Monografias.com > Administración y Finanzas
Descargar Imprimir Comentar Ver trabajos relacionados

Sistema de administración de riesgos en tecnología informática




Enviado por acancelado

Partes: 1, 2


    1.
    Introducción
    2. Parte I – Administración de
    riesgos
    3. Parte II – Elementos
    de gestión de riesgos en
    informática
    4. Parte III –
    Análisis de riesgos
    5.
    Bibliografia

     1. Introduccion

    Es importante en toda organización contar con una herramienta,
    que garantice la correcta evaluación
    de los riesgos, a los cuales están sometidos los procesos y
    actividades que participan en el área informática; y por medio de procedimientos de
    control se pueda
    evaluar el desempeño del entorno
    informático.

    Viendo la necesidad en el entorno empresarial de este
    tipo de herramientas y
    teniendo en cuenta que, una de las principales causas de los
    problemas
    dentro del entorno informático, es la inadecuada
    administración de riesgos informáticos, este
    trabajo sirve de apoyo para una adecuada gestión
    de la
    administración de riesgos, basándose en los
    siguientes aspectos:

    • La evaluación de los riesgos inherentes a los
      procesos informáticos.
    • La evaluación de las amenazas ó causas
      de los riesgos.
    • Los controles utilizados para minimizar las amenazas
      a riesgos.
    • La asignación de responsables a los procesos
      informáticos.
    • La evaluación de los elementos del análisis de riesgos.

    2. Parte I – Administración De Riesgos

    El Problema – Administracion De Riesgos
    El riesgo es una
    condición del mundo real en el cual hay una exposición
    a la adversidad, conformada por una combinación de
    circunstancias del entorno, donde hay posibilidad de
    perdidas.

    Clasificacion De Los Riesgos
    Los negocios
    pueden fallar o sufrir perdidas como un resultado de un variedad
    de causas. Las diferencias en esas causas y sus efectos
    constituyen las bases para diferenciar los riesgos, los cuales se
    pueden clasificar así:

    • RIESGOS FINANCIEROS: El riesgo financiero envuelve la
      relación entre una organización y una ventaja que
      puede ser perdida o perjudicada. De este modo el riesgo
      financiero envuelve 3 elementos:
    1. La organización que esta expuesta a
      perdidas
    2. Los elementos que conforman las causas de perdidas
      financieras
    3. Un peligro que puede causar la perdida (amenaza a
      riesgo).
    • RIESGOS DINAMICOS: Son el resultado de cambios en la
      economía
      que surgen de dos conjuntos de
      factores :
    1. Factores del entorno exterior ; la
      economía, la industria,
      competidores y clientes.
    2. Otros factores que pueden producir las perdidas que
      constituyen las base del riesgo especulativo son las decisiones
      de la administración de la
      organización.
    • RIESGOS ESTATICOS: Estos riesgos surgen de otras
      causas distintas a los cambios de la economía tales
      como: deshonestidad o fallas humanas.
    • RIESGO ESPECULATIVO: Describe una situación
      que espera una posibilidad de pérdida o ganancia. Un
      buen ejemplo es una situación aventurada o del
      azar.
    • RIESGO PURO: Designa aquellas situaciones que
      solamente generan o bien pérdida o ganancia, un ejemplo
      es la posibilidad de pérdida en la compra de un bien
      (automóviles, casas, etc.). Los riesgos puros pueden ser
      clasificados de la siguiente forma :
    • Riesgo Personal :
      Consiste en la posibilidad de perdida sujeta a los siguientes
      peligros : muerte
      prematura, enfermedad e incapacidades
    • Riesgos de las posesiones : Abarcan 2 distintos
      tipos de pérdida que son: pérdidas directas
      por destrucción de bienes, y
      pérdidas indirectas causados por las consecuencias de
      las pérdidas directas o gastos
      adicionales.
    • Riesgos de Responsabilidades : Su peligro
      básico consiste en el perjuicio de otras personas o
      daño de una propiedad
      por negligencia o descuido.
    • Riesgos físicos: Se tienen en esta clase por
      ejemplo: El exceso de ruido,
      Iluminación inadecuada, exposición
      a radiaciones, instalaciones
      eléctricas inadecuadas.
    • Riesgos químicos: Se tienen en esta clase por
      ejemplo: Exposición a vapores de los solventes, humo de
      combustión y gases.
    • Riesgos biológicos: Hongos y
      bacterias.
    • Riesgos psicosociales: Ingresos
      económicos injustos, monotonía, falta de incentivos y
      motivación.
    • Riesgos ergonómicos: Puesto de trabajo
      incomodo, Posición corporal forzada, movimiento
      repetitivo al operar máquinas, hacinamiento.
    • RIESGO FUNDAMENTAL: Envuelve las pérdidas que
      son impersonales en origen y consecuencia. La mayor parte son
      causados por fenómenos económicos, sociales.
      Ellos afectan parte de una organización.
    • RIESGO PARTICULAR: Son perdidas que surgen de
      eventos
      individuales antes que surjan de un grupo
      entero. Desempleo,
      guerra,
      inflación, terremotos
      son todos riesgos fundamentales ; el incendio de una casa
      y el robo de un banco son
      riesgos particulares.

    Riesgos De Negocio Relacionados Con La Informatica
    Los principales riesgos informáticos de los negocios son
    los siguientes:

