Administración de Riesgos en Procesos Informáticos: Claves para la Seguridad y Eficiencia

Enviado por Programa Chuletas y clasificado en Economía

Escrito el en español con un tamaño de 18,64 KB

Este documento sirve de apoyo para una adecuada gestión de la administración de riesgos, basándose en los siguientes aspectos:

  • La evaluación de los riesgos inherentes a los procesos informáticos.
  • La evaluación de las amenazas o causas de los riesgos.
  • Los controles utilizados para minimizar las amenazas a riesgos.
  • La asignación de responsables a los procesos informáticos.
  • La evaluación de los elementos del análisis de riesgos.

Clasificación de los Riesgos

Los negocios pueden fallar o sufrir pérdidas como resultado de una variedad de causas. Las diferencias en esas causas y sus efectos constituyen las bases para diferenciar los riesgos, los cuales se pueden clasificar así:

  • RIESGOS FINANCIEROS: El riesgo financiero envuelve la relación entre una organización y una ventaja que puede ser perdida o perjudicada. De este modo, el riesgo financiero involucra 3 elementos:
    1. La organización que está expuesta a pérdidas.
    2. Los elementos que conforman las causas de pérdidas financieras.
    3. Un peligro que puede causar la pérdida (amenaza a riesgo).
  • RIESGOS DINÁMICOS: (No se proporciona una definición en el texto original)
  • RIESGOS ESTÁTICOS: (No se proporciona una definición en el texto original)
  • RIESGO ESPECULATIVO: (No se proporciona una definición en el texto original)
  • RIESGO PURO:
    • Riesgo Personal
    • Riesgos de las posesiones:
      • Pérdidas directas por destrucción de bienes.
      • Pérdidas indirectas causadas por las consecuencias de las pérdidas directas o gastos adicionales.
    • Riesgos de Responsabilidades:
    • Riesgos físicos:
    • Riesgos químicos:
    • Riesgos biológicos:
    • Riesgos psicosociales:
    • Riesgos ergonómicos:
  • RIESGO FUNDAMENTAL: (No se proporciona una definición en el texto original)
  • RIESGO PARTICULAR: (No se proporciona una definición en el texto original)

Principales Riesgos Informáticos en los Negocios

  • Riesgos de Integridad:
    • Interfase del usuario:
    • Procesamiento:
    • Procesamiento de errores:
    • Interfase:
    • Administración de cambios:
    • Información:
  • Riesgos de relación: (No se proporciona una descripción detallada en el texto original)
  • Riesgos de acceso: Los riesgos de acceso pueden ocurrir en los siguientes niveles de la estructura de la seguridad de la información:
    • Procesos de negocio:
    • Aplicación:
    • Administración de la información:
    • Entorno de procesamiento:
    • Redes:
    • Nivel físico:
  • Riesgos de utilidad:
    • Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los problemas ocurran.
    • Técnicas de recuperación/restauración usadas para minimizar la ruptura de los sistemas.
    • Backups y planes de contingencia controlan desastres en el procesamiento de la información.
  • Riesgos en la infraestructura:
    • Planeación organizacional:
    • Definición de las aplicaciones:
    • Administración de seguridad:
    • Operaciones de red y computacionales:
    • Administración de sistemas de bases de datos:
    • Información / Negocio:
  • Riesgos de seguridad general: (No se proporciona una descripción detallada en el texto original)
  • Riesgos de choque eléctrico:
  • Riesgos de incendio:
  • Riesgos de niveles inadecuados de energía eléctrica.
  • Riesgos de radiaciones:
  • Riesgos mecánicos:

Técnicas de Procedimientos para Administrar Riesgos

  • EVITAR RIESGOS:
  • REDUCCIÓN DE RIESGOS:
  • CONSERVACIÓN DE RIESGOS:
  • COMPARTIR RIESGOS:

Las principales técnicas o herramientas usadas en la administración de riesgos son:

  • Control de Riesgos:
  • Financiación de Riesgos:

Proceso de la Gestión de Riesgos

La gestión de riesgos consta de los siguientes pasos:

  • Determinar los Objetivos:
  • Identificación de los Riesgos
  • Herramientas de identificación de riesgos:
  • Aproximación de combinación:
  • Evaluación de Riesgos:
    • Riesgos críticos:
    • Riesgos importantes:
    • Riesgos no importantes:
  • Implementación de la Decisión, Evaluación y Revisiones:

Responsabilidades del Gestor de Riesgos

  1. Desarrollar políticas de administración de riesgos:
  2. Identificar los riesgos:
  3. Seleccionar alternativas financieras:
  4. Negociar el alcance de la seguridad:
  5. Supervisar la administración interna:
  6. Administrar funciones de riesgo:
  7. Supervisar la prevención a pérdidas:

Las principales decisiones a tomar en la administración de riesgos son:

  • Reacciones instintivas al riesgo:
  • Buenas y malas decisiones en la administración de riesgos:
  • Análisis Costo - Beneficio:
  • Teoría de la Utilidad
  • La Teoría de Decisión:

Reglas de la Gestión de Riesgos

  • No arriesgarse más de lo posible:
  • Considerar las diferencias:
  • No arriesgar mucho por poco:

La estimación de riesgos describe cómo estudiar los riesgos dentro de la planeación general del entorno informático y se divide en los siguientes pasos:

  • La identificación de riesgos genera una lista de riesgos capaces de afectar el funcionamiento normal del entorno informático.
  • El análisis de riesgos mide su probabilidad de ocurrencia y su impacto en la organización.
  • La asignación de prioridades a los riesgos.

Identificación de Riesgos

En este paso se identifican los factores que introducen una amenaza en la planificación del entorno informático. Los principales factores que se ven afectados son:

  • Creación de la planificación
  • La organización y gestión
  • El entorno de trabajo
  • Las decisiones de los usuarios finales
  • El personal contratado
  • Los procesos

Análisis de Riesgos

Una vez se hayan identificado los riesgos en la planificación, el paso siguiente es analizarlos para determinar su impacto, tomando así las posibles alternativas de solución. La explicación de Análisis de riesgos se extenderá posteriormente.

Exposición a Riesgos

Una actividad útil y necesaria en el análisis de riesgos es determinar su nivel de exposición en cada uno de los procesos en que se hayan identificado.

Las principales formas de estimar la probabilidad de pérdida son las siguientes:

  • Disponer de la persona que está más familiarizada con el entorno informático para que estime la probabilidad de ocurrencia de eventos perjudiciales.
  • Usar técnicas Delphi o de consenso en grupo. El método Delphi consiste en reunir a un grupo de expertos para solucionar determinados problemas. Dicho grupo realiza la categorización individual de las amenazas y de los objetos del riesgo.
  • Utilizar la calibración mediante adjetivos, en la cual las personas involucradas eligen un nivel de riesgo entre (probable, muy probable) y después se convierten a estimaciones cuantitativas.

Priorización de Riesgos

En este paso de la estimación de riesgos, se estiman su prioridad de forma que se tenga forma de centrar el esfuerzo para desarrollar la gestión de riesgos. Cuando se realiza la priorización (elementos de alto riesgo y pequeños riesgos), estos últimos no deben ser de gran preocupación, pues lo verdaderamente crítico se puede dejar en un segundo plano.

Control de Riesgos

Una vez que se hayan identificado los riesgos del entorno informático y analizado su probabilidad de ocurrencia, existen bases para controlarlos que son:

  • Planificación
  • Resolución de riesgos
  • Monitorización de riesgos

La resolución de los riesgos está conformada por los métodos que controlan el problema de un diseño de controles inadecuado, los principales son:

  1. Evitar el Riesgo: No realizar actividades arriesgadas.
  2. Conseguir información acerca del riesgo.
  3. Planificar el entorno informático de forma que si ocurre un riesgo, las actividades informáticas sean cumplidas.
  4. Eliminar el origen del riesgo, si es posible desde su inicio.
  5. Asumir y comunicar el riesgo.

El análisis de riesgos cumple los siguientes objetivos:

  • Analizar el tiempo, esfuerzo y recursos disponibles y necesarios para atacar los problemas.
  • Llevar a cabo un minucioso análisis de los riesgos y debilidades.
  • Identificar, definir y revisar los controles de seguridad.
  • Determinar si es necesario incrementar las medidas de seguridad.
  • Cuando se identifican los riesgos, los perímetros de seguridad y los sitios de mayor peligro, se puede hacer el mantenimiento más fácilmente.

