PLAN DE VALORACIÓN DE RIESGO P á g i n a

Transcripción

1

2 81 P á g i n a

3 INTRODUCCIÓN Para que una empresa desarrolladora de software funcione correctamente y alcance los objetivos propuestos por la administración son necesarios activos o recursos de diferentes índoles y con diversos fines. Estos recursos pueden ser humanos, materiales (edificios, instalaciones, inmuebles, papelería, hardware, etc.) e inmateriales (software, experiencia, credibilidad, alcance de mercadeo etc.). Todos estos recursos se encuentran en un entorno de incertidumbre, que en ocasiones, puede mostrase agresivo y provocar interrupciones inesperadas del funcionamiento normal de la actividad de la empresa. La mayor parte de estas interrupciones suelen ser temporales y las condiciones vuelven a ser normales en un período que no ocasiona situaciones críticas para la actividad normal de la empresa. Sin embargo, puede haber circunstancias que generen interrupciones prolongadas, que lleguen a influir en la capacidad de funcionamiento de los servicios o impidan el desarrollo normal de los mismos. Detallar el análisis y la valoración de riesgos en los proyectos de información de una manera estructurada por fases, como herramienta de apoyo para las empresas desarrolladoras. 82 P á g i n a

4 OBJETIVO GENERAL Proporcionar a las empresas, una herramienta que le facilite identificar, evaluar los riesgos en los proyectos informáticos que emprenda la compañía, mejorando su servicio con el fin de disminuir el impacto y el tiempo al entrar en producción. OBJETIVOS ESPECÍFICOS Reconocer los riesgos en las diversas operaciones que realiza la empresa. Determinar el método de evaluación y valoración de riesgos para los Proyectos informáticos. Documentar las amenazas y los posibles atentados en contra de las actividades de la empresa. 83 P á g i n a

5 ALCANCES DEL PLAN Definir y documentar la valoración de los riesgos en los proyectos informáticos de una manera organizada que permita identificar, evaluar, controlar y valorar los riesgos en el área para las empresas desarrolladoras de software. Se desarrollará documentando cada una de las fases que componen la propuesta: Fase de identificación, evaluación, control y valoración, incluyendo las actividades que se deben ejecutar en cada fase. Con este plan se pretende dar a conocer los riesgos encontrados en las empresas en estudio, en relación a frecuencia, probabilidad, severidad o impacto en las organizaciones que se consideraron para esta investigación. 84 P á g i n a

6 BENEFICIO DEL PLAN El beneficio a obtener en la identificación, análisis y valoración de riesgos es: Dimensionar el impacto de los riesgos sobre la empresa en términos de interrupciones y pérdida que puedan poner en riesgo la viabilidad y la continuidad del proyecto. 85 P á g i n a

7 5.0. QUE ES LA VALORACIÓN DE RIESGOS: Proceso mediante el cual se establece la probabilidad de que ocurran daños personales o pérdidas materiales y la cuantificación de los mismos. Es importante en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que participan en un proyecto informático y por medio de una buena gestión se pueda evaluar el desempeño, desarrollo y ejecución del mismo. Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en cuenta que una de las principales causas de los problemas dentro del entorno informático, es la inadecuada administración de riesgos, este trabajo sirve de apoyo para una adecuada gestión de la administración de riesgos FASE 0: GESTIÓN DEL RIESGO La fase 0 está destinada a identificar, evaluar, valorar y controlar los riesgos, la frecuencia y severidad con que se pueden presentar y el grado de aceptabilidad que tienen en el desarrollo del proyecto. Para comenzar con el análisis y la valoración se requiere utilizar las conceptualizaciones siguientes: Amenaza: Persona, objeto, situación o evento natural del entorno (externo o interno) que es visto como fuente de peligro, catástrofe o interrupción y pueden ser de origen natural tecnológico y social. Ejemplos: sismos, inundación, avalanchas, incendio, explosiones, robo de datos, sabotaje, fraude, etc. También se define como un riesgo no evaluado. Es necesario cuantificarla para poder tomar decisiones (Administración de Riesgos). En síntesis podemos definir que la amenaza es una percepción del algo que puede ocurrir. 86 P á g i n a

