Logo cn.artbmxmagazine.com

计算机技术中的风险管理

Anonim

在每个组织中,重要的是要有一个工具来保证对风险的正确评估,而参与计算机领域的流程和活动必须遵循该工具;通过控制程序,可以评估计算环境的性能。

考虑到商业环境中对此类工具的需求,并考虑到计算环境中问题的主要原因之一是对计算机风险的管理不足,此项工作为正确管理计算机提供了支持。风险管理,基于以下几个方面:

  • 对计算机过程固有风险的评估;对威胁或风险原因的评估;用于最小化对风险的威胁的控制措施;对计算机过程负责人的分配;对风险分析要素的评估。 。
sisrisinfo

第一部分-风险管理

  1. 问题-风险管理

风险是现实世界中处于逆境中的情况,它是由多种环境条件共同构成的,有可能造成损失。

1.1。风险分类

由于各种原因,企业可能会失败或蒙受损失。这些原因及其影响的差异构成了区分风险的基础,可以分为以下几类:

  • 财务风险:财务风险涉及组织与可能丢失或损坏的优势之间的关系。这样,财务风险涉及三个要素:
  1. 遭受损失的组织构成财务损失原因的要素可能导致损失的风险(风险威胁)。
  • 动态风险:它们是由两种因素引起的经济变化的结果:
  1. 外部环境因素;经济,行业,竞争者和客户其他可能产生作为投机风险基础的损失的因素是组织管理层的决定。
  • 静态风险:这些风险是由经济变化以外的其他原因引起的,例如:不诚实或人为失灵特定风险:描述一种可能会造成损失或获利的情况。一个好的例子是有风险的或随机的情况纯风险:指定那些只会产生损失或获利的情况,例如在购买商品(汽车,房屋等)时有损失的可能性。纯粹的风险可分为以下几类:个人风险:包括遭受以下危险的损失可能性:过早死亡,疾病和残疾拥有风险:它们涵盖2种不同类型的损失,它们是:因破坏而造成的直接损失商品以及因直接损失或其他费用造成的间接损失。责任风险:您的基本危害是疏忽大意或疏忽大意对他人造成伤害或财产损失物理风险:例如,此类疾病包括:噪音过大,照明不足,暴露于辐射,电气设备不足。化学风险:该类别包括,例如:暴露于溶剂蒸气,燃烧的烟雾和气体中的生物风险:真菌和细菌心理社会风险:不公平的经济收入,单调,缺乏激励和动机人体工程学风险:不舒适的工作场所,强迫的身体姿势,操作机器时反复运动,人满为患的基本风险:它涉及起源和后果都是非个人的损失。它们大多数是由经济,社会现象引起的。它们影响组织的一部分特殊风险:它们是由个别事件引起的损失,而这些事件在整个团队中产生。失业,战争,通货膨胀,地震都是基本风险;房屋火灾和银行抢劫特别危险。

1.2。与计算机有关的业务风险

这些企业的主要计算机风险如下:

  • 诚信风险:此类型涵盖与组织中使用的应用程序的输入,处理和报告的授权,完整性和准确性相关的所有风险。这些风险适用于业务处理支持系统的各个方面,并且存在于应用程序的所有部分的多个位置和多个时间;尽管这些风险体现在系统的以下组件中:用户界面:该领域的风险通常与组织的个性及其执行业务/系统功能的权限方面的限制有关;考虑到他们的工作需要和合理的义务分离。该领域中的其他风险与确保输入到系统中的信息的有效性和完整性的控制措施有关。处理:此领域中的风险通常与侦探控制和预防控制的适当平衡有关,以确保信息处理已完成。此风险领域还涵盖与用于汇总结果和制定业务决策的报告的准确性和完整性有关的风险。错误处理:此领域中的风险通常与确保正确捕获,更正和准确地完全重新处理任何输入/过程错误信息(异常)的方法有关。接口:该领域的风险通常与确保信息已由应用程序正确处理和传输的预防和侦查控制有关。变更管理:该领域的风险通常可以视为风险基础架构和应用程序变更影响的一部分。这些风险与组织变更过程的管理不当有关,包括:对用户进行变更的承诺和培训,以及如何传达和实施变更。信息:通常可以将这方面的风险视为应用程序基础结构的一部分。这些风险与控制管理不当有关,包括已处理信息安全性的完整性以及对数据库系统和数据结构的有效管理。完整性可能由于以下原因而丢失:编程错误(错误的程序会处理好的信息),错误处理(未正确处理的事务)或错误管理和处理(系统维护管理差)。关系风险:关系风险是指及时使用应用程序创建的信息。这些风险与决策信息直接相关(正确的信息和来自正确的人员/流程/系统的数据,在正确的时间允许做出正确的决策)。访问风险:这些风险集中在对系统,数据和信息的不当访问上。这些风险包括:不适当的工作隔离风险,与数据库系统信息完整性相关的风险以及与信息机密性相关的风险。访问风险可能会在以下信息安全结构级别上发生:业务流程:组织决策必须将不兼容的工作与组织分开,并提供正确级别的功能执行。应用程序:安全机制的内部应用程序,为用户提供执行其工作所需的功能。信息管理:该机制使用户可以访问特定于环境的信息。处理环境:通过不适当地访问程序和信息的环境来管理此区域中的这些风险。网络:在此区域表示对网络环境及其处理的不适当访问。物理级别:设备的物理保护以及对其的适当访问。有用性风险:这些风险集中在三个不同级别的风险上:可以通过在问题出现之前对系统进行处理来面对风险。恢复/还原技术用于最大程度地减少系统故障备份和计划信息处理中的应急控制灾难。基础设施风险:这些风险是指组织中没有有效的技术信息结构(硬件,软件,网络,人员和流程)来以有效的成本充分支持企业的未来和当前需求。这些风险与定义,开发,维护和操作信息处理环境以及相关应用程序(客户服务,账单支付等)的技术信息流程相关。通常在以下IT流程的背景下考虑这些风险:组织计划:该领域的流程可确保对业务中IT的影响进行定义,定义和验证。也,检查是否有足够的组织(人员和流程)来确保计算机技术的努力将获得成功。定义应用程序:此区域中的流程可确保应用程序满足用户需求并支持业务流程的上下文。这些过程包括:确定购买现有应用程序或开发客户解决方案的决心。这些过程还确保对应用程序(购买或开发的)的任何更改均遵循已定义的过程,该过程确认关键过程/控制点是一致的(所有更改均由用户在部署之前进行审查)。安全管理:此领域的流程可确保组织受到适当指导以建立,维护和监视内部安全系统,该系统具有有关组织信息的完整性和机密性以及将欺诈降低到可接受水平的管理策略。网络和计算操作:此区域中的过程确保信息系统和网络环境以安全可靠的方案进行操作,并且信息处理职责由定义,测量和监视的操作人员执行。它们还确保系统一致并以令人满意的性能水平提供给用户。数据库系统管理:该领域的流程旨在确保用于支持关键应用程序和报告的数据库具有定义一致性,匹配要求并减少潜在的冗余。信息/业务:此领域的流程旨在确保存在足够的计划,以确保用户可以在需要时使用信息技术。一般安全风险: IEC 950标准提供了实现一般安全并降低风险的设计要求:电击风险:高电压等级。火灾危险:材料的易燃性。电能不足的风险。辐射风险:噪声,激光和超声波。机械风险:电气部件不稳定。

1.3。处理风险的程序技术

  • 避免风险:如果组织中不接受风险,则可以避免。这项技术可能比积极技术更负面。如果过度使用规避风险,企业将被剥夺许多获利机会(例如:进行投资的风险),并且可能无法实现其目标降低风险:可以通过例如安全计划来降低风险,安全警卫,警报和在专家的建议下对未来损失的估计风险守恒:面对风险可能是最常见的方法,因为很多时候积极的行动不是转移或减少其行动。每个组织都必须根据其偶然性裕度来决定保留或转移哪些风险,损失可能是一个组织容易被另一个组织承受的财务灾难共享风险:分担风险时,损失的可能性已从个人转移到小组。
  1. 风险管理解决方案

2.1。风险管理的定义

风险管理是一种针对风险行为的科学方法,通过设计和实施可最大程度减少损失发生或可能造成损失的财务影响的程序来预测可能的意外损失。

2.2。风险管理工具

风险管理中使用的主要技术或工具是:

  • 风险控制:一种旨在使组织所面临的风险所导致的潜在成本最小化的技术,该技术包括拒绝承担任何因特定活动而遭受的损失以及减少潜在损失的可能性。
  • 风险融资:重点在于保证了解财务资源的能力以及其中可能发生的损失。灌溉经常被转移或停止。当他们保留下来时,会伴随着预算的特定分配,并且可以包括积累财务资源以了解其偏差。转移后,它们涵盖合同安排和某些活动的外包。

2.3风险管理流程

该过程包括以下步骤:

  • 确定目标:风险管理的第一步是准确确定风险管理计划。为了从与风险管理相关的支出中获得最大收益,有必要制定一个计划。否则,就是将风险管理过程视为一系列孤立的问题,而不是一个简单的问题,并且没有指导方针可在组织的过程中提供逻辑上的一致性。

