Upload
xhagix
View
6.543
Download
1
Embed Size (px)
DESCRIPTION
Citation preview
Gestión de Riesgos
…¿ Que debo proteger y de que me debo de proteger?
…¿ Esto es un riesgo o es una amenaza?
…¿ Como nos preparamos para eventos no deseados?
…¿Como minimizamos el impacto si el evento se
materializa?
…¿ Cual es el nivel de riego que estamos dispuestos a
aceptar ?
…¿ A que aplicamos los controles? A la vulnerabilidad, a
la amenaza, a ambos.
Marcos de Referencia
ISO/DIS 31000
IEC/DIS 31010
BS 31100
ISO/IEC 27005
ITGI- Risk IT Framework
Basilea II
Octave
NIST SP 800-30
AS/NZ 4360
Magerit
BS 7799-3
Microsoft – SRMG
CRAM
M_o_R
Gestión del Riesgo
El Riesgo es la probabilidad de que un incidente o transacción ocasione
pérdidas financieras o daños patrimoniales a la organización, su personal,
sus activos o su reputación en general obstaculizando el logro de los
objetivos estratégicos, operativos y financieros de la organización.
Aplicación sistemática de controles
• Administrativos
• Técnicos
• Físicos
que permita minimizar el riesgo a un nivel aceptable.
La Gestión del Riesgo es una función fundamental y vital de la
Seguridad de Información
El Riesgo es una característica de
la vida del negocio y debido a que
resulta impráctico y poco
económico eliminar los riesgos,
cada organización tiene un nivel
de Riesgo Aceptable
Para la aceptación definitiva de los riesgos la organización
debe tener en cuenta:
• La política organizacional
• Sensibilidad y criticidad de los activos involucrados
• Niveles aceptables de los posibles impactos
• Rentabilidad de la implementación
• Apetito del riesgo
Riesgo Aceptable
Términos Comunes
•Amenaza
•Vulnerabilidad
•Impacto
•Apetito del Riesgo
•Control
•Respuesta al Riesgo
•Probabilidad
•Riesgo Inherente
•Riesgo Residual
•Valuación
•Clasificación de Activos
•Información Crítica
•Información Sensible
Categorías de Riesgos Operativos
• Riesgo ambiental operativo y de instalaciones
• Riesgo de salud y seguridad
• Riesgo de seguridad de información
• Riesgo de marco de control
• Riesgo legal y de incumplimiento regulatorio
• Riesgo de gobierno corporativo
• Riesgo reputacional o imagen
• Riesgo estratégico
• Riesgo de procesamiento y desempeño
Categorías de Riesgos Operativos
• Riesgo Tecnológico
• Riesgo de administración de proyectos
• Riesgo de actos ilícitos o delictivos
• Riesgo de recursos humanos
• Riesgo de proveedores
• Riesgo de información gerencial
• Riesgo de ética
• Riesgo Geopolítico
• Riesgo Cultural
• Riesgo Climático
Metodologías de Evaluación del Riesgo
Método Cuantitativo (Objetivo): Basado en el impacto material,
monetario e inmediato.
Método Cualitativo (Subjetivo): Basado en el criterio y
raciocinio humano capaz de definir un proceso de trabajo
para evaluar los riesgos en base a la experiencia del
proceso del negocio.
Método Cuantitativo = Costo Monetario del Riesgo
Ventajas de los Métodos de Evaluación del Riesgo
Cuantitativo/Objetivo
• Enfoca el análisis mediante el uso de números
• Facilita la comparación de vulnerabilidades muy distintas
• Proporciona una cifra “justificante” para cada control.
• Enfoca lo amplio que se desee
• Plan de trabajo flexible y reactivo
• Se concentra en la identificación de eventos
• Incluye valores intangibles
Cualitativo/Subjetivo
•Cálculos complejos
•Estimación de las pérdidas sólo si son valores justificables.
•Difíciles de mantener o modificar
•La evaluación es un proceso subjetivo
•Depende fuertemente de la habilidad y calidad del personal
involucrado.
•Puede existir riesgos significantes desconocidos.
