ANÁLISIS DE RIESGOS
Estudiantes, activada entrada de la unidad 3 para su aporte al foro .
Unidad 3: Análisis de Riesgos
- Legislación Nacional, Legislación Internacional, Amenazas humanas, Amenazas lógicas, Protección.
Luego de la discusión generada en clase de las legislaciones, sería importante reflejar la reflexión a la cual llegamos de la comparación de la legislación nacional con las legislaciones internacionales.
El análisis de riesgos: supone más que el hecho de calcular la posibilidad de que ocurran cosas negativas.
ResponderEliminarSe debe poder obtener una evaluación económica del impacto de estos sucesos. Este valor se podrá utilizar para contrastar el costo de la protección de la información en análisis, versus el costo de volverla a producir (reproducir).
Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de acción adecuado.
Se debe conocer qué se quiere proteger, dónde y cómo, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos. Para esto se deberá identificar los recursos (hardware, software, información, personal, accesorios, etc.) con que se cuenta y las amenazas a las que se está expuesto.
La evaluación de riesgos y presentación de respuestas debe prepararse de forma personalizada para cada organización; pero se puede presupone algunas preguntas que ayudan en la identificación de lo anteriormente expuesto (1):
"¿Qué puede ir mal?"
"¿Con qué frecuencia puede ocurrir?"
"¿Cuáles serían sus consecuencias?"
"¿Qué fiabilidad tienen las respuestas a las tres primeras preguntas?"
"¿Se está preparado para abrir las puertas del negocio sin sistemas, por un día, una semana, cuanto tiempo?"
"¿Cuál es el costo de una hora sin procesar, un día, una semana...?"
"¿Cuánto, tiempo se puede estar off-line sin que los clientes se vayan a la competencia?"
"¿Se tiene forma de detectar a un empleado deshonesto en el sistema?"
"¿Se tiene control sobre las operaciones de los distintos sistemas?"
"¿Cuantas personas dentro de la empresa, (sin considerar su honestidad), están en condiciones de inhibir el procesamiento de datos?"
"¿A que se llama información confidencial y/o sensitiva?"
"¿La información confidencial y sensitiva permanece así en los sistemas?"
"¿La seguridad actual cubre los tipos de ataques existentes y está preparada para adecuarse a los avances tecnológicos esperados?"
"¿A quien se le permite usar que recurso?"
"¿Quién es el propietario del recurso? y ¿quién es el usuario con mayores privilegios sobre ese recurso?"
"¿Cuáles serán los privilegios y responsabilidades del Administrador vs. la del usuario?"
"¿Cómo se actuará si la seguridad es violada?"
El análisis del riesgo es un método sistemático de recopilación, evaluación, registro y difusión de información necesaria para formular recomendaciones orientadas a la adopción de una posición o medidas en respuesta a un peligro determinado. Hay pequeñas variaciones en la terminología utilizada por las tres organizaciones.
ResponderEliminarSin embargo, las tres organizaciones hermanas consideran el análisis del riesgo como un proceso que consta de cuatro etapas:
• identificación del peligro;
• evaluación del riesgo;
• gestión del riesgo; y
• comunicación del riesgo.
• La identificación del peligro: consiste en especificar el acontecimiento adverso que es motivo de preocupación.
• En la evaluación del riesgo: se tiene en cuenta la probabilidad (la probabilidad real y no sólo la posibilidad) de que se produzca el peligro, las consecuencias si ocurre y el grado de incertidumbre que supone.
• La gestión del riesgo: consiste en la identificación y aplicación de la mejor opción para reducir o eliminar la probabilidad de que se produzca el peligro.
• La comunicación del riesgo: consiste en el intercambio abierto de información y opiniones aclaratorias que llevan a una mejor comprensión y adopción de decisiones.
Qué es análisis de riesgo del trabajo?
ResponderEliminarUna forma de aumentar conocimientos sobre riesgo en el lugar de trabajo es realizar un análisis de riesgos del trabajo sobre las tareas de los individuos. Un análisis de riesgos del trabajo (JHA) es un procedimiento que lleva a integrar los principios y prácticas de salud y seguridad aceptadas en una operación en particular. En un JHA, cada paso básico del trabajo se examina para identificar riesgos potenciales y determinar la forma más segura de hacer el trabajo. Otros términos que se usan para decidir este procedimiento son: análisis de seguridad del trabajo (JSA) y desglose de riesgos del trabajo.
Algunas personas prefieren ampliar un análisis a todos los aspectos del trabajo, y no solamente a la seguridad. Este enfoque, conocido como análisis total del trabajo, análisis del trabajo o análisis de tarea, se basa en la idea de que la seguridad es una parte integral de todo trabajo y no una entidad separada. En este documento solo los aspectos de seguridad y salud son los que serán considerados.