    • Riesgos de Integridad: Este tipo abarca todos los
      riesgos asociados con la autorización, completitud y
      exactitud de la entrada, procesamiento y reportes de las
      aplicaciones utilizadas en una organización. Estos
      riesgos aplican en cada aspecto de un sistema de
      soporte de procesamiento de negocio y están presentes en
      múltiples lugares, y en múltiples momentos en
      todas las partes de las aplicaciones; no obstante estos riesgos
      se manifiestan en los siguientes componentes de un
      sistema:
    • Interface del usuario: Los riesgos en esta
      área generalmente se relacionan con las restricciones,
      sobre las individualidades de una organización y su
      autorización de ejecutar funciones
      negocio/sistema; teniendo en cuenta sus necesidades de trabajo
      y una razonable segregación de obligaciones. Otros riesgos en esta área
      se relacionan a controles que aseguren la validez y completitud
      de la información introducida dentro de un
      sistema.
    • Procesamiento: Los riesgos en esta área
      generalmente se relacionan con el adecuado balance de los
      controles detectivos y preventivos que aseguran que el
      procesamiento de la información ha sido completado. Esta
      área de riesgos también abarca los riesgos
      asociados con la exactitud e integridad de los reportes usados
      para resumir resultados y tomar decisiones de
      negocio.
    • Procesamiento de errores: Los riesgos en esta
      área generalmente se relacionan con los métodos
      que aseguren que cualquier entrada/proceso de
      información de errores (Exceptions) sean capturados
      adecuadamente, corregidos y reprocesados con exactitud
      completamente.
    • Interface: Los riesgos en esta área
      generalmente se relacionan con controles preventivos y
      detectivos que aseguran que la información ha sido
      procesada y transmitida adecuadamente por las
      aplicaciones.
    • Administración de cambios: Los riesgos en esta
      área pueden ser generalmente considerados como parte de
      la infraestructura de riesgos y el impacto de los cambios en
      las aplicaciones. Estos riesgos están asociados con la
      administración inadecuadas de procesos de cambios
      organizaciones
      que incluyen: Compromisos y entrenamiento
      de los usuarios a los cambios de los procesos, y la forma de
      comunicarlos e implementarlos.
    • Información: Los riesgos en esta área
      pueden ser generalmente considerados como parte de la
      infraestructura de las aplicaciones. Estos riesgos están
      asociados con la administración inadecuada de controles,
      incluyendo la integridad de la seguridad de
      la información procesada y la administración
      efectiva de los sistemas de
      bases de datos
      y de estructuras
      de datos. La
      integridad puede perderse por: Errores de programación (buena información es
      procesada por programas mal
      construídos), procesamiento de errores (transacciones
      incorrectamente procesadas) ó administración y
      procesamiento de errores (Administración pobre del
      mantenimiento de sistemas).
    • Riesgos de relación: Los riesgos de
      relación se refieren al uso oportuno de la
      información creada por una aplicación. Estos
      riesgos se relacionan directamente a la información de
      toma de
      decisiones (Información y datos correctos de una
      persona/proceso/sistema correcto en el tiempo preciso
      permiten tomar decisiones correctas).
    • Riesgos de acceso: Estos riesgos se enfocan al
      inapropiado acceso a sistemas, datos e información.
      Estos riesgos abarcan: Los riesgos de segregación
      inapropiada de trabajo, los riesgos asociados con la integridad
      de la información de sistemas de bases de datos y los
      riesgos asociados a la confidencialidad de la
      información. Los riesgos de acceso pueden ocurrir en los
      siguientes niveles de la estructura
      de la seguridad de la información:
    • Procesos de negocio: Las decisiones organizacionales
      deben separar trabajo incompatible de la organización y
      proveer el nivel correcto de ejecución de
      funciones.
    • Aplicación: La aplicación interna de
      mecanismos de seguridad que provee a los usuarios las funciones
      necesarias para ejecutar su trabajo.
    • Administración de la información: El
      mecanismo provee a los usuarios acceso a la información
      específica del entorno.
    • Entorno de procesamiento: Estos riesgos en esta
      área están manejados por el acceso inapropiado al
      entorno de programas e información.
    • Redes: En esta área se refiere al acceso
      inapropiado al entorno de red y su
      procesamiento.
    • Nivel físico: Protección física de
      dispositivos y un apropiado acceso a ellos.
    • Riesgos de utilidad: Estos
      riesgos se enfocan en tres diferentes niveles de
      riesgo:
    • Los riesgos pueden ser enfrentados por el
      direccionamiento de sistemas antes de que los problemas
      ocurran.
    • Técnicas de
      recuperación/restauración usadas para minimizar
      la ruptura de los sistemas.
    • Backups y planes de contingencia controlan desastres
      en el procesamiento de la información.
    • Riesgos en la infraestructura: Estos riesgos se
      refieren a que en las organizaciones no existe una estructura
      información tecnológica efectiva (hardware,
      software,
      redes, personas
      y procesos) para soportar adecuadamente las necesidades futuras
      y presentes de los negocios con un costo
      eficiente. Estos riesgos están asociados con los
      procesos de la información tecnológica que
      definen, desarrollan, mantienen y operan un entorno de
      procesamiento de información y las aplicaciones
      asociadas (servicio al
      cliente, pago de cuentas,
      etc.). Estos riesgos son generalmente se consideran en el
      contexto de los siguientes procesos
      informáticos:
    • Planeación organizacional: Los proceso en esta
      área aseguran la definición del impacto,
      definición y verificación de la tecnología
      informática en el negocio. Además, verifica si
      existe una adecuada organización (gente y procesos)
      asegura que los esfuerzos de la tecnología
      informática será exitosa.
    • Definición de las aplicaciones: Los procesos
      en esta área aseguran que las aplicaciones satisfagan
      las necesidades del usuario y soporten el contexto de los
      procesos de negocio. Estos procesos abarcan: la
      determinación de comprar una aplicación ya
      existente ó desarrollar soluciones a
      cliente. Estos
      procesos también aseguran que cualquier cambio a las
      aplicaciones (compradas o desarrolladas) sigue un proceso
      definido que confirma que los puntos críticos de
      proceso/control son consistentes (Todos los cambios son
      examinados por usuarios antes de la
      implementación).
    • Administración de seguridad: Los procesos en
      esta área aseguran que la organización
      está adecuadamente direccionada a establecer, mantener y
      monitorizar un sistema interno de seguridad, que tenga políticas de administración con
      respecto a la integridad y confidencialidad de la
      información de la organización, y a la
      reducción de fraudes a niveles aceptables.
    • Operaciones de red y computacionales: Los procesos en
      esta área aseguran que los sistemas de
      información y entornos de red están operados
      en un esquema seguro y
      protegido, y que las responsabilidades de procesamiento de
      información son ejecutados por personal operativo
      definido, medido y monitoreado. También aseguran que los
      sistemas son consistentes y están disponibles a los
      usuarios a un nivel de ejecución
      satisfactorio.
    • Administración de sistemas de bases de
      datos: Los procesos en esta área están
      diseñados para asegurar que las bases de datos usadas
      para soportar aplicaciones críticas y reportes tengan
      consistencia de definición, correspondan con los
      requerimientos y reduzcan el potencial de
      redundancia.
    • Información / Negocio: Los proceso en esta
      área están diseñados para asegurar que
      existe un plan adecuado
      para asegurar que la tecnología informática
      estará disponible a los usuarios cuando ellos la
      necesitan.
    • Riesgos de seguridad general: Los estándar IEC
      950 proporcionan los requisitos de diseño para lograr una seguridad general
      y que disminuyen el riesgo:
    • Riesgos de choque de eléctrico: Niveles altos
      de voltaje.
    • Riesgos de incendio: Inflamabilidad de materiales.
    • Riesgos de niveles inadecuados de energía
      eléctrica.
    • Riesgos de radiaciones: Ondas de
      ruido, de láser y
      ultrasónicas.
    • Riesgos mecánicos: Inestabilidad de las piezas
      eléctricas.

