1.
Introducción
2. Parte I – Administración de
riesgos
3. Parte II – Elementos
de gestión de riesgos en
informática
4. Parte III –
Análisis de riesgos
5.
Bibliografia
Es importante en toda organización contar con una herramienta,
que garantice la correcta evaluación
de los riesgos, a los cuales están sometidos los procesos y
actividades que participan en el área informática; y por medio de procedimientos de
control se pueda
evaluar el desempeño del entorno
informático.
Viendo la necesidad en el entorno empresarial de este
tipo de herramientas y
teniendo en cuenta que, una de las principales causas de los
problemas
dentro del entorno informático, es la inadecuada
administración de riesgos informáticos, este
trabajo sirve de apoyo para una adecuada gestión
de la
administración de riesgos, basándose en los
siguientes aspectos:
- La evaluación de los riesgos inherentes a los
procesos informáticos. - La evaluación de las amenazas ó causas
de los riesgos. - Los controles utilizados para minimizar las amenazas
a riesgos. - La asignación de responsables a los procesos
informáticos. - La evaluación de los elementos del análisis de riesgos.
2. Parte I – Administración De Riesgos
El Problema – Administracion De Riesgos
El riesgo es una
condición del mundo real en el cual hay una exposición
a la adversidad, conformada por una combinación de
circunstancias del entorno, donde hay posibilidad de
perdidas.
Clasificacion De Los Riesgos
Los negocios
pueden fallar o sufrir perdidas como un resultado de un variedad
de causas. Las diferencias en esas causas y sus efectos
constituyen las bases para diferenciar los riesgos, los cuales se
pueden clasificar así:
- RIESGOS FINANCIEROS: El riesgo financiero envuelve la
relación entre una organización y una ventaja que
puede ser perdida o perjudicada. De este modo el riesgo
financiero envuelve 3 elementos:
- La organización que esta expuesta a
perdidas - Los elementos que conforman las causas de perdidas
financieras - Un peligro que puede causar la perdida (amenaza a
riesgo).
- RIESGOS DINAMICOS: Son el resultado de cambios en la
economía
que surgen de dos conjuntos de
factores :
- Factores del entorno exterior ; la
economía, la industria,
competidores y clientes. - Otros factores que pueden producir las perdidas que
constituyen las base del riesgo especulativo son las decisiones
de la administración de la
organización.
- RIESGOS ESTATICOS: Estos riesgos surgen de otras
causas distintas a los cambios de la economía tales
como: deshonestidad o fallas humanas. - RIESGO ESPECULATIVO: Describe una situación
que espera una posibilidad de pérdida o ganancia. Un
buen ejemplo es una situación aventurada o del
azar. - RIESGO PURO: Designa aquellas situaciones que
solamente generan o bien pérdida o ganancia, un ejemplo
es la posibilidad de pérdida en la compra de un bien
(automóviles, casas, etc.). Los riesgos puros pueden ser
clasificados de la siguiente forma : - Riesgo Personal :
Consiste en la posibilidad de perdida sujeta a los siguientes
peligros : muerte
prematura, enfermedad e incapacidades - Riesgos de las posesiones : Abarcan 2 distintos
tipos de pérdida que son: pérdidas directas
por destrucción de bienes, y
pérdidas indirectas causados por las consecuencias de
las pérdidas directas o gastos
adicionales. - Riesgos de Responsabilidades : Su peligro
básico consiste en el perjuicio de otras personas o
daño de una propiedad
por negligencia o descuido. - Riesgos físicos: Se tienen en esta clase por
ejemplo: El exceso de ruido,
Iluminación inadecuada, exposición
a radiaciones, instalaciones
eléctricas inadecuadas. - Riesgos químicos: Se tienen en esta clase por
ejemplo: Exposición a vapores de los solventes, humo de
combustión y gases. - Riesgos biológicos: Hongos y
bacterias. - Riesgos psicosociales: Ingresos
económicos injustos, monotonía, falta de incentivos y
motivación. - Riesgos ergonómicos: Puesto de trabajo
incomodo, Posición corporal forzada, movimiento
repetitivo al operar máquinas, hacinamiento. - RIESGO FUNDAMENTAL: Envuelve las pérdidas que
son impersonales en origen y consecuencia. La mayor parte son
causados por fenómenos económicos, sociales.
Ellos afectan parte de una organización. - RIESGO PARTICULAR: Son perdidas que surgen de
eventos
individuales antes que surjan de un grupo
entero. Desempleo,
guerra,
inflación, terremotos
son todos riesgos fundamentales ; el incendio de una casa
y el robo de un banco son
riesgos particulares.
Riesgos De Negocio Relacionados Con La Informatica
Los principales riesgos informáticos de los negocios son
los siguientes:
- Riesgos de Integridad: Este tipo abarca todos los
riesgos asociados con la autorización, completitud y
exactitud de la entrada, procesamiento y reportes de las
aplicaciones utilizadas en una organización. Estos
riesgos aplican en cada aspecto de un sistema de
soporte de procesamiento de negocio y están presentes en
múltiples lugares, y en múltiples momentos en
todas las partes de las aplicaciones; no obstante estos riesgos
se manifiestan en los siguientes componentes de un
sistema: - Interface del usuario: Los riesgos en esta
área generalmente se relacionan con las restricciones,
sobre las individualidades de una organización y su
autorización de ejecutar funciones
negocio/sistema; teniendo en cuenta sus necesidades de trabajo
y una razonable segregación de obligaciones. Otros riesgos en esta área
se relacionan a controles que aseguren la validez y completitud
de la información introducida dentro de un
sistema. - Procesamiento: Los riesgos en esta área
generalmente se relacionan con el adecuado balance de los
controles detectivos y preventivos que aseguran que el
procesamiento de la información ha sido completado. Esta
área de riesgos también abarca los riesgos
asociados con la exactitud e integridad de los reportes usados
para resumir resultados y tomar decisiones de
negocio. - Procesamiento de errores: Los riesgos en esta
área generalmente se relacionan con los métodos
que aseguren que cualquier entrada/proceso de
información de errores (Exceptions) sean capturados
adecuadamente, corregidos y reprocesados con exactitud
completamente. - Interface: Los riesgos en esta área
generalmente se relacionan con controles preventivos y
detectivos que aseguran que la información ha sido
procesada y transmitida adecuadamente por las
aplicaciones. - Administración de cambios: Los riesgos en esta
área pueden ser generalmente considerados como parte de
la infraestructura de riesgos y el impacto de los cambios en
las aplicaciones. Estos riesgos están asociados con la
administración inadecuadas de procesos de cambios
organizaciones
que incluyen: Compromisos y entrenamiento
de los usuarios a los cambios de los procesos, y la forma de
comunicarlos e implementarlos. - Información: Los riesgos en esta área
pueden ser generalmente considerados como parte de la
infraestructura de las aplicaciones. Estos riesgos están
asociados con la administración inadecuada de controles,
incluyendo la integridad de la seguridad de
la información procesada y la administración
efectiva de los sistemas de
bases de datos
y de estructuras
de datos. La
integridad puede perderse por: Errores de programación (buena información es
procesada por programas mal
construídos), procesamiento de errores (transacciones
incorrectamente procesadas) ó administración y
procesamiento de errores (Administración pobre del
mantenimiento de sistemas). - Riesgos de relación: Los riesgos de
relación se refieren al uso oportuno de la
información creada por una aplicación. Estos
riesgos se relacionan directamente a la información de
toma de
decisiones (Información y datos correctos de una
persona/proceso/sistema correcto en el tiempo preciso
permiten tomar decisiones correctas). - Riesgos de acceso: Estos riesgos se enfocan al
inapropiado acceso a sistemas, datos e información.
