miércoles, 26 de febrero de 2014

ANÁLISIS DE RIESGO


CONCEPTO DE RIESGO

El concepto de riesgo puede definirse como: el efecto causa (expresado en términos monetarios) multiplicado por la frecuencia probable de su ocurrencia. En este sentido, el fuego en si no es un riesgo, es una causa de riesgo. El riesgo es realmente la destrucción (perdida) que el fuego pueda llegar a causar. El control actúa sobre la causa del riesgo para minimizar sus efectos. Cuando se dice que los controles minimizan riesgos, lo que en verdad hacen es actuar sobre las causas de los riesgos, para minimizar sus efectos.

Como ejemplos de causa de riesgo tenemos:

Información errónea
Interrupciones de las operaciones
Decisiones erróneas
Fraude y robo
Sanciones legales
Costos excesivos
Pérdida y/o destrucción de activos
Desventaja ante la competencia

TIPOS DE CAUSAS DE RIESGO
Las causa de riesgo más comunes, para efecto de auditoría informática, se dividen en:

1.       Externas
Las causas de riesgo externas pueden ser de dos clases:
a.       Naturales
Las causa de riesgo naturales son normalmente las siguientes:
·         Inundaciones
·         Temblores
·         Tornados
·         Tormentas eléctricas
·         Huracanes
·         Erupciones volcánicas

b.      Motivadas por el hombre
Las causas de riesgo originadas por el hombre, son entre otras, las siguientes:
·         Incendios
·         Explosiones
·         Accidentes laborales
·         Bombas
·         Destrucción intencional
·         Sabotaje
·         Robo
·         Fraude
·         Contaminación ambiental
2.       Internas
Las causa internas de riesgo, se generan a partir de las mismas empresas. Las estadísticas muestran que las causa internas de riesgo son mas frecuentes que las externas.
Entre las causas internas de riesgo tenemos básicamente:

  • Robo: de materiales,  de dinero y de información.
  • Sabotaje
  • Destrucción: de datos y de recursos.
  • Huelgas
  • Fraudes

OBJETIVO GENERAL DEL ANÁLISIS DE RIESGO

El objetivo general del análisis de riesgo es identificar las causa de los riesgos potenciales, en una determinada área y cuantificarlos para que la gerencia pueda tener información suficiente al respecto y optar por el diseño e implantación de los controles correspondientes a fin de minimizarlos efectos de las causas de los riesgos, en los diferentes puntos de análisis.
En sistemas computarizados, se pueden señalar normalmente las siguientes áreas de riesgo:
·         Instalaciones de proceso de información
·         Información
·         Comunicaciones

OBJETIVOS ESPECÍFICOS DEL ANÁLISIS DE RIESGO

Analizar el tiempo, esfuerzo y recursos disponibles y necesarios para contrarrestar un problema.
Definir cuáles son los recursos existentes.
Llevar a cabo un minucioso análisis de riesgos y debilidades.
Identificar, definir y revisar todos los controles de seguridad ya existentes.
Determinar si es necesario incrementar las medidas de seguridad, los costos de riesgo y los beneficios esperados.

IDENTIFICACIÓN DE ÁREAS DE VULNERABILIDAD

Grado de automatización y/o dependencia tecnológica: numero de aplicaciones e importancia de las mismas.
Forma de proceso: centralizado, descentralizado y distribuido.
Tipo de sistemas: en lote (batch), en línea o en tiempo real.
Forma de organización de archivos: tradicional y bases de datos.

CALCULO DE PÉRDIDAS PROBABLES

Una vez determinada la probabilidad (P) de que ocurra un evento en un periodo dado, por ejemplo un año, se debe cuantificar la pérdida acumulada (C), en el periodo dado, tomando en consideración las perdidas probables que podrían ser ocasionadas por eventos similares. El riesgo expresado en términos de pérdida (R), en cierto periodo, se obtiene de la relación:

R = P * C

Si existen diversos riesgos la perdida probable a nivel global es simplemente la suma de todas las perdidas probables:

Rt = sumatoria desde i = 1 hasta n por Pi * Ci. Donde se realiza todos los riesgos conocidos en que incurre la empresa.

Cuando se evalúa las perdidas Ci, resulta de vital importancia considerar los siguientes valores:


  • Costo de reparación o reemplazo.
  • Tiempo de respuesta.
  • Costo de instalación y servicios.
  • Interrupción de las labores debido a la suspensión en el procesamiento.
  • Personal adicional. Perdida de oportunidades
  • Perdida de beneficios esperados.
  • Detrimento de la imagen de la empresa.

UTILIDAD DEL MÉTODO MATRICIAL PARA EL ANÁLISIS DE RIESGOS

Este método utiliza una matriz para mostrar gráficamente tanto las amenazas a que están expuestos los sistemas computarizados como los objetos que comprenden el sistema.

A continuación se expone el desarrollo del método:


  • 1.       Crear la matriz de amenazas  (causa de riesgo) y de objetos del sistema a analizar.
  • 2.       Identificar los controles necesarios.
  • 3.       Registrar los controles dentro de la matriz.
  • 4.       Categorizar los riesgos
  • 5.       Diseñar los controles definitivos.
  • 6.       Resultados del análisis de riesgo.
  • 7.       Verificar, por parte de sistemas y de auditoría, la incorporación de los controles.
Publicadas por a la/s
Etiquetas:

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)