Cuantitativo/Objetivo
Cualitativo/Subjetivo
Desventajas de los Métodos de
Evaluación del Riesgo
Proceso de Gestión del Riesgo
Tratar
los
Riesgos
Establecer
el
Contexto
Identificar
los
Riesgos
Analizar
los
Riesgos
Evaluar
los
Riesgos
Monitorear y Revisar
Comunicar y Consultar
ESTABLECER EL
CONTEXTO
Tratar
los
Riesgos
Establecer
el
Contexto
Identificar
los
Riesgos
Analizar
los
Riesgos
Evaluar
los
Riesgos
Monitorear y Revisar
Comunicar y Consultar
Establecer el contexto
Esto se desarrolla dentro de la estructura del contexto estratégico,
organizacional y de administración de riesgos de una organización.
El contexto Estratégico: Relación entre la organización y su entorno,
identificando el FODA de la empresa, incluye aspectos financieros, operativos,
políticos, sociales, culturales y legales.
Debería existir una relación cercana entre la misión u objetivos estratégicos de la
organización y la gestión de los riesgos a los cuales esta expuesta
El contexto Organizacional: Es necesario comprender la organización y sus
capacidades, así como sus metas y objetivos, y las estrategias a lograr.
El Contexto de la Administración de Riesgos: Establecer la meta, objetivos,
estrategias, alcance, y parámetros de la actividad o parte de la organización a la
cual se esta aplicando el proceso de gestión de riesgos.
Desarrollar Criterios: Contra los cuales se va a evaluar el riesgo, las
decisiones concernientes a aceptabilidad de riesgos y tratamiento de riesgos,
estos pueden basarse en criterios operativos, técnicos, financieros, legales,
sociales, etc.
Definir la Estructura: Separar la actividad o proyecto en un conjunto de
elementos, estos proveen una estructura lógica para identificación y análisis
lo cual ayuda a asegurar que no se pasen por alto los riesgos significativos.
Esta estructura va depender de la naturaleza del riesgo y del alcance del
proyecto o actividad.
Establecer el contexto
Identificar los Riesgos
Tratar
los
Riesgos
Establecer
el
Contexto
Identificar
los
Riesgos
Analizar
los
Riesgos
Evaluar
los
Riesgos
Monitorear y Revisar
Comunicar y Consultar
Identificación de riesgos
Representa una etapa crítica la Identificación por lo tanto se necesita de un
proceso sistemático bien estructurado, porque los riesgos potenciales que no se
identifiquen en esta etapa son excluidos de un análisis posterior.
¿Qué puede suceder?
Desarrollar una lista amplia de eventos que podrían afectar a cada elemento de
la estructura definida.
¿ Como puede suceder?
Se considera causas y escenarios posibles
Herramientas y Técnicas: Incluyen checklists, juicios expertos, registros,
diagrama de flujo, análisis de sistemas, de escenarios, tormentas de ideas, etc.
Analizar los Riesgos
Tratar
los
Riesgos
Establecer
el
Contexto
Identificar
los
Riesgos
Analizar
los
Riesgos
Evaluar
los
Riesgos
Monitorear y Revisar
Comunicar y Consultar
Análisis de riesgos
El análisis de riesgo involucra prestar consideración a las fuentes de riesgos, sus
amenazas, consecuencias y probabilidades de ocurrencia. Se analiza el riesgo
combinando estimaciones de consecuencias, amenazas y probabilidades en el
contexto de las medidas de control existente.
Determinar los controles existentes: Identificar la administración, sistemas
técnicos y procedimientos existentes para controlar los riesgos y evaluar sus
fortalezas y debilidades.
Consecuencias y Probabilidades: La magnitud de las consecuencias de un
evento, si el mismo ocurriera, y la probabilidad del evento y sus consecuencias,
se evalúan en el contexto de los controles existentes.
Las consecuencias y probabilidades se combinan para entregar un nivel de
riesgo.
DETERMINACION
DEL
ENTORNO
ACTUAL
IDENTIFICACION
DE
AMENAZAS
IDENTIFICACION
DE
VULNERABILIDAD
DETERMINACION
DE
PROBABILIDAD
ANALISIS DE
IMPACTO
VALORACION
DEL
RIESGO
Análisis de Riesgos
Determinación del Entorno Actual
• Identificación de los Procesos críticos y sensibles de la empresa
• Identificación de los activos de la Información y de Tecnología
de la información (Hardware, Software, Aplicaciones, etc.).