8 Riesgo: Definimos el riesgo como la probabilidad de que la amenaza se materialice, debido a la existencia de una o varias vulnerabilidades de peso significativo. El riesgo es difícil de medir, sobretodo, cuando no se cuenta con datos estadísticos que lo respalden o avalen, por la tendencia de las empresas a ocultar incidentes, la localización geográfica, las culturas, leyes, criticidad, situación país, etc. También se define como una amenaza evaluada en cuanto a su probabilidad de ocurrencia (Frecuencia) y a la gravedad de sus consecuencias (Severidad). Riesgo Informático: Es un suceso incierto que puede llegar a presentarse en un futuro con la probabilidad de Generar Consecuencias NEGATIVAS que afecten el ambiente informático o la información. Probabilidad/Frecuencia: Es el número de veces que se da un evento. Ver también posibilidad y probabilidad. También se define como el número de veces que una amenaza deja de serlo para convertirse en realidad, a lo largo de un determinado periodo de tiempo. Gravedad/Severidad/Impacto: Es la evaluación del efecto y consecuencia del riesgo. Generalmente, la exposición al riesgo se mide en aspectos económicos, imagen de las personas o empresas, disminución de capacidad de respuesta y competitividad, interrupción de operaciones, etc. Efecto que causa en la empresa la ocurrencia de un siniestro y que normalmente se ve reflejado en la suspensión de las actividades normales del negocio. Valor del riesgo: Riesgo = Probabilidad X Gravedad (R = PxG) Siniestro: Todo evento accidental, súbito e imprevisto (repentino, no planeado), que normalmente genera consecuencias negativas sobre un proyecto. Control: es toda acción orientada a minimizar la frecuencia de ocurrencia de las causas del riesgo o valor de las pérdidas ocasionadas por ellas. Los controles sirven para asegurar la consecución de los objetivos de las empresas o asegurar 87 P á g i n a

9 el éxito de un proyecto y para reducir la exposición de los riesgos, a niveles razonables. Con las anteriores definiciones, este plan de análisis y valoración pretende identificar y calificar los riesgos que se presentan alrededor del proyecto Informáticos. El siguiente diagrama muestra cada una de las actividades que se llevaran cabo en cada fase DIAGRAMA DE ADMINISTRACIÓN DE RIESGOS VALORACIÓN DEL RIESGO IDENTIFICACIÓN ANÁLISIS Y VALORACIÓN DEL RIESGO ANÁLISIS DE RESULTADOS CONTROL 88 P á g i n a

10 5.2. FASE 1.- IDENTIFICACIÓN RIESGOS POTÉNCIALES La identificación de riesgos consiste en determinar qué tipos de riesgos es más probable que afecten al proyecto informático y documentar las características de cada uno. Los siguientes riesgos se identificaron por medio de las cedulas de entrevista dirigida a los administradores y el cuestionario dirigido a los especialistas en sistemas (Programadores) de las empresas desarrolladoras de software de la ciudad de San Miguel. (Ver anexo de instrumento de recolección de información Cedula de entrevista, Cuestionario Anexo N 6 y 7). Metodología de Trabajo. Proyectos en Desarrollo. Mal funcionamiento de Hardware. Falta de Seguridad física en sus Instalaciones. Los Virus Informáticos. Los accesos no autorizados. Almacenamiento de los Respaldos (Backups). El Robo. Las Normas y Políticas. Desastres Naturales. 89 P á g i n a

11 La siguiente metodología a seguir es, detallar los riesgos relacionados a cada identificación. Se irán puntualizando y desglosando según su dependiente, de esta manera se podrá conocer su proceso en el desarrollo METODOLOGÍA DE TRABAJO. Análisis Preliminar Diseño Codificación Puesta en Funcionamiento Evolución PROYECTOS EN DESARROLLO. PROCESO: El producto en desarrollo: Cambios de requerimientos. El proceso de Desarrollo: Diseño inadecuado. El equipo de Desarrollo: Añadir más personal a un proyecto atrasado. Personal problemático descontrolado. Fricciones entre clientes y desarrolladores (política del desarrollo) MAL FUNCIONAMIENTO DE HARDWARE. Fallas en los equipos Discos duros Memorias RAM. 90 P á g i n a

12 5.2.4 FALTA DE SEGURIDAD FÍSICA EN SUS INSTALACIONES. Polarizaciones eléctricas. Alarmas. Infraestructura antigua LOS VIRUS INFORMÁTICOS. Actualización de antivirus. Firewall LOS ACCESOS NO AUTORIZADOS. Áreas de trabajo. Control de acceso a la información. Nivel de acceso ALMACENAMIENTO DE LOS RESPALDOS (BACKUPS). Backups de software Backups Data EL ROBO Medios de almacenamiento masivo Llevándose la data, difundiendo así la información NORMAS Y POLÍTICAS. Normas para el uso de los equipos de la empresa. Políticas de seguridad para la empresa. 91 P á g i n a

