Técnicas recomendadas para análisis de riesgo

Abstract

1. HISTORIA DE ANÁLISIS DE RIESGO Se originó el Análisis de Riesgo, desde hace tiempo; se ha utilizado en proyectos de economía e ingeniería. A partir de 1994 se empezó a utilizar el término Análisis de Riesgo sobre aranceles aduaneros y Comercio. Después de 1997 nace la necesidad de organizar e interpretar datos científicos y otra información facilitando la toma de decisiones. 2. FUNDAMENTOS BÁSICOS Se define los fundamentos teóricos de las terminologías utilizadas en el Análisis de Riesgo. Se puntualizan conceptos de Riesgo, amenaza, vulnerabilidades, Mapa de riesgos, niveles de aceptación del riesgo, Plan de acción, Control y Monitoreo de Riesgo, Identificación de los riesgos, Realización del Análisis cualitativo y cuantitativo y la planificación de la respuesta a los riesgos.  Riesgo se define como un evento o condición incierta que, de producirse, tiene un efecto positivo o negativo en uno o más objetivos del proyecto.  Una amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir un daño (material o inmaterial).  Es la capacidad, las condiciones y características que lo hace susceptible a amenazas, con el resultado de sufrir algún daño.  Mapa de Riesgo. Es una herramienta que permite organizar la información sobre los riesgos de las empresas y visualizar su magnitud, con el fin de establecer las estrategias adecuadas para su manejo.  Un plan de acción es una presentación resumida de las tareas que deben realizarse por ciertas personas, en un plazo de tiempo específico, utilizando un monto de recursos asignados con el fin de lograr un objetivo dado.  Control y Monitoreo del Riesgo. Consiste en rastrear los riesgos identificados, monitorear los riesgos residuales, identificar nuevos riesgos, asegurar que los planes de respuesta a riesgos se ejecuten en el momento apropiado, y evaluar su efectividad a través del ciclo del proyecto. Identificar los riesgos. Es el proceso de determinar los riesgos que pueden afectar al proyecto y documentar sus características.  Realizar el Análisis Cualitativo de Riesgos es el proceso de priorizar riesgos para análisis o acción posterior, evaluando y combinando la probabilidad de ocurrencia e impacto de dichos riesgos.  Realizar el Análisis Cuantitativo de Riesgos es el proceso de analizar numéricamente el efecto de los riesgos identificados sobre los objetivos generales del proyecto.  Planificación de la respuesta a los riesgos. Este proceso desarrolla las opciones y acciones para mejorar las oportunidades y reducir las amenazas a los objetos del proyecto. 3. METODOLOGÍAS PARA EL ANÁLISIS DE RIESGO En este capítulo se definen las metodologías existentes los cuales nos indican los pasos a seguir para su correcta ejecución, ya que, como hemos visto, suelen ser muy complejos y tienen multitud de variables. Estas metodologías son:  Citicus One  CRAMM  MAGERIT  OCTAVE  NIST SP 800-39  Mehari  AS/NZS 4. INTRODUCCIÓN METODOLOGÍA MAGERIT MAGERIT (Metodología de Análisis y Gestión de Riesgos de IT).La Metodología MAGERIT fue desarrollada por el Consejo Superior de Administración Electrónica (CSAE). La Metodología consta de tres volúmenes:  Volumen I – Método, es el volumen principal en el que se explica detalladamente la metodología. Volumen II – Catalogo de Elementos, complementa el volumen principal proporcionando diversos inventarios de utilidad en la aplicación de la metodología. Los inventarios que incluye son:  Tipos de Activos  Dimensiones y Criterios de Valoración  Amenazas  Salvaguardas  Volumen III – Guía de Técnicas, complementa el volumen principal proporcionando una introducción de algunas técnicas a utilizar en las distintas fases del análisis de riesgos. Las técnicas que recoge son:  Técnicas específicas para el análisis de riesgos:  Análisis mediante tablas  Análisis algorítmico  Arboles de ataque  Técnicas Generales:  Análisis coste-beneficio  Diagrama de Flujo de Datos (DFD)  Diagrama de Procesos  Técnicas Graficas:  Planificación de Proyectos  Sesiones de trabajo: entrevistas, reuniones y presentaciones  Valoración Delphi