    Tecnicas De Procedimientos Para Administrar
    Riesgos

    • EVITAR RIESGOS: Un riesgo es evitado cuando en la
      organización no se acepta. Esta técnica puede ser
      más negativa que positiva. Si el evitar riesgos fuera
      usado excesivamente el negocio sería privado de muchas
      oportunidades de ganancia (por ejemplo: arriesgarse a hacer una
      inversión) y probablemente no
      alcanzaría sus objetivos.
    • REDUCCION DE RIESGOS: Los riegos pueden ser
      reducidos, por ejemplo con: programas de seguridad, guardias de
      seguridad, alarmas y estimación de futuras
      pérdidas con la asesoría de personas
      expertas.
    • CONSERVACION DE RIESGOS: Es quizás el
      más común de los métodos para enfrentar
      los riesgos, pues muchas veces una acción positiva no es
      transferirlo o reducir su acción. Cada
      organización debe decidir cuales riegos se retienen, o
      se transfieren basándose en su margen de contingencia,
      una pérdida puede ser un desastre financiero para
      organización siendo fácilmente sostenido por otra
      organización.
    • COMPARTIR RIESGOS: Cuando los riesgos son
      compartidos, la posibilidad de perdida es transferida del
      individuo al grupo.

    Soluciones en la
    administracion de riesgos
    Definicion de administracion de riesgos
    La administración de riesgos es una aproximación
    científica del comportamiento
    de los riesgos, anticipando posibles perdidas accidentales con el
    diseño e implementación de procedimientos que
    minimicen la ocurrencia de pérdidas o el impacto
    financiero de las pérdidas que puedan ocurrir.

    Herramientas De La Administracion De Riesgos
    Las principales técnicas o
    herramientas usadas en la administración de riesgos
    son :

    • Control de Riesgos : Técnica
      diseñada para minimizar los posibles costos causados
      por los riesgos a que esté expuesta la
      organización, esta técnica abarca el rechazo de
      cualquier exposición a pérdida de una actividad
      particular y la reducción del potencial de las posibles
      perdidas.
    • Financiación de Riesgos : Se enfoca en
      garantizar la habilidad de conocer recursos
      financieros y las perdidas que pueden ocurrir en ellos.
      Frecuentemente los riegos se transfieren o se retienen. Cuando
      se retienen se acompañan de una colocación
      específica del presupuesto y
      puede abarcar la acumulación de un recurso financiero
      para conocer sus desviaciones. Cuando se transfiere abarcan los
      arreglos contractuales y la subcontratación de ciertas
      actividades.

    Proceso De La Administracion De Riesgos
    El proceso consta de los siguientes pasos :

    • Determinar los Objetivos : El primer paso en la
      administración de riesgos es decidir precisamente el
      programa de
      administración de riesgos. Para obtener el máximo
      beneficio de los gastos asociados con la administración
      de riesgos un plan es necesario. De otro modo, es ver el
      proceso de administración de riesgos como una serie de
      problemas aislados mas bien que un problema sencillo, y no hay
      guías para proveer una consistencia lógica en los procesos de la
      organización.

    El principal objetivo de la
    administración de riesgos, como primera ley de la
    naturaleza,
    garantizar la supervivencia de la organización,
    minimizando los costos asociados con los riesgos. Muchos de los
    defectos en la administración de riesgos radica en la
    ausencia de objetivos claros.

    Los objetivos de la administración de riesgos
    están formalizados en una "política corporativa
    de administración de riesgos", la cual describe las
    políticas y medidas tomadas para su
    consecución.
    Idealmente los objetivos y las políticas de
    administración de riesgos deben ser producto de
    las decisiones de la Junta Directiva de la
    compañía.

    • Identificación de los Riesgos : Es
      difícil generalizar acerca de los riesgos de una
      organización porque las condiciones y operaciones son
      distintas, pero existen formas de identificarlos entre las
      cuales están:
    • Herramientas de identificación de
      riesgos : Las más importantes herramientas usadas
      en la identificación de riesgos incluyen: registros
      internos de la organización, listas de chequeo para
      políticas de seguros,
      cuestionarios de análisis de riesgos, flujos de
      procesos, análisis
      financiero, inspección de operaciones y entrevistas.
    • Aproximación de combinación : La
      aproximación preferida en la identificación de
      riesgos consiste de una aproximación de
      combinación, en el cual todas las herramientas de
      identificación de riesgos están hechas para
      tolerar problemas. En pocas palabras cada herramienta puede
      resolver una parte del problema y combinados pueden ser una
      considerable ayuda al administrador
      de riesgos. Los riesgos pueden surgir de muchas fuentes, por
      lo cual el administrador de riesgos necesita un sistema de
      información de búsqueda rápida,
      diseñado para proveer el flujo de información
      acerca de cambios en operaciones y cambios en las relaciones
      con las entidades externas.
    • Evaluación de Riesgos : Una vez que los
      riesgos han sido identificados el administrador de riesgos debe
      evaluarlos. Esto envuelve la medición del potencial de las
      pérdidas y la probabilidad de
      la pérdida categorizando el orden de las prioridades. Un
      conjunto de criterios puede ser usado para establecer una
      prioridad, enfocada en el impacto financiero potencial de las
      pérdidas, por ejemplo :
    • Riesgos críticos : Todos las exposiciones
      a pérdida en las cuales la magnitud alcanza la
      bancarrota.
    • Riesgos importantes : Son exposiciones a
      pérdidas que no alcanzan la bancarrota, pero requieren
      una acción de la organización para continuar las
      operaciones.
    • Riesgos no importantes : Exposiciones a
      pérdidas que no causan un gran impacto
      financiero.
    • Consideración de alternativas y selección de mecanismos de tratamiento de
      riesgos : El próximo paso es considerar las
      técnicas que puedan ser usadas para tratar con riesgos.
      Estas técnicas incluyen : evitar los riesgos,
      retención, transparencia y reducción. Algunas
      políticas de la administración de riesgos de la
      organización establece el criterio a ser aplicada en la
      elección de técnicas, haciendo un bosquejo de las
      reglas con las cuales el administrador de riesgos, puede
      operar.
    • Implementación de la Decisión,
      Evaluación y Revisiones : Este paso debe ser
      incluido por 2 razones. Primero, el proceso de
      administración de riesgos no es la panacea definitiva,
      las cosas pueden cambiar nuevos riesgos surgen y riesgos viejos
      desaparecen, el programa de administración de riesgos
      permite al administrador de riesgos revisar decisiones y
      descubrir errores.