13 DESASTRES NATURALES. Fuego Inundaciones Sismos Huracanes Una vez identificadas las amenazas y los riesgos se elaboran las siguientes matrices: La matriz de eventos de riesgos con relación a los procesos se construye con las amenazas y con los procesos que tienen los proyectos informáticos. La combinación Proceso Amenaza (fila, columna) lo nombraremos Evento de riesgos, tal como se muestra en la Tabla N TABLA # 1. MATRIZ DE EVENTOS CON RELACIÓN A PROCESOS. Procesos / Amenazas Fallas Fallas Fallas P1 P1,A1 P1,A2 P1,An P2 P2,A3 P2,A4 P2,An Pn P1= proceso 1, P2= proceso 2 Pn= proceso n A1= amenaza 1, A2= amenaza 2.. An= amenaza n P1, A1 = E1, es el evento 1 de que en el proceso 1 ocurra la amenaza 1. El método a seguir es la realización de las Matrices de procesos y amenazas. 92 P á g i n a

14 Las siguientes tablas de eventos se desarrollan para conocer las amenazas o fallas bajo las cuales están sometidos cada uno de los procesos TABLA # 2. MATRIZ DE EVENTO CON RELACIÓN A LA METODOLOGÍA DE TRABAJO. PROCESOS/AMENAZAS Fallas planificaci ón del proyecto Fallas en los modelos del prototipo s Fallas en la etapa de realizar pruebas. Fallas en la puesta en marcha del producto Fallas de la aplicación METODOLOGÍA DE TRABAJO.-P1 Análisis preliminar. A1 Diseño. A2 Codificaci ón. A3 Puesta en Funcionamie nto. A4 Evolución. A TABLA # 3. MATRIZ DE EVENTOS CON RELACIÓN AL PROCESOS/AMENAZAS PROYECTO EN DESARROLLO. Fallas del producto en desarrollo Fallas del proceso de desarrollo Fallas del equipo de desarrollo PROYECTOS EN DESARROLLO.- P2 Cambios de requerimientos. A6 Diseño inadecuado A7 Añadir más personal a un proyecto atrasado. A8 Personal problemático descontrolado. A9 Fricciones entre clientes y desarrolladores (política del desarrollo). A10 93 P á g i n a

15 5.3.3 TABLA # 4. MATRIZ DE EVENTOS CON RELACIÓN AL MAL FUNCIONAMIENTO DE HARDWARE. PROCESOS/AMENAZAS Fallas en los equipos MAL FUNCIONAMIENTO DE HARDWARE.- P3 Discos duros A11 Memorias RAM A TABLA # 5. MATRIZ DE EVENTOS CON RELACIÓN A LA FALTA DE SEGURIDAD FÍSICA EN SUS INSTALACIONES. PROCESOS/AMENAZAS Fallas por los métodos de protección al hardware Fallas en la segurida d Fallas en la seguridad física FALTA DE SEGURIDAD FÍSICA EN SUS INSTALACIONES.-P4 Polarizacione s eléctricas. A 13 Alarmas. A 14 Infraestruc tura antigua. A TABLA # 6. MATRIZ DE EVENTOS CON RELACIÓN A LOS VIRUS INFORMÁTICOS. PROCESOS/AMENAZAS LOS VIRUS INFORMÁTICOS.-P5 Fallas en la seguridad Actualización de antivirus. A16 Fallas en el control de acceso Firewall. A17 94 P á g i n a

16 5.3.6 TABLA # 7. MATRIZ DE EVENTOS CON RELACIÓN A LOS ACCESOS NO AUTORIZADOS. PROCESOS/AMENAZAS Fallas inadecuada medida de seguridad Fallas por la libertad de acceso Fallas en el control del acceso LOS ACCESOS NO AUTORIZADOS.-P6 Áreas de trabajo. A18 Control de acceso a la información. Nivel de acceso. A20 A TABLA # 8. MATRIZ DE EVENTOS CON RELACIÓN AL ALMACENAMIENTO DE LOS RESPALDOS (BACKUPS). PROCESOS/AMENAZAS ALMACENAMIENTO DE LOS RESPALDOS (BACKUPS).-P7 Fallas en las plataformas de trabajo ó SO Backups de software. A21 Fallas en cuanto al tiempo que realizan los resguardos Backups Data. A TABLA # 9. MATRIZ DE EVENTOS CON RELACIÓN AL ROBO. PROCESOS/AMENAZAS Fallas en el Fácil acceso Fallas en la seguridad de acceso EL ROBO.- P8 Medios de almacenamiento masivo. A23 Llevándose la data, difundiendo así la información. A24 95 P á g i n a

17 5.3.9 TABLA # 10. MATRIZ DE EVENTOS CON RELACIÓN A LAS NORMAS Y POLÍTICAS. PROCESOS/AMENAZAS Fallas por no contar con normas Fallas por no cortar con políticas NORMAS Y POLÍTICAS.-P9 Normas para el uso de los equipos de la empresa. A25 Políticas de seguridad para la empresa. A TABLA # 11. MATRIZ DE EVENTOS CON RELACIÓN A DESASTRES NATURALES. PROCESOS/AMENAZAS Fallas por la falta de equipo contra fuego Fallas por desagües, invierno humedad, Riesgo a ocurrir Riesgo a ocurrir DESASTRES NATURALES.-P10 Fuego. A27 Inundaciones A28 Sismos A29 Huracanes A30 96 P á g i n a