Los términos "trabajo" y "tarea" se usan cómodamente e indistintamente para referirse a una asignación de trabajo especifica, como por ejemplo, "operar una trituradora"; "usar un extinguidor de agua presurizada" o "cambiar un neumático desinflado". Los JHA no son convenientes para trabajos definidos muy generalmente, por ejemplo, "hacer un overjol a un motor"; o demasiado detallado, por ejemplo, "colocar una gata en el carro".
En un análisis de riesgo, cabe mencionar que habiendo ya identificado y clasificados los riesgos,pasamos a realizar el análisis de los mismos, es decir, se estudian la posibilidad y las consecuencias de cada factor de riesgo con el fin de establecer el nivel de riesgo de nuestro proyecto.
ResponderEliminarEl análisis de los riesgos determinará cuáles son los factores de riesgo que
potencialmente tendrían un mayor efecto sobre nuestro proyecto y, por lo tanto, deben ser gestionados por el emprendedor con especial atención.
Estos pasos permiten conocer los riesgos puros (en los que solo se puede perder), los riesgos del negocio (dinámicos o especulativos, en los que se puede ganar o perder, la máxima pérdida posible si el bien es destruido por el riesgo, la máxima pérdida probable y la expectativa de pérdida anual. También brinda los elementos de juicio para saber qué hacer con los principales riesgos.
Conociendo los principales riesgos, se puede optar por eliminarlos, reducirlos, compartirlos, transferirlos o asumirlos
El Análisis de Riesgo: consiste explícitamente a la evaluación del riesgo y esto se logra mediante un método sistemático de recopilación, evaluación, registro y difusión de información necesaria para formular recomendaciones orientadas a la adopción de una posición o medidas en respuesta a un peligro determinado. Hay pequeñas variaciones en la terminología utilizada por las tres organizaciones. Sin embargo, las tres organizaciones hermanas consideran el análisis del riesgo como un proceso que consta de cuatro etapas:
ResponderEliminaridentificación del peligro;
evaluación del riesgo;
gestión del riesgo; y
comunicación del riesgo.
La identificación del peligro consiste en especificar el acontecimiento adverso que es motivo de preocupación.
En la evaluación del riesgo se tiene en cuenta la probabilidad (la probabilidad real y no sólo la posibilidad) de que se produzca el peligro, las consecuencias si ocurre y el grado de incertidumbre que supone. (Obsérvese que esta descripción de la evaluación del riesgo es diferente de la definición que figura en el Acuerdo MSF.)
La gestión del riesgo consiste en la identificación y aplicación de la mejor opción para reducir o eliminar la probabilidad de que se produzca el peligro.
La comunicación del riesgo consiste en el intercambio abierto de información y opiniones aclaratorias que llevan a una mejor comprensión y adopción de decisiones.
El análisis de riesgo, también conocido como evaluación de riesgo o PHA por sus siglas en inglés Process Hazards Analysis, es el estudio de las causas de las posibles amenazas y probables eventos no deseados y los daños y consecuencias que éstas puedan producir.
ResponderEliminarEste tipo de análisis es ampliamente utilizado como herramienta de gestión en estudios financieros y de seguridad para identificar riesgos (métodos cualitativos) y otras para evaluar riesgos (generalmente de naturaleza cuantitativa).
El primer paso del análisis es identificar los activos a proteger o evaluar. La evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecidos previamente.
La función de la evaluación consiste en ayudar a alcanzar un nivel razonable de consenso en torno a los objetivos en cuestión, y asegurar un nivel mínimo que permita desarrollar indicadores operacionales a partir de los cuales medir y evaluar.
Los resultados obtenidos del análisis, van a permitir aplicar alguno de los métodos para el tratamiento de los riesgos, que involucra identificar el conjunto de opciones que existen para tratar los riesgos, evaluarlas, preparar planes para este tratamiento y ejecutarlos.
La función de la evaluación consiste en ayudar a alcanzar un nivel razonable de consenso en torno a los objetivos en cuestión, y asegurar un nivel mínimo que permita desarrollar indicadores operacionales a partir de los cuales medir y evaluar.
ResponderEliminarLos resultados obtenidos del análisis, van a permitir aplicar alguno de los métodos para el tratamiento de los riesgos, que involucra identificar el conjunto de opciones que existen para tratar los riesgos, evaluarlas, preparar planes para este tratamiento y ejecutarlos.
Este comentario ha sido eliminado por el autor.