• Identificación del Personal usuario y técnico
• Identificación de procedimientos políticas y controles existentes
• Clasificación de los activos.
DETERMINACION
DEL
ENTORNO
ACTUAL
Determinación del Entorno Actual
Técnicas de Extracción de Información
• Cuestionarios/Plantillas: Preguntas para recolectar información
• Entrevistas: Personal responsable
• Revisión de documentos
DETERMINACION
DEL
ENTORNO
ACTUAL
Identificación de Amenazas
Fuentes de amenazas comunes:
• Naturales
• Humanas
• Ambientales
• Identificar las fuentes de amenazas
• Evaluaciones e informes anteriores
• Revisión de bases de datos de fuentes de agencias
especializadas.
• Identificar las amenazas accidentales e intencionales
Motivación: Componente potencial de la amenaza
humana, esto hace del personal descontento, ex
empleados, clientes insatisfechos, etc.
IDENTIFICACION
DE
AMENAZAS
IDENTIFICACION
DE
AMENAZAS Identificación de Amenazas
Tipos comunes de amenazas:
• Errores
• Accidentes
• Daño/Ataque malicioso
• Incidentes/Fenómenos naturales
• Fraude
• Robo
• Falla en quipo/Software
• Pérdida de servicios
• Fuga de información
• Sabotaje
• Terrorismo
Identificación de Amenazas
Relación de Amenazas potenciales
por cada recurso particular,
indicando su naturaleza,
características, etc.
IDENTIFICACION
DE
AMENAZAS
Resultado
Identificación de Vulnerabilidades
• Revisión de Informes de auditoria
• Resultados de pruebas de seguridad
• Inspecciones físicas
• Revisión de información y boletines que
envían los fabricantes de HW y SW de
tecnología
IDENTIFICACION
DE
VULNERABILIDAD
Técnicas de Extracción
• Herramientas de Escaneo de Vulnerabilidades
automatizadas
• Ethical Hacking
• Test de control de calidad (scripts, checklist,
procedimientos, etc)
IDENTIFICACION
DE
VULNERABILIDAD Identificación de Vulnerabilidades
Tipos comunes de vulnerabilidades:
• Software defectuoso
• Equipo configurado en forma inapropiada
• Cumplimiento forzoso inadecuado
• Diseño deficiente de redes
• Procesos defectuosos o incontrolados
• Administración inadecuada
• Personal insuficiente
• Falta de conocimiento
• Falta de mantenimiento
• Tecnología no probada
• Falta de redundancia
• Transmisiones de comunicaciones no protegidas
• Comunicaciones gerenciales deficientes
IDENTIFICACION
DE
VULNERABILIDAD Identificación de Vulnerabilidades
IDENTIFICACION
DE
VULNERABILIDAD
• Lista de potenciales vulnerabilidades por activo evaluado
• Valoración relativa de cada activo respecto a su
vulnerabilidad.
Resultado
Las amenazas y vulnerabilidades que no pueden causar un
impacto son irrelevantes
Identificación de Vulnerabilidades
Determinación de Probabilidad
Determinación de los valores de la probabilidad por activo-
amenaza, considerar en la determinación los controles
existentes.
DETERMINACION
DE
PROBABILIDAD
PROBABILIDAD DEFINICIONES
Insignificante Improbable de ocurrir
Muy bajo Posible de ocurrir dos/tres veces cada 5 años
Bajo Posible de ocurrir cada año o menos
Medio Posible de ocurrir cada 6 meses o menos
Alto Posible de ocurrir una vez al mes o menos
Muy alto Posible de ocurrir muchas veces en un mes
o menos
Extremo Posible de ocurrir múltiples veces en un día
DETERMINACION
DE
PROBABILIDAD
Listado de activos valorados
respecto a su amenaza y
probabilidad de ocurrencia
Resultado
Determinación de Probabilidad
Análisis de Impacto
• Participación de los propietarios de la Información
• Medición efectuada en términos financieros
• Evaluación en base a la pérdida de las características de la
seguridad. (Disponibilidad, Integridad y Confidencialidad)
ANALISIS DE
IMPACTO
• Menor: No afecta la operatividad del negocio
• Significativo: Impacto o daño tangible, se requieren de gasto
de recursos para reparar.