作为第一自然法则,风险管理的主要目标是保证组织的生存,并最大程度地降低与风险相关的成本。风险管理中的许多缺陷在于缺乏明确的目标。

风险管理的目标已在“公司风险管理政策”中正式确定,该政策描述了为实现该目标而采取的政策和措施。

理想情况下,风险管理目标和政策应是公司董事会决策的产物。

  • 风险识别:由于条件和操作不同,因此很难一概而论地概括组织的风险,但是有多种方法可以识别它们,其中包括:
  • Herramientas de identificación de riesgos: Las más importantes herramientas usadas en la identificación de riesgos incluyen: registros internos de la organización, listas de chequeo para políticas de seguros, cuestionarios de análisis de riesgos, flujos de procesos, análisis financiero, inspección de operaciones y entrevistas.
  • Aproximación de combinación: La aproximación preferida en la identificación de riesgos consiste de una aproximación de combinación, en el cual todas las herramientas de identificación de riesgos están hechas para tolerar problemas. En pocas palabras cada herramienta puede resolver una parte del problema y combinados pueden ser una considerable ayuda al administrador de riesgos. Los riesgos pueden surgir de muchas fuentes, por lo cual el administrador de riesgos necesita un sistema de información de búsqueda rápida, diseñado para proveer el flujo de información acerca de cambios en operaciones y cambios en las relaciones con las entidades externas.Evaluación de Riesgos: Una vez que los riesgos han sido identificados el administrador de riesgos debe evaluarlos. Esto envuelve la medición del potencial de las pérdidas y la probabilidad de la pérdida categorizando el orden de las prioridades. Un conjunto de criterios puede ser usado para establecer una prioridad, enfocada en el impacto financiero potencial de las pérdidas, por ejemplo:Riesgos críticos: Todos las exposiciones a pérdida en las cuales la magnitud alcanza la bancarrota.Riesgos importantes: Son exposiciones a pérdidas que no alcanzan la bancarrota, pero requieren una acción de la organización para continuar las operaciones.Riesgos no importantes: Exposiciones a pérdidas que no causan un gran impacto financiero.Consideración de alternativas y selección de mecanismos de tratamiento de riesgos: El próximo paso es considerar las técnicas que puedan ser usadas para tratar con riesgos. Estas técnicas incluyen: evitar los riesgos, retención, transparencia y reducción. Algunas políticas de la administración de riesgos de la organización establece el criterio a ser aplicada en la elección de técnicas, haciendo un bosquejo de las reglas con las cuales el administrador de riesgos, puede operar.Implementación de la Decisión, Evaluación y Revisiones: Este paso debe ser incluido por 2 razones. Primero, el proceso de administración de riesgos no es la panacea definitiva, las cosas pueden cambiar nuevos riesgos surgen y riesgos viejos desaparecen, el programa de administración de riesgos permite al administrador de riesgos revisar decisiones y descubrir errores.

2.4 RESPONSABILIDADES DEL ADMINISTRADOR DE RIESGOS

  1. Desarrollar políticas de administración de riesgos: El administrador de riesgos ayuda a la organización en la identificación de objetivos y preparación de políticas junto a la alta gerencia. Identificar los riesgos: Es considerablemente la función más difícil de la administración de riesgos. Este proceso requiere un gran sistema de información que alertará al administrador de riesgos sobre nuevas exposiciones a pérdida. Seleccionar alternativas financieras: Basado en la estructura financiera de la organización, el administrador de riesgos recomienda el camino a tomar.
  1. Negociar el alcance de la seguridad: El administrador de riesgos debe determinar que aseguramiento es necesario y debe obtener la mejor combinación entre alcance y costo.
  1. Supervisar la administración interna: Esta función incluye estadísticas de pérdida, manuales de administración de riegos, monitorización de renovaciones y administración de horarios.
  1. Administrar funciones de riesgo: Esta función incluye: monitorización de seguros y supervisión de contratos de seguros.
  1. Supervisar la prevención a pérdidas: Sin ser expertos deben tener un conocimiento global del área expuesta a perdida.
  1. DECISIONES EN LA ADMINISTRACION DE RIESGOS

Las principales decisiones a tomar en la administración de riesgos son:

  • Reacciones instintivas al riesgo: El instinto natural de auto-preservación, la reacción instintiva al peligro, son medidas de control que pueden ser clasificadas como un comportamiento aprendido. Estas se convierten en estándares innatas al comportamiento y representan las reglas personales para la prevención a pérdidas.Buenas y malas decisiones en la administración de riesgos: Uno de los asuntos mas complejos en las decisiones de la administración de riegos es distinguir las buenas decisiones de las malas, porque la administración de riesgos abarca decisiones tomadas bajo condiciones de incertidumbre, siendo algunas veces juzgadas inadecuadamente. La evaluación debe ser hecha con base en información disponible y actualizada.
  • Análisis Costo – Beneficio: El análisis costo – beneficio procura medir la contribución que hace la administración de riesgos, verificando si sus beneficios exceden su costo; actualmente el análisis de costo-beneficio puede ser utilizado para juzgar cualquier decisión donde los beneficios son realizados sobre el tiempo estimado. Aunque el análisis costo-beneficio es una buena técnica para tomar decisiones en la administración de riesgos, la naturaleza de los riesgos crea impedimentos para su uso, donde los costos son generalmente medidos, los beneficios no pueden serlos.Teoría de la Utilidad: La teoría de la utilidad fue originalmente introducida para explicar la naturaleza de la función de la demanda, es decir la utilidad o satisfacción derivada del beneficio económico no se incrementa proporcionalmente con los incrementos en el bien, usando esta técnica como base en la toma de decisiones surgen decisiones consistentes, aunque algunas veces inadecuadas.
  • La Teoría de Decisión: También llamada análisis de decisión puede ser usada para determinar estrategias opcionales cuando una decisión tomada es afrontada con algunas decisiones alternativas y un modelo incierto de futuros eventos.

El primer paso del analista en la teoría de la decisión dado un problema es listar todas las alternativas disponibles de decisión; el segundo paso es listar todos los futuros eventos que podrían ocurrir, estos futuros eventos son llamados los “Estados de la Naturaleza” del problema. Las situaciones de decisión se dividen en 3 tipos:

  1. Toma de decisiones bajo certidumbre: uno y solamente un “estado de naturaleza” existe, y la decisión es tomada con certeza.Toma de decisiones bajo riesgo: existe mas de un “estado de naturaleza”, y todos los estados disponibles son probables.Toma de decisiones bajo incertidumbre: existe mas de un “estado de naturaleza”, pero nada es conocido sobre la probabilidad o elección de ocurrencia de varios estados.

3.1 REGLAS DE LA ADMINISTRACIÓN DE RIESGOS

La administración de riesgos se ha considerado como un área funcional especial de la organización, por lo cual se han ido formalizando sus principios y técnicas. Dentro del campo de la administración de riesgos se crearon las siguientes reglas:

  • No arriesgarse más de lo posible: el factor mas importante para determinar cuales riesgos requieren alguna acción especifica es el máximo potencial de pérdida, algunas pérdidas pueden ser potencialmente devastadoras literalmente fuera del alcance de la organización mientras tanto otras envuelven menores consecuencias financieras si el máximo potencial de pérdida de una amenaza es grande, la perdida es inmanejable o el riesgo debe ser transferido.
  • Considerar las diferencias: Esta regla sugiere que la probabilidad de pérdida puede ser un importante factor para decidir que hacer sobre un riesgo particular.
  • No arriesgar mucho por poco: Esta regla dicta que puede haber una razonable relación entre el costo de transferencia de riesgos y el valor que acumula el entre que los transfiere. Esta regla provee dos direcciones primero los riesgos no pueden ser retenidos cuando la pérdida posible es relativamente grande a los beneficios obtenidos a través de la retención, el segundo aspecto es que en algunas instancias el beneficio que es requerido para asegurar un riesgo no es proporcional al riesgo transferido.
  1. EVALUACION Y REVISION DE PROBLEMAS EN LA ADMINISTRACION DE RIESGOS

La evaluación y la revisión son importantes para el proceso de administración de riesgos por dos razones:

  1. La primera razón es que las cosas cambian, las soluciones que eran apropiadas en el pasado emergen y viejos riesgos desaparecen.Los errores están surgiendo constantemente y una revisión persistente provee una oportunidad de descubrir errores pasados.

4.1. EVALUACION Y REVISION GENERAL

Esta fase corresponde a la parte administrativa de control de la administración de riesgos, el propósito del control es verificar que las operaciones están de acuerdo con lo planeado y requiere de:

  • Estándares y objetivos para ser llevados a cabo.Medir la ejecución de operaciones con estos estándares y objetivos.Tomas acciones correctivas cuando los resultados difieran de lo deseado.

4.2 AUDITORIA EN LA ADMINISTRACION DE RIESGOS

El proceso de auditoria incluye los siguiente pasos:

  • Evaluar los objetivos y las políticas de la administración de riesgos: la evaluación de un programa de administración de riesgos envuelve la medición de programas con estándares y los objetivos del programa representan los primeros estándares lógicos. Esta evaluación generalmente incluye una revisión de las finanzas de la organización y su habilidad de soportar pérdidas.Identificar y evaluar los riesgos después de que los objetivos han sido definidos y evaluados, el próximo paso es identificar las exposiciones a riesgos existentes en la organización, este paso consiste de un análisis de operaciones para determinar las distintas exposiciones a pérdidaEvaluar las decisiones relacionadas a pérdida, este paso incluye una revisión de la extensión de los riesgos.Evaluar las medidas de la administración de riesgos que han sido implementadas. Este paso evalúa las decisiones pasadas, verificando que la decisión fue propiamente implementada. Este paso incluye una revisión de medidas de control y pérdidas financieras.Recomendar cambios para el beneficio del programa de auditoria.