    Responsabilidades Del Administrador De
    Riesgos

    1. Desarrollar políticas de administración
      de riesgos : El administrador de riesgos ayuda a la
      organización en la identificación de objetivos y
      preparación de políticas junto a la alta gerencia.
    2. Identificar los riesgos : Es considerablemente
      la función
      más difícil de la administración de
      riesgos. Este proceso requiere un gran sistema de
      información que alertará al administrador de
      riesgos sobre nuevas exposiciones a pérdida.
    3. Seleccionar alternativas financieras : Basado en
      la estructura financiera de la organización, el
      administrador de riesgos recomienda el camino a
      tomar.
    4. Negociar el alcance de la seguridad : El
      administrador de riesgos debe determinar que aseguramiento es
      necesario y debe obtener la mejor combinación entre
      alcance y costo.
    5. Supervisar la administración interna :
      Esta función incluye estadísticas de pérdida, manuales de
      administración de riegos, monitorización de
      renovaciones y administración de horarios.
    6. Administrar funciones de riesgo : Esta
      función incluye : monitorización de seguros
      y supervisión de contratos de
      seguros.
    7. Supervisar la prevención a
      pérdidas : Sin ser expertos deben tener un conocimiento
      global del área expuesta a perdida.

    Decisiones En La Administracion De Riesgos
    Las principales decisiones a tomar en la administración de
    riesgos son :

    • Reacciones instintivas al riesgo : El instinto
      natural de auto-preservación, la reacción
      instintiva al peligro, son medidas de control que pueden ser
      clasificadas como un comportamiento aprendido. Estas se
      convierten en estándares innatas al comportamiento y
      representan las reglas personales para la prevención a
      pérdidas.
    • Buenas y malas decisiones en la administración
      de riesgos : Uno de los asuntos mas complejos en las
      decisiones de la administración de riegos es distinguir
      las buenas decisiones de las malas, porque la
      administración de riesgos abarca decisiones tomadas bajo
      condiciones de incertidumbre, siendo algunas veces juzgadas
      inadecuadamente. La evaluación debe ser hecha con base
      en información disponible y actualizada.
    • Análisis Costo – Beneficio: El análisis
      costo – beneficio procura medir la contribución que hace
      la administración de riesgos, verificando si sus
      beneficios exceden su costo ; actualmente el
      análisis de costo-beneficio puede ser utilizado para
      juzgar cualquier decisión donde los beneficios son
      realizados sobre el tiempo estimado. Aunque el análisis
      costo-beneficio es una buena técnica para tomar
      decisiones en la administración de riesgos, la
      naturaleza de los riesgos crea impedimentos para su uso, donde
      los costos son generalmente medidos, los beneficios no pueden
      serlos.
    • Teoría de la Utilidad : La teoría de la utilidad fue originalmente
      introducida para explicar la naturaleza de la función de
      la demanda, es
      decir la utilidad o satisfacción derivada del beneficio
      económico no se incrementa proporcionalmente con los
      incrementos en el bien, usando esta técnica como base en
      la toma de decisiones surgen decisiones consistentes, aunque
      algunas veces inadecuadas.
    • La Teoría de Decisión :
      También llamada análisis de decisión puede
      ser usada para determinar estrategias
      opcionales cuando una decisión tomada es afrontada con
      algunas decisiones alternativas y un modelo
      incierto de futuros eventos.

    El primer paso del analista en la teoría de la
    decisión dado un problema es listar todas las alternativas
    disponibles de decisión ; el segundo paso es listar
    todos los futuros eventos que podrían ocurrir, estos
    futuros eventos son llamados los "Estados de la Naturaleza" del
    problema. Las situaciones de decisión se dividen en 3
    tipos :

    1. Toma de decisiones bajo certidumbre : uno y
      solamente un "estado de
      naturaleza" existe, y la decisión es tomada con
      certeza.
    2. Toma de decisiones bajo riesgo : existe mas de
      un "estado de naturaleza", y todos los estados disponibles son
      probables.
    3. Toma de decisiones bajo incertidumbre : existe
      mas de un "estado de naturaleza", pero nada es conocido sobre
      la probabilidad o elección de ocurrencia de varios
      estados.

    Reglas De La Administración De Riesgos

    La administración de riesgos se ha considerado
    como un área funcional especial de la organización,
    por lo cual se han ido formalizando sus principios y
    técnicas. Dentro del campo de la administración de
    riesgos se crearon las siguientes reglas:

    • No arriesgarse más de lo posible: el factor
      mas importante para determinar cuales riesgos requieren alguna
      acción especifica es el máximo potencial de
      pérdida, algunas pérdidas pueden ser
      potencialmente devastadoras literalmente fuera del alcance de
      la organización mientras tanto otras envuelven menores
      consecuencias financieras si el máximo potencial de
      pérdida de una amenaza es grande, la perdida es
      inmanejable o el riesgo debe ser transferido.
    • Considerar las diferencias : Esta regla sugiere
      que la probabilidad de pérdida puede ser un importante
      factor para decidir que hacer sobre un riesgo particular
      .
    • No arriesgar mucho por poco : Esta regla dicta
      que puede haber una razonable relación entre el costo de
      transferencia de riesgos y el valor que
      acumula el entre que los transfiere. Esta regla provee dos
      direcciones primero los riesgos no pueden ser retenidos cuando
      la pérdida posible es relativamente grande a los
      beneficios obtenidos a través de la retención, el
      segundo aspecto es que en algunas instancias el beneficio que
      es requerido para asegurar un riesgo no es proporcional al
      riesgo transferido.

