organizacin, es decir que es tolerable o no en la organizacin. Metodologa de matriz de anlisis de vulnerabilidad por amenaza. Metodologa aplicable a cualquier tipo de edificio y actividad, est indicada para edificios patrimoniales y edificios pblicos, (Museos, Bibliotecas, Teatros, Hospitales, etc.) ya que contempla y evala en detalle la ocupabilidad y evacuacin del mismo. La determinacin del grado o nivel de riesgo de la organizacin (Alto / Medio / Bajo), permitir establecer los planes de accin especficos para prevenir la ocurrencia de una emergencia o minimizar las consecuencias de estos eventos. El alcance de las acciones de prevencin o minimizacin de consecuencias est basado en la Aceptabilidad del Riesgo para la organizacin, es decir que es tolerable o no en la organizacin. Metodologa de matriz de anlisis de vulnerabilidad por amenaza. Metodologa aplicable a cualquier tipo de edificio y actividad, est indicada para edificios patrimoniales y edificios pblicos, (Museos, Bibliotecas, Teatros,

Hospitales, etc.) ya que contempla y evala en detalle la ocupabilidad y evacuacin del mismo. La determinacin del grado o nivel de riesgo de la organizacin (Alto / Medio / Bajo), permitir establecer los planes de accin especficos para prevenir la ocurrencia de una emergencia o minimizar las consecuencias de estos eventos. El alcance de las acciones de prevencin o minimizacin de consecuencias est basado en la Aceptabilidad del Riesgo para la organizacin, es decir que es tolerable o no en la organizacin. Metodologa de matriz de evaluacin y respuesta. Metodologa apropiada para los Planes de Continuidad de Operaciones. Valora los activos de la Organizacin, contemplando: La autenticidad, la confidencialidad, la integridad, la disponibilidad, el coste de reposicin, el coste de mano de obra, la prdida de ingresos y valor de la interrupcin del servicio, las sanciones por incumplimiento de la ley, los dao a otros activos propios o ajenos, dao a personas y daos medioambientales, etc. Es una metodologa aplicable en la Organizaciones para el desarrollo de Planes BCM o Planes Continuidad de Operaciones. Metodologa de calificacin de riesgos. Es una forma ms prctica de determinar un anlisis de los riesgos en una Organizacin, contempla la probabilidad de que suceda un riesgo y la gravedad del mismo, determinando a partir de estos datos, el Grado de peligro de la amenaza, de manera que se pueden priorizar y disponer de una radiografa general de los escenarios analizados de un modo visual e inmediato. La metodologa es conocida por su sencillez en la aplicacin y es ptima para Organizaciones, Empresas, Industrias e Instalaciones cuya actividad no origina riesgos medioambientales graves, como Organizaciones administrativas, Centros Comerciales, Galeras Comerciales, Edificios Comerciales, Comercios de cualquier naturaleza, Centros de Enseanza, Universidades, Oficinas, Hoteles, Hospitales, etc. Metodologa de anlisis de riesgos por colores. De una forma general y cualitativa desarrolla el anlisis de las amenazas y vulnerabilidades a personas, recursos, sistemas y procesos, con el fin de determinar el nivel de riesgo a travs de la combinacin de variables con cdigos de colores. Aporta elementos de prevencin y mitigacin de los riesgos y atencin efectiva

de los eventos que la organizacin, establecimiento o actividad pueda generar, los cuales constituirn la base para formular los planes de accin. Se trata de una metodologa muy visual, se aplica en Organizaciones, Empresas, Industrias e Instalaciones de todo tipo, como Organizaciones administrativas, Centros Comerciales, Galeras Comerciales, Edificios Comerciales, Comercios de cualquier naturaleza, Centros de Enseanza, Universidades, Oficinas, Hoteles, Hospitales, Industrias, Almacenes, Talleres, etc... Metodologa simplificada de anlisis de riesgos. Un modo simplificado y prctico de realizar un anlisis de los riesgos de una Organizacin, a partir de un anlisis y valoracin de los factores y de las condiciones que influyen sobre el riesgo potencial para las personas y el edificio, determinando el ndice de Probabilidad de ocurrencia y el ndice de Gravedad de las Consecuencias en caso de que el riesgo sucediera. Con los datos anteriores, se obtendr el ndice de Riesgo y a partir de l, se definir el Control para mejorar las condiciones y la seguridad frente a los riesgos. La metodologa es muy utilizada por su sencillez en la aplicacin y est indicada para todos los sectores y actividades, instalaciones y edificios. Aunque existen otras metodologas, como se ha visto anteriormente, suele recurrirse a sta por su sencillez, y porque muestra una visin global de la situacin muy prxima a otras metodologas ms complejas de aplicar. Metodologa de anlisis de riesgos mediante matriz 'Leopold'. Es un modo simplificado y prctico de realizar un anlisis global de la situacin de los riesgos y amenazas de una Organizacin, sin embargo no es una herramienta til para el anlisis de los impactos causados por dichas amenazas a la Organizacin. Se trata de una matriz compuesta por dos ejes: en el eje horizontal se definen las Consecuencias ocasionadas en general sobre diversos aspectos de la Organizacin y en el eje vertical, los factores Naturales, Tecnolgicos y Sociales que impactan sobre la Organizacin. Asignando valores en cada celdilla de la matriz, permite cuantificar (de 0 a 10) tanto la Magnitud del Impacto como la Gravedad del Impacto. Posteriormente sumando por filas y por columna las Magnitudes y las Gravedades, se identifican cules son las mayores amenazadas para la Organizacin y las consecuencias, permitiendo su posterior anlisis y toma de decisiones. La metodologa es indicada para todos los sectores y actividades, instalaciones y edificios, siempre que no se quiera entrar a analizar en profundidad, sirve como un pre-proceso de identificacin previa, para una anlisis posterior ms