Estos riesgos abarcan: Los riesgos de segregación
inapropiada de trabajo, los riesgos asociados con la integridad
de la información de sistemas de bases de datos y los
riesgos asociados a la confidencialidad de la
información. Los riesgos de acceso pueden ocurrir en los
siguientes niveles de la estructura
de la seguridad de la información: - Procesos de negocio: Las decisiones organizacionales
deben separar trabajo incompatible de la organización y
proveer el nivel correcto de ejecución de
funciones. - Aplicación: La aplicación interna de
mecanismos de seguridad que provee a los usuarios las funciones
necesarias para ejecutar su trabajo. - Administración de la información: El
mecanismo provee a los usuarios acceso a la información
específica del entorno. - Entorno de procesamiento: Estos riesgos en esta
área están manejados por el acceso inapropiado al
entorno de programas e información. - Redes: En esta área se refiere al acceso
inapropiado al entorno de red y su
procesamiento. - Nivel físico: Protección física de
dispositivos y un apropiado acceso a ellos. - Riesgos de utilidad: Estos
riesgos se enfocan en tres diferentes niveles de
riesgo: - Los riesgos pueden ser enfrentados por el
direccionamiento de sistemas antes de que los problemas
ocurran. - Técnicas de
recuperación/restauración usadas para minimizar
la ruptura de los sistemas. - Backups y planes de contingencia controlan desastres
en el procesamiento de la información. - Riesgos en la infraestructura: Estos riesgos se
refieren a que en las organizaciones no existe una estructura
información tecnológica efectiva (hardware,
software,
redes, personas
y procesos) para soportar adecuadamente las necesidades futuras
y presentes de los negocios con un costo
eficiente. Estos riesgos están asociados con los
procesos de la información tecnológica que
definen, desarrollan, mantienen y operan un entorno de
procesamiento de información y las aplicaciones
asociadas (servicio al
cliente, pago de cuentas,
etc.). Estos riesgos son generalmente se consideran en el
contexto de los siguientes procesos
informáticos: - Planeación organizacional: Los proceso en esta
área aseguran la definición del impacto,
definición y verificación de la tecnología
informática en el negocio. Además, verifica si
existe una adecuada organización (gente y procesos)
asegura que los esfuerzos de la tecnología
informática será exitosa. - Definición de las aplicaciones: Los procesos
en esta área aseguran que las aplicaciones satisfagan
las necesidades del usuario y soporten el contexto de los
procesos de negocio. Estos procesos abarcan: la
determinación de comprar una aplicación ya
existente ó desarrollar soluciones a
cliente. Estos
procesos también aseguran que cualquier cambio a las
aplicaciones (compradas o desarrolladas) sigue un proceso
definido que confirma que los puntos críticos de
proceso/control son consistentes (Todos los cambios son
examinados por usuarios antes de la
implementación). - Administración de seguridad: Los procesos en
esta área aseguran que la organización
está adecuadamente direccionada a establecer, mantener y
monitorizar un sistema interno de seguridad, que tenga políticas de administración con
respecto a la integridad y confidencialidad de la
información de la organización, y a la
reducción de fraudes a niveles aceptables. - Operaciones de red y computacionales: Los procesos en
esta área aseguran que los sistemas de
información y entornos de red están operados
en un esquema seguro y
protegido, y que las responsabilidades de procesamiento de
información son ejecutados por personal operativo
definido, medido y monitoreado. También aseguran que los
sistemas son consistentes y están disponibles a los
usuarios a un nivel de ejecución
satisfactorio. - Administración de sistemas de bases de
datos: Los procesos en esta área están
diseñados para asegurar que las bases de datos usadas
para soportar aplicaciones críticas y reportes tengan
consistencia de definición, correspondan con los
requerimientos y reduzcan el potencial de
redundancia. - Información / Negocio: Los proceso en esta
área están diseñados para asegurar que
existe un plan adecuado
para asegurar que la tecnología informática
estará disponible a los usuarios cuando ellos la
necesitan. - Riesgos de seguridad general: Los estándar IEC
950 proporcionan los requisitos de diseño para lograr una seguridad general
y que disminuyen el riesgo: - Riesgos de choque de eléctrico: Niveles altos
de voltaje. - Riesgos de incendio: Inflamabilidad de materiales.
- Riesgos de niveles inadecuados de energía
eléctrica. - Riesgos de radiaciones: Ondas de
ruido, de láser y
ultrasónicas. - Riesgos mecánicos: Inestabilidad de las piezas
eléctricas.
Tecnicas De Procedimientos Para Administrar
Riesgos
- EVITAR RIESGOS: Un riesgo es evitado cuando en la
organización no se acepta. Esta técnica puede ser
más negativa que positiva. Si el evitar riesgos fuera
usado excesivamente el negocio sería privado de muchas
oportunidades de ganancia (por ejemplo: arriesgarse a hacer una
inversión) y probablemente no
alcanzaría sus objetivos. - REDUCCION DE RIESGOS: Los riegos pueden ser
reducidos, por ejemplo con: programas de seguridad, guardias de
seguridad, alarmas y estimación de futuras
pérdidas con la asesoría de personas
expertas. - CONSERVACION DE RIESGOS: Es quizás el
más común de los métodos para enfrentar
los riesgos, pues muchas veces una acción positiva no es
transferirlo o reducir su acción. Cada
organización debe decidir cuales riegos se retienen, o
se transfieren basándose en su margen de contingencia,
una pérdida puede ser un desastre financiero para
organización siendo fácilmente sostenido por otra
organización. - COMPARTIR RIESGOS: Cuando los riesgos son
compartidos, la posibilidad de perdida es transferida del
individuo al grupo.
Soluciones en la
administracion de riesgos
Definicion de administracion de riesgos
La administración de riesgos es una aproximación
científica del comportamiento
de los riesgos, anticipando posibles perdidas accidentales con el
diseño e implementación de procedimientos que
minimicen la ocurrencia de pérdidas o el impacto
financiero de las pérdidas que puedan ocurrir.
Herramientas De La Administracion De Riesgos
Las principales técnicas o
herramientas usadas en la administración de riesgos
son :
- Control de Riesgos : Técnica
diseñada para minimizar los posibles costos causados
por los riesgos a que esté expuesta la
organización, esta técnica abarca el rechazo de
cualquier exposición a pérdida de una actividad
particular y la reducción del potencial de las posibles
perdidas. - Financiación de Riesgos : Se enfoca en
garantizar la habilidad de conocer recursos
financieros y las perdidas que pueden ocurrir en ellos.
Frecuentemente los riegos se transfieren o se retienen. Cuando
se retienen se acompañan de una colocación
específica del presupuesto y
puede abarcar la acumulación de un recurso financiero
para conocer sus desviaciones. Cuando se transfiere abarcan los
arreglos contractuales y la subcontratación de ciertas
actividades.
Proceso De La Administracion De Riesgos
El proceso consta de los siguientes pasos :
- Determinar los Objetivos : El primer paso en la
administración de riesgos es decidir precisamente el
programa de
administración de riesgos. Para obtener el máximo
beneficio de los gastos asociados con la administración
de riesgos un plan es necesario. De otro modo, es ver el
proceso de administración de riesgos como una serie de
problemas aislados mas bien que un problema sencillo, y no hay
guías para proveer una consistencia lógica en los procesos de la
organización.
El principal objetivo de la
administración de riesgos, como primera ley de la
naturaleza,
garantizar la supervivencia de la organización,
minimizando los costos asociados con los riesgos. Muchos de los
defectos en la administración de riesgos radica en la
ausencia de objetivos claros.
Los objetivos de la administración de riesgos
están formalizados en una "política corporativa
de administración de riesgos", la cual describe las
políticas y medidas tomadas para su
consecución.
Idealmente los objetivos y las políticas de
administración de riesgos deben ser producto de
las decisiones de la Junta Directiva de la
compañía.