• Daño: Impacta a la imagen, pérdidas de la confidencialidad, se
requiere un gasto significativo de recursos para repararlo
• Serio: Impacta al negocio interrumpiendo parcial o total la
operatividad. Puede afectar el compromiso de
información o servicio.
Ejemplos de impacto expresados en pérdidas financieras:
• Pérdida directa de dinero (efectivo o crédito)
• Responsabilidad penal o civil
• Pérdida de reputación/buen nombre
• Reducción en el valor de las acciones
• Poner en peligro al personal o a los clientes
• Violaciones de la confidencialidad
• Pérdida de oportunidades de negocio
• Reducción en el desempeño/eficiencia operativos
• Interrupción de las actividades de negocio
ANALISIS DE
IMPACTO
Análisis de Impacto
• Listado de la valoración de los
activos.
•Cuantificación del impacto
financiero.
Resultado
ANALISIS DE
IMPACTO
El Impacto es el elemento fundamental para la Gestión de
Riesgos
Análisis de Impacto
• Magnitud del impacto
• Determinación de los riesgos debilidad / amenaza
• Probabilidad de que explote una amenaza
Valoración del Riesgo
• Extremo: Requiere de acción inmediata
• Alto: Requiere de la atención de la Dirección
• Moderado: Requiere la asignación de responsabilidades a la
Gerencia
• Bajo: Requiere la administración de procedimientos de rutina
VALORACION
DEL
RIESGO
VR = V x P x I
- VR: Valor del Riesgo
- V: Vulnerabilidad
Cuando el VR es calculado utilizando el impacto en términos
económicos, el VR es la pérdida económica probabilística.
- P: Probabilidad
- I : Impacto
VALORACION
DEL
RIESGO Valoración del Riesgo
Matrices de Riesgo
ACTIVOS AMENAZA PROBABILIDAD IMPACTO RIESGO
Base de Datos de
Cobranzas Fraude Muy Alta Seria Extremo
Base de Datos de
Finanzas
Incumplimiento
legales Alta Significativa Alto
Base de Datos de
Marketing
Fuga de
información Medio Menor Bajo
Activo Amenaza Proceso Vulnerabilidad Probabilidad Impacto Valor del Riesgo
Base de Datos
Finanzas Fraude Negociaciones 0,2 0,01 100000 200
Base de Datos
Marketing Robo Fidelizacion de Clientes 0,1 0,01 50000 50
Matrices de Riesgo
BAJO MEDIO ALTO
ALTO3 6 9
MEDIO2 5 8
BAJO1 4 7
IMPACTOPRO
BA
BIL
IDA
D
Matrices de Riesgo
ALTA 3
15
Zona de Riesgo Moderado
30
Zona de Riesgo Importante
60
Zona de Riesgo Inaceptable
MEDIA 2
10
Zona de Riesgo Tolerable
20
Zona de Riesgo Moderado
40
Zona de Riesgo Importante
BAJA 1
5
Zona de Riesgo Aceptable
10
Zona de Riesgo Tolerable
20
Zona de Riesgo Moderado
5 10 20
LEVE MODERADO CATASTROFICO
IMPACTO
PR
OB
AB
ILID
AD
Matrices de Riesgo
Casi Cierto
5 5 - 20% 10 - 40% 15 - 60% 20 - 80% 25 - 100%
Probable
4 4 - 16% 8 - 32% 12 - 48% 16 - 64% 20 - 80%
Posible
3 3 - 12% 6 - 24% 9 - 36% 12 - 48% 15 - 60%
Improbable
2 2 - 8% 4 - 16% 6 - 24% 8 - 32% 10 - 40%
Raro
1 1 - 4% 2 - 8% 3 - 12% 4 - 16% 5 - 20%
Insignificante
1
Menor
2
Moderada
3
Mayor
4
Catastrófico
5
IMPACTO
PR
OB
AB
ILID
AD
Matrices de Riesgo
Valor
RIESGO EXTREMO Se requiere de acciones inmediatas Entre 51% - 100%
RIESGO ALTO Se requiere de acciones a corto plazo Entre 31% - 50%
RIESGO MODERADO Se requiere de acciones a mediano plazo Entre 16% - 30%
RIESGO BAJO Se requiere de acciones a largo plazo Entre 1% - 15%
ZONA DE RIESGO
Matrices de Riesgo
Conceptos
Factor de Exposición (EF): Porcentaje de pérdida o impacto
causada por una amenaza. Este valor es necesario para el cálculo
del SLE
0% < EF < 100 %
Expectativa de pérdida individual (SLE).- Es el valor monetario
perdido por la ocurrencia de evento.