    Evaluacion Y Revision De Problemas En La Administracion
    De Riesgos
    La evaluación y la revisión son importantes para el
    proceso de administración de riesgos por dos
    razones :

    1. La primera razón es que las cosas cambian, las
      soluciones que eran apropiadas en el pasado emergen y viejos
      riesgos desaparecen.
    2. Los errores están surgiendo constantemente y
      una revisión persistente provee una oportunidad de
      descubrir errores pasados.

    Evaluacion Y Revision General
    Esta fase corresponde a la parte administrativa de control de la
    administración de riesgos, el propósito del control
    es verificar que las operaciones están de acuerdo con lo
    planeado y requiere de:

    • Estándares y objetivos para ser llevados a
      cabo.
    • Medir la ejecución de operaciones con estos
      estándares y objetivos.
    • Tomas acciones
      correctivas cuando los resultados difieran de lo
      deseado.

    Auditoria En La Administracion De Riesgos
    El proceso de auditoria incluye los siguiente
    pasos :

    • Evaluar los objetivos y las políticas de la
      administración de riesgos : la evaluación de
      un programa de administración de riesgos envuelve la
      medición de programas con estándares y los
      objetivos del programa representan los primeros
      estándares lógicos. Esta evaluación
      generalmente incluye una revisión de las finanzas de
      la organización y su habilidad de soportar
      pérdidas.
    • Identificar y evaluar los riesgos después de
      que los objetivos han sido definidos y evaluados, el
      próximo paso es identificar las exposiciones a riesgos
      existentes en la organización, este paso consiste de un
      análisis de operaciones para determinar las distintas
      exposiciones a pérdida
    • Evaluar las decisiones relacionadas a pérdida,
      este paso incluye una revisión de la extensión de
      los riesgos.
    • Evaluar las medidas de la administración de
      riesgos que han sido implementadas. Este paso evalúa las
      decisiones pasadas, verificando que la decisión fue
      propiamente implementada. Este paso incluye una revisión
      de medidas de control y pérdidas
      financieras.
    • Recomendar cambios para el beneficio del programa de
      auditoria .

    Alcance De La Auditoria De La Administracion De
    Riesgos
    Las tres principales área que se pueden auditar
    son :

    • Políticas de administración de
      riesgos : este aspecto esta enfocado en los objetivos del
      programa, la responsabilidad y autoridad
      del administrador de riesgos y la consistencia de las
      políticas con los objetivos.
    • Control de riesgos : la naturaleza especializada
      de la prevención de pérdidas y control para
      diversos tipos de riesgos hacen necesario realizar auditorías especializadas que pueden
      incluir :
    • Auditoria de protección
    • Auditoria de seguridad
    • Auditoria Ambiental
    • Auditoria de seguridad
      informática
    • Auditoria de control de pérdida de
      propiedades
    • Función de seguridad : Esta
      función puede ser conducida en 2 niveles : el
      primero es la evaluación de su rol en el todo del
      programa de la administración de riesgos, el segundo es
      una revisión mas detallada del programa de seguridad, el
      cual examina su alcance, con un detallado
      análisis.

    Objetivos De La Administracion De Riesgos
    Los siguientes son los objetivos mas comunes:

    • Garantizar el mejor manejo de los
      recursos
    • Minimizar el costo del negocio causado por los
      riesgos
    • Proteger a los empleados de perjuicios
    • Conocer las obligaciones contractuales y
      legales
    • Eliminar preocupaciones posteriores

    Clasificacion De Los Objetivos

    • ECONOMICOS:

    El objetivo es reducir el costo del negocio causado por
    los riesgos al mas bajo nivel posible.

    • REDUCIR LA ANSIEDAD:

    Se refiere a la tranquilidad obtenida de tener medidas
    utilizadas para manejar la adversidad. Cuando catástrofes
    potenciales no son manejadas, la incertidumbre puede distraer a
    los gerentes para tomar correctamente sus decisiones
    corporativas.

    • OBTENER ESTABILIDAD:

    El objetivo de la estabilidad se apoya del efecto
    causado por grandes variaciones que pueden surgir de terceros y
    como contribuir para reducir estas variaciones.

    Maximizar los beneficios no siempre es el objetivo
    dominante en una organización. Otro objetivo corporativo
    es la habilidad de continuar creciendo.

    • RESPONSABILIDAD SOCIAL

    Se refiere a la variedad de obligaciones sociales que
    tiene la organización con sus empleados y con la sociedad en
    general; algunas veces surgen conflictos con
    el objetivo de la economía.

    Politicas En La Administracion De Riesgos
    Una política es una guía general de acción,
    este es un plan estándar de la organización que
    traduce los objetivos en guías mas específicas.
    Para determinar las políticas en la administración
    de riesgos para una organización en particular se tienen
    en cuenta decisiones que pueden ser hechas solamente por la
    gerencia de la organización. En el diseño de
    políticas de administración de riesgos, algunos
    factores son necesarios para tomar decisiones, que
    son:

    • Los objetivos basicos del programa de administracion
      de riesgos: El principal objetivo es preservar la eficiencia
      operativa de la organización. Este objetivo implica
      evitar las perdidas financieras causadas por desastres que
      impidan las funciones básicas de la
      organización.
    • Consolidacion del programa de retención:
      Cuando la política de administración de riesgos
      específica un máximo nivel de retención
      (delineamiento de exposiciones o pérdidas que no
      serán retenidas), se tiene un razonable direccionamiento
      de consolidación de perdidas retenidas, permitiendo gran
      flexibilidad en las decisiones de control.

    Identificacion De Riesgos
    Antes de enfrentar los riesgos, alguien debe identificarlos. Esta
    tarea es de nunca acabar, pues nuevas amenazas están
    surgiendo constantemente.
    La identificación de riesgos es continua y depende de la
    red de comunicación dentro de la
    organización, generando un flujo constante de
    información acerca de las actividades de la
    organización.

    Metodologias De Identificacion De Riesgos
    Las técnicas de identificación de riesgos han sido
    desarrolladas simultáneamente por profesionales de
    diferentes disciplinas, cada uno enfocado en su propia
    especialidad. Estos profesionales incluyen profesionales en
    seguros, especialistas en seguridad, ingenieros industriales,
    contadores e ingenieros en general.