- Identificación de los Riesgos : Es
difícil generalizar acerca de los riesgos de una
organización porque las condiciones y operaciones son
distintas, pero existen formas de identificarlos entre las
cuales están: - Herramientas de identificación de
riesgos : Las más importantes herramientas usadas
en la identificación de riesgos incluyen: registros
internos de la organización, listas de chequeo para
políticas de seguros,
cuestionarios de análisis de riesgos, flujos de
procesos, análisis
financiero, inspección de operaciones y entrevistas. - Aproximación de combinación : La
aproximación preferida en la identificación de
riesgos consiste de una aproximación de
combinación, en el cual todas las herramientas de
identificación de riesgos están hechas para
tolerar problemas. En pocas palabras cada herramienta puede
resolver una parte del problema y combinados pueden ser una
considerable ayuda al administrador
de riesgos. Los riesgos pueden surgir de muchas fuentes, por
lo cual el administrador de riesgos necesita un sistema de
información de búsqueda rápida,
diseñado para proveer el flujo de información
acerca de cambios en operaciones y cambios en las relaciones
con las entidades externas. - Evaluación de Riesgos : Una vez que los
riesgos han sido identificados el administrador de riesgos debe
evaluarlos. Esto envuelve la medición del potencial de las
pérdidas y la probabilidad de
la pérdida categorizando el orden de las prioridades. Un
conjunto de criterios puede ser usado para establecer una
prioridad, enfocada en el impacto financiero potencial de las
pérdidas, por ejemplo : - Riesgos críticos : Todos las exposiciones
a pérdida en las cuales la magnitud alcanza la
bancarrota. - Riesgos importantes : Son exposiciones a
pérdidas que no alcanzan la bancarrota, pero requieren
una acción de la organización para continuar las
operaciones. - Riesgos no importantes : Exposiciones a
pérdidas que no causan un gran impacto
financiero. - Consideración de alternativas y selección de mecanismos de tratamiento de
riesgos : El próximo paso es considerar las
técnicas que puedan ser usadas para tratar con riesgos.
Estas técnicas incluyen : evitar los riesgos,
retención, transparencia y reducción. Algunas
políticas de la administración de riesgos de la
organización establece el criterio a ser aplicada en la
elección de técnicas, haciendo un bosquejo de las
reglas con las cuales el administrador de riesgos, puede
operar. - Implementación de la Decisión,
Evaluación y Revisiones : Este paso debe ser
incluido por 2 razones. Primero, el proceso de
administración de riesgos no es la panacea definitiva,
las cosas pueden cambiar nuevos riesgos surgen y riesgos viejos
desaparecen, el programa de administración de riesgos
permite al administrador de riesgos revisar decisiones y
descubrir errores.
Responsabilidades Del Administrador De
Riesgos
- Desarrollar políticas de administración
de riesgos : El administrador de riesgos ayuda a la
organización en la identificación de objetivos y
preparación de políticas junto a la alta gerencia. - Identificar los riesgos : Es considerablemente
la función
más difícil de la administración de
riesgos. Este proceso requiere un gran sistema de
información que alertará al administrador de
riesgos sobre nuevas exposiciones a pérdida. - Seleccionar alternativas financieras : Basado en
la estructura financiera de la organización, el
administrador de riesgos recomienda el camino a
tomar. - Negociar el alcance de la seguridad : El
administrador de riesgos debe determinar que aseguramiento es
necesario y debe obtener la mejor combinación entre
alcance y costo. - Supervisar la administración interna :
Esta función incluye estadísticas de pérdida, manuales de
administración de riegos, monitorización de
renovaciones y administración de horarios. - Administrar funciones de riesgo : Esta
función incluye : monitorización de seguros
y supervisión de contratos de
seguros. - Supervisar la prevención a
pérdidas : Sin ser expertos deben tener un conocimiento
global del área expuesta a perdida.
Decisiones En La Administracion De Riesgos
Las principales decisiones a tomar en la administración de
riesgos son :
- Reacciones instintivas al riesgo : El instinto
natural de auto-preservación, la reacción
instintiva al peligro, son medidas de control que pueden ser
clasificadas como un comportamiento aprendido. Estas se
convierten en estándares innatas al comportamiento y
representan las reglas personales para la prevención a
pérdidas. - Buenas y malas decisiones en la administración
de riesgos : Uno de los asuntos mas complejos en las
decisiones de la administración de riegos es distinguir
las buenas decisiones de las malas, porque la
administración de riesgos abarca decisiones tomadas bajo
condiciones de incertidumbre, siendo algunas veces juzgadas
inadecuadamente. La evaluación debe ser hecha con base
en información disponible y actualizada. - Análisis Costo – Beneficio: El análisis
costo – beneficio procura medir la contribución que hace
la administración de riesgos, verificando si sus
beneficios exceden su costo ; actualmente el
análisis de costo-beneficio puede ser utilizado para
juzgar cualquier decisión donde los beneficios son
realizados sobre el tiempo estimado. Aunque el análisis
costo-beneficio es una buena técnica para tomar
decisiones en la administración de riesgos, la
naturaleza de los riesgos crea impedimentos para su uso, donde
los costos son generalmente medidos, los beneficios no pueden
serlos. - Teoría de la Utilidad : La teoría de la utilidad fue originalmente
introducida para explicar la naturaleza de la función de
la demanda, es
decir la utilidad o satisfacción derivada del beneficio
económico no se incrementa proporcionalmente con los
incrementos en el bien, usando esta técnica como base en
la toma de decisiones surgen decisiones consistentes, aunque
algunas veces inadecuadas. - La Teoría de Decisión :
También llamada análisis de decisión puede
ser usada para determinar estrategias
opcionales cuando una decisión tomada es afrontada con
algunas decisiones alternativas y un modelo
incierto de futuros eventos.
El primer paso del analista en la teoría de la
decisión dado un problema es listar todas las alternativas
disponibles de decisión ; el segundo paso es listar
todos los futuros eventos que podrían ocurrir, estos
futuros eventos son llamados los "Estados de la Naturaleza" del
problema. Las situaciones de decisión se dividen en 3
tipos :
- Toma de decisiones bajo certidumbre : uno y
solamente un "estado de
naturaleza" existe, y la decisión es tomada con
certeza. - Toma de decisiones bajo riesgo : existe mas de
un "estado de naturaleza", y todos los estados disponibles son
probables. - Toma de decisiones bajo incertidumbre : existe
mas de un "estado de naturaleza", pero nada es conocido sobre
la probabilidad o elección de ocurrencia de varios
estados.
Reglas De La Administración De Riesgos
La administración de riesgos se ha considerado
como un área funcional especial de la organización,
por lo cual se han ido formalizando sus principios y
técnicas. Dentro del campo de la administración de
riesgos se crearon las siguientes reglas:
- No arriesgarse más de lo posible: el factor
mas importante para determinar cuales riesgos requieren alguna
acción especifica es el máximo potencial de
pérdida, algunas pérdidas pueden ser
potencialmente devastadoras literalmente fuera del alcance de
la organización mientras tanto otras envuelven menores
consecuencias financieras si el máximo potencial de
pérdida de una amenaza es grande, la perdida es
inmanejable o el riesgo debe ser transferido. - Considerar las diferencias : Esta regla sugiere
que la probabilidad de pérdida puede ser un importante
factor para decidir que hacer sobre un riesgo particular
. - No arriesgar mucho por poco : Esta regla dicta
que puede haber una razonable relación entre el costo de
transferencia de riesgos y el valor que
acumula el entre que los transfiere. Esta regla provee dos
direcciones primero los riesgos no pueden ser retenidos cuando
la pérdida posible es relativamente grande a los
beneficios obtenidos a través de la retención, el
segundo aspecto es que en algunas instancias el beneficio que
es requerido para asegurar un riesgo no es proporcional al
riesgo transferido.
Evaluacion Y Revision De Problemas En La Administracion
De Riesgos
La evaluación y la revisión son importantes para el
proceso de administración de riesgos por dos
razones :
- La primera razón es que las cosas cambian, las
soluciones que eran apropiadas en el pasado emergen y viejos
riesgos desaparecen. - Los errores están surgiendo constantemente y
una revisión persistente provee una oportunidad de
descubrir errores pasados.
Evaluacion Y Revision General
Esta fase corresponde a la parte administrativa de control de la
administración de riesgos, el propósito del control
es verificar que las operaciones están de acuerdo con lo
planeado y requiere de:
- Estándares y objetivos para ser llevados a
cabo. - Medir la ejecución de operaciones con estos
estándares y objetivos. - Tomas acciones
correctivas cuando los resultados difieran de lo
deseado.
