Un riesgo ocurre en el futuro (proyecta), esto significa modificar nuestras acciones
desde este momento. Un riesgo implica un cambio que puede venir dado por cambio de opiniones, implica una eleccin y la falta de certeza que la eleccin des correcta.
Anlisis de Riesgos 1. Determinar los activos relevantes para la Organizacin, su interrelacin y su valor, en el sentido de qu perjuicio (coste) supondra su degradacin 2. Determinar a qu amenazas estn expuestos aquellos activos 3. Determinar qu salvaguardas hay dispuestas y cun eficaces son frente al riesgo 4. Estimar el impacto, definido como el dao sobre el activo derivado de la materializacin de la amenaza 5. Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectacin de materializacin) de la amenaza
Todo riesgo tiene 4 actividades Planificacin: Trata de poder identificar todos los riesgos que sean obvios, tanto para los gestores como para los tcnicos. a. Riesgo Proyecto. Problemas de presupuesto, de agenda, de personal, de recursos. b. Riesgo Tcnico. Problemas de diseo, implantacin, interfaz, verificacin y mantenimiento. c. Riesgo de Negocio. La construccin del producto que no se ajuste a las estrategias global de la empresa, o la construccin de un producto que nadie lo quiera usar. Proyeccin: Denominada estimacin de riesgo, evaluado de dos formas a. La probabilidad que el riesgo sea real b. Las consecuencias de los problemas asociados Se realizan 4 actividades 1. Establecimiento de una escala que refleje la probabilidad del riesgo (bastante probable, probable, poco probable, improbable). 2. Definicin de consecuencias 3. Estimacin del impacto del riesgo Evaluacin: Se consideran 3 parmetros: [R1,L1,X1] R1 : riesgo L1 : probabilidad X1 : impacto Gestin y supervisin: Es considerar las medidas preventivas necesarias para contrarrestar a que el riesgo ocurra, desarrollndose planes de contingencia o PGRS. La supervisin tiene tres objetivos a. Detectar la ocurrencia de un riesgo que halla sido previsto b. Asegurar los pasos de correccin al riesgo definido c. Recopilar informacin que se pueda utilizar para futuros proyectos.
Valoracin
Degradacin: cun perjudicado resultara el activo Frecuencia: cada cunto se materializa la amenaza
Determinacin del Impacto Impacto acumulado Es el calculado sobre un activo teniendo en cuenta su valor acumulado (el propio mas el acumulado de los activos que dependen de l) las amenazas a que est expuesto
Impacto repercutido Es el calculado sobre un activo teniendo en cuenta su valor propio las amenazas a que estn expuestos los activos de los que depende
Gestin de Riesgos Interpretacin de los valores de impacto y riesgo residuales Si el valor residual es igual al valor potencial, las salvaguardas existentes no valen para nada, tpicamente no porque no haya nada hecho, sino porque hay elementos fundamentales sin hacer. Si el valor residual es despreciable, ya est. Esto no quiere decir descuidar la guardia; pero si afrontar el da con cierta confianza. Mientras el valor residual sea ms que despreciable, hay una cierta exposicin. Seleccin de salvaguardas 1. establecer una poltica de la Organizacin al respecto: directrices generales de quin es responsable de cada cosa 2. establecer una norma: objetivos a satisfacer para poder decir con propiedad que la amenaza ha sido conjurada 3. establecer unos procedimientos: instrucciones paso a paso de qu hay que hacer 4. desplegar salvaguardas tcnicas que efectivamente se enfrenten a las amenazas con capacidad para conjurarlas 5. desplegar controles que permitan saber que todo lo anterior est funcionando segn lo previsto
Equilibrio entre salvaguardias - Salvaguardas tcnicas: en aplicaciones, equipos y comunicaciones - Salvaguardas fsicas: protegiendo el entorno de trabajo de las personas y los equipos - Medidas de organizacin: de prevencin y gestin de las incidencias - Poltica de personal: que, a fin de cuentas, es el eslabn imprescindible y ms delicado: poltica de contratacin, formacin permanente, Organizacin de reporte de incidencias, plan de reaccin y medidas disciplinarias.
CASO PRCTICO
RIESGO DEL PROYECTO
ANLISIS DE RIESGO
1. Falta de disponibilidad de tiempo del personal del rea de Rentas. Esto se detalla por que el gerente no tiene una disposicin completa para brindar informacin. Riesgo. El tiempo establecido no ser suficiente para el desarrollo del proyecto. Impacto. No cumplir las expectativas de la institucin. Retraso en la etapa de anlisis.
2. La informacin no es detallada y precisa de parte del personal. Para el desarrollo del proyecto se necesita informacin detallada, precisa y clara. Riesgo. Podr causar necesidades del Sistema en el momento de interactuar con el usuario. Impacto. El sistema no emite los resultados esperados.
3. Personal sin experiencia para el desarrollo del Sistema de Rentas. Para realizar el proyecto se necesitan programadores con experiencia de haber desarrollado un Sistema. Riesgo. El Sistema de Rentas no seria de calidad. Impacto. El Sistema seria obsoleto en el mercado.
4. Desconocimiento del usuario que labora en el rea de Rentas sobre la utilizacin del nuevo software. La capacitacin del personal por parte del rea de Rentas en el manejo del nuevo Sistema de Rentas implantado, no ser solventada por parte de la institucin. Riesgo. La mala utilizacin del Sistema de Rentas. Impacto. El personal puede causar daos en el sistema, hardware y software.
ESTIMACIN DE RIESGO
Riesgos Muy Frecuente Frecuente Normal Poco Frecuente Falta de disponibilidad de tiempo del personal de rea de Rentas. X La informacin no es detallada y veraz de parte del personal del rea. X Personal sin experiencia para el desarrollo de la codificacin. X Desconocimiento del usuario que labora en el rea de rentas sobre la utilizacin del nuevo Sistema. X
EVALUCIN DE RIESGO (Probabilidad)
ESTIMACIN DE IMPACTO RIESGOS PESOS R1.- Tiempo establecido, no suficiente. 0.4 R2.- Causa nuevas necesidades en el sistema en el momento de interactuar 0.1 R3.- El Sistema no seria de calidad. 0.2 R4.- Inadecuada utilizacin del Sistema. 0.3 Total 1.00 RIESGO IMPACTO PESOS R1 X1.- No cumplir las expectativas. 0.05 R1 X2.- Retrazo de etapa de anlisis. 0.25 R2 X3.- El Sistema no emite resultados esperados. 0.5 R3 X4.- El Sistema no seria de calidad. 0.05 R4 X5.- Daos de hardware y software. 0.15 Total 1.00
MONITOREO Y GESTIN DE RIESGOS
RIESGO EVALUACIN E IMPACTO GESTIN R1 X1: (0.4%, 0.05%) X2: (0.4%, 0.25%) Reunin con el personal del rea de rentas. Adecuarnos al horario del personal. R2 X3: (0.1%, 0.5%) Brindar informacin del proyecto. Comunicar las ventajas del proyecto R3 X4: (0.2%, 0.05%) Buscar personal capacitado en el desarrollo del sistema. Tener personal con reemplazo. R4 X5: (0.3%, 0.15%) Brindar un manual detallado para la utilizacin del Sistema Rentas. Capacitacin del personal.