4.2.1. ALCANCE DE LA AUDITORIA DE LA ADMINISTRACION DE RIESGOS

Las tres principales área que se pueden auditar son:

  • Políticas de administración de riesgos: este aspecto esta enfocado en los objetivos del programa, la responsabilidad y autoridad del administrador de riesgos y la consistencia de las políticas con los objetivos.Control de riesgos: la naturaleza especializada de la prevención de pérdidas y control para diversos tipos de riesgos hacen necesario realizar auditorías especializadas que pueden incluir:Auditoria de protecciónAuditoria de seguridadAuditoria AmbientalAuditoria de seguridad informáticaAuditoria de control de pérdida de propiedadesFunción de seguridad: Esta función puede ser conducida en 2 niveles: el primero es la evaluación de su rol en el todo del programa de la administración de riesgos, el segundo es una revisión mas detallada del programa de seguridad, el cual examina su alcance, con un detallado análisis.
  1. OBJETIVOS DE LA ADMINISTRACION DE RIESGOS

Los siguientes son los objetivos mas comunes:

  • Garantizar el mejor manejo de los recursosMinimizar el costo del negocio causado por los riesgosProteger a los empleados de perjuiciosConocer las obligaciones contractuales y legalesEliminar preocupaciones posteriores

5.1. CLASIFICACION DE LOS OBJETIVOS

  • ECONOMICOS:

El objetivo es reducir el costo del negocio causado por los riesgos al mas bajo nivel posible.

  • REDUCIR LA ANSIEDAD:

Se refiere a la tranquilidad obtenida de tener medidas utilizadas para manejar la adversidad. Cuando catástrofes potenciales no son manejadas, la incertidumbre puede distraer a los gerentes para tomar correctamente sus decisiones corporativas.

  • OBTENER ESTABILIDAD:

El objetivo de la estabilidad se apoya del efecto causado por grandes variaciones que pueden surgir de terceros y como contribuir para reducir estas variaciones.

  • CONTINUAR EL DESARROLLO:

Maximizar los beneficios no siempre es el objetivo dominante en una organización. Otro objetivo corporativo es la habilidad de continuar creciendo.

  • RESPONSABILIDAD SOCIAL

Se refiere a la variedad de obligaciones sociales que tiene la organización con sus empleados y con la sociedad en general; algunas veces surgen conflictos con el objetivo de la economía.

5.2 POLITICAS EN LA ADMINISTRACION DE RIESGOS

Una política es una guía general de acción, este es un plan estándar de la organización que traduce los objetivos en guías mas específicas. Para determinar las políticas en la administración de riesgos para una organización en particular se tienen en cuenta decisiones que pueden ser hechas solamente por la gerencia de la organización. En el diseño de políticas de administración de riesgos, algunos factores son necesarios para tomar decisiones, que son:

  • Los objetivos basicos del programa de administracion de riesgos: El principal objetivo es preservar la eficiencia operativa de la organización. Este objetivo implica evitar las perdidas financieras causadas por desastres que impidan las funciones básicas de la organización.
  • Consolidacion del programa de retención: Cuando la política de administración de riesgos específica un máximo nivel de retención (delineamiento de exposiciones o pérdidas que no serán retenidas), se tiene un razonable direccionamiento de consolidación de perdidas retenidas, permitiendo gran flexibilidad en las decisiones de control.
  1. IDENTIFICACION DE RIESGOS

Antes de enfrentar los riesgos, alguien debe identificarlos. Esta tarea es de nunca acabar, pues nuevas amenazas están surgiendo constantemente.

La identificación de riesgos es continua y depende de la red de comunicación dentro de la organización, generando un flujo constante de información acerca de las actividades de la organización.

6.1. METODOLOGIAS DE IDENTIFICACION DE RIESGOS

Las técnicas de identificación de riesgos han sido desarrolladas simultáneamente por profesionales de diferentes disciplinas, cada uno enfocado en su propia especialidad. Estos profesionales incluyen profesionales en seguros, especialistas en seguridad, ingenieros industriales, contadores e ingenieros en general.

Generalmente las técnicas de identificación de riesgos se desarrollaron como parte de la prevención de pérdidas y los esfuerzos de control:

  • Identificacion basada en pérdidas pasadas: Hasta hace poco tiempo, la metodología primaria de identificación de riesgos fue la observación de las pérdidas que han ocurrido, como regla la identificación de los riesgos no se realiza hasta que una pérdida tome lugar. Cada vez que un riesgo ocurre, se toman medidas que posiblemente previenen la ocurrencia de pérdidas de la misma fuente. Las compañías de seguro jugaron el mayor rol en el desarrollo de las técnicas de identificación de riesgos y la mayoría de los métodos que ellas desarrollaron se basaron en el análisis de pérdidas pasadas; los aseguradores también desarrollaron listas de chequeo, que proveen una base en la cual la identificación de riesgos puede ser construida.

Existe un proceso llamado “Suscripción” que consiste en decidir el seguro a una exposición particular y la rata a la cual será asegurada. En este proceso se hacen inspecciones para acumular información acerca de los riesgos; basado en estas inspecciones se puede tomar medidas correctivas, con la base en esta experiencia se ha conformado la ciencia de la identificación de riesgos. Basado en el análisis de experiencias pasadas, se puede predecir pérdidas futuras, porque las pérdidas varían por las causas que las envuelven. Adicionalmente el registro histórico de pérdidas también es usado en la identificación de las causas de las pérdidas pasadas, lo cual sirve como base para prevenir pérdidas y medidas de control.

  • Técnicas de sistemas de seguridad: En los años sesenta los ingenieros científicos militares de los Estados Unidos desarrollaron una aproximación de la identificación de los riesgos; históricamente los riesgos han sido identificados por la experiencia ocurrida después de que una pérdida paso. Las actividades envueltas en el programa espacial y militar representaron nuevas fronteras, por lo cual una nueva aproximación fué necesaria. La mayor contribución del programa espacial y militar fue el cuerpo de conocimiento de prevención de pérdidas y control, fue la introducción de sistemas orientados a la seguridad. El término de “Sistemas de seguridad” es generalmente usado para describir una colección de técnicas matemáticas y lógicas que son continuamente aplicadas a la detección y corrección de amenazas a riesgos del estado conceptual del producto, a través de su detallado diseño y operaciones.

Este proceso incluye un estudio de procedimientos operacionales, procedimientos examinadores y revisiones de la alta gerencia. Los sistemas con los cuales los ingenieros estaban ocupados eran complejos que fue necesario tener una nueva visión de identificación de riesgos. Para enfrentar esta situación, los científicos desarrollaron una variedad de técnicas que son conocidas como “Sistemas de Seguridad” y que son parte del arsenal del administrador de riesgos. Algunos rasgos distinguen la aproximación de sistemas de seguridad de la metodología tradicional de prevención de pérdidas. El principal rasgo es el énfasis en la identificación de posibles causas de accidentes antes de que ocurran.

6.2. HERRAMIENTAS DE IDENTIFICACION DE RIESGOS

El término “Herramientas de identificación de riesgos” abarca algunas formas estándares y listas de chequeo que son diseñadas para facilitar el proceso de identificación de riesgos como tal, esas herramientas se distinguen como documentos que proveen una imagen de riesgos. Las herramientas proveen una guía para organizar e interpretar la información acumulada con las técnicas de identificación de riesgos.

  • Cuestionarios de analisis de riesgos: La herramienta clave en la identificación de riesgos son los cuestionarios esos cuestionarios estan diseñados para guiar al administrador de riesgos para descubirr amenazas a través de una serie de preguntas y en algunas instancias, este instrumento esta diseñado para inculir riesgos asegurables e inasegurables. El cuestionario de análisis de riesgos esta diseñado para servir como un repositorio de la información acumulada de documentos, entrevistas e inspecciones. Su propósito es guiar a la persona que intenta identificar exposiciones a riesgo a través del proceso de la identificación en un modelo lógico y consistente.
  • Listas de chequeo de exposiciones a riesgo: Una segunda ayuda importante en la identificación de riesgos y una de las mas comunes herramientas en el análisis de riesgos son las listas de chequeo, las cuales son simplemente una listas de exposiciones a riesgo.
  • Listas de chequeo de politicas de seguridad: Esta herramienta incluye un catálogo de varias políticas de seguridad que un negocio dado puede necesitar. El administrador de riesgos consulta las políticas recolectadas y aplicadas a la firma.
  • Sistemas expertos: Un sistema experto usado en la administración de riesgos incorpora los aspectos de las herramientas descritas en una sola herramienta. La naturaleza integrada del programa permite al usuario generar propósitos escritos y prospectos.

6.3. TECNICAS DE IDENTIFICACION DE RIESGOS

Las herramientas de identificación de riesgos describen una estructura que interpreta la información derivada de cuatro técnicas de identificación de riesgos que son:

  • ORIENTACION: El primer paso en la identificación de riesgos es beneficiarse a través del conocimiento de la organización y sus operaciones. El administrador de riesgos necesita un conocimiento general de las ventajas y funciones de la organización.
  • ANALISIS DE DOCUMENTOS: La historia de la organización y sus operaciones actuales son archivadas en una variedad de registros. Estos registros representan una fuente básica de la información requerida por el análisis de riesgos; el auditor debe obtener los documentos internos que contienen las actividades e historia de la organización. Los principales documentos donde se extrae información pertinente son:
  1. Informe de analisis financiero: Los informes financieros puede ser una fuente importante de información para la función de administración de riesgos; los balances y los estados de perdidas y ganancias son fuentes básicas de información sobre la organización.