SLE = Valor del activo ($) * EF
Otras fórmulas de Análisis de Riesgos
Conceptos (Cont…)
Tasa de Ocurrencia Anual (ARO).- Representa la frecuencia en el
cual un evento ocurre dentro del periodo de un año.
El ARO es considerado como cantidad o probabilidad (según el
análisis)
Expectativa de Pérdida Anualizada (ALE): Representa la pérdida
anual producida por una amenaza individual.
ALE = SLE * ARO
Fórmulas de Análisis de Riesgos
Amenaza Valor del Activo
x FE = SLE x ARO = ALE
Fuego $ 1.0 M x 0.5 = $ 500,000 x 0.1 = $ 50,000
Robo $ 1.0 M x 0.00005 = $ 50 x 1000 = $ 50,000
Ejemplo
Evaluar los Riesgos
Tratar
los
Riesgos
Establecer
el
Contexto
Identificar
los
Riesgos
Analizar
los
Riesgos
Evaluar
los
Riesgos
Monitorear y Revisar
Comunicar y Consultar
Evaluación de Riesgos
Involucra comparar el nivel de riesgo detectado durante el proceso de
análisis con criterios de riesgo establecido previamente.
El resultado de la evaluación es una lista priorizada para una acción
superior y se considera para ello los objetivos del negocio y el grado de
oportunidad que podría resultar de tomar el riesgo.
Los riesgos resultantes que caen dentro de las categorías de riesgos
bajos y aceptables pueden ser aceptados con un tratamiento futuro
mínimo pero deben ser monitoreados y revisados periódicamente para
asegurar su aceptabilidad.
Los riesgos que no caen dentro de la categoría de riesgos bajos o
aceptables deberán ser tratados para controlarlos.
Tratar los Riesgos
Tratar
los
Riesgos
Establecer
el
Contexto
Identificar
los
Riesgos
Analizar
los
Riesgos
Evaluar
los
Riesgos
Monitorear y Revisar
Comunicar y Consultar
Tratar los Riesgo
Riesgo Evaluado y
Priorizado
Mitigar Transferir Evitar
Ejecución del Plan de Tratamiento
del Riesgo
Selección de Estrategia y Elaboración
del Plan de Tratamiento de Riesgo
Aceptable
Co
mu
nic
ar y
Co
nsu
ltar
Mo
nito
rea
r y R
evis
ar
¿Riesgo
Aceptable?
Aceptable ¿Riesgo
Aceptable?
SI
NO
NO
SI
CONTROLES
“Políticas, procedimientos, prácticas y estructuras
organizacionales que están diseñados para brindar una confianza
razonable de que se alcanzarán los objetivos del negocio y que
se evitarán, detectarán y corregirán los incidentes”
Activos, Información
de la Organización
Controles Administrativos
Controles Técnicos
Controles Físicos
Controles
Administrativos
Políticas, estándares,
procedimientos,
guías, selección de
Personal,
Entrenamiento y
Educación de Seguridad
Controles
Técnicos
Controles de acceso
Lógico, Encriptación,
Dispositivos de seguridad,
Identificación y
Autenticación
Controles
Físicos
Protección de las
Facilidades, guardias
de seguridad, cerraduras,
Control ambiental,
Detección de Intrusos
Los controles deben ser
seleccionados basados en
el costo de
implementación, el costo
de riesgo reducido y la
pérdida potencial si un
incidente de seguridad
ocurre
• Disuasivos: Para reducir la probabilidad de las amenazas o
la susceptibilidad a estas a través de una variedad de medios
para reducir el riesgo
• Preventivos: Para reducir las vulnerabilidades y hacer que
un ataque no tenga éxito o reducir el impacto que tendría.