    Generalmente las técnicas de
    identificación de riesgos se desarrollaron como parte de
    la prevención de pérdidas y los esfuerzos de
    control:

    • Identificacion basada en pérdidas pasadas:
      Hasta hace poco tiempo, la metodología primaria de
      identificación de riesgos fue la observación de las pérdidas que
      han ocurrido, como regla la identificación de los
      riesgos no se realiza hasta que una pérdida tome lugar.
      Cada vez que un riesgo ocurre, se toman medidas que
      posiblemente previenen la ocurrencia de pérdidas de la
      misma fuente. Las compañías de seguro jugaron el
      mayor rol en el desarrollo de las técnicas de
      identificación de riesgos y la mayoría de los
      métodos que ellas desarrollaron se basaron en el
      análisis de pérdidas pasadas; los aseguradores
      también desarrollaron listas de chequeo, que proveen una
      base en la cual la identificación de riesgos puede ser
      construida.

    Existe un proceso llamado "Suscripción" que
    consiste en decidir el seguro a una exposición particular
    y la rata a la cual será asegurada. En este proceso se
    hacen inspecciones para acumular información acerca de los
    riesgos; basado en estas inspecciones se puede tomar medidas
    correctivas , con la base en esta experiencia se ha conformado
    la ciencia de
    la identificación de riesgos. Basado en el análisis
    de experiencias pasadas, se puede predecir pérdidas
    futuras, porque las pérdidas varían por las causas
    que las envuelven. Adicionalmente el registro
    histórico de pérdidas también es usado en la
    identificación de las causas de las pérdidas
    pasadas, lo cual sirve como base para prevenir pérdidas y
    medidas de control.

    • Técnicas de sistemas de seguridad: En los
      años sesenta los ingenieros científicos militares
      de los Estados Unidos
      desarrollaron una aproximación de la
      identificación de los riesgos; históricamente los
      riesgos han sido identificados por la experiencia ocurrida
      después de que una pérdida paso. Las actividades
      envueltas en el programa espacial y militar representaron
      nuevas fronteras, por lo cual una nueva aproximación
      fué necesaria. La mayor contribución del programa
      espacial y militar fue el cuerpo de conocimiento de
      prevención de pérdidas y control, fue la introducción de sistemas orientados a la
      seguridad. El término de "Sistemas de seguridad" es
      generalmente usado para describir una colección de
      técnicas matemáticas y lógicas que son
      continuamente aplicadas a la detección y
      corrección de amenazas a riesgos del estado conceptual
      del producto, a través de su detallado diseño y
      operaciones.

    Este proceso incluye un estudio de procedimientos
    operacionales, procedimientos examinadores y revisiones de la
    alta gerencia. Los sistemas con los cuales los ingenieros estaban
    ocupados eran complejos que fue necesario tener una nueva
    visión de identificación de riesgos. Para enfrentar
    esta situación, los científicos desarrollaron una
    variedad de técnicas que son conocidas como "Sistemas de
    Seguridad" y que son parte del arsenal del administrador de
    riesgos. Algunos rasgos distinguen la aproximación de
    sistemas de seguridad de la metodología tradicional de
    prevención de pérdidas. El principal rasgo es el
    énfasis en la identificación de posibles causas de
    accidentes
    antes de que ocurran.

    Herramientas De Identificacion De Riesgos
    El término "Herramientas de identificación de
    riesgos" abarca algunas formas estándares y listas de
    chequeo que son diseñadas para facilitar el proceso de
    identificación de riesgos como tal, esas herramientas se
    distinguen como documentos que
    proveen una imagen de
    riesgos. Las herramientas proveen una guía para organizar
    e interpretar la información acumulada con las
    técnicas de identificación de riesgos.

    • Cuestionarios de analisis de riesgos: La herramienta
      clave en la identificación de riesgos son los
      cuestionarios esos cuestionarios estan diseñados para
      guiar al administrador de riesgos para descubirr amenazas a
      través de una serie de preguntas y en algunas
      instancias, este instrumento esta diseñado para inculir
      riesgos asegurables e inasegurables. El cuestionario
      de análisis de riesgos esta diseñado para servir
      como un repositorio de la información acumulada de
      documentos, entrevistas e inspecciones. Su propósito es
      guiar a la persona que intenta identificar exposiciones a
      riesgo a través del proceso de la identificación
      en un modelo lógico y consistente.
    • Listas de chequeo de exposiciones a riesgo: Una
      segunda ayuda importante en la identificación de riesgos
      y una de las mas comunes herramientas en el análisis de
      riesgos son las listas de chequeo, las cuales son simplemente
      una listas de exposiciones a riesgo.
    • Listas de chequeo de politicas de seguridad: Esta
      herramienta incluye un catálogo de varias
      políticas de seguridad que un negocio dado puede
      necesitar. El administrador de riesgos consulta las
      políticas recolectadas y aplicadas a la
      firma.
    • Sistemas expertos: Un sistema experto usado en la
      administración de riesgos incorpora los aspectos de las
      herramientas descritas en una sola herramienta. La naturaleza
      integrada del programa permite al usuario generar
      propósitos escritos y prospectos.

    Tecnicas De Identificacion De Riesgos
    Las herramientas de identificación de riesgos describen
    una estructura que interpreta la información derivada de
    cuatro técnicas de identificación de riesgos que
    son:

    • ORIENTACION: El primer paso en la
      identificación de riesgos es beneficiarse a
      través del conocimiento de la organización y sus
      operaciones. El administrador de riesgos necesita un
      conocimiento general de las ventajas y funciones de la
      organización.
    • ANALISIS DE DOCUMENTOS: La historia de la
      organización y sus operaciones actuales son archivadas
      en una variedad de registros. Estos registros representan una
      fuente básica de la información requerida por el
      análisis de riesgos; el auditor debe obtener los
      documentos internos que contienen las actividades e historia de
      la organización. Los principales documentos donde se
      extrae información pertinente son:

    1. Informe de
    analisis financiero: Los informes
    financieros puede ser una fuente importante de información
    para la función de administración de riesgos; los
    balances y los estados de perdidas y ganancias son fuentes
    básicas de información sobre la
    organización.

    No obstante los informes financieros son solamente una
    faceta del registro del sistema de una organización, ellos
    representan una fuente importante de información de la
    identificación de riesgos. El balance de la
    organización, por ejemplo revela la existencia de varios
    tipos de activos, los
    cuales guían al auditor para buscar información de
    las posibles pérdidas a que están expuestos los
    activos. Simultáneamente el balance también puede
    indicar cuanto dinero o
    capital esta
    disponible como medida de capacidad de retención de
    perdidas.