No obstante los informes financieros son solamente una faceta del registro del sistema de una organización, ellos representan una fuente importante de información de la identificación de riesgos. El balance de la organización, por ejemplo revela la existencia de varios tipos de activos, los cuales guían al auditor para buscar información de las posibles pérdidas a que están expuestos los activos. Simultáneamente el balance también puede indicar cuanto dinero o capital esta disponible como medida de capacidad de retención de perdidas.

  1. Diagramas de flujo: El análisis de los diagramas de flujo de las operaciones pueden alertar al administrador de riesgos de aspectos inusuales de las operaciones de la firma, un diagrama de flujo de las operaciones internas de la organización – revelando el tipo y secuencia de sus actividades – viendo la firma como una unidad de procesamiento en busca de descubrir todas las contingencias que puedan interrumpir sus procesos. El beneficio mas positivo del uso de diagramas de flujo es probablemente que fuerza al administrador de riesgos a familiarizarse con los aspectos técnicos de las operaciones de la organización.
  1. Organigramas: Un organigrama revela las divisiones de la organización, reportando sus relaciones, los organigramas también proveen al identificador de riesgos un entendimiento de la naturaleza y el campo de acción de las operaciones de la organización.
  1. Politicas existentes: El auditor necesitará las políticas existentes para evaluar el alcance de la identificación de riesgos y de la información recogida.
  1. Reportes de pérdidas: Otra importante fuente de información que puede ayudar en la identificación de riesgos es el registro de la organización de sus propias pérdidas pasadas; el examen de los registros de perdidas indicarán las clases de pérdidas que han ocurrido, calculando el grado de riesgo de ciertas actividades u operaciones.
  1. Entrevistas: Otra importante fuente de información que puede ayudar en la identificación de riesgos son las entrevistas con personal clave con la organización; alguna información no es registrada en documentos o registros solamente existiendo en la mente de ejecutivos y empleados. Las siguientes son algunas de las personas claves a entrevistar: ingenieros de planta, jefe de personal, administradores de seguridad, empleados y supervisores.
  1. Inspecciones: Es la herramienta mas usada para obtener un buen conocimiento de las operaciones. La inspección es una de las mas importantes partes del proceso de desarrollo de una visión general porque:
  • Ayuda a familiarizar al auditor con la organizaciónAyuda a indicar las posibles ratas de protecciónAyuda a revelar las posibles perdidas

6.4. SISTEMAS DE INFORMACION EN LA ADMINISTRACION DE RIESGOS

El administrador de riesgos necesita de un sistema de mantenimiento de un gran rango de información que afecta los riesgos de la organización.

La mayoría de la información requerida para los sistemas de información de administración de riesgos existe en gran parte de las organizaciones en una forma no estructurada. La información se hace mas útil cuando se tiene un sistema de información de administración de riesgos – RMIS

El propósito de RMIS es soportar el proceso de decisión del análisis de riesgos consolidando aspectos de la función de administración de riesgos en una base de datos, aportando la materia prima de las decisiones a tomar.

6.4.1 SISTEMAS DE REGISTRO DE ADMINISTRACION DE RIESGOS

La información sobre los riesgos de la organización son la materia prima de las decisiones a tomar en un problema. Los registros y estadísticas de las pérdidas son herramientas esenciales de la administración de riesgos. Los principales ítems de información son:

– Programas de valor de propiedades

– Lista de equipos e inmuebles

– Petición de oferta de seguros

– Políticas y registros de seguridad

– Reporte de reclamos

– Información y comparación entre pérdidas y ganancias

6.4.2. SISTEMAS DE COMUNICACION INTERNA

Los registros de los sistemas de información de administración de riesgos necesitan crear canales de información que aseguren que toda la información relativa a la función de administración de riesgos sea canalizada al departamento de auditoria, el administrador de riesgos debe esta informado de:

– Nuevas construcciones, remodelación o renovación de las propiedades de la empresa.

– Introducción de nuevos programas, productos, actividades u operaciones

– El progreso de los trabajadores

– Información de las actividades de toda la organización.

6.5. MANUAL DE POLITICAS DE ADMINISTRACION DE RIESGOS

Es un depósito central de todas las políticas corporativas de seguros y toda la administración de riesgos, copias de manual podrían ser distribuidas a unidades de la corporación como una manera de comunicar las expectativas que tienen los distintos departamentos de la empresa con la administración de riesgos.

  1. CONTROL DE RIESGOS

El hombre primitivo vivió en cavernas y algunas veces en árboles para protegerse el mismo de peligrosos animales salvajes. El primer practicante de prevención de pérdidas fué el humano que trepó un árbol para escapar de un tigre diente de sable. La historia de la civilización es un registro del enfrentamiento del hombre con las fuerzas de la naturaleza y otros peligros.

En esta parte se examinará el concepto de control de riesgos en un contexto genérico con base en los principios generales de control de riesgos.

7.1 GENERALIDADES EN EL CONTROL DE RIESGOS

El control de riesgos ha sido parte integral del proceso de administración de riesgos desde que el concepto de administración de riesgos fue concebida. Las dos principales técnicas de control de riesgos son: evitar riesgos y reducción de riesgos.

  • EVITAR RIESGOS: Técnicamente, se evitan riesgos cuando las decisiones son hechas para prevenir un riesgo antes de su existencia. “Evitar riesgos” debe ser utilizado cuando la exposición tiene una catástrofe potencial y el riesgo no puede ser reducido o transferido. Generalmente, estas condiciones existirán en el caso de que la frecuencia y severidad del riesgo son altas. El otro potencial de perdida dicta que el riesgo no puede ser retenido y la otra frecuencia virtualmente garantiza que los controles posiblemente no serán económicamente factible.
  • ESTANDARES GUBERNAMENTALES: Las regulaciones de la (OSHA) son quizás el mejor ejemplo de estándares institucionales de control de perdidas. OSHA fue diseñada para asegurar lo mejor posible que cada persona trabajadora en la nación, tenga condiciones seguras para realizar sus labores, asegurando así la preservación de los recursos humanos.

7.2 EL CONTROL Y EL ADMINISTRADOR DE RIESGOS

Idealmente un programa de control y prevención de pérdidas bien diseñado debe abarcar las siguientes áreas:

– Seguridad personal.

– Seguridad de bienes.

– Control de responsabilidades de pérdidas.

– Protección de propiedades.

– Seguridad física.

La prevención de pérdidas en cada una de estas áreas es una función altamente técnica y especializada, requiriendo algunas veces de especialistas expertos.

7.3. TEORIAS DE CAUSAS DE ACCIDENTES

Para entender porque los accidentes ocurren, puede ser útil diseñar programas para su prevención. Hasta la fecha no se ha desarrollado una teoría general dominante para saber como ocurren los accidentes; en cambio hay dos teorías separadas cada una con un valor explicativo y predecible:

  • TEORIA DEL DOMINIO DE HEINRICH:

De acuerdo a Heinrich un “accidente” es un factor en una secuencia que puede dirigirse a un perjuicio como esta ilustrado en la figura No. 1, los factores pueden ser visualizados como una serie de fichas de dominio colocadas en el borde; cuando una cae, una reacción en cadena es completada.

Cada uno de los factores es dependiente del factor predecesor así:

  • El perjuicio al personal ocurre solamente como resultado de un accidente.Un accidente como resultado de un riesgo personal o mecánico.Los riesgos de personal y mecánicos existen por falla del personal.Las fallas del personal son heredadas o adquiridas dentro de su entorno.El entorno conforma las condiciones en las cuales un individuo nace.

En los estados de la teoría del dominio cuando un perjuicio toma lugar, todos los cinco factores son envueltos, si uno de los factores en la secuencia es removido la pérdida puede ser prevenida. De acuerdo a Heinrich, un accidente es cualquier evento no planeado e incontrolado en el cual la acción o reacción de un objeto o persona que puede resultar un perjuicio o daño. Después de un estudio de 75.000 accidentes industriales, Heinrich concluyó que el 98% de todos los accidentes son previsibles y puede ser posible reducir los costos de accidentes industriales con alguna forma de control de perdidas el 2% restante son calificados como “Actos Divinos”.

  • TEORIA DE LA ENERGIA EMITIDA DE WILLIAM HADDON:

En vez de concentrarse en el comportamiento humano, Haddon considera los accidentes como un problema físico de ingeniería. Los accidentes resultan cuando la energía esta fuera de control poniendo tensión en una estructura (propiedad o persona) mas de la que puede tolerar sin daño. Haddon sugiere diez estrategias para suprimir las condiciones que producen accidentes o acrecentar las condiciones que retardan los accidentes:

  1. Prevenir la creación del riesgo en primer lugarReducir la cantidad de producción de riesgoPrevenir la emisión de los riesgos que actualmente existenModificar la rata de emisión desde la fuente de los riesgosSeparar en tiempo y espacio el riesgoSeparar el riesgo y lo que será protegido por medio de una barreraModificar las cualidades básicas del riesgoHacer que lo protegido sea mas resistente que el riesgoVerificar el daño con base en el riesgoEstabilizar, reparar o rehabilitar el objeto dañado.