• Correctivos: Reduce el impacto
• Detección: Identifica ataques o investigaciones que
conduzcan a un ataque o que desencadenen controles
preventivos
Los Controles pueden ser:
Tratar los riesgos
Involucra identificar la Estrategia acorde para tratar los
riesgos, evaluar las opciones dentro de ellas, elaborar los
planes para el tratamiento de los riesgos y ejecutarlos.
Identificación de Estrategias para el tratamiento de los
riesgos
– Evitar el riesgo
– Mitigar los riesgos
– Transferir los riesgos
– Retener o Aceptar los riesgos
Evaluación de opciones de tratamiento de los riesgos
Esta son evaluadas sobre la base del alcance de la reducción del riesgo,
pueden considerarse y aplicarse una cantidad de opciones individual o
combinada.
Siempre se considera los costos y beneficios de implementar cada opción.
Cuando el costo acumulado de implementación de todos los tratamientos de
riesgos excede el presupuesto disponible, el plan debería identificar
claramente el orden de prioridad bajo el cual deberían implementarse.
Las opciones de tratamiento de los riesgos deberían considerar como es
percibido el riesgo por las partes afectadas y las formas mas apropiadas de
comunicárselo a dichas partes.
(Anexos A,B,C,D)
Tratar los riesgos
Elaborar Planes de Tratamiento del Riesgo
Estos van a documentar como deben ser implementadas las opciones
seleccionadas. Este plan identifica las responsabilidades, el programa, los
resultados esperados, el presupuesto, las medidas de desempeño y el proceso
de revisión a establecer.
Debe incluir los mecanismos para evaluar la implementación de las opciones
contra criterios de desempeño, las responsabilidades individuales y otros
objetivos.
Ejecutar Planes de tratamiento del Riesgo
Este debe ser administrada por aquellas personas con mejor posibilidad de
controlar los riesgos.
El éxito del Plan de tratamiento del riesgo requiere un sistema efectivo de
administración que especifique los métodos seleccionados, asigne
responsabilidades y compromisos.
Se deberá decidir si se retiene o repite el proceso de tratamiento con los riesgos
residuales.
Tratar los riesgos
• Selección según nivel de riesgo evaluado y el orden de
importancia.
• Análisis costo/beneficio
• Capacidad de implantar las medidas de mitigación
•Selección de controles mas efectivos y eficientes.
•Participación de las unidades afectadas
Selección de Controles
(Anexo A)
Controles para reducir la Probabilidad
(Anexo B)
– Programas de auditoria y cumplimiento
– Condiciones contractuales
– Revisiones formales de requerimientos, especificaciones,
diseño, ingeniería y operaciones
– Inspecciones y controles de procesos
– A}dministración de inversiones y carteras
– Mantenimiento preventivo
– Aseguramiento de calidad, administración y estándares
– Investigación y desarrollo, desarrollo tecnológico
– Supervisión
– Capacitación estructurada y otros programas
– Comprobaciones
– Acuerdos organizacionales
– Controles técnicos
– Planeamiento de contingencia
– Arreglos contractuales
– Condiciones contractuales
– Características de diseño
– Planes de recuperación de desastres
– Planeamiento de control de fraudes
– Minimizar la exposición a fuentes de riesgo
– Planeamiento de cartera
– Política y control de precios
– Separación o reubicación de una actividad y recursos
– Relaciones públicas
– Otros.
Controles para reducir el Impacto
(Anexo C)
Se debe considerar el TCO para el ciclo de vida total del
control o contramedidas:
• Costos por adquisición, si los hubiere
• Costos por utilización e implementación
• Costos por mantenimiento y soporte
• Costo de Licencias
• Costos de prueba y evaluación
• Monitoreo y exigibilidad del cumplimiento
• Inconvenientes para los usuarios
• Costo por actualizaciones
• Capacitación sobre nuevos procedimientos
• Capacitación en tecnologías que sean aplicables
(TCO: Total Cost of Ownership)
Costo de Controles
(Anexo D)
Riesgo Residual
+ RIESGO
EVALUADO
CONTROLES
APROBADOS =
CONTROLES
IMPLEMENTADOS
RIESGO RESIDUAL
Luego de la implementación de los controles
queda un riesgo residual debido a que en la práctica no hay
retorno sin riesgo y los controles no lo eliminan totalmente
por diversos factores, entre ellos el equilibrio costo/beneficio.