18 5.4 NIVEL DE RIESGOS DE PROBLEMAS OCURRIDOS EN LAS EMPRESAS Para evaluar esta etapa se describen los problemas con más impacto y probabilidad de ocurrencia que se les presentan a las empresas desarrolladoras se describen los procesos y amenazas existentes en los cuales permiten obtener información para los efectos de la toma de decisiones, estos niveles de riesgo son: ALTO (cuando el riesgo hace altamente vulnerable a la entidad o unidad). o (Impacto y probabilidad alta vs controles). MEDIO (cuando el riesgo presenta una vulnerabilidad media). (Impacto alto probabilidad baja o Impacto bajo - probabilidad alta vs controles). BAJO (cuando el riesgo presenta vulnerabilidad baja), (Impacto y probabilidad baja vs controles). El método a seguir es el de realizar la matriz de nivel de riesgo de los problemas encontrados en cada empresa desarrolladora, en las cuales se irán dando a conocer según su nivel de impacto y probabilidad de ocurrencia en cada una de ellas. 97 P á g i n a

19 5.4.1 Matriz 1.- NIVEL DE RIESGOS DE PROBLEMAS OCURRIDOS EN LAS EMPRESAS. ALTO I M P A C T O MEDIO BAJO Disoftware, Syscotel SA de CV, Ryougan technology, Garrobito Web, Ceminfo. P1- Análisis Preliminar (A1), Diseño (A2), Codificación (A3), Puesta en Funcionamiento (A4), Evolución (A5). Baja Media Alta Probabilidad 98 P á g i n a

20 I M P A C T O ALTO MEDIO BAJO Matriz 1.- NIVEL DE RIESGOS DE PROBLEMAS OCURRIDOS EN LAS EMPRESAS. Disoftware, Syscotel SA de CV, Ryougan technology, Garrobito Web, Ceminfo. P3- Discos duros (A11), Memoria RAM (A12). Garrobito Web P2-Añadir más personal a un proyecto atrasado (A8). Ryougan technology, P2-Diseño inadecuado (A7), Añadir más personal a un proyecto atrasado (A8), Personal problemático descontrolado (A9),Fricciones entre clientes y desarrolladores (política del desarrollo) Disoftware, Syscotel SA de CV, Ryougan technology, Garrobito Web, Ceminfo. P2-Cambio de requerimientos (A6) Baja Media Alta Probabilidad 99 P á g i n a

21 I M P A C T O Matriz 1.- NIVEL DE RIESGOS DE PROBLEMAS OCURRIDOS EN LAS EMPRESAS. ALTO MEDIO BAJO Disoftware, Syscotel SA de CV, Ryougan technology, Garrobito Web, Ceminfo. P6-Areas de trabajo (A18), Control de acceso a la información (A19), Nivel de acceso (A20). Ceminfo, Ryougan technology. P4-Alarmas (A14) Disoftware, Syscotel SA de CV, Ryougan technology, Garrobito Web, Ceminfo. P5-Actualizacion de antivirus (A16) Firewall (A17). Ceminfo, Ryougan technology. P4-Polarizaciones eléctricas(a13) Ryougan technology P4- Infraestructura antigua (A15) Baja Media Alta Probabilidad 100 P á g i n a

22 I M P A C T O ALTO Matriz 1.- NIVEL DE RIESGOS DE PROBLEMAS OCURRIDOS EN LAS EMPRESAS. Disoftware, Syscotel SA de CV, Ryougan technology, Garrobito Web, Ceminfo. P7-Backups de software (A21), Backups de Data (A22). MEDIO Disoftware, Ryougan technology, Garrobito Web, Ceminfo. BAJO P8-Medios de almacenamiento masivo (A23) Llevándose la data, difundiendo así la información (A24) Disoftware, Syscotel SA de CV, Ryougan technology, Garrobito Web, Ceminfo. P9-Normas para el uso de los equipos de la empresa (A25). Políticas de seguridad para la empresa (A26). Syscotel SA de CV P8-Medios de almacenamiento masivo (A23). Llevándose la data, difundiendo así la información (A24) Baja Media Alta Probabilidad 101 P á g i n a