7.4. APROXIMACIONES CIENTIFICAS DEL CONTROL Y PREVENCION DE RIESGOS

Las teorías de Heinrich y Haddon proveen bases para entender las diferentes aproximaciones de control y prevención de riesgos. Los esfuerzos para prevenir perdidas y reducir su impacto toman lugar virtualmente en cada fase de la actividad humana. Las principales aproximaciones son:

  • APROXIMACION EN INGENIERIA: La premisa básica de la aproximación en ingeniería es que la gente tiene poca observación de la seguridad de su personal y que es inherente en la naturaleza humana encomendarse de tareas fáciles. Esta aproximación debe proteger a la gente de ellos mismos.
  • APROXIMACION DEL COMPORTAMIENTO HUMANO: Esta aproximación se enfoca en la educación de seguridad y la motivación de las persona. Esta aproximación propone que la mayoría de los accidentes son perpetrados por hechos no asegurados y que la mayoría de ganancias en la prevención de pérdidas pueden ser alcanzadas través de los esfuerzos en cambiar el comportamiento humano. estos esfuerzos incluyen:
  1. Educación: Sirve para alertar la existencia de los riesgos y sus consecuencias y además provee una guía para efectuar seguramente las funciones.Aplicación de la ley para motivar conductas, reglas y regulaciones deseadas deben ser forzadas por la organización.
  • TECNICAS DE CONTROL DE RIESGOS: Estas técnicas incluyen esfuerzos para prevenir la ocurrencia de pérdidas y minimizar los costos no previstos, e incluyen:
  1. Medidas de Control y tiempo de aplicación: Las medidas de control son clasificadas de acuerdo a como son aplicadas de la siguiente forma: antes de un accidente, en el momento del accidente y después del accidente. (Ver figura No. 2)Medidas de control y mecanismos: Las medidas son dirigidas a cada instrumento o dispositivo mecánico.
Antes del evento En el momento del evento Después del evento
Individuo
Maquinaria
Equipos
  • TECNICAS ESPECIALIZADAS DE CONTROL Y PERDIDAS: Como se ha observado las técnicas de control y prevención de pérdidas es virtualmente interminable, las anteriores son las mas comunes, pero existen técnicas especializadas que son:
  1. Separación de posesiones: su propósito es limitar el valor de las posesiones expuestas a pérdida en una sola ocurrencia.Recuperación: Esta diseñado para proteger propiedades de futuros dañosRehabilitación: En el trabajo reduce las pérdidas financieras del perjuicio, decrementando los costos de compensación a trabajadores perjudicados.Redundancia: Esta técnica puede ayudar a prevenir los efectos adversos de los accidentes, redundando sistemas de prevención refinando las medidas de control de seguridad.

7.5. SISTEMAS DE SEGURIDAD

Los sistemas de seguridad son una rama y un desarrollo de la Ingeniería de Sistemas, la aplicación de la ingeniería se necesita en el diseño y la creación de sistemas complejos; esto en respuesta al incremento de la complejidad de los problemas que no pueden resolverse con las aproximaciones tradicionales. Los sistemas de seguridad ven un proceso, una situación, un problema, una máquina o cualquier otra entidad como un sistema.

Los recursos que hacen parte de una organización incluyen: materiales, personal, procedimientos, tecnología, tiempo y otros factores. Un accidente ocurre cuando un ser humano o un componente mecánico falla en su funcionamiento. El objeto de los sistemas de seguridad es identificar esas fallas, eliminándolas o minimizando sus efectos; y son una variedad de diferentes técnicas diseñadas para analizar e identificar fallas potenciales en las organizaciones. La premisa en el desarrollo de metodologías en los sistemas de seguridad, es que los accidentes resultan de fallas y ellos pueden ser prevenidos para identificar estas fallas antes de que ocurran. La primera distinción entre los sistemas de seguridad y las aproximaciones tradicionales es el énfasis en identificar las pérdidas que aun no han ocurrido, una segunda diferencia es su permanente fe en el principio de la casualidad y otra diferencia es el total énfasis en la prevención de accidentes.

7.5.1. TECNICAS DE SISTEMAS DE SEGURIDAD

  • ANALISIS DE EFECTO Y MODO DE AMENAZA (HMEA): Intenta identificar fallas potenciales en los sistemas a través de un detallado análisis de identificación de riesgos. El análisis puede ser preparado en cualquier nivel de complejidad – sistema, subsistema, componente o parte detallada, generalmente de la siguiente forma:
Los eventos indeseables que pueden ocurrir o los eventos deseables que pueden fallar El hardware o software que puede causar la falla Las razones humanas o fallas que en el mecanismo puede ocurrir. El resultado funcional inmediato de un riesgo El impacto de mal funcionamiento de los objetivos del sistema La primera indicación o exhibición observable de un mecanismo del sistema Una estimación del mal funcionamiento Posibles medidas de eliminación de mecanismos de riesgo Acción implementada para eliminar o controlar el riesgo Valor de todos los recursos requeridos para implementar acciones preventivas.
MODO DE RIESGO MECANISMO DE RIESGO CAUSA DEL RIESGO EFECTO DEL RIESGO SEVERIDAD DEL RIESGO DETECCION DEL RIESGO PROBABILIDAD DEL RIESGO MEDIDAS TOMADAS CON EL RIESGO ACCION PREVENTIVA RECURSOS DE CONTROL

Tabla No.2 Columnas de entrada en el análisis de efecto y modo de amenaza.

  • ANALISIS JERARQUICO DE FALLAS (FTA). Esta diseñado para identificar fallas en los sistemas observando las causas de los eventos. Es usualmente ejecutada por un diagrama (conocida como jerarquía de fallas) que sigue las relaciones entre todos los eventos menores que pueden causar eventos mayores no deseados. El diagrama lógico de análisis jerárquico de fallas puede ser el siguiente:

El FTA es usualmente analizado en un gráfico. una jerarquía de fallas tiene dos elementos superiores: (1) diagrama lógico, conectando con O y Y lógicos subeventos que contribuyen a ver el último evento deseado (2) los elementos como si mismos.

La construcción del árbol comienza en la parte superior con el evento no deseado definitivo, el árbol es construido progresivamente por repeticiones a la respuesta de la pregunta que pasa cuando el evento ocurre? La necesidad o suficiencia de cada subevento en la casualidad del siguiente evento es indicado por un conector lógico Y ó O cuando la cadena de casualidad ha sido identificado y el significado de los subeventos determinado, el FTA provee un mapa para tomar medidas de prevención.

7.6. PLAN DE CONTINGENCIA – PLAN DE PREVENCION DE DESASTRES

La necesidad de un plan avanzado para establecer procedimientos en el evento de un desastre es obvio. En el momento del desastre las operaciones y procedimientos normales pueden ser interrumpidos, básicamente un plan contra desastres provee una administración de planes de acción para guiar en caso de desastres o situaciones de emergencia. En un plan contra desastres se debe tener en cuenta:

  • DETERMINACION DE LOS REQUERIMIENTOS DEL NEGOCIO: Durante esta parte inicial del proceso, debe hacerse un análisis de impacto en el negocio para determinar cuáles son los requerimientos de este. Muchos procesos de negocios dependen tanto del procesamiento de datos que ya no pueden seguir llevándose a cabo en caso de un desastre. Debe evaluarse el impacto negativo de esta falla de los procesos; es decir, pérdidas de negocios, pérdidas de clientes, costos en dinero y de utilidades. También puede haber razones de regulación que requieran que siempre pueda disponerse de un proceso de negocios. Este análisis indicará cuáles son las prioridades en el proceso de negocios y cuál es la escala de tiempo de recuperación que se necesita para cada proceso. Asimismo, un desastre conlleva el riesgo de que la organización pierda la pista de algunas transacciones de negocios que estaban en proceso cuando ocurrió un desastre. Los análisis de impacto en los negocios tendrán que determinar en qué medida puede tolerarse semejante pérdida para cada proceso del negocio.
  • PRIORIDADES EN LA ORGANIZACION DE DESASTRES: Esta determinación de prioridades garantizará evitar confusiones y conflictos en el desarrollo del plan, los siguientes son los principales tipos de prioridades en su orden de importancia:Protección a la vida humanaPrevenir o minimizar el daño personalPrevenir o minimizar el daño potencial a los activos físicosRestaurar las operaciones normales lo mas rápidamente posible.
  • DETERMINACION DE LOS REQUERIMIENTOS DE PROCESAMIENTO DE DATOS: Una vez que se han determinado los requerimientos de negocio, se deben convertir en términos de procesamiento de datos, con el fin de determinar cuáles procedimientos y recursos son necesarios para dar soporte a la recuperación y al procesamiento normal. Entre las funciones que estarán relacionadas con el análisis de los procesos del negocio y la definición de los requerimientos se incluyen:Alta gerencia (Tecnología informática, Finanzas y Negocios).Propietarios del proceso del negocio.Propietarios de la aplicación.Soporte y programación de sistemas de información.Trabajo en red.Operaciones en general.