    2. Diagramas de
    flujo: El análisis de los diagramas de
    flujo de las operaciones pueden alertar al administrador de
    riesgos de aspectos inusuales de las operaciones de la firma, un
    diagrama de
    flujo de las operaciones internas de la organización –
    revelando el tipo y secuencia de sus actividades – viendo la
    firma como una unidad de procesamiento en busca de descubrir
    todas las contingencias que puedan interrumpir sus procesos. El
    beneficio mas positivo del uso de diagramas de flujo es
    probablemente que fuerza al
    administrador de riesgos a familiarizarse con los aspectos
    técnicos de las operaciones de la
    organización.

    3. Organigramas: Un
    organigrama
    revela las divisiones de la organización, reportando sus
    relaciones, los organigramas también proveen al
    identificador de riesgos un entendimiento de la naturaleza y el
    campo de acción de las operaciones de la
    organización.

    4. Politicas existentes: El auditor necesitará
    las políticas existentes para evaluar el alcance de la
    identificación de riesgos y de la información
    recogida.

    5. Reportes de pérdidas: Otra importante fuente
    de información que puede ayudar en la
    identificación de riesgos es el registro de la
    organización de sus propias pérdidas pasadas; el
    examen de los registros de perdidas indicarán las clases
    de pérdidas que han ocurrido, calculando el grado de
    riesgo de ciertas actividades u operaciones.

    6. Entrevistas: Otra importante fuente de
    información que puede ayudar en la identificación
    de riesgos son las entrevistas con personal clave con la
    organización; alguna información no es registrada
    en documentos o registros solamente existiendo en la mente de
    ejecutivos y empleados. Las siguientes son algunas de las
    personas claves a entrevistar: ingenieros de planta, jefe de
    personal, administradores de seguridad, empleados y
    supervisores.

    7. Inspecciones: Es la herramienta mas usada para
    obtener un buen conocimiento de las operaciones. La
    inspección es una de las mas importantes partes del
    proceso de desarrollo de una visión general
    porque:

    • Ayuda a familiarizar al auditor con la
      organización
    • Ayuda a indicar las posibles ratas de
      protección
    • Ayuda a revelar las posibles perdidas

    Sistemas De Informacion En La Administracion De
    Riesgos
    El administrador de riesgos necesita de un sistema de
    mantenimiento de un gran rango de información que afecta
    los riesgos de la organización.
    La mayoría de la información requerida para los
    sistemas de información de administración de
    riesgos existe en gran parte de las organizaciones en una forma
    no estructurada . La información se hace mas útil
    cuando se tiene un sistema de información de
    administración de riesgos – RMIS
    El propósito de RMIS es soportar el proceso de
    decisión del análisis de riesgos consolidando
    aspectos de la función de administración de riesgos
    en una base de datos,
    aportando la materia prima
    de las decisiones a tomar.

    Sistemas De Registro De Administracion De Riesgos
    La información sobre los riesgos de la organización
    son la materia prima
    de las decisiones a tomar en un problema. Los registros y
    estadísticas de las pérdidas son herramientas
    esenciales de la administración de riesgos. Los
    principales ítems de información son:
    – Programas de valor de propiedades
    – Lista de equipos e inmuebles
    – Petición de oferta de
    seguros
    – Políticas y registros de seguridad
    – Reporte de reclamos

    • Información y comparación entre
      pérdidas y ganancias
    • Sistemas De Comunicacion Interna

    Los registros de los sistemas de información de
    administración de riesgos necesitan crear canales de
    información que aseguren que toda la información
    relativa a la función de administración de riesgos
    sea canalizada al departamento de auditoria, el administrador de
    riesgos debe esta informado de:
    – Nuevas construcciones, remodelación o renovación
    de las propiedades de la empresa.
    – Introducción de nuevos programas, productos,
    actividades u operaciones
    – El progreso de los trabajadores
    – Información de las actividades de toda la
    organización.

    Manual De Politicas De Administracion De Riesgos
    Es un depósito central de todas las políticas
    corporativas de seguros y toda la administración de
    riesgos, copias de manual
    podrían ser distribuidas a unidades de la
    corporación como una manera de comunicar las expectativas
    que tienen los distintos departamentos de la empresa con la
    administración de riesgos.

    Control De Riesgos
    El hombre
    primitivo vivió en cavernas y algunas veces en árboles
    para protegerse el mismo de peligrosos animales
    salvajes. El primer practicante de prevención de
    pérdidas fué el humano que trepó un
    árbol para escapar de un tigre diente de sable. La
    historia de la civilización es un registro del
    enfrentamiento del hombre con las
    fuerzas de la naturaleza y otros peligros.
    En esta parte se examinará el concepto de
    control de riesgos en un contexto genérico con base en los
    principios generales de control de riesgos.

    Generalidades En El Control De Riesgos

    El control de riesgos ha sido parte integral del proceso
    de administración de riesgos desde que el concepto de
    administración de riesgos fue concebida. Las dos
    principales técnicas de control de riesgos son: evitar
    riesgos y reducción de riesgos.

    • EVITAR RIESGOS: Técnicamente, se evitan
      riesgos cuando las decisiones son hechas para prevenir un
      riesgo antes de su existencia. "Evitar riesgos" debe ser
      utilizado cuando la exposición tiene una
      catástrofe potencial y el riesgo no puede ser reducido o
      transferido. Generalmente, estas condiciones existirán
      en el caso de que la frecuencia y severidad del riesgo son
      altas. El otro potencial de perdida dicta que el riesgo no
      puede ser retenido y la otra frecuencia virtualmente garantiza
      que los controles posiblemente no serán
      económicamente factible.
    • ESTANDARES GUBERNAMENTALES: Las regulaciones de la
      (OSHA) son quizás el mejor ejemplo de estándares
      institucionales de control de perdidas. OSHA fue
      diseñada para asegurar lo mejor posible que cada persona
      trabajadora en la nación, tenga condiciones seguras para
      realizar sus labores, asegurando así la
      preservación de los recursos
      humanos.

    El Control Y El Administrador De Riesgos
    Idealmente un programa de control y prevención de
    pérdidas bien diseñado debe abarcar las siguientes
    áreas:
    – Seguridad personal.
    – Seguridad de bienes.
    – Control de responsabilidades de pérdidas.
    – Protección de propiedades.
    – Seguridad física.

    La prevención de pérdidas en cada una de
    estas áreas es una función altamente técnica
    y especializada, requiriendo algunas veces de especialistas
    expertos.