Auditoria En La Administracion De Riesgos
El proceso de auditoria incluye los siguiente
pasos :
- Evaluar los objetivos y las políticas de la
administración de riesgos : la evaluación de
un programa de administración de riesgos envuelve la
medición de programas con estándares y los
objetivos del programa representan los primeros
estándares lógicos. Esta evaluación
generalmente incluye una revisión de las finanzas de
la organización y su habilidad de soportar
pérdidas. - Identificar y evaluar los riesgos después de
que los objetivos han sido definidos y evaluados, el
próximo paso es identificar las exposiciones a riesgos
existentes en la organización, este paso consiste de un
análisis de operaciones para determinar las distintas
exposiciones a pérdida - Evaluar las decisiones relacionadas a pérdida,
este paso incluye una revisión de la extensión de
los riesgos. - Evaluar las medidas de la administración de
riesgos que han sido implementadas. Este paso evalúa las
decisiones pasadas, verificando que la decisión fue
propiamente implementada. Este paso incluye una revisión
de medidas de control y pérdidas
financieras. - Recomendar cambios para el beneficio del programa de
auditoria .
Alcance De La Auditoria De La Administracion De
Riesgos
Las tres principales área que se pueden auditar
son :
- Políticas de administración de
riesgos : este aspecto esta enfocado en los objetivos del
programa, la responsabilidad y autoridad
del administrador de riesgos y la consistencia de las
políticas con los objetivos. - Control de riesgos : la naturaleza especializada
de la prevención de pérdidas y control para
diversos tipos de riesgos hacen necesario realizar auditorías especializadas que pueden
incluir : - Auditoria de protección
- Auditoria de seguridad
- Auditoria Ambiental
- Auditoria de seguridad
informática - Auditoria de control de pérdida de
propiedades - Función de seguridad : Esta
función puede ser conducida en 2 niveles : el
primero es la evaluación de su rol en el todo del
programa de la administración de riesgos, el segundo es
una revisión mas detallada del programa de seguridad, el
cual examina su alcance, con un detallado
análisis.
Objetivos De La Administracion De Riesgos
Los siguientes son los objetivos mas comunes:
- Garantizar el mejor manejo de los
recursos - Minimizar el costo del negocio causado por los
riesgos - Proteger a los empleados de perjuicios
- Conocer las obligaciones contractuales y
legales - Eliminar preocupaciones posteriores
Clasificacion De Los Objetivos
- ECONOMICOS:
El objetivo es reducir el costo del negocio causado por
los riesgos al mas bajo nivel posible.
- REDUCIR LA ANSIEDAD:
Se refiere a la tranquilidad obtenida de tener medidas
utilizadas para manejar la adversidad. Cuando catástrofes
potenciales no son manejadas, la incertidumbre puede distraer a
los gerentes para tomar correctamente sus decisiones
corporativas.
- OBTENER ESTABILIDAD:
El objetivo de la estabilidad se apoya del efecto
causado por grandes variaciones que pueden surgir de terceros y
como contribuir para reducir estas variaciones.
- CONTINUAR EL DESARROLLO:
Maximizar los beneficios no siempre es el objetivo
dominante en una organización. Otro objetivo corporativo
es la habilidad de continuar creciendo.
- RESPONSABILIDAD SOCIAL
Se refiere a la variedad de obligaciones sociales que
tiene la organización con sus empleados y con la sociedad en
general; algunas veces surgen conflictos con
el objetivo de la economía.
Politicas En La Administracion De Riesgos
Una política es una guía general de acción,
este es un plan estándar de la organización que
traduce los objetivos en guías mas específicas.
Para determinar las políticas en la administración
de riesgos para una organización en particular se tienen
en cuenta decisiones que pueden ser hechas solamente por la
gerencia de la organización. En el diseño de
políticas de administración de riesgos, algunos
factores son necesarios para tomar decisiones, que
son:
- Los objetivos basicos del programa de administracion
de riesgos: El principal objetivo es preservar la eficiencia
operativa de la organización. Este objetivo implica
evitar las perdidas financieras causadas por desastres que
impidan las funciones básicas de la
organización. - Consolidacion del programa de retención:
Cuando la política de administración de riesgos
específica un máximo nivel de retención
(delineamiento de exposiciones o pérdidas que no
serán retenidas), se tiene un razonable direccionamiento
de consolidación de perdidas retenidas, permitiendo gran
flexibilidad en las decisiones de control.
Identificacion De Riesgos
Antes de enfrentar los riesgos, alguien debe identificarlos. Esta
tarea es de nunca acabar, pues nuevas amenazas están
surgiendo constantemente.
La identificación de riesgos es continua y depende de la
red de comunicación dentro de la
organización, generando un flujo constante de
información acerca de las actividades de la
organización.
Metodologias De Identificacion De Riesgos
Las técnicas de identificación de riesgos han sido
desarrolladas simultáneamente por profesionales de
diferentes disciplinas, cada uno enfocado en su propia
especialidad. Estos profesionales incluyen profesionales en
seguros, especialistas en seguridad, ingenieros industriales,
contadores e ingenieros en general.
Generalmente las técnicas de
identificación de riesgos se desarrollaron como parte de
la prevención de pérdidas y los esfuerzos de
control:
- Identificacion basada en pérdidas pasadas:
Hasta hace poco tiempo, la metodología primaria de
identificación de riesgos fue la observación de las pérdidas que
han ocurrido, como regla la identificación de los
riesgos no se realiza hasta que una pérdida tome lugar.
Cada vez que un riesgo ocurre, se toman medidas que
posiblemente previenen la ocurrencia de pérdidas de la
misma fuente. Las compañías de seguro jugaron el
mayor rol en el desarrollo de las técnicas de
identificación de riesgos y la mayoría de los
métodos que ellas desarrollaron se basaron en el
análisis de pérdidas pasadas; los aseguradores
también desarrollaron listas de chequeo, que proveen una
base en la cual la identificación de riesgos puede ser
construida.
Existe un proceso llamado "Suscripción" que
consiste en decidir el seguro a una exposición particular
y la rata a la cual será asegurada. En este proceso se
hacen inspecciones para acumular información acerca de los
riesgos; basado en estas inspecciones se puede tomar medidas
correctivas , con la base en esta experiencia se ha conformado
la ciencia de
la identificación de riesgos. Basado en el análisis
de experiencias pasadas, se puede predecir pérdidas
futuras, porque las pérdidas varían por las causas
que las envuelven. Adicionalmente el registro
histórico de pérdidas también es usado en la
identificación de las causas de las pérdidas
pasadas, lo cual sirve como base para prevenir pérdidas y
medidas de control.
- Técnicas de sistemas de seguridad: En los
años sesenta los ingenieros científicos militares
de los Estados Unidos
desarrollaron una aproximación de la
identificación de los riesgos; históricamente los
riesgos han sido identificados por la experiencia ocurrida
después de que una pérdida paso. Las actividades
envueltas en el programa espacial y militar representaron
nuevas fronteras, por lo cual una nueva aproximación
fué necesaria. La mayor contribución del programa
espacial y militar fue el cuerpo de conocimiento de
prevención de pérdidas y control, fue la introducción de sistemas orientados a la
seguridad. El término de "Sistemas de seguridad" es
generalmente usado para describir una colección de
técnicas matemáticas y lógicas que son
continuamente aplicadas a la detección y
corrección de amenazas a riesgos del estado conceptual
del producto, a través de su detallado diseño y
operaciones.
Este proceso incluye un estudio de procedimientos
operacionales, procedimientos examinadores y revisiones de la
alta gerencia. Los sistemas con los cuales los ingenieros estaban
ocupados eran complejos que fue necesario tener una nueva
visión de identificación de riesgos. Para enfrentar
esta situación, los científicos desarrollaron una
variedad de técnicas que son conocidas como "Sistemas de
Seguridad" y que son parte del arsenal del administrador de
riesgos. Algunos rasgos distinguen la aproximación de
sistemas de seguridad de la metodología tradicional de
prevención de pérdidas. El principal rasgo es el
énfasis en la identificación de posibles causas de
accidentes
antes de que ocurran.
Herramientas De Identificacion De Riesgos
El término "Herramientas de identificación de
riesgos" abarca algunas formas estándares y listas de
chequeo que son diseñadas para facilitar el proceso de
identificación de riesgos como tal, esas herramientas se
distinguen como documentos que
proveen una imagen de
riesgos. Las herramientas proveen una guía para organizar
e interpretar la información acumulada con las
técnicas de identificación de riesgos.
