Administración de riesgos
Enviado por ignaciolp • 8 de Agosto de 2013 • Tesis • 1.466 Palabras (6 Páginas) • 308 Visitas
Explicación del tema 7/23/13 9:00 AM
Explicación del tema 8
Recuperación de desastres, evaluación del proceso del negocio y administración de riesgos Tema 8. Administración de riesgos 2da. Parte
8.1 Administración de riesgos
La administración de riesgos es el proceso de identificar debilidades y amenazas para los recursos o activos de la empresa utilizados para el logro de objetivos. En este proceso además, se establecerán qué medidas se tomarán para reducir hasta un nivel aceptable los riesgos.
La administración efectiva de riesgos inicia con un entendimiento claro del nivel de riesgos de la empresa. A partir de aquí, se impulsan los esfuerzos para administrar el riesgo. La administración de riesgos implica identificar, analizar, evaluar, tratar, monitorear y comunicar el impacto del riesgo sobre los activos de la empresa.
Una vez identificado el nivel aceptable de riesgo por la empresa y la exposición al mismo, se pueden establecer las estrategias para administrarlo y definir responsabilidades.
Las estrategias a seguir en el tratamiento de riesgos pueden:
Transferirlo Rechazarlo Reducirlo Evitarlo
Un ejemplo claro de una empresa que transfiere el riesgo es la adquisición de seguros, ya que quien correrá con los gastos generados en un incidente será la compañía de seguros.
Rechazar el riesgo significa que la empresa lo ignora, esta estrategia puede ser muy peligrosa y costosa. Aquí, la empresa simplemente decide no hacer nada y espera que nunca se presente el riesgo. Por ejemplo, una empresa sabe que puede haber un terremoto en la zona y decide no implantar ninguna medida contra terremotos.
La estrategia de reducción del riesgo, implica la implementación de controles y procedimientos de seguridad. Establecer contramedidas para minimizar los efectos del riesgo. En este momento, se deberá evaluar si el costo de los controles no excede los beneficios. Por ejemplo, una empresa tiene el riesgo de inundaciones y decide implementar sistemas automáticos de respaldo, contar con información redundante en un hot site instalado en otra ciudad. La empresa debe evaluar el costo de estas medidas para mitigar el riesgo y si su valor es inferior al costo de los archivos que está protegiendo, pues no deberá invertir en seguridad más de lo que estos cuestan.
Finalmente, una empresa puede optar por evitar el riesgo eliminando el origen del mismo. Por ejemplo: no instalar en una empresa el servicio de comercio electrónico para evitar riesgos de fraudes.
Para desarrollar un programa de administración de riesgo se debe: 1. Establecer el propósito del programa.
2. Asignar los responsables del plan. (Asignar una persona o un equipo responsable). 8.2 Proceso de administración de riesgos
El siguiente diagrama muestra el proceso de administración de riesgos.
http://bbsistema.tecmilenio.edu.mx/bbcswebdav/institution/UTM/tetramestre/profesional/cb/cb09104/anexos/explica8.htm Page 1 of 4
Explicación del tema 7/23/13 9:00 AM
El primer paso en el proceso, es definir o desarrollar un equipo de administración de riesgos el cuál será responsable de todo. Este equipo deberá ser liderado por una persona con habilidades de administración de proyectos. Además, el equipo deberá contar con el apoyo de la alta dirección.
Una vez identificado el equipo, se procederá al segundo paso que es la identificación de activos. Se deberá realizar un inventario de activos. Este inventario incluirá desde equipos hasta secretos industriales. Por ejemplo: para Coca Cola su fórmula representa un activo invaluable.
El tercer paso será identificar las amenazas para cada activo. Siguiendo con el ejemplo de Coca Cola, una amenaza para su activo de la fórmula del producto es el robo.
El cuarto paso consiste en realizar un análisis de riesgos. Este análisis puede
estar basado en técnicas cualitativas o cuantitativas. Estas técnicas ya se
describieron en la sesión anterior. Independientemente de la técnica o método
utilizado, el objetivo es determinar qué riesgos requieren atención inmediata. En
este análisis de riesgos podemos encontrar que existen riesgos de un alto
impacto pero con poca probabilidad de ocurrencia. Otros, por el contrario, tendrán
una alta probabilidad de ocurrencia pero con un impacto mínimo. En este punto
se deberá dar prioridad a riesgos que tengan un alto impacto con una alta
probabilidad de ocurrencia. Por ejemplo, una empresa localizada en una playa del Golfo de México (caracterizada por la alta ocurrencia de huracanes) deberá considerar el riesgo de huracanes como de alto impacto y de alta probabilidad de ocurrencia. Gráficamente podríamos representar la situación anterior de la siguiente manera:
http://bbsistema.tecmilenio.edu.mx/bbcswebdav/institution/UTM/tetramestre/profesional/cb/cb09104/anexos/explica8.htm Page 2 of 4
Explicación del tema 7/23/13 9:00 AM
Fuente: ISACA. (2008). Manual de Preparación al Examen CISA 2008. ISACA.
Una vez identificados y clasificados los riesgos, se procede a la etapa de mitigación de riesgos. En esta
...