ResponderEliminarEl análisis del riesgo es un método sistemático de recopilación, evaluación, registro y difusión de información necesaria para formular recomendaciones orientadas a la adopción de una posición o medidas en respuesta a un peligro determinado. Hay pequeñas variaciones en la terminología utilizada por las tres organizaciones. Sin embargo, las tres organizaciones hermanas consideran el análisis del riesgo como un proceso que consta de cuatro etapas:
ResponderEliminar• identificación del peligro;
• evaluación del riesgo;
• gestión del riesgo; y
• comunicación del riesgo.
La identificación del peligro consiste en especificar el acontecimiento adverso que es motivo de preocupación.
En la evaluación del riesgo se tiene en cuenta la probabilidad (la probabilidad real y no sólo la posibilidad) de que se produzca el peligro, las consecuencias si ocurre y el grado de incertidumbre que supone. (Obsérvese que esta descripción de la evaluación del riesgo es diferente de la definición que figura en el Acuerdo MSF.)
La gestión del riesgo consiste en la identificación y aplicación de la mejor opción para reducir o eliminar la probabilidad de que se produzca el peligro.
El análisis de riesgo (también conocido como evaluación de riesgo o PHA por sus siglas en inglés: Process Hazards Analysis) es el estudio de las causas de las posibles amenazas, y los daños y consecuencias que éstas puedan producir.
ResponderEliminarEste tipo de análisis es ampliamente utilizado como herramienta de gestión en estudios financieros y de seguridad para identificar riesgos (métodos cualitativos) y otras para evaluar riesgos (generalmente de naturaleza cuantitativa).
El primer paso del análisis es identificar los activos a proteger o evaluar. La evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecidos previamente.
La función de la evaluación consiste en ayudar a alcanzar un nivel razonable de consenso en torno a los objetivos en cuestión, y asegurar un nivel mínimo que permita desarrollar indicadores operacionales a partir de los cuales medir y evaluar.
Los resultados obtenidos del análisis, van a permitir aplicar alguno de los métodos para el tratamiento de los riesgos, que involucra identificar el conjunto de opciones que existen para tratar los riesgos, evaluarlas, preparar planes para este tratamiento y ejecutarlos.
Como realizar un análisis de riesgos en su lugar de trabajo
Siguiendo los 5 pasos siguientes:
1. Identificar los peligros
2. Decidir quien puede ser dañado y como
3. Evaluar los riesgos y decidir las precauciones
4. Registrar sus hallazgos e implementarlos
5. Revisar su análisis y poner al día si es necesario
No hay que sobre complicar el proceso, en muchas organizaciones los riesgos son bien conocidos las necesarias medidas de control son fáciles de aplicar.
Por ejemplo, usted probablemente ya conoce que si sus operadores mueven cargas pesadas por lo tanto podrían verse afectadas sus espaldas ó existe la probabilidad de resbalarse en su camino, entonces usted tiene que tomar las razonables precauciones para evitar estos accidentes.
Análisis de riesgo informático:
ResponderEliminarEl análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o administrativas a una empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicación de controles.
Dichos controles, para que sean efectivos, deben ser implementados en conjunto formando una arquitectura de seguridad con la finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.
Proceso de análisis de riesgos informáticos:
El proceso de análisis de riesgo genera habitualmente un documento al cual se le conoce como matriz de riesgo. En este documento se muestran los elementos identificados, la manera en que se relacionan y los cálculos realizados. Este análisis de riesgo es indispensable para lograr una correcta administración del riesgo. La administración del riesgo hace referencia a la gestión de los recursos de la organización. Existen diferentes tipos de riesgos como el riesgo residual y riesgo total así como también el tratamiento del riesgo, evaluación del riesgo y gestión del riesgo entre otras. La fórmula para determinar el riesgo total es:
RT (Riesgo Total) = Probabilidad x Impacto Promedio
La evaluacion de riesgos incluye las siguientes actividades y riesgos:
Identificación de los activos.
Identificación de los requisitos legales y de negocios que son relevantes para la identificación de los activos.
Valoración de los activos identificados.
Teniendo en cuenta los requisitos legales identificados de negocios y el impacto de una pérdida de confidencialidad, integridad y disponibilidad.
Identificación de las amenazas y vulnerabilidades importantes para los activos identificados.
Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.
Cálculo del riesgo.
Evaluación de los riesgos frente a una escala de riesgo preestablecidos.
Después de efectuar el análisis debemos determinar las acciones a tomar respecto a los riesgos residuales que se identificaron. Las acciones pueden ser:
Controlar el riesgo.- Fortalecer los controles existentes y/o agregar nuevos controles.