- Cuestionarios de analisis de riesgos: La herramienta
clave en la identificación de riesgos son los
cuestionarios esos cuestionarios estan diseñados para
guiar al administrador de riesgos para descubirr amenazas a
través de una serie de preguntas y en algunas
instancias, este instrumento esta diseñado para inculir
riesgos asegurables e inasegurables. El cuestionario
de análisis de riesgos esta diseñado para servir
como un repositorio de la información acumulada de
documentos, entrevistas e inspecciones. Su propósito es
guiar a la persona que intenta identificar exposiciones a
riesgo a través del proceso de la identificación
en un modelo lógico y consistente. - Listas de chequeo de exposiciones a riesgo: Una
segunda ayuda importante en la identificación de riesgos
y una de las mas comunes herramientas en el análisis de
riesgos son las listas de chequeo, las cuales son simplemente
una listas de exposiciones a riesgo. - Listas de chequeo de politicas de seguridad: Esta
herramienta incluye un catálogo de varias
políticas de seguridad que un negocio dado puede
necesitar. El administrador de riesgos consulta las
políticas recolectadas y aplicadas a la
firma. - Sistemas expertos: Un sistema experto usado en la
administración de riesgos incorpora los aspectos de las
herramientas descritas en una sola herramienta. La naturaleza
integrada del programa permite al usuario generar
propósitos escritos y prospectos.
Tecnicas De Identificacion De Riesgos
Las herramientas de identificación de riesgos describen
una estructura que interpreta la información derivada de
cuatro técnicas de identificación de riesgos que
son:
- ORIENTACION: El primer paso en la
identificación de riesgos es beneficiarse a
través del conocimiento de la organización y sus
operaciones. El administrador de riesgos necesita un
conocimiento general de las ventajas y funciones de la
organización. - ANALISIS DE DOCUMENTOS: La historia de la
organización y sus operaciones actuales son archivadas
en una variedad de registros. Estos registros representan una
fuente básica de la información requerida por el
análisis de riesgos; el auditor debe obtener los
documentos internos que contienen las actividades e historia de
la organización. Los principales documentos donde se
extrae información pertinente son:
1. Informe de
analisis financiero: Los informes
financieros puede ser una fuente importante de información
para la función de administración de riesgos; los
balances y los estados de perdidas y ganancias son fuentes
básicas de información sobre la
organización.
No obstante los informes financieros son solamente una
faceta del registro del sistema de una organización, ellos
representan una fuente importante de información de la
identificación de riesgos. El balance de la
organización, por ejemplo revela la existencia de varios
tipos de activos, los
cuales guían al auditor para buscar información de
las posibles pérdidas a que están expuestos los
activos. Simultáneamente el balance también puede
indicar cuanto dinero o
capital esta
disponible como medida de capacidad de retención de
perdidas.
2. Diagramas de
flujo: El análisis de los diagramas de
flujo de las operaciones pueden alertar al administrador de
riesgos de aspectos inusuales de las operaciones de la firma, un
diagrama de
flujo de las operaciones internas de la organización –
revelando el tipo y secuencia de sus actividades – viendo la
firma como una unidad de procesamiento en busca de descubrir
todas las contingencias que puedan interrumpir sus procesos. El
beneficio mas positivo del uso de diagramas de flujo es
probablemente que fuerza al
administrador de riesgos a familiarizarse con los aspectos
técnicos de las operaciones de la
organización.
3. Organigramas: Un
organigrama
revela las divisiones de la organización, reportando sus
relaciones, los organigramas también proveen al
identificador de riesgos un entendimiento de la naturaleza y el
campo de acción de las operaciones de la
organización.
4. Politicas existentes: El auditor necesitará
las políticas existentes para evaluar el alcance de la
identificación de riesgos y de la información
recogida.
5. Reportes de pérdidas: Otra importante fuente
de información que puede ayudar en la
identificación de riesgos es el registro de la
organización de sus propias pérdidas pasadas; el
examen de los registros de perdidas indicarán las clases
de pérdidas que han ocurrido, calculando el grado de
riesgo de ciertas actividades u operaciones.
6. Entrevistas: Otra importante fuente de
información que puede ayudar en la identificación
de riesgos son las entrevistas con personal clave con la
organización; alguna información no es registrada
en documentos o registros solamente existiendo en la mente de
ejecutivos y empleados. Las siguientes son algunas de las
personas claves a entrevistar: ingenieros de planta, jefe de
personal, administradores de seguridad, empleados y
supervisores.
7. Inspecciones: Es la herramienta mas usada para
obtener un buen conocimiento de las operaciones. La
inspección es una de las mas importantes partes del
proceso de desarrollo de una visión general
porque:
- Ayuda a familiarizar al auditor con la
organización - Ayuda a indicar las posibles ratas de
protección - Ayuda a revelar las posibles perdidas
Sistemas De Informacion En La Administracion De
Riesgos
El administrador de riesgos necesita de un sistema de
mantenimiento de un gran rango de información que afecta
los riesgos de la organización.
La mayoría de la información requerida para los
sistemas de información de administración de
riesgos existe en gran parte de las organizaciones en una forma
no estructurada . La información se hace mas útil
cuando se tiene un sistema de información de
administración de riesgos – RMIS
El propósito de RMIS es soportar el proceso de
decisión del análisis de riesgos consolidando
aspectos de la función de administración de riesgos
en una base de datos,
aportando la materia prima
de las decisiones a tomar.
Sistemas De Registro De Administracion De Riesgos
La información sobre los riesgos de la organización
son la materia prima
de las decisiones a tomar en un problema. Los registros y
estadísticas de las pérdidas son herramientas
esenciales de la administración de riesgos. Los
principales ítems de información son:
– Programas de valor de propiedades
– Lista de equipos e inmuebles
– Petición de oferta de
seguros
– Políticas y registros de seguridad
– Reporte de reclamos
- Información y comparación entre
pérdidas y ganancias - Sistemas De Comunicacion Interna
Los registros de los sistemas de información de
administración de riesgos necesitan crear canales de
información que aseguren que toda la información
relativa a la función de administración de riesgos
sea canalizada al departamento de auditoria, el administrador de
riesgos debe esta informado de:
– Nuevas construcciones, remodelación o renovación
de las propiedades de la empresa.
– Introducción de nuevos programas, productos,
actividades u operaciones
– El progreso de los trabajadores
– Información de las actividades de toda la
organización.
Manual De Politicas De Administracion De Riesgos
Es un depósito central de todas las políticas
corporativas de seguros y toda la administración de
riesgos, copias de manual
podrían ser distribuidas a unidades de la
corporación como una manera de comunicar las expectativas
que tienen los distintos departamentos de la empresa con la
administración de riesgos.
Control De Riesgos
El hombre
primitivo vivió en cavernas y algunas veces en árboles
para protegerse el mismo de peligrosos animales
salvajes. El primer practicante de prevención de
pérdidas fué el humano que trepó un
árbol para escapar de un tigre diente de sable. La
historia de la civilización es un registro del
enfrentamiento del hombre con las
fuerzas de la naturaleza y otros peligros.
En esta parte se examinará el concepto de
control de riesgos en un contexto genérico con base en los
principios generales de control de riesgos.
Generalidades En El Control De Riesgos
El control de riesgos ha sido parte integral del proceso
de administración de riesgos desde que el concepto de
administración de riesgos fue concebida. Las dos
principales técnicas de control de riesgos son: evitar
riesgos y reducción de riesgos.
- EVITAR RIESGOS: Técnicamente, se evitan
riesgos cuando las decisiones son hechas para prevenir un
riesgo antes de su existencia. "Evitar riesgos" debe ser
utilizado cuando la exposición tiene una
catástrofe potencial y el riesgo no puede ser reducido o
transferido. Generalmente, estas condiciones existirán
en el caso de que la frecuencia y severidad del riesgo son
altas. El otro potencial de perdida dicta que el riesgo no
puede ser retenido y la otra frecuencia virtualmente garantiza
que los controles posiblemente no serán
económicamente factible. - ESTANDARES GUBERNAMENTALES: Las regulaciones de la
(OSHA) son quizás el mejor ejemplo de estándares
institucionales de control de perdidas. OSHA fue
diseñada para asegurar lo mejor posible que cada persona
trabajadora en la nación, tenga condiciones seguras para
realizar sus labores, asegurando así la
preservación de los recursos
humanos.