23 5.4.1 Matriz 1.- NIVEL DE RIESGOS DE PROBLEMAS OCURRIDOS EN LAS EMPRESAS. ALTO Garrobito Web, Ceminfo. I M P A C T O MEDIO BAJO P10-Fuego (A27). Syscotel SA de CV, Ryougan technology. P10-Inundaciones (A28). Ryougan technology. P10-Sismos (A29.) Syscotel SA de CV P10- Huracanes (A30) Baja Media Alta Probabilidad Ver anexo de instrumento de recolección de información Cedula de entrevista, Cuestionario. Anexo N 6 y P á g i n a

24 5.5 FASE 2. - ANÁLISIS Y VALORACIÓN RIESGO Una vez que los riesgos han sido identificados y descrito sus procesos y amenazas, se llevara a cabo su evaluación. El paso a seguir es hacer el análisis y la valoración. En esta actividad se tiene como objetivo, una vez definidos los riesgos, la determinación y cálculo de los criterios que, con posterioridad, nos facilitarán la evaluación y valoración del riesgo. Como procedimiento a seguir se identificarán las variables específicas y se analizarán los factores obtenidos. Los criterios de análisis del riesgo para este caso en particular que usaremos son: Probabilidad o frecuencia, gravedad o impacto y la aceptabilidad del riesgo. Para poder hacer el análisis y la valoración del riesgo es necesario elaborar las escalas de probabilidad y gravedad en que se pueden presentar las amenazas. Estas dos tablas tienen como finalidad obtener una calificación del riesgo en cuanto a frecuencia o posibilidad de ocurrencia y en cuanto a la consecuencia o gravedad si se llegara a materializar la amenaza. 103 P á g i n a

25 5.5.1 Tabla # 12. Contiene una Escala de Probabilidad. VALOR PROBABILIDAD Ó (FRECUENCIA) DEFINICIÓN 1 Improbable 2 Remoto 3 Ocasional 4 Moderado 5 Frecuente 6 Constante Se presenta bajo circunstancias extremas de orden público en el país, de catástrofe o bajo situaciones excepcionales fuera del alcance de la organización o del proyecto. Como paros, huelgas, sabotajes o amenazas de terrorismo. Se presenta por situaciones atribuibles a las personas, y pueden ser causadas por hechos internos de la organización hacia el proyecto como suspenderlo, no apoyarlo, abortarlo, entre otras. El evento se clasifica como norutinario y no es inherente a la tecnología, su frecuencia se asocia con variables externas a la tecnología, los procesos o componentes del proyecto. Se presenta por situaciones atribuibles al descuido o error humano que afectan la ejecución del proyecto. Se presenta con cierta regularidad, y su causa es atribuible a los recursos mínimos del proyecto (Personas, presupuesto, tiempo, tecnología) los cuales son necesarios para su ejecución. Se presenta en el día a día, su origen es atribuible a situaciones normales del proyecto como interrupciones menores de los procesos, los servicios de la tecnología, la desviación de los recursos y otros similares. 104 P á g i n a

26 Definición Aplicativa. IMPROBABLE: Cuando el riesgo evaluado no ha sucedido hasta ahora y es muy difícil que ocurra. REMOTO: Cuando el riesgo evaluado ha sucedido sólo en forma excepcional y se tiene una posibilidad de ocurrencia muy baja. OCASIONAL: Cuando el riesgo evaluado ha sucedido pocas veces y tiene baja posibilidad de ocurrencia. MODERADO: Si el riesgo sucede en forma esporádica y tiene limitada posibilidad de ocurrencia. FRECUENTE: Si el riesgo sucede algunas veces y tiene una significativa posibilidad de ocurrencia. CONSTANTE: Cuando el riesgo evaluado sucede en forma reiterada y tiene alta posibilidad de ocurrencia. El termino Gravedad: se refiere a la magnitud en términos relativos de las consecuencias que pueden generarse al ocurrir la amenaza evaluada. La tabla de gravedad, debe construirse en forma estándar para las empresas. 105 P á g i n a

27 VALOR TABLA # 13. ESCALA DE GRAVEDAD. 1 Insignificante: La duración de la interrupción es menor a 1 Hora. 2 Marginal: La duración de la interrupción esta entre 1-4 Horas. 5 Grave: 10 Crítico: La duración de la interrupción esta entre 4-8 Horas. La duración de la interrupción esta entre 8-24 Horas. 20 Desastroso: La duración de la interrupción esta entre Horas. 50 Catastrófico: La duración de la interrupción es mayor a 36 Horas. GRAVEDAD 106 P á g i n a