Para la aceptación definitiva de los riesgos la organización
debe tener en cuenta:
• La política organizacional
• Sensibilidad y criticidad de los activos involucrados
• Niveles aceptables de los posibles impactos
• Rentabilidad de la implementación
Riesgo Aceptable
Matriz de Controles
Monitorear y Revisar
Tratar
los
Riesgos
Establecer
el
Contexto
Identificar
los
Riesgos
Analizar
los
Riesgos
Evaluar
los
Riesgos
Monitorear y Revisar
Comunicar y Consultar
Monitorear y Revisar
Es necesario monitorear los riesgos, la efectividad del plan de
tratamiento de los riesgos, las estrategias y el sistema de
administración que se establece para controlar la implementación.
Los riesgos y los controles implementados necesitan ser
monitoreados para asegurar que las circunstancias cambiantes no
alteren las prioridades de los riesgos.
La Revisión es esencial para asegurar que el plan de
administración se mantiene relevante y vigente. Esta actividad es
una parte integral del plan de tratamiento de la administración de
riesgos.
Comunicar y Consultar
Tratar
los
Riesgos
Establecer
el
Contexto
Identificar
los
Riesgos
Analizar
los
Riesgos
Evaluar
los
Riesgos
Monitorear y Revisar
Comunicar y Consultar
Comunicar y Consultar
Consideración importante en cada paso del proceso de la gestión de
riesgos. Es importante desarrollar un plan de comunicación con los
interesados internos y externos en la etapa mas temprana del proceso.
La comunicación y consulta involucra un diálogo en ambas direcciones
entre los interesados.
Las percepciones de los riesgos pueden variar debido a diferencias en los
supuestos, conceptos, necesidades, aspectos y preocupaciones de los
interesados. Los interesados probablemente harán juicios de aceptabilidad
de los riesgos basados en su percepción de los mismos.
Dado que los intereses pueden tener un impacto significativo en las
decisiones tomadas, es importante que sus percepciones de los riegos, así
como, sus percepciones de los beneficios, sean identificadas y
documentadas y las razones subyacentes para las mismas comprendidas
y tenida en cuenta.
Documentación
Es necesario documentar cada etapa del proceso de gestión de riesgos y
deben incluir los supuestos, los métodos, las fuentes de datos y los
resultados
Razones para la documentación:
– Demostrar que el proceso es conducido apropiadamente
– Proveer evidencia de un enfoque sistemático de identificación y
análisis de riesgos
– Proveer un registro de los riesgos y desarrollar la base de datos de
conocimiento de la organización
– Proveer a los tomadores de decisión relevantes, de un plan de
gestión de riesgos para aprobación y subsiguiente implementación
– Facilitar el continuo monitoreo y revisión
– Proveer una pista de auditoria
– Compartir y comunicar información
Documentación de la Gestión del Riesgo
Documentación mínima necesaria para la gestión de la riesgo:
1. Un registro de riesgo – para cada riesgo identificado, contiene:
- Fuente y naturaleza del riesgo
- Controles existentes
2. Consecuencia y probabilidad
- Pérdida de ingresos, gastos inesperados
- Riesgo legal (de incumplimiento regulatorio y contractual)
- Procesos Interdependientes
- Clasificación inicial del riesgo
3. Plan de acción y Mitigación de riesgos, que proporcione:
- Responsabilidad de implementar el plan
- Recursos que se van a utilizar y asignación del presupuesto
- Frecuencia de cumplimiento
- Detalle de mecanismos/medidas de control
4. Documentos de Auditoria y Monitoreo que
incluyan:
- Resultado de auditorias/revisiones y otros
procedimientos de monitoreo
- Seguimiento de las recomendaciones de la
revisión y el estado de su
implementación
Documentación de la Gestión del Riesgo