Antes de realizar el análisis de riesgos hay que tener en cuenta los siguientes aspectos:

  • Se debe tener en cuenta las políticas y las necesidades de la organización, así como la colaboración con todas las partes que la conforman y que intervienen en los procesos básicos.
  • Debe tenerse en cuenta los nuevos avances tecnológicos y la astucia de intrusos expertos.
  • Tener en cuenta los costos vs. la efectividad del programa que se va a desarrollar de mecanismos de control.
  • El comité o la junta directiva de toda organización debe incluir en sus planes y presupuesto
  • Otro aspecto que se debe tener en cuenta es la sobrecarga adicional que los mecanismos y contramedidas puedan tener sobre el entorno informático, sin olvidar los costos adicionales que se generan por su implementación.

El análisis de riesgos utiliza el método matricial llamado MAPA DE RIESGOS, para identificar la vulnerabilidad de un servicio o negocio a riesgos típicos. El método contiene los siguientes pasos:

  • Localización de los procesos en las dependencias que intervienen en la prestación del servicio
  • Localización de los riesgos críticos y su efecto en los procesos del Negocio.

Dentro del entorno informático las amenazas (causas de riesgo) se pueden clasificar así:

  • Naturales:
  • Accidentales:
  • Errores de los usuarios finales:
  • Errores de los operadores:
  • Error administrativo:
  • Errores de salida:
  • Errores del sistema:
  • Errores de comunicación:
  • Deliberadas:
  • Localización de los riesgos críticos en las dependencias de la empresa y procesos que intervienen en el negocio
  • Identificar los controles necesarios:
  • Diseñar los controles definitivos:

Los siguientes criterios permiten evaluar en un monto simbólico los mecanismos de control:

  • Confidencialidad:
  • Integridad:
  • Disponibilidad:
  • Resultados del análisis de riesgos:
  • Verificar por parte de la auditoría informática, la incorporación oportuna de los controles:

Bases para el Control de Calidad

  • Módulos propensos a errores
  • Prueba
  • Revisiones Técnicas

Tipos de revisiones más comunes:

  • Reuniones
  • Lectura del código
  • Inspecciones

Glosario

  • ERGONOMÍA: Disciplina científica que pone las necesidades y capacidades humanas como el foco del diseño de sistemas tecnológicos. Su propósito es asegurar que los humanos y la tecnología trabajan en completa armonía, manteniendo los equipos y las tareas en acuerdo con las características humanas.
  • RIESGO: Es el valor de las pérdidas a que se exponen las empresas por la ocurrencia de eventos perjudiciales.
  • AMENAZA: Las amenazas o causas del riesgo, se refieren a los medios o alternativas posibles que generan cada uno de los riesgos.
  • CONTROL: es toda acción orientada a minimizar la frecuencia de ocurrencia de las causas del riesgo o valor de las pérdidas ocasionadas por ellas. Los controles sirven para asegurar la consecución de los objetivos de la organización o asegurar el éxito de un sistema y para reducir la exposición de los riesgos, a niveles razonables. Los objetivos básicos de los controles son: Prevenir las causas del riesgo, detectar la ocurrencia de las causas del riesgo, y retroalimentando el sistema de control interno con medios correctivos.
  • INHERENTE: Esencial, permanente, que, por su naturaleza, no se puede separar de otra cosa.
  • ACTIVIDAD: Ente que necesita ser realizado para completar una o varias tareas específicas.
  • NEGOCIO: Empresa privada o pública que provee productos y servicios, para satisfacer los requerimientos de un cliente determinado.

Herramientas para aumentar la productividad

Estrategia para minimizar los riesgos y maximizar el incremento de productividad, depende de reconocer estas tres realidades críticas:

  • Las herramientas para productividad producen en raras ocasiones el ahorro de tiempo prometido por sus fabricantes.
  • Aprender a usar una nueva herramienta o método disminuye inicialmente la productividad.
  • Las herramientas para productividad que han sido desacreditadas proporcionan en ciertos casos ahorros significativos en la planificación.

Una estrategia efectiva para la adquisición e implementación de nuevas herramientas debe incluir los siguientes elementos:

  • Identificación temprana de nuevas herramientas interesantes.
  • Evaluación ágil y precisa de las nuevas herramientas
  • Implantación de las nuevas herramientas que demuestran ser eficaces
  • No utilizar las nuevas herramientas que resultan ser ineficaces
  • Continuar confiando en herramientas anteriores y comprobadas

Grupo de herramientas

Un método efectivo y continuo consiste en identificar una persona o grupo como responsable de la distribución de información sobre las herramientas SW. Dependiendo del tamaño de la organización, esta persona o grupo puede tener asignadas responsabilidades sobre las herramientas a tiempo completo o parcial, y debe ser responsable de las siguientes actividades:

  • Recogida de información
  • Evaluación
  • Coordinación
  • Diseminación

Criterios de selección en la adquisición de herramientas para aumentar la productividad

  • Beneficios estimados
  • Estabilidad del vendedor
  • Calidad
  • Madurez
  • Tiempo de formación
  • Aplicabilidad
  • Compatibilidad
  • Ámbito de crecimiento

Recuperación de proyectos

Características de los proyectos que piden ayuda y que fracasan por tercera vez:

  • Nadie tiene idea de cuándo va a finalizar el proyecto, y la mayoría de la gente renuncia a intentar imaginarlo.
  • El producto está lleno de defectos
  • Los miembros del equipo trabajan un número excesivo de horas (60 horas por semana o más de horas extras involuntarias o inducidas por la presión)
  • La directiva ha perdido su capacidad para controlar el desarrollo e incluso para comprobar el estado del proyecto con cierta precisión
  • El cliente ha perdido la confianza en que el grupo de desarrollo le entregará el SW que le prometió.
  • El equipo está a la defensiva sobre su progreso. Se sienten amenazados si alguien ajeno al equipo sugiere que el proyecto podría tener problemas.
  • Las relaciones entre los desarrolladores, los representantes de marketing, los directivos, los del control de calidad y los clientes son tensas.
  • El proyecto está a punto de cancelarse, los clientes y directivos están considerando esa opción seriamente.
  • La moral del equipo de desarrollo se ha venido abajo. El proyecto ha perdido la diversión, los miembros del equipo están serios.

Plan de recuperación de proyectos:

  • Evalúe la situación
  • Aplique el análisis Theory-W
  • Prepárese para corregir el proyecto
  • Pregunte al equipo sobre lo que necesita hacer.
  • Sea realista

Personal

Las personas son las que más influyen en el desarrollo rápido, y necesita poner en orden esa habitación del desarrollo rápido en su casa antes de pasar a las áreas de proceso y producto.

  • Haga todo lo que sea necesario para recuperar la moral del grupo
  • Elimine los problemas de personal más importantes
  • Elimine los problemas principales con los responsables
  • Si hay cambios en el director del proyecto o en la responsabilidad técnica del proyecto, Aumente el número de personas con cuidado.
  • Céntrese en el tiempo de las personas
  • Permitir que los miembros del equipo sean diferentes
  • Permitir que los desarrolladores marquen su propio ritmo

Proceso

Aunque encontrará mayores ventajas en la parte relacionada con el personal, también debe ordenar el proceso si desea salvar un proyecto que tiene problemas.

  • Identifique y resuelva los errores clásicos.
  • Detecte y corrija las partes del proceso de desarrollo que obviamente están destrozadas
  • Creación de hitos miniatura detallados
  • Establecer una planificación vinculada a la terminación de hitos
  • Siga meticulosamente el progreso de la planificación
  • Anotar las razones por las que no se han alcanzado los hitos
  • Recalibrar después de un corto periodo de tiempo (una o dos semanas)
  • No se comprometa con una nueva planificación hasta que pueda crear una significativa
  • Gestione los riesgos con esmero

Producto

A menudo no es posible recuperar un proyecto hasta que se actúa sobre el conjunto de prestaciones del producto.

  • Estabilizar los requerimientos
  • Recorte del conjunto de prestaciones
  • Evalúe su posición política
  • Eliminar la basura
  • Reducir el número de defectos y mantenerlos a raya
  • Alcanzar un estado correcto conocido, y partir del mismo
Karma: 13%
Visitas: 0

Entradas relacionadas:

Etiquetas:
Riesgos físicos El método de control de factores de riesgo se aplica en el siguiente orden riesgo puro ejemplo ejemplo de plan de auditoria informatica peligros y riesgos en el entorno informatico las herramientas para productividad que han sido desacreditadas proporcionan PRUEBAS SABER RELIGIÓN analisis de un presupuesto de mantto descargar pruebas saber de religion hitos miniatura herramientas auditoria informatica plan de auditoria informatica control de perdidas de la prevencion CLASIFICACION DE LOS EVENTOS EN probabilidad auditoria informatica caracteristicas y filosofia de las prestaciones riesgos informaticos" & "procesamiento de errores las herramientas para productividad que han sido desacreditadas proporcionan en ciertos casos ahorros significativos en la planificación riesgo especulativo 5 ejemplos de controles correctivos en diversas áreas informáticas ergonomia prueba