28 INSIGNIFICANTE: Cuando las consecuencias (impacto) pueden ser consideradas como despreciables porque que no afectan el funcionamiento del proyecto. MARGINAL: Cuando las consecuencias (impacto) se consideran tolerables (moderadas) porque afectan en forma leve al proyecto. GRAVE: Cuando las consecuencias (impacto) afectan parcialmente el funcionamiento del proyecto, pero no ponen en peligro su ejecución. CRÍTICO: Se valora la consecuencia (impacto) en términos considerables porque dichas consecuencias afectan parcialmente al proyecto desplazando su ejecución. DESASTROSO: Las consecuencias afectan totalmente al proyecto, desplazando su ejecución y aumentando los costos del mismo de lo inicialmente presupuestado. CATASTRÓFICO: Cuando las consecuencias se consideran de gran magnitud porque afectan en forma total el proyecto pudiendo poner en riesgo la estabilidad del mismo e inclusive impidiendo su terminación. Podemos hablar con el término riesgo cuando la amenaza se evalúa con las escalas de probabilidad y gravedad. El próximo paso entonces, de esta etapa, es calificar los riesgos multiplicando el valor del riesgo en cuanto a probabilidad por el valor del riesgo en cuanto a gravedad. Riesgo = Probabilidad X Gravedad (R = PxG). Tal como se muestra en la Tabla # 14 tomando como referencias las Matrices de Eventos o escenarios en cuanto a Procesos: 107 P á g i n a

29 5.5.3 TABLA #14 CALIFICACIÓN DEL RIESGO CON RELACIÓN A LOS PROCESOS. ENTORNO DE PROCESOS PROBABILIDAD P GRAVEDAD G RIESGO (PxG) METODOLOGÍA DE TRABAJO.- P1- A1, A2, A3, A4, A5. PROYECTOS EN DESARROLLO.- P2-A5, A6, A7, A8, A9, A10. MAL FUNCIONAMIENTO DE HARDWARE.- P3- A11, A12. FALTA DE SEGURIDAD FÍSICA EN SUS INSTALACIONES.-P4- A13, A14, A15. LOS VIRUS INFORMÁTICOS.-P5 A16, A17. OCASIONAL 3 CRÍTICO OCASIONAL 3 GRAVE 5 15 OCASIONAL 3 CATASTRÓFICO OCASIONAL 3 MARGINAL 2 6 REMOTO 2 GRAVE 5 10 LOS ACCESOS NO OCASIONAL 3 GRAVE 5 15 AUTORIZADOS.-P6 A19,A19,A20 ALMACENAMIENTO DE LOS REMOTO 2 CRÍTICO RESPALDOS (BACKUPS).-P7- A21, A22. EL ROBO. - P8-A23, A24. OCASIONAL 3 DESASTROSO NORMAS Y POLÍTICAS.-P9-A25, OCASIONAL 3 CRÍTICO A26. DESASTRES NATURALES.-P10- REMOTO 2 CATASTRÓFICO A27, A28, A29, A30. Riesgo = P X G Donde: P = Probabilidad de ocurrencia (frecuencia) G = Gravedad o intensidad de las consecuencias (impacto) 108 P á g i n a

30 5.6 FASE 3. - ANALISIS DE RESULTADOS Elaborar la Matriz de Aceptabilidad, que nos permita determinar el nivel de aceptabilidad hacia el riesgo. La Matriz de Aceptabilidad de Riesgos nos determina el nivel de aceptabilidad del evento o escenario (combinación de Riesgo proceso, o combinación de riesgo tecnología) que pueda suceder en el proyecto. Esta matriz está conformada por cuatro zonas de acuerdo con la escala de probabilidad y de gravedad definida en los pasos anteriores: Zona Aceptable: Donde la probabilidad de ocurrencia del riesgo es muy baja, es decir, un evento o escenario situado en esta región de la matriz, significa que la combinación frecuencia consecuencia no implica una gravedad significativa, por lo que no amerita la inversión de recursos y no requiere acciones adicionales para la gestión sobre el factor de vulnerabilidad considerado, diferentes a las ya aplicadas en el proyecto. Zona Tolerable: Un evento o escenario situado en esta región de la matriz, significa que, aunque deben desarrollarse actividades para la gestión sobre el riesgo en el proyecto, tienen una prioridad de segundo nivel, pudiendo ser a mediano plazo. Zona Inaceptable: Donde la probabilidad de ocurrencia del riesgo es alta, y su consecuencia es considerable, es decir, un evento o escenario situado en esta región de la Matriz, significa que se requiere siempre desarrollar acciones prioritarias a corto plazo para su gestión, debido al alto impacto que tendrían sobre el proyecto. Zona Inadmisible: Un riesgo identificado situado en esta región de la matriz, significa que bajo ninguna circunstancia se deberá mantener un escenario con esa capacidad potencial de afectar la estabilidad del proyecto e inclusive su 109 P á g i n a