Eliminar el riesgo.- Eliminar el activo relacionado y con ello se elimina el riesgo.
Compartir el riesgo.- Mediante acuerdos contractuales parte del riesgo se traspasa a un tercero.
Aceptar el riesgo.- Se determina que el nivel de exposición es adecuado y por lo tanto se acepta.
Elementos relacionados:
Activo- Es un objeto o recurso de valor empleado en una empresa u organización
Amenaza- Es un evento que puede causar un incidente de seguridad en una empresa u organización produciendo pérdidas o daños potenciales en sus activos.
Vulnerabilidad- Es una debilidad que puede ser explotada con la materialización de una o varias amenazas a un activo.
Riesgo- Es la probabilidad de ocurrencia de un evento que puede ocasionar un daño potencial a servicios, recursos o sistemas de una empresa.
Análisis- Examinar o descomponer un todo detallando cada uno de los elementos que lo forman a fin de terminar la relación entre sus principios y elementos.
Control-Es un mecanismo de seguridad de prevención y corrección empleado para disminuir las vulnerabilidades.
Hay que tomar en cuenta que el análisis de riesgo detallado, es un trabajo muy extenso y consumidor de tiempo, porque requiere que se compruebe todos los posibles daños de cada recurso de una institución contra todas las posibles amenazas, es decir terminaríamos con un sinnúmero de grafos de riesgo que deberíamos analizar y clasificar. Por otro lado, hay que reconocer que la mayoría de las organizaciones sociales centroamericanas (el grupo meta del proyecto), ni cuentan con personal técnico específico para los equipos de computación, ni con recursos económicos o mucho tiempo para dedicarse o preocuparse por la seguridad de la información que manejan y en muchas ocasiones tampoco por la formación adecuada de sus funcionarios en el manejo de las herramientas informáticas.
ResponderEliminarEntonces lo que se pretende con el enfoque de la Matriz es localizar y visualizar los recursos de una organización, que están más en peligro de sufrir un daño por algún impacto negativo, para posteriormente ser capaz de tomar las decisiones y medidas adecuadas para la superación de las vulnerabilidades y la reducción de las amenazas.
El análisis del riesgo es un método sistemático de recopilación, evaluación, registro y difusión de información necesaria para formular recomendaciones orientadas a la adopción de una posición o medidas en respuesta a un peligro determinado. Hay pequeñas variaciones en la terminología utilizada por las tres organizaciones. Sin embargo, las tres organizaciones hermanas consideran el análisis del riesgo como un proceso que consta de cuatro etapas:
ResponderEliminarIdentificación del peligro;
Evaluación del riesgo;
Gestión del riesgo; y
Comunicación del riesgo.
La identificación del peligro consiste en especificar el acontecimiento adverso que es motivo de preocupación.
En la evaluación del riesgo se tiene en cuenta la probabilidad (la probabilidad real y no sólo la posibilidad) de que se produzca el peligro, las consecuencias si ocurre y el grado de incertidumbre que supone. (Obsérvese que esta descripción de la evaluación del riesgo es diferente de la definición que figura en el Acuerdo MSF.)
La gestión del riesgo consiste en la identificación y aplicación de la mejor opción para reducir o eliminar la probabilidad de que se produzca el peligro.
La comunicación del riesgo consiste en el intercambio abierto de información y opiniones aclaratorias que llevan a una mejor comprensión y adopción de decisiones.
Día tras día, nos exponemos a riesgos de todo tipo. El simple hecho de cruzar la calle implica el riesgo de ser atropellados, lanzarse en paracaídas puede conllevar que el paracaídas no se abra y ya pueden intuir el resultado, o realizar una compra por internet puede entrañar el riesgos de que obtengan nuestros datos bancarios. Está claro que a nivel personal no podemos hacer un análisis de riesgos de cada acción o decisión que tomemos y no hablemos ya de documentarlo conscientemente.
ResponderEliminarSi pensamos en el ámbito empresarial, donde la mayor parte de acciones deben tomarse de un modo objetivo, ser capaz de cuantificar el riesgo puede suponer en muchos casos la diferencia entre el éxito o el fracaso. En este sentido las áreas TIC de las empresas han sido uno de los ámbitos pioneros en acometer análisis de riesgos, impulsado por ser un requisito de normas como la ISO 27001 y sus anteriores ediciones, o como proyecto de entidad propia.
CERRADO EL FORO AL 31/07/2014 CUALQUIER COMENTARIO ADICIONAL NO SERÁ TOMADO EN CUENTA PARA LA NOTA FINAL. SALUDOS
ResponderEliminar