El Control Y El Administrador De Riesgos
Idealmente un programa de control y prevención de
pérdidas bien diseñado debe abarcar las siguientes
áreas:
– Seguridad personal.
– Seguridad de bienes.
– Control de responsabilidades de pérdidas.
– Protección de propiedades.
– Seguridad física.
La prevención de pérdidas en cada una de
estas áreas es una función altamente técnica
y especializada, requiriendo algunas veces de especialistas
expertos.
Teorias De Causas De Accidentes
Para entender porque los accidentes ocurren, puede ser
útil diseñar programas para su prevención.
Hasta la fecha no se ha desarrollado una teoría general
dominante para saber como ocurren los accidentes; en cambio hay
dos teorías
separadas cada una con un valor explicativo y
predecible:
- TEORIA DEL DOMINIO DE
HEINRICH:
De acuerdo a Heinrich un "accidente" es un factor en una
secuencia que puede dirigirse a un perjuicio como esta ilustrado
en la figura No. 1, los factores pueden ser visualizados como una
serie de fichas de
dominio colocadas en el borde; cuando una cae, una
reacción en cadena es completada.
FIGURA No. 1 Teoría de Dominio de
Heinrich
Cada uno de los factores es dependiente del factor
predecesor así:
- El perjuicio al personal ocurre solamente como
resultado de un accidente. - Un accidente como resultado de un riesgo personal o
mecánico. - Los riesgos de personal y mecánicos existen
por falla del personal. - Las fallas del personal son heredadas o adquiridas
dentro de su entorno. - El entorno conforma las condiciones en las cuales un
individuo nace.
En los estados de la teoría del dominio cuando un
perjuicio toma lugar, todos los cinco factores son envueltos , si
uno de los factores en la secuencia es removido la pérdida
puede ser prevenida. De acuerdo a Heinrich, un accidente es
cualquier evento no planeado e incontrolado en el cual la
acción o reacción de un objeto o persona que puede
resultar un perjuicio o daño . Después de un
estudio de 75.000 accidentes industriales, Heinrich
concluyó que el 98% de todos los accidentes son
previsibles y puede ser posible reducir los costos de accidentes
industriales con alguna forma de control de perdidas el 2%
restante son calificados como "Actos Divinos".
- Teoria De La Energia
Emitida De William Haddon:
En vez de concentrarse en el comportamiento humano,
Haddon considera los accidentes como un problema físico de
ingeniería. Los accidentes resultan cuando
la energía esta fuera de control poniendo tensión
en una estructura (propiedad o persona) mas de la que puede
tolerar sin daño. Haddon sugiere diez estrategias para
suprimir las condiciones que producen accidentes o acrecentar las
condiciones que retardan los accidentes:
1. Prevenir la creación del riesgo en primer
lugar
2. Reducir la cantidad de producción de riesgo
3. Prevenir la emisión de los riesgos que
actualmente existen
4. Modificar la rata de emisión desde la fuente
de los riesgos
5. Separar en tiempo y espacio el riesgo
6. Separar el riesgo y lo que será protegido por
medio de una barrera
7. Modificar las cualidades básicas del
riesgo
8. Hacer que lo protegido sea mas resistente que el
riesgo
9. Verificar el daño con base en el
riesgo
10. Estabilizar, reparar o rehabilitar el objeto
dañado.
Aproximaciones Cientificas Del Control Y Prevencion De
Riesgos
Las teorías de Heinrich y Haddon proveen bases para
entender las diferentes aproximaciones de control y
prevención de riesgos. Los esfuerzos para prevenir
perdidas y reducir su impacto toman lugar virtualmente en cada
fase de la actividad humana. Las principales aproximaciones
son:
- APROXIMACION EN INGENIERIA: La premisa básica
de la aproximación en ingeniería es que la gente
tiene poca observación de la seguridad de su personal y
que es inherente en la naturaleza humana encomendarse de tareas
fáciles. Esta aproximación debe proteger a la
gente de ellos mismos. - APROXIMACION DEL COMPORTAMIENTO HUMANO: Esta
aproximación se enfoca en la
educación de seguridad y la
motivación de las persona. Esta aproximación
propone que la mayoría de los accidentes son perpetrados
por hechos no asegurados y que la mayoría de ganancias
en la prevención de pérdidas pueden ser
alcanzadas través de los esfuerzos en cambiar el
comportamiento humano. estos esfuerzos incluyen:
1. Educación: Sirve para
alertar la existencia de los riesgos y sus consecuencias y
además provee una guía para efectuar seguramente
las funciones.
2. Aplicación de la ley para motivar conductas,
reglas y regulaciones deseadas deben ser forzadas por la
organización.
- TECNICAS DE CONTROL DE RIESGOS: Estas técnicas
incluyen esfuerzos para prevenir la ocurrencia de
pérdidas y minimizar los costos no previstos, e
incluyen:
1. Medidas de Control y tiempo de aplicación: Las
medidas de control son clasificadas de acuerdo a como son
aplicadas de la siguiente forma: antes de un accidente, en el
momento del accidente y después del accidente. (Ver figura
No. 2)
2. Medidas de control y mecanismos: Las medidas son
dirigidas a cada instrumento o dispositivo
mecánico.
Antes del evento | En el momento del evento | Después del evento | |
Individuo | |||
Maquinaria | |||
Equipos |
Tabla No. 1 Tiempos y objetivos en las medidas de
control
- TECNICAS ESPECIALIZADAS DE CONTROL Y PERDIDAS: Como
se ha observado las técnicas de control y
prevención de pérdidas es virtualmente
interminable, las anteriores son las mas comunes, pero existen
técnicas especializadas que son:
- Separación de posesiones: su propósito
es limitar el valor de las posesiones expuestas a
pérdida en una sola ocurrencia. - Recuperación: Esta diseñado
para proteger propiedades de futuros daños - Rehabilitación: En el trabajo
reduce las pérdidas financieras del perjuicio,
decrementando los costos de compensación a trabajadores
perjudicados. - Redundancia: Esta técnica puede
ayudar a prevenir los efectos adversos de los accidentes,
redundando sistemas de prevención refinando las medidas
de control de seguridad.
Sistemas De Seguridad
Los sistemas de seguridad son una rama y un desarrollo
de la Ingeniería
de Sistemas, la aplicación de la ingeniería se
necesita en el diseño y la creación de sistemas
complejos; esto en respuesta al incremento de la complejidad de
los problemas que no pueden resolverse con las aproximaciones
tradicionales. Los sistemas de seguridad ven un proceso, una
situación, un problema, una máquina o cualquier
otra entidad como un sistema.
Los recursos que hacen parte de una organización
incluyen: materiales, personal, procedimientos,
tecnología, tiempo y otros factores. Un accidente ocurre
cuando un ser humano o un componente mecánico falla en su
funcionamiento. El objeto de los sistemas de seguridad es
identificar esas fallas, eliminándolas o minimizando sus
efectos; y son una variedad de diferentes técnicas
diseñadas para analizar e identificar fallas potenciales
en las organizaciones. La premisa en el desarrollo de
metodologías en los sistemas de seguridad, es que los
accidentes resultan de fallas y ellos pueden ser prevenidos para
identificar estas fallas antes de que ocurran. La primera
distinción entre los sistemas de seguridad y las
aproximaciones tradicionales es el énfasis en identificar
las pérdidas que aun no han ocurrido, una segunda
diferencia es su permanente fe en el principio de la casualidad y
otra diferencia es el total énfasis en la
prevención de accidentes.
Tecnicas De Sistemas De Seguridad
- ANALISIS DE EFECTO Y MODO DE AMENAZA (HMEA): Intenta
identificar fallas potenciales en los sistemas a través
de un detallado análisis de identificación de
riesgos. El análisis puede ser preparado en cualquier
nivel de complejidad – sistema, subsistema, componente o parte
detallada, generalmente de la siguiente forma:
Los eventos indeseables que pueden ocurrir o los | El hardware o software que puede causar la | Las razones humanas o fallas que en el mecanismo | El resultado funcional inmediato de un | El impacto de mal funcionamiento de los objetivos | La primera indicación o exhibición | Una estimación del mal | Posibles medidas de eliminación de | Acción implementada para eliminar o | Valor de todos los recursos requeridos para |
MODO DE RIESGO | MECANISMO DE RIESGO | CAUSA DEL RIESGO | EFECTO DEL RIESGO | SEVERIDAD DEL RIESGO | DETECCION DEL RIESGO | PROBABILIDAD DEL RIESGO | MEDIDAS TOMADAS CON EL RIESGO | ACCION PREVENTIVA | RECURSOS DE CONTROL |
Tabla No.2 Columnas de entrada en el análisis de
efecto y modo de amenaza.