31 terminación. Por ello estos escenarios requieren una atención de alta prioridad para buscar disminuir en forma inmediata su vulnerabilidad. Para determinar los límites de cada una de las zonas de aceptabilidad en la matriz, se utilizan los siguientes criterios de valoración: Tabla # 15 Matriz de Zona de Aceptabilidad. ZONA CRITERIO DE ACEPTABILIDAD (% de vulnerabilidad). Aceptable Hasta el 3.0 Tolerable Del 3.1 al 5.0 Inaceptable Del 5.1 al 25.0 Inadmisible Más del Tabla # 16 PROBABILIDAD RELATIVA. Constante 6 6 (2.0%) 12 (4.0%) 30 (10.0%) 60 (20.0%) 120 (40.0%) 300 (100.0%) Frecuente 5 5 (1.6%) 10 (3.3%) 25 (8.3%) 50 (16.6%) 100 (33.3%) 250 (83.3%) Moderado 4 4 (1.3%) 8 (2.6%) 20 (6.6%) 40 (13.3%) 80 (26.6%) 200 (66.6%) Ocasional 3 3 (1.0%) 6 (2.0%) 15 (5.0%) 30 (10.0%) 60 (20.0%) 150 (50.0%) Remoto 2 2 (0.6%) 4 (1.3%) 10 (33.3%) 20 (6.6%) 40 (13.3%) 100(33.3%) Improbable 1 1(0.3%) 2 (0.6%) 5 (1.6%) 10 (3.3%) 20 (6.6%) 50 (16.6%) Insignificante Marginal Grave Crítico Desastroso Catastrófico GRAVEDAD RELATIVA 110 P á g i n a

32 Cada riesgos encontrados (Pn An), resultante de la matriz de eventos con relación a los procesos informáticos, se sitúa dentro de la matriz de aceptabilidad para poder determinar los requerimientos de medidas de control como insumos necesarios para la próxima etapa o fase que es la de Control. La Matriz de Aceptabilidad del riesgo está determinada por la escala de probabilidad tomada de la Tabla #12 y la escala de gravedad basada en la Tabla #13 con la definición de los valores de aceptable, tolerable, inaceptable e inadmisible como se muestra a continuación en la Tabla # 17: Tabla # 17 Matriz de Aceptabilidad. PROBABILIDAD RELATIVA Constante 6 Aceptable Tolerable Inaceptable Inaceptable Inadmisible Inadmisible Frecuente 5 Aceptable Tolerable Inaceptable Inaceptable Inadmisible Inadmisible Moderado 4 Aceptable Aceptable Inaceptable Inaceptable Inadmisible Inadmisible Ocasional 3 Aceptable Aceptable Tolerable Inaceptable Inaceptable Inadmisible Remoto 2 Aceptable Aceptable Tolerable Inaceptable Inaceptable Inadmisible Improbable 1 Aceptable Aceptable Aceptable Tolerable Inaceptable Inaceptable Insignificante Marginal Grave Crítico Desastroso Catastrófico GRAVEDAD RELATIVA. 111 P á g i n a

33 Tabla #18. Matriz de Aceptabilidad para el entorno de Procesos. PROBABILIDAD RELATIVA. Constante 6 Frecuente 5 Moderado 4 Ocasional 3 Falta de seguridad física en sus instalaciones. -P4-A13, A14, A15. Proyectos en desarrollo.- P2- A5, A6, A7, A8, A9, A10. Los accesos no autorizados.-p6 A19,A19,A20 Remoto 2 Los virus informáticos.- P5 A16, A17. Improbable 1 Metodología de trabajo.-p1- A1, A2, A3, A4, A5. Normas y políticas.-p9- A25, A26. Almacenamient o de los respaldos (backups).-p7- A21, A22. El robo.- P8- A23, A24. Mal funcionamiento de hardware.- P3- A11, A12. Desastres naturales.-p10- A27, A28, A29, A Insignificante Marginal Grave Crítico Desastroso Catastrófico GRAVEDAD RELATIVA. 112 P á g i n a

34 Perfil de los riesgos. El conjunto de todos los riesgos encontrados ubicados en la matriz de aceptabilidad configura el perfil de los riesgos para el proyecto o sistema y que se realiza para el entorno de los procesos y los proyectos informáticos: Metodología de trabajo, Proyectos en desarrollo, Mal funcionamiento de hardware, Falta de seguridad física en sus instalaciones, Los virus informáticos, Los accesos no autorizados, Almacenamiento de los respaldos (backups), El robo, Normas y políticas, Desastres naturales. 5.7 FASE 4.- CONTROL Esta fase consiste en identificar y analizar las soluciones disponibles para tratar los riesgos estudiados en las etapas anteriores, con el fin de reducir la frecuencia y severidad de las pérdidas, en caso de que los riesgos identificados se materialicen. Control es toda acción orientada a minimizar la frecuencia de ocurrencia de las causas del riesgo o valor de las pérdidas ocasionadas por ellas. Los controles sirven para asegurar la consecución de los objetivos de la organización o asegurar el éxito de un sistema y para reducir la exposición de los riesgos, a niveles razonables. Los objetivos básicos de los controles son: Prevenir las causas del riesgo, detectar la ocurrencia de las causas del riesgo, retroalimentando el sistema de control interno con medios correctivos para establecer las respectivas medidas de protección y permitiendo así la continuidad de la organización o el proyecto que esté en ejecución. 113 P á g i n a