Para realizar este proceso, posiblemente se tengan dificultades tales como:

  • Falta de cooperación entre los ejecutivos de alto nivel y las unidades de negocio.Falta de prioridad dada a la recuperación de desastres.Subestimación de los procesos del negocio.Carencia de conciencia y buena voluntad.Falta de un plan de procedimientos.
  • DISEÑO DE LA SOLUCION DE RESPALDO Y DE RECUPERACION: En este paso se describen las características generales y los principales elementos de la solución que se pretende. Estos elementos son los siguientes: El alcance de la recuperación: Este elemento asegura desde el principio que no haya confusión, sabiendo que es lo qué se intenta recuperar y dentro de qué periodo. La definición del alcance incluye: Tipos de desastres que se incluyen o se excluyen, el tiempo máximo de recuperación y la actualidad de la información una vez recuperada. Estrategia de pruebas: Este elemento determina, en forma muy general, cómo se efectuará las pruebas, para determinar la complejidad y el costo de la solución. Procesos de respaldo y recuperación de datos: Los factores que influyen en las decisiones acerca del respaldo y la recuperación son: Categorización de la información: La información es el recurso más importante. Otros recursos, como el hardware, el software y las instalaciones físicas son en última instancia reemplazables. La información es el recurso más volátil y complejo de todos.Tener un escenario de recuperación de desastres.Verificar las interrelaciones entre los datos.Verificar que el transporte y almacenamiento de datos sea seguro.Verificar las distintas opciones de respaldo de datos (Copias al momento, copias en línea y copias incrementales).Administrar y operar sitios alternativos de emergencia.Descripción física y lógica de la configuración de la recuperación.Seleccionar los productos de respaldo (cintas, disquetes, tape backup, software de backup y utilidades de red) adecuadas para el diseño.
  • IMPLEMENTAR LA SOLUCION DE RESPALDO Y DE RECUPERACION: El paso inicial en el desarrollo del plan contra desastres, es la identificación de las personas que serán las responsables de crear el plan y coordinar las funciones. Típicamente las personas pueden hacer parte del departamento de personal, administración de riesgos, departamento de seguridad, y relaciones públicas. Un plan contra desastres no requiere creación de una nueva estructura organizacional. La estructura existente, temporalmente reconfigurada para la situación de desastre puede ejecutar las funciones en el momento de un desastre. En este paso se lleva a la práctica la solución de recuperación de acuerdo con el diseño que se elaboró, cubriendo dos áreas principales:Desarrollar e implementar los procedimientos técnicos para dar soporte a la solución de recuperación; entre los que están:Procedimientos de respaldo de datos.Procedimientos de almacenamiento.Procedimientos de recuperación de datos.Procedimientos de administración informática.Procedimientos de recursos humanos. Desarrollar el plan de recuperación: Un plan de recuperación de desastres se conforma de un documento detallado, que establece todas las acciones que se tomarán antes, durante y después de que ocurra una catástrofe. El plan de recuperación debe incluir los siguientes elementos:Alcance de la recuperación.Procesos para identificar desastres.Identificación de los equipos de trabajo de recuperación.Definir tareas y responsabilidades de los equipos de trabajo.Lista de teléfonos y direcciones de las personas responsables.Información sobre compras y adquisiciones.Diagramas de topologías de red.Configuraciones y copias de seguridad. Distribución y mantenimiento del plan: Una vez que se ha elaborado el plan de recuperación de desastres y que se ha implementado la solución de recuperación, es necesario distribuirlo a las personas que necesitan tenerlo. Los cambios en el ambiente informático son constantes, y cualquier cambio drástico podría inutilizar el plan, entre los cambios que pueden afectar se encuentran:Surgimiento de nuevas tecnologías.Cambios en la configuración actual del hardware.Cambios en el entorno de red.Cambios organizacionales.

Por lo cual es necesario llevar una auditoría permanente del plan, para determinar si se han aplicado las actualizaciones ó los cambios al plan.

7.7. ESTRUCTURA DE LA SEGURIDAD INFORMATICA

La historia de la seguridad informática se remonta a los tiempos de los primeros documentos escritos. De hecho, la necesidad de información segura tuvo su origen en el año 2000 antes de Cristo. Los egipcios fueron los primeros en utilizar jeroglíficos especiales para codificar la información y, según paso el tiempo, las civilizaciones de Babilonia, Mesopotamia y Grecia inventaron formas de proteger su información escrita. La codificación de la información, que es el base del cifrado, fue utilizada por Julio Cesar, y durante toda la historia en periodos de guerra, incluyendo las guerras civiles y revolucionarias, y las dos guerras mundiales. Una de las máquinas de codificación mejor conocidas fue la alemana Enigma, utilizada por los alemanes para crear mensajes codificados en la Segunda Guerra Mundial. Con el tiempo, y gracias a los esfuerzos del proyecto Ultra de los Estados Unidos de América, entre otros, la capacidad de descifrar los mensajes generados por los alemanes marcó un éxito importante para los aliados.

En los últimos diez años, la importancia de la seguridad informática se ha puesto de manifiesto por algunas historias. Una de ellas fue la del gusano de Internet, en 1988, que se extendió por decenas de miles de computadores, como resultado de la obra de un hacker llamado Robert Morris. Había un pirata informático en 1995 en Alemania que se introdujo en casi 30 sistemas a partir de un objetivo que se había propuesto a sí mismo de casi 500. Más recientemente, en febrero de 1995, el arresto del pirata informático más buscado, Kevin Nitnick, reveló las actividades criminales que incluían el robo de códigos, de información y de otro tipo de datos secretos durante años. Claramente, la amplia utilización de los sistemas informáticos ha puesto en evidencia la importancia de la seguridad informática. El objetivo principal de la seguridad informática es proteger los recursos informáticos del daño, la alteración, el robo y la pérdida. Esto incluye los equipos, los medios de almacenamiento, el software, los listados de impresora y en general, los datos. Una efectiva estructura de seguridad informática se basa en cuatro técnicas de administración de riesgos, mostradas en el siguiente diagrama:

  • Estrategias y políticas: Estrategias de administración para seguridad informática y políticas, estándares, guías o directivos usados para comunicar estas estrategias a la organización.
  • Administración de la organización: Procesos que se dirigen hacia políticas profesionales y programas de capacitación, administración de cambios y control, administración de seguridad y otras actividades necesarias.
  • Monitorización de eventos: Procesos reactivos que permite a la administración medir correctamente la implementación de políticas e identificar en que momento las políticas necesitan cambios.
  • Técnología informática: Es la tecnología necesaria para proveer la apropiada protección y soporte en los distintos procesos involucrados en la organización. La seguridad informática abarca un amplio rango de estrategias y soluciones, tales como: Control de acceso: Una de las líneas de defensa más importantes contra los intrusos indeseados es el control de acceso. Básicamente, el papel del control de acceso es identificar la persona que desea acceder al sistema y a sus datos, y verificar la identidad de dicha persona. La manera habitual de controlar el acceso a un sistema es restringir la entrada a cualquiera que no tenga un nombre de usuario y una contraseña válidos. Las contraseñas son un ejemplo de una forma simple pero efectiva de control de acceso.

El control de acceso es efectivo para mantener a las personas desautorizadas fuera del sistema. Sin embargo, una vez que alguien está dentro, la persona no debería tener acceso libre a todos los programas, archivos e información existente en el sistema. El control de acceso discrecional, a veces abreviado por el acrónimo DAC, se realiza en muchos sistemas, y es una parte importante de cualquier acceso donde el acceso a los archivos y programas se concede en función de la clase de permisos otorgados a un usuario o un perfil de usuarios. Es discrecional en tanto que un administrador puede especificar la clase de acceso que decide dar a otros usuarios del sistema. Esto difiere de otra clase de controles más restrictiva, control de acceso obligatorio (MAC), que proporciona un control mucho más rigido de acceso a la información del sistema.

  • Virus informáticos: La prevención y control de los efectos producidos por las diferentes clases de virus y programas destructivos que existen.Planificación y administración del sistema: Planificación, organización y administración de los servicios relacionados con la informática, así como políticas y procedimientos para garantizar la seguridad de los recursos de la organización.Cifrado: La encriptación y la desencriptación de la información manipulada, de forma que sólo las personas autorizadas pueden acceder a ella.Seguridad de la red y de comunicaciones: Controlar problemas de seguridad a través de las redes y los sistemas de telecomunicaciones.Seguridad física: Otro aspecto importante de la seguridad informática es la seguridad física de sus servicios, equipos informáticos y medios de datos reales; para evitar problemas que pueden tener como resultado: Pérdida de la productividad, pérdida de ventaja competitiva y sabotajes intencionados. Algunos de los métodos de prevenir el acceso ilegal a los servicios informáticos incluyen:Claves y contraseñas para permitir el acceso a los equipos.Uso de cerrojos y llaves.Fichas ó tarjetas inteligentes.Dispositivos biométricos (Identificación de huellas dactilares, lectores de huellas de manos, patrones de voz, firma/escritura digital, análisis de pulsaciones y escáner de retina, entre otros).
  1. LA ADMINISTRACION DE RIESGOS Y LOS DELITOS

No se sabe exactamente cuanto pierden los negocios a causa de delitos cada año. Se estima que las pérdidas causadas por los efectos negativos de los delitos ascienden a un 2% y 5% de los ingresos en los negocios.

8.1. DELITOS CONTRA LOS NEGOCIOS

Los delitos contra los negocios son clasificados de acuerdo al perpetrador del crimen generalmente así:

  • HURTO: Consiste en el apoderamiento o sustracción de un bien ajeno con el ánimo de aprovechase de él, por cualquier acto fuera de la ley ó sin autorización de la persona dueña.
  • FRAUDE: Sinónimo de engaño y simulación, que se emplea, para sorprender la buena fe, confianza o ignorancia de la víctima, haciéndole creer lo que no es. Por ejemplo: Un delito cometido cuando alguien falsifica una firma autorizada de cualquier instrumento financiero (un cheque, por ejemplo), incrementando o alterando su valor.