detallado slo de aquellas amenazadas potencialmente mayores que han sido detectadas y amenazan a la Organizacin. Por lo tanto y aunque es una metodologa sencilla y de obtencin de resultados sencillos, hay que pensar que muy probablemente deber utilizarse en combinacin con otras que profundicen ms la evaluacin, en los aspectos ms negativos detectados Metodologa de anlisis sencilla de resultados: 'Gua Magerit'. En el anlisis de riesgos hay que trabajar con mltiples elementos que hay que combinar en un sistema para ordenarlo por importancia sin que los detalles, muchos, perjudiquen la visin de conjunto. La experiencia ha demostrado la utilidad de mtodos simples de anlisis llevados a cabo por medio de tablas como las que aqu se exponen, que sin ser muy precisas, s aciertan en la identificacin de la importancia relativa de los diferentes activos sometidos a amenazas. Las tablas propuestas son las correspondientes a una de las tcnicas para anlisis y gestin de riesgos de la Gua metodolgica Magerit, publicada por el Ministerio de Administraciones Pblicas de Espaa como un mtodo simple, pero que permite acercarnos a similares resultados obtenidos aplicando mtodos ms complejos MAGERIT Es la metodologa de anlisis y gestin de riesgos de los sistemas de informacin. Ha sido elaborada por el Consejo Superior de Administracin Electrnica (CSAE). Esta reconocida por ENISA (European Network and Information Security Agency). Facilita la implantacin y aplicacin del Esquema Nacional de Seguridad. Objetivos 1. Concienciar a los responsables de los sistemas de informacin de la existencia de riesgos y de la necesidad de atajarlos a tiempo. 2. Ofrecer un mtodo sistemtico para analizarlos. 3. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control. 4. Preparar a la Organizacin para procesos de evaluacin, auditoria, certificacin o acreditacin, segn corresponda en cada caso. EAR/PILAR

PILAR es una herramienta que implementa la metodologa MEGARIT de anlisis y gestin de riesgos, desarrollada por el Centro Cristolgico Nacional (CCN) y de amplia utilizacin en la administracin publica espaola.

REFERENCIAS BIBLIOGRAFICAS
[Jone94] Jones, C., Assessment and Control of Software Risk. Prentice Hall, 1994. [Higu94] Higuera, R., Dorofee, A., Walker, J., Williams, R., Team Risk Management: A new model for Customer-Supplier Relationship, Special Report CMU/SEI-94-SR-5, Julio de 1994. [Kirk92] Kirkpatrick, R., Walker, J., Firth, R., Software Development Risk Management: An SEI Appraisal, 1992 SEI Technical Review, 1992 [Gall97] Gallager, B., Alberts, C., Barbour, E., Software Acquisition Risk Management Key Process Area (KPA) A Guidebook Version 0.02, CMU/SEI-97-HB-002, 1997 Miller, R., Quality and Risk Management. Spring 1997 Term Paper, Abril de 1997.

[Mill97]

[Vans92] Van Scoy, R., Software Development Risk: Oportunity, Not Problem. Technical Report CMU/SEI-92-TR-30, Septiembre de 1992. [Web01] http://concepto.de/concepto-de-gestion/ En este sitio puedes encontrar diferentes conceptos. [Web02] http://neon.airtime.co.uk/users/wysywig/risk_1.htm En este sitio se puede obtener variados conceptos acerca de Gestin de Riesgo y de herramientas. [Web03] http://prezi.com/4vehxgk2xprw/metodologia-de-analisisoctave/?utm_source=website&utm_medium=prezi_landing_related_solr&utm_ campaign=prezi_landing_related_author