- ANALISIS JERARQUICO DE FALLAS (FTA). Esta
diseñado para identificar fallas en los sistemas
observando las causas de los eventos. Es usualmente ejecutada
por un diagrama
(conocida como jerarquía de fallas) que sigue las
relaciones entre todos los eventos menores que pueden causar
eventos mayores no deseados. El diagrama lógico de
análisis jerárquico de fallas puede ser el
siguiente:
Figura No, 2 Diagrama lógico del análisis
jerárquico de fallas
El FTA es usualmente analizado en un gráfico. una
jerarquía de fallas tiene dos elementos superiores: (1)
diagrama lógico, conectando con O y Y lógicos
subeventos que contribuyen a ver el último evento deseado
(2) los elementos como si mismos .
La construcción del árbol comienza en
la parte superior con el evento no deseado definitivo, el
árbol es construido progresivamente por repeticiones a la
respuesta de la pregunta que pasa cuando el evento ocurre? La
necesidad o suficiencia de cada subevento en la casualidad del
siguiente evento es indicado por un conector lógico Y
ó O cuando la cadena de casualidad ha sido identificado y
el significado de los subeventos determinado, el FTA provee un
mapa para tomar medidas de prevención.
Plan De Contingencia – Plan De Prevencion De
Desastres
La necesidad de un plan avanzado para establecer procedimientos
en el evento de un desastre es obvio. En el momento del desastre
las operaciones y procedimientos normales pueden ser
interrumpidos, básicamente un plan contra desastres provee
una administración de planes de acción para guiar
en caso de desastres o situaciones de emergencia. En un plan
contra desastres se debe tener en cuenta:
- DETERMINACION DE LOS REQUERIMIENTOS DEL NEGOCIO:
Durante esta parte inicial del proceso, debe hacerse un
análisis de impacto en el negocio para determinar
cuáles son los requerimientos de este. Muchos procesos
de negocios dependen tanto del procesamiento de
datos que ya no pueden seguir llevándose a cabo en
caso de un desastre. Debe evaluarse el impacto negativo de esta
falla de los procesos; es decir, pérdidas de negocios,
pérdidas de clientes, costos en dinero y de utilidades.
También puede haber razones de regulación que
requieran que siempre pueda disponerse de un proceso de
negocios. Este análisis indicará cuáles
son las prioridades en el proceso de negocios y cuál es
la escala de
tiempo de recuperación que se necesita para cada
proceso. Asimismo, un desastre conlleva el riesgo de que la
organización pierda la pista de algunas transacciones de
negocios que estaban en proceso cuando ocurrió un
desastre. Los análisis de impacto en los negocios
tendrán que determinar en qué medida puede
tolerarse semejante pérdida para cada proceso del
negocio. - PRIORIDADES EN LA ORGANIZACION DE DESASTRES: Esta
determinación de prioridades garantizará evitar
confusiones y conflictos en el desarrollo del plan, los
siguientes son los principales tipos de prioridades en su orden
de importancia: - Protección a la vida humana
- Prevenir o minimizar el daño
personal - Prevenir o minimizar el daño potencial a los
activos físicos - Restaurar las operaciones normales lo mas
rápidamente posible. - DETERMINACION DE LOS REQUERIMIENTOS DE PROCESAMIENTO
DE DATOS: Una vez que se han determinado los requerimientos de
negocio, se deben convertir en términos de procesamiento
de datos, con el fin de determinar cuáles procedimientos
y recursos son necesarios para dar soporte a la
recuperación y al procesamiento normal. Entre las
funciones que estarán relacionadas con el
análisis de los procesos del negocio y la
definición de los requerimientos se
incluyen: - Alta gerencia ( Tecnología informática,
Finanzas y Negocios). - Propietarios del proceso del negocio.
- Propietarios de la aplicación.
- Soporte y programación de sistemas de
información. - Trabajo en red.
- Operaciones en general.
Para realizar este proceso, posiblemente se tengan
dificultades tales como:
- Falta de cooperación entre los ejecutivos de
alto nivel y las unidades de negocio. - Falta de prioridad dada a la recuperación de
desastres. - Subestimación de los procesos del
negocio. - Carencia de conciencia y
buena voluntad. - Falta de un plan de procedimientos.
- DISEÑO DE LA SOLUCION DE RESPALDO Y DE
RECUPERACION: En este paso se describen las características generales y los
principales elementos de la solución que se pretende.
Estos elementos son los siguientes: - El alcance de la recuperación: Este elemento
asegura desde el principio que no haya confusión,
sabiendo que es lo qué se intenta recuperar y dentro de
qué periodo. La definición del alcance incluye:
Tipos de desastres que se incluyen o se excluyen, el tiempo
máximo de recuperación y la actualidad de la
información una vez recuperada. - Estrategia de pruebas:
Este elemento determina, en forma muy general, cómo se
efectuará las pruebas, para determinar la complejidad y
el costo de la solución. - Procesos de respaldo y recuperación de datos:
Los factores que influyen en las decisiones acerca del respaldo
y la recuperación son: - Categorización de la información: La
información es el recurso más importante. Otros
recursos, como el hardware, el software y las instalaciones
físicas son en última instancia reemplazables. La
información es el recurso más volátil y
complejo de todos. - Tener un escenario de recuperación de
desastres. - Verificar las interrelaciones entre los
datos. - Verificar que el transporte y
almacenamiento de datos sea seguro. - Verificar las distintas opciones de respaldo de datos
(Copias al momento, copias en línea y copias
incrementales). - Administrar y operar sitios alternativos de
emergencia. - Descripción física y lógica de
la configuración de la recuperación. - Seleccionar los productos de respaldo (cintas,
disquetes, tape backup, software de backup y utilidades de red)
adecuadas para el diseño. - IMPLEMENTAR LA SOLUCION DE RESPALDO Y DE
RECUPERACION: El paso inicial en el desarrollo del plan contra
desastres, es la identificación de las personas que
serán las responsables de crear el plan y coordinar las
funciones. Típicamente las personas pueden hacer parte
del departamento de personal, administración de riesgos,
departamento de seguridad, y relaciones
públicas. Un plan contra desastres no requiere
creación de una nueva estructura
organizacional. La estructura existente, temporalmente
reconfigurada para la situación de desastre puede
ejecutar las funciones en el momento de un desastre. En este
paso se lleva a la práctica la solución de
recuperación de acuerdo con el diseño que se
elaboró, cubriendo dos áreas
principales: - Desarrollar e implementar los procedimientos
técnicos para dar soporte a la solución de
recuperación; entre los que están: - Procedimientos de respaldo de datos.
- Procedimientos de almacenamiento.
- Procedimientos de recuperación de
datos. - Procedimientos de administración
informática. - Procedimientos de recursos humanos.
- Desarrollar el plan de recuperación: Un plan
de recuperación de desastres se conforma de un documento
detallado, que establece todas las acciones que se
tomarán antes, durante y después de que ocurra
una catástrofe. El plan de recuperación debe
incluir los siguientes elementos: - Alcance de la recuperación.
- Procesos para identificar desastres.
- Identificación de los equipos de
trabajo de recuperación. - Definir tareas y responsabilidades de los equipos de
trabajo. - Lista de teléfonos y direcciones de las
personas responsables. - Información sobre compras y
adquisiciones. - Diagramas de topologías de red.
- Configuraciones y copias de seguridad.
- Distribución y mantenimiento del plan: Una vez
que se ha elaborado el plan de recuperación de desastres
y que se ha implementado la solución de
recuperación, es necesario distribuirlo a las personas
que necesitan tenerlo. Los cambios en el ambiente
informático son constantes, y cualquier cambio
drástico podría inutilizar el plan, entre los
cambios que pueden afectar se encuentran: - Surgimiento de nuevas
tecnologías. - Cambios en la configuración actual del
hardware. - Cambios en el entorno de red.