35 En el siguiente grafico muestra cuales son las actividades que se deben seguir para tener un buen control de riesgos en el proyecto que se está desarrollado C O N T R O L DEL R I E S G O S Control Físico/Lógico: En esta actividad se definen dos alternativas fundamentales para obtener un buen control del riesgo: Prevención: Estudio exhaustivo de las alternativas lógicas conducentes a reducir en la medida de lo posible, las causas que originan la materialización de un riesgo. Son aquellas medidas tendientes a minimizar las causas que puedan provocar una pérdida teniendo en cuenta los procesos, la gente y la tecnología. Protección: Conjunto de actividades encaminadas a reducir la severidad del impacto causado por la materialización de un riesgo. Actúan sobre las consecuencias. 114 P á g i n a

36 Son aquellas medidas tendientes a reducir la severidad de la pérdida, es decir en caso de que ésta suceda, reduzca las consecuencias al mínimo, teniendo en cuenta los procesos, la gente y la tecnología. Control Financiero: En esta actividad se definen dos alternativas fundamentales la de retener y la de transferir el riesgo: Retener: Consiste en proveer los medios hoy, para el estado de necesidad, que la materialización de un riesgo pueda causar en el futuro. De acuerdo con la capacidad financiera de la organización, se pueden asumir los riesgos que se determinen después de analizar la matriz de riesgos. Se asumen generalmente los riesgos de baja probabilidad de ocurrencia y baja severidad (riesgos no catastróficos). Uno de los mecanismos que se pueden definir en la empresa o en el proyecto para tratar los riesgos que se consideren, se pueden asumir el fondo en reservar de dinero para anticiparse a las consecuencias de una pérdida que se podría generar al materializarse el riesgo asumido y previamente calculado su posible costo. Transferir: Es el traslado del riesgo a una compañía aseguradora mediante el pago de una prima. (Contrato de seguro). Consiste también en la transferencia contractual de los riesgos a los contratistas y subcontratistas de la organización o de los que interviene en el desarrollo del proyecto. Análisis de resultados: Cualquier proceso requiere de una retroalimentación, para mantenerse en el tiempo y hacerse flexible ante los múltiples y vertiginosos cambios que se viven en las organizaciones y con mayor razón en los proyectos y especialmente en los de tecnología de información. 115 P á g i n a

37 Cuando ocurren cambios en el proyecto, es ciclo básico de identificación, evaluación, análisis y valoración de riesgos se repite. Es importante comprender que incluso el análisis más profundo y completo no puede identificar todos los riesgos y probabilidades correctamente; se requiere un control y una iteración. Los riesgos son dinámicos y deben ser monitoreados permanentemente 116 P á g i n a

38 5.8. RECOMENDACIONES. La metodología aquí definida y documentada se convierte en una herramienta clave para las empresas desarrolladoras de software de la ciudad de san Miguel. Porque a través de su utilización y aplicación le facilita identificar, evaluar, controlar y valorar los riesgos de en proyectos informáticos que emprenda la compañía, mejorando la gestión con el fin de disminuir el impacto de la tecnología en los costos, recursos y el tiempo al entrar en producción. La aplicación de esta metodología, deberá realizarse en todas las etapas de los proyectos informáticos, haciéndola extensiva a que la empresa en adelante pueda emplearla en cada aspecto específico. El plan cubre una gama de aspectos éticos, económicos, administrativos y tecnológicos que le permitirán al administrador o especialistas en informática (programadores) tener un dominio integral sobre cada aspecto de la ejecución del proyecto garantizando su continuidad. 117 P á g i n a

39 5.9. CONCLUSIONES. Para definir la metodología de análisis y valoración de riesgos en proyectos informáticos se tuvo en cuenta las tres dimensiones fundamentales que componen una organización informática a nivel mundial: Los procesos; la gente y la tecnología, sin olvidar que la parte más importante es la gente, la que hace que los procesos y la tecnología funcionen. Desde los comienzos de la computación, los recursos informáticos incluyendo la información, han estado expuestos a una serie de peligros o riesgos que han aumentado y evolucionado Proteger los activos más valiosos de las empresas frente a posibles amenazas que ofrece permanentemente el medio, es un gran desafío. Este interés crece aun más cuando la información cobra importancia para sobrevivir frente a la competencia y permanecer en el mercado. 118 P á g i n a