8.2 ASPECTOS DEL CONTROL DE PERDIDAS Y LA DESHONESTIDAD DE LOS EMPLEADOS

  • Selección del personal: Una medida estándar para la prevención de pérdidas con respecto a los delitos cometidos por los empleados, es un chequeo a fondo del trabajo individual de las personas. Basado en la presunción de que una persona que ha cometido un delito, vuelva a cometerlo; se verifica el registro criminal de la persona. Sin embargo lo anterior no es el único factor de decisión, pues muchos delitos se cometen por tentación de trabajadores de confianza.
  • Controles Internos: El término control interno se refiere a los elementos que son incorporados dentro de la organización, diseñado para prevenir delitos dentro de la empresa. El primer elemento es una clara asignación de responsabilidades, en las cuales personas identificables se les asignan funciones definidas. El segundo elemento divide los deberes de los empleados de manera que separe la ejecución de una función de acuerdo a las políticas dela empresa. El tercer elemento es hacer una pista de auditoría para asegurar un continuo control.

Basándose en lo anterior se diseñan controles internos en:

  • Procedimientos de gastos.Procedimientos en ventas.Procedimientos de recepción y envío de activos.Procedimientos de control del manejo del dinero.Auditorías: Después de tener procedimientos de control en el área financiera, un efectivo programa de auditoría ayuda a asegurar que los requerimientos de control sean cumplidos.

Un programa de auditoría es una función importante, a pesar de que la compañía tenga un sistema de control interno excepcional. Esto hace imperativo chequear los sistemas periódicamente para asegurar que éstos actualmente están trabajando adecuadamente.

PARTE II – ELEMENTOS DE GESTION DE RIESGOS EN INFORMATICA

La función de la gestión de riesgos es identificar, estudiar y eliminar las fuentes de los eventos perjudiciales antes de que empiecen a amenazar los procesos informáticos.

La gestión de riesgos se divide generalmente en:

  1. ESTIMACION DE RIESGOS

La estimación de riesgos describe cómo estudiar los riesgos dentro de la planeación general del entorno informático y se divide en los siguientes pasos:

  • La identificación de riesgos genera una lista de riesgos capaces de afectar el funcionamiento normal del entorno informático. El análisis de riesgos mide su probabilidad de ocurrencia y su impacto en la organización. La asignación de prioridades a los riesgos.

1.1. IDENTIFICACION DE RIESGOS

En este paso se identifican los factores que introducen una amenaza en la planificación del entorno informático. Los principales factores que se ven afectados son:

  • Creación de la planificación, que incluye: Planificación excesivamente optimista, planificación con tareas innecesarias, y organización de un entorno informático sin tener en cuenta áreas desconocidas y la envergadura del mismo. La organización y gestión, que incluye: Presupuestos bajos, El ciclo de revisión/decisión de las directivas es mas lento de lo esperado. El entorno de trabajo, que incluye: Mal funcionamiento de las herramientas de desarrollo, espacios de trabajo inadecuados y la curva de aprendizaje de las nuevas tecnologías es mas larga de lo esperado.
  • Las decisiones de los usuarios finales, que incluye: Falta de participación de los usuarios finales y la falta de comunicación entre los usuarios y el departamento de informática
  • El personal contratado, que incluye: Falta de motivación, falta de trabajo en equipo y trabajos de poca calidad.
  • Los procesos, que incluye: La burocracia, falta de control de calidad y la falta de entusiasmo.

1.2. ANALISIS DE RIESGOS

Una vez hayan identificado los riesgos en la planificación, el paso siguiente es analizarlos para determinar su impacto, tomando así las posibles alternativas de solución. La explicación de Análisis de riesgos se extenderá posteriormente.

1.2.1. EXPOSICION A RIESGOS

Una actividad útil y necesaria en el análisis de riesgos es determinar su nivel de e xposición en cada uno de los procesos en que se hayan identificado.

1.2.2 ESTIMACION DE LA PROBABILIDAD DE PERDIDA

Las principales formas de estimar la probabilidad de pérdida son las siguientes:

  • Disponer de la persona que está más familiarizada con el entorno informático para que estime la probabilidad de ocurrencia de eventos perjudiciales.
  • Usar técnicas Delphi o de consenso en grupo. El método Delphi consiste en reunir a un grupo de expertos para solucionar determinados problemas. Dicho grupo realiza la categorización individual de las amenazas y de los objetos del riesgo.Utilizar la calibración mediante adjetivos , en la cuál las personas involucradas eligen un nivel de riesgo entre (probable, muy probable) y después se convierten a estimaciones cuantitativas.

1.2.3. PRIORIZACION DE RIESGOS

En este paso de la estimación de riesgos, se estiman su prioridad de forma que se tenga forma de centrar el esfuerzo para desarrollar la gestión de riesgos. Cuando se realiza la priorización (elementos de alto riesgo y pequeños riesgos), estos últimos no deben ser de gran preocupación, pues lo verdaderamente crítico se puede dejar en un segundo plano.

1.3 CONTROL DE RIESGOS

Una vez que se hayan identificado los riesgos del entorno informático y analizado su probabilidad de ocurrencia, existen bases para controlarlos que son:

  • PlanificaciónResolución de riesgosMonitorización de riesgos

1.3.1. PLANIFICACION DE RIESGOS

Su objetivo, es desarrollar un plan que controle cada uno de los eventos perjudiciales a que se encuentran expuestos las actividades informaticas.

1.3.2. RESOLUCION DE RIESGOS

La resolución de los riesgos está conformado por los métodos que controlan el problema de un diseño de controles inadecuado, los principales son:

  1. Evitar el Riesgo: No realizar actividades arriesgadas.Conseguir información acerca del riesgo.Planificar el entorno informático de forma que si ocurre un riesgo, las actividades informáticas sean cumplidas.Eliminar el origen delriesgo, si es posible desde su inicio.Asumir y comunicar el riesgo.

Para ilustrar la forma en que puede controlar algunos de estos riesgos, la tabla No.3 ilustra los métodos de control más comunes:

RIESGO METODOS DE CONTROL
Cambio de la prestación del servicio · Uso de técnicas orientadas al cliente.

· Diseño para nuevos cambios
Recorte de la calidad · Dejar tiempo a las actividades de control.
Planificación demasiado optimista · Utilización de técnicas y herramientas de estimación.
Problemas con el personal contratado · Pedir referencias personales y laborales.

· Contratar y planificar los miembros clave del equipo mucho antes de que comience el proyecto.

· Tener buenas relaciones con el personal contratado.

1.3.3 MONITORIZACION DE RIESGOS

La vida en el mundo informático sería más fácil si los riesgos apareciesen después de que hayamos desarrollado planes para tratarlos. Pero los riesgos aparecen y desaparecen dentro del entorno informático, por lo que se necesita una monitorización para comprobar como progresa el control de un riesgo e identificar como aparecen nuevos eventos perjudiciales en las actividades informáticas.

PARTE III – ANALISIS DE RIESGOS

El objetivo general del análisis de riesgos es identificar sus causas potenciales, en la figura No. 4 se aprecia por ejemplo, los principales riesgos que amenazan el entorno informático. Esta identificación se realiza en una determinada área para que se pueda tener información suficiente al respecto, optando así por un adecuado diseño e implantación de mecanismos de control; a fin de minimizar los efectos de eventos no deseados, en los diferentes puntos de análisis.

Además el análisis de riesgos cumple los siguientes objetivos:

  • Analizar el tiempo, esfuerzo y recursos disponibles y necesarios para atacar los problemas.Llevar a cabo un minucioso análisis de los riesgos y debilidades.Identificar, definir y revisar los controles de seguridad.Determinar si es necesario incrementar las medidas de seguridad.Cuando se identifican los riesgos, los perímetros de seguridad y los sitios de mayor peligro, se pueden hacer el mantenimiento mas fácilmente.

Antes de realizar el análisis de riesgos hay que tener en cuenta los siguientes aspectos:

  • Se debe tener en cuenta las políticas y las necesidades de la organización así como la colaboración con todas las partes que la conforman y que intervienen en los procesos básicos.Debe tenerse en cuenta los nuevos avances tecnológicos y la astucia de intrusos expertos.Tener en cuenta los costos vs. la efectividad del programa que se va a desarrollar de mecanismos de control.El comité o la junta directiva de toda organización debe incluir en sus planes y presupuesto los gastos necesarios para el desarrollo de programas de seguridad, así como tener en cuenta que esta parte es fundamental de todo proceso de desarrollo de la empresa, especificar los niveles de seguridad y las responsabilidades de las personas relacionadas, las cuales son complemento crucial para el buen funcionamiento de todo programa de seguridad.Otro aspecto que se debe tener en cuenta es la sobrecarga adicional que los mecanismos y contramedidas puedan tener sobre el entorno informático, sin olvidar los costos adicionales que se generan por su implementación.