- Cambios organizacionales.
Por lo cual es necesario llevar una auditoría permanente del plan, para
determinar si se han aplicado las actualizaciones ó los
cambios al plan.
Estructura De La Seguridad Informaticaç
La historia de la seguridad informática se remonta a los
tiempos de los primeros documentos escritos. De hecho, la
necesidad de información segura tuvo su origen en el
año 2000 antes de Cristo. Los egipcios fueron los primeros
en utilizar jeroglíficos especiales para codificar la
información y, según paso el tiempo, las
civilizaciones de Babilonia, Mesopotamia y
Grecia
inventaron formas de proteger su información escrita. La
codificación de la información, que es el base del
cifrado, fue utilizada por Julio Cesar, y durante toda la
historia en periodos de guerra, incluyendo las guerras
civiles y revolucionarias, y las dos guerras mundiales. Una de
las máquinas de codificación mejor conocidas fue la
alemana Enigma, utilizada por los alemanes para crear mensajes
codificados en la Segunda Guerra
Mundial. Con el tiempo, y gracias a los esfuerzos del
proyecto Ultra
de los Estados Unidos de América, entre otros, la capacidad de
descifrar los mensajes generados por los alemanes marcó un
éxito
importante para los aliados.
En los últimos diez años, la importancia
de la seguridad informática se ha puesto de manifiesto por
algunas historias. Una de ellas fue la del gusano de Internet, en 1988, que se
extendió por decenas de miles de computadores, como
resultado de la obra de un hacker llamado
Robert Morris. Había un pirata informático en 1995
en Alemania que
se introdujo en casi 30 sistemas a partir de un objetivo que se
había propuesto a sí mismo de casi 500. Más
recientemente, en febrero de 1995, el arresto del pirata
informático más buscado, Kevin Nitnick,
reveló las actividades criminales que incluían el
robo de códigos, de información y de otro tipo de
datos secretos durante años. Claramente, la amplia
utilización de los sistemas informáticos ha puesto
en evidencia la importancia de la seguridad informática.
El objetivo principal de la seguridad informática es
proteger los recursos informáticos del daño, la
alteración, el robo y la pérdida. Esto incluye los
equipos, los medios de
almacenamiento, el software, los listados de impresora y en
general, los datos. Una efectiva estructura de seguridad
informática se basa en cuatro técnicas de
administración de riesgos, mostradas en el siguiente
diagrama:
Figura No. 3 Estructura de la seguridad
informática
- Estrategias y políticas: Estrategias de
administración para seguridad informática y
políticas, estándares, guías o directivos
usados para comunicar estas estrategias a la
organización. - Administración de la
organización: Procesos que se dirigen hacia
políticas profesionales y programas de capacitación, administración de
cambios y control, administración de seguridad y otras
actividades necesarias. - Monitorización de eventos: Procesos reactivos
que permite a la administración medir correctamente la
implementación de políticas e identificar en que
momento las políticas necesitan cambios. - Técnología informática: Es la
tecnología necesaria para proveer la apropiada
protección y soporte en los distintos procesos
involucrados en la organización. La seguridad
informática abarca un amplio rango de estrategias y
soluciones, tales como: - Control de acceso: Una de las líneas de
defensa más importantes contra los intrusos indeseados
es el control de acceso. Básicamente, el papel del
control de acceso es identificar la persona que desea acceder
al sistema y a sus datos, y verificar la identidad de
dicha persona. La manera habitual de controlar el acceso a un
sistema es restringir la entrada a cualquiera que no tenga un
nombre de usuario y una contraseña válidos. Las
contraseñas son un ejemplo de una forma simple pero
efectiva de control de acceso.
El control de acceso es efectivo para mantener a las
personas desautorizadas fuera del sistema. Sin embargo, una vez
que alguien está dentro, la persona no debería
tener acceso libre a todos los programas, archivos e
información existente en el sistema. El control de acceso
discrecional, a veces abreviado por el acrónimo DAC, se
realiza en muchos sistemas, y es una parte importante de
cualquier acceso donde el acceso a los archivos y programas se
concede en función de la clase de permisos otorgados a un
usuario o un perfil de usuarios. Es discrecional en tanto que un
administrador puede especificar la clase de acceso que decide dar
a otros usuarios del sistema. Esto difiere de otra clase de
controles más restrictiva, control de acceso obligatorio
(MAC), que proporciona un control mucho más rigido de
acceso a la información del sistema.
- Virus informáticos: La prevención y
control de los efectos producidos por las diferentes clases de
virus y
programas destructivos que existen. - Planificación y administración del
sistema: Planificación, organización y
administración de los servicios
relacionados con la informática , así como
políticas y procedimientos para garantizar la seguridad
de los recursos de la organización. - Cifrado: La encriptación y la
desencriptación de la información manipulada, de
forma que sólo las personas autorizadas pueden acceder a
ella. - Seguridad de la red y de comunicaciones: Controlar problemas de seguridad
a través de las redes y los sistemas de telecomunicaciones. - Seguridad física: Otro aspecto importante de
la seguridad informática es la seguridad física
de sus servicios, equipos informáticos y medios de datos
reales; para evitar problemas que pueden tener como resultado:
Pérdida de la productividad,
pérdida de ventaja competitiva y sabotajes
intencionados. Algunos de los métodos de prevenir el
acceso ilegal a los servicios informáticos
incluyen: - Claves y contraseñas para permitir el acceso a
los equipos. - Uso de cerrojos y llaves.
- Fichas ó tarjetas
inteligentes. - Dispositivos biométricos (
Identificación de huellas dactilares, lectores de
huellas de manos, patrones de voz, firma/escritura
digital, análisis de pulsaciones y escáner
de retina, entre otros).
La administracion de riesgos y los delitos
No se sabe exactamente cuanto pierden los negocios a causa de
delitos cada
año. Se estima que las pérdidas causadas por los
efectos negativos de los delitos ascienden a un 2% y 5% de los
ingresos en los negocios.
Delitos contra los negocios
Los delitos contra los negocios son clasificados de acuerdo al
perpetrador del crimen generalmente así:
- Hurto: consiste en el apoderamiento o
sustracción de un bien ajeno con el ánimo de
aprovechase de él, por cualquier acto fuera de la ley
ó sin autorización de la persona
dueña. - Fraude: sinónimo de engaño y simulación, que se emplea, para
sorprender la buena fe, confianza o ignorancia de la
víctima, haciéndole creer lo que no es. Por
ejemplo: un delito
cometido cuando alguien falsifica una firma autorizada de
cualquier instrumento financiero (un cheque, por
ejemplo), incrementando o alterando su valor.
Aspectos del control de perdidas y la deshonestidad de
los empleados
- Selección del personal: Una medida
estándar para la prevención de pérdidas
con respecto a los delitos cometidos por los empleados, es un
chequeo a fondo del trabajo individual de las personas. Basado
en la presunción de que una persona que ha cometido un
delito, vuelva a cometerlo; se verifica el registro criminal de
la persona. Sin embargo lo anterior no es el único
factor de decisión, pues muchos delitos se cometen por
tentación de trabajadores de confianza. - Controles Internos: El término control
interno se refiere a los elementos que son incorporados
dentro de la organización, diseñado para prevenir
delitos dentro de la empresa. El primer elemento es una clara
asignación de responsabilidades, en las cuales personas
identificables se les asignan funciones definidas. El segundo
elemento divide los deberes de los empleados de manera que
separe la ejecución de una función de acuerdo a
las políticas dela empresa. El tercer elemento es hacer
una pista de auditoría para asegurar un continuo
control.
Basándose en lo anterior se diseñan
controles internos en:
- Procedimientos de gastos.
- Procedimientos en ventas.
- Procedimientos de recepción y envío de
activos. - Procedimientos de control del manejo del
dinero. - Auditorías: Después de tener
procedimientos de control en el área financiera, un
efectivo programa de auditoría ayuda a asegurar que los
requerimientos de control sean cumplidos.
Un programa de auditoría es una función
importante, a pesar de que la compañía tenga un
sistema de control interno excepcional. Esto hace imperativo
chequear los sistemas periódicamente para asegurar que
éstos actualmente están trabajando
adecuadamente.
Página siguiente |