El análisis de riesgos utiliza el método matricial llamado MAPA DE RIESGOS, para identificar la vulnerabilidad de un servicio o negocio a riesgos típicos, El método contiene los siguientes pasos:

  • Localización de los procesos en las dependencias que intervienen en la prestación del servicio (Ver figura No. 5).
  • Localización de los riesgos críticos y su efecto en los procesos del Negocio. En este paso se determina la vulnerabilidad de una actividad a una amenaza. Para asignar un peso a cada riesgo; se consideran tres categorías de vulnerabilidad (1 baja, 2 media, 3 alta) que se asignarán a cada actividad de acuerdo a su debilidad a una amenaza (causa de riesgo). Por ejemplo, si afirmamos que el riesgo a una Decisión equivocada tiene alto riesgo de vulnerabilidad, entonces tendría alta prioridad dentro de nuestras políticas de seguridad (Ver figura No. 6).
RIESGO (%) Obtenido Vulnerabilidad
Decisiones equivocadas 59 ALTA
Fraude 55 MEDIA
Hurto 54 MEDIA

Dentro del entorno informático las amenazas (causas de riesgo) se pueden clasificar así:

  • Naturales: Incluyen principalmente los cambios naturales que pueden afectar de una manera u otra el normal desempeño del entorno informático; por ejemplo, la posibilidad de un incendio en el sitio donde se encuentran los concentradores de cableado dado que posiblemente están rodeados de paredes de madera es una amenaza natural.Accidentales: Son las más comunes que existen e incluyen:Errores de los usuarios finales: Por ejemplo, El usuario tiene permisos de administrador y posiblemente sin intención modifica información relevante.Errores de los operadores: Por ejemplo, si un operador tenía un sesión abierta y olvidó salir del sistema; alguien con acceso físico a la máquina en cuestión puede causar estragos.Error administrativo: Por ejemplo, Instalaciones y configuraciones sin contar con mecanismos de seguridad para su protección.Errores de salida: Por ejemplo, Impresoras u otros dispositivos mal configurados.Errores del sistema: Por ejemplo, daños en archivos del sistema operativo.Errores de comunicación: Por ejemplo, permitir la transmisión de información violando la confidencialidad de los datos.Deliberadas: Estas amenazas pueden ser: activas (accesos no autorizados, modificaciones no autorizadas, sabotaje) ó pasivas(son de naturaleza mucho más técnica, como: emanaciones electromagnéticas y/o microondas de interferencia).Localización de los riesgos críticos en las dependencias de la empresa y procesos que intervienen en el negocio (Ver figura No. 7 y figura No. 8).
Proceso / Riesgo Decisiones equivocadas Fraude Hurto
Gestión de centros transaccionales X X
Administración de sistemas X X
Atención al cliente X X
Conciliación de cuentas X X X
Riesgos Vs. Dependencias. División Financiera Sistemas Cartera Contabilidad
Decisiones equivocadas X X
Fraude X X X X
Hurto X X X X
  • Identificar los controles necesarios: En este paso se precisan los controles, los cuales son mecanismos que ayudan a disminuir el riesgo a niveles mínimos o en algunos casos eliminarlos por completo. Se debe tener en cuenta que dichas medidas tienen tres diferentes capacidades que incluyen: mecanismos de prevención, mecanismos de detección y mecanismos de corrección; y que dentro de un proceso ó negocio funcionan como se describe en la figura No. 9. En este paso se incluye la funcionalidad y utilidad del control, y se identifican las personas responsables de la implantación de los controles.
  • Diseñar los controles definitivos: En este paso se tienen los productos necesarios para iniciar el proceso de implantación de los controles utilizados o bien para empezar la construcción de dichos mecanismos.

Los siguientes criterios permiten evaluar en un monto simbólico los mecanismos de control:

  • Confidencialidad: Se refiere a la protección de la información principalmente de accesos no autorizados. Información del personal, investigaciones y reportes de desarrollo son algunos de los ejemplos de información que necesita confidencialidad.Integridad: Es el servicio ofrecido por el departamento de informática. Debe ser adecuado, completo y auténtico en el momento de ser procesada, presentada, guardada o transmitida la información.Disponibilidad: Indica la disponibilidad que pueden tener en un determinado momento las actividades informáticas. Esta disponibilidad debe ser inmediata. Resultados del análisis de riesgos: Los resultados del análisis de riesgos, deben dados a conocer oportunamente para que sean incorporados, desde las primeras fases del proceso. Verificar por parte de la auditoría informática, la incorporación oportuna de los controles: La auditoría informática debe conocer el resultado del análisis de riesgos y verificar su implantación oportuna, para asegurar los mejores niveles de calidad, seguridad y efectividad de los procesos informáticos.

GLOSARIO

ERGONOMIA

Disciplina científica que pone las necesidades y capacidades humanas como el foco del diseño de sistemas tecnológicos. Su propósito es asegurar que los humanos y la tecnología trabajan en completa armonía, mantiendo los equipos y las tareas en acuerdo con las características humanas.

RIESGO

Es el valor de las pérdidas a que se exponen las empresas por la ocurrencia de eventos perjudiciales.

AMENAZA

Las amenazas o causas del riesgo, se refieren a los medios o alternativas posibles que generan cada uno de los riesgos.

CONTROL

Control es toda acción orientada a minimizar la frecuencia de ocurrencia de las causas del riesgo o valor de las pérdidas ocasionadas por ellas. Los controles sirven para asegurar la consecución de los objetivos de la organización o asegurar el éxito de un sistema y para reducir la exposición de los riesgos, a niveles razonables. Los objetivos básicos de los controles son: Prevenir las causas del riesgo, detectar la ocurrencia de las causas del riesgo, y retroalimentando el sistema de control interno con medios correctivos.

INHERENTE

Esencial, permanente, que, por su naturaleza, no se puede separar de otra cosa.

ACTIVIDAD

Ente que necesita ser realizado para completar una o varias tareas específicas.

NEGOCIO

Empresa privada o pública que provee productos y servicios, para satisfacer los requerimientos de un cliente determinado.

BIBILIOGRAFIA

  • COLOMBIA.Instituto Colombiano de Normas técnicas y certificación (ICONTEC). Sistemas de calidad. Santa Fe de Bogotá D.C.: 1994. 21p. NTC-ISO 9001.COREY Michael y ABBEY Michael, ORACLE Data Warehousing: La seguridad de los datos, primera edición, España: Editorial McGraw Hill, 1997. 313 p. ISBN: 84-481-0998-8.DERRIEN Yann, Técnicas de la Auditoría Informática: La dirección de la misión de la auditoría, México D.F.: Ediciones Alga Omega S.A., 1995. 228 p. ISBN 970-15-0030-X.Equipo de economistas DVE, Curso completo de auditoría: Introducción, Barcelona – España: Editorial De Vecchi, S.A., 1991, 206 p., ISBN: 84-315-0957-0.FARLEY Marc, Guía de LAN TIMES® de seguridad e integridad de datos: Seguridad informática, primera edición, Madrid(España): Editorial Mc Graw-Hill, 1996. 342 p. ISBN: 0-07-882166-5.IBM Education and Training, Internet Security and firewalls concepts – Student Notebook. 1995. Course code IN30.IBM Corporation, S.O.S. en su sistema de computación, primera edición, México: Editorial Prentice-Hall Hispanoamericana, S.A., 1998. 211 p. ISBN: 970-17-0110-0.MC CONNELL STEVE, Desarrollo y gestión de proyectos informáticos: Gestión de riesgos, primera edición, Aravaca(Madrid): Editorial Mc. Graw Hill, 1996. 691 p. ISBN:84-481-1229-6.MENDEZ Carlos E., Metodología-Guía para elaborar diseños de investigación en ciencias económicas, contables y administrativas, segunda edición, Santa Fe de Bogotá: Editorial Mc Graw Hill, 1993. 170 p. ISBN: 958-600-446-5.PINILLA José Dagoberto, Auditoría Informática – Aplicaciones en Producción: Análisis de riesgos, primera edición, Santa Fe de Bogotá: ECOE Ediciones, 1997. 238 p. ISBN: 958-648-139-5.SALLENAVE Jean Paul, Gerencia y Planeación Estratégica: El método Delfi, segunda edición, Colombia: Editorial Norma, 1996. 280 p. ISBN: 958-04-3162-0.SCAROLA Robert, NOVELL Netware, primera edición, Madrid: Editorial Mc Graw Hill, 1992. 294 p. ISBN 84-7615-945-5.SENN James A., Análisis y Diseño de Sistemas de Información, Segunda edición: Editorial Mc Graw Hill.VAUGHAN EMMETT J., Risk Management, Primera edición, Estados Unidos de America: Editorial John Wiley & Sons, 1997. 812 p. ISBN 0-471-10759-X.

国际电子委员会(IEC)标准-英文,用于计算机技术和电气设备。

风险管理信息系统-西班牙语,风险管理信息系统

OSHA-职业安全与健康法案-美国的联邦标准,于1970年12月20日生效,最后在1971年4月28日生效。

IH。海因里希 安全工程师和工业安全领域的先驱。

美国公路安全保险研究所小工业工程师William Haddon博士

英文危害模式和影响分析的缩写

用英语进行故障树分析的缩写

下载原始文件

计算机技术中的风险管理
行政

编辑的选择

生物伦理和规范意义:计划生育

生物伦理和规范意义:计划生育

知识时代对经济和组织的影响

知识时代对经济和组织的影响

墨西哥能源改革的影响

墨西哥能源改革的影响

在文化和机构层面使用语言的含义

在文化和机构层面使用语言的含义

公司组织学习的重要性

公司组织学习的重要性

限制会计理论对管理会计的启示

限制会计理论对管理会计的启示

© Copyright cn.artbmxmagazine.com, 2024 九月 | 关于网站 | 联系人 | 隐私政策.