    Teorias De Causas De Accidentes

    Para entender porque los accidentes ocurren, puede ser
    útil diseñar programas para su prevención.
    Hasta la fecha no se ha desarrollado una teoría general
    dominante para saber como ocurren los accidentes; en cambio hay
    dos teorías
    separadas cada una con un valor explicativo y
    predecible:

    De acuerdo a Heinrich un "accidente" es un factor en una
    secuencia que puede dirigirse a un perjuicio como esta ilustrado
    en la figura No. 1, los factores pueden ser visualizados como una
    serie de fichas de
    dominio colocadas en el borde; cuando una cae, una
    reacción en cadena es completada.

    FIGURA No. 1 Teoría de Dominio de
    Heinrich

    Cada uno de los factores es dependiente del factor
    predecesor así:

    • El perjuicio al personal ocurre solamente como
      resultado de un accidente.
    • Un accidente como resultado de un riesgo personal o
      mecánico.
    • Los riesgos de personal y mecánicos existen
      por falla del personal.
    • Las fallas del personal son heredadas o adquiridas
      dentro de su entorno.
    • El entorno conforma las condiciones en las cuales un
      individuo nace.

    En los estados de la teoría del dominio cuando un
    perjuicio toma lugar, todos los cinco factores son envueltos , si
    uno de los factores en la secuencia es removido la pérdida
    puede ser prevenida. De acuerdo a Heinrich, un accidente es
    cualquier evento no planeado e incontrolado en el cual la
    acción o reacción de un objeto o persona que puede
    resultar un perjuicio o daño . Después de un
    estudio de 75.000 accidentes industriales, Heinrich
    concluyó que el 98% de todos los accidentes son
    previsibles y puede ser posible reducir los costos de accidentes
    industriales con alguna forma de control de perdidas el 2%
    restante son calificados como "Actos Divinos".

    • Teoria De La Energia
      Emitida De William Haddon:

    En vez de concentrarse en el comportamiento humano,
    Haddon considera los accidentes como un problema físico de
    ingeniería. Los accidentes resultan cuando
    la energía esta fuera de control poniendo tensión
    en una estructura (propiedad o persona) mas de la que puede
    tolerar sin daño. Haddon sugiere diez estrategias para
    suprimir las condiciones que producen accidentes o acrecentar las
    condiciones que retardan los accidentes:

    1. Prevenir la creación del riesgo en primer
    lugar

    2. Reducir la cantidad de producción de riesgo

    3. Prevenir la emisión de los riesgos que
    actualmente existen

    4. Modificar la rata de emisión desde la fuente
    de los riesgos

    5. Separar en tiempo y espacio el riesgo

    6. Separar el riesgo y lo que será protegido por
    medio de una barrera

    7. Modificar las cualidades básicas del
    riesgo

    8. Hacer que lo protegido sea mas resistente que el
    riesgo

    9. Verificar el daño con base en el
    riesgo

    10. Estabilizar, reparar o rehabilitar el objeto
    dañado.

    Aproximaciones Cientificas Del Control Y Prevencion De
    Riesgos
    Las teorías de Heinrich y Haddon proveen bases para
    entender las diferentes aproximaciones de control y
    prevención de riesgos. Los esfuerzos para prevenir
    perdidas y reducir su impacto toman lugar virtualmente en cada
    fase de la actividad humana. Las principales aproximaciones
    son:

    • APROXIMACION EN INGENIERIA: La premisa básica
      de la aproximación en ingeniería es que la gente
      tiene poca observación de la seguridad de su personal y
      que es inherente en la naturaleza humana encomendarse de tareas
      fáciles. Esta aproximación debe proteger a la
      gente de ellos mismos.
    • APROXIMACION DEL COMPORTAMIENTO HUMANO: Esta
      aproximación se enfoca en la
      educación de seguridad y la
      motivación de las persona. Esta aproximación
      propone que la mayoría de los accidentes son perpetrados
      por hechos no asegurados y que la mayoría de ganancias
      en la prevención de pérdidas pueden ser
      alcanzadas través de los esfuerzos en cambiar el
      comportamiento humano. estos esfuerzos incluyen:

    1. Educación: Sirve para
    alertar la existencia de los riesgos y sus consecuencias y
    además provee una guía para efectuar seguramente
    las funciones.

    2. Aplicación de la ley para motivar conductas,
    reglas y regulaciones deseadas deben ser forzadas por la
    organización.

    • TECNICAS DE CONTROL DE RIESGOS: Estas técnicas
      incluyen esfuerzos para prevenir la ocurrencia de
      pérdidas y minimizar los costos no previstos, e
      incluyen:

    1. Medidas de Control y tiempo de aplicación: Las
    medidas de control son clasificadas de acuerdo a como son
    aplicadas de la siguiente forma: antes de un accidente, en el
    momento del accidente y después del accidente. (Ver figura
    No. 2)

    2. Medidas de control y mecanismos: Las medidas son
    dirigidas a cada instrumento o dispositivo
    mecánico.

    Antes del evento

    En el momento del evento

    Después del evento

    Individuo

    Maquinaria

    Equipos

    Tabla No. 1 Tiempos y objetivos en las medidas de
    control

    • TECNICAS ESPECIALIZADAS DE CONTROL Y PERDIDAS: Como
      se ha observado las técnicas de control y
      prevención de pérdidas es virtualmente
      interminable, las anteriores son las mas comunes, pero existen
      técnicas especializadas que son:
    1. Separación de posesiones: su propósito
      es limitar el valor de las posesiones expuestas a
      pérdida en una sola ocurrencia.
    2. Recuperación: Esta diseñado
      para proteger propiedades de futuros daños
    3. Rehabilitación: En el trabajo
      reduce las pérdidas financieras del perjuicio,
      decrementando los costos de compensación a trabajadores
      perjudicados.
    4. Redundancia: Esta técnica puede
      ayudar a prevenir los efectos adversos de los accidentes,
      redundando sistemas de prevención refinando las medidas
      de control de seguridad.

    Sistemas De Seguridad

    Los sistemas de seguridad son una rama y un desarrollo
    de la Ingeniería
    de Sistemas, la aplicación de la ingeniería se
    necesita en el diseño y la creación de sistemas
    complejos; esto en respuesta al incremento de la complejidad de
    los problemas que no pueden resolverse con las aproximaciones
    tradicionales. Los sistemas de seguridad ven un proceso, una
    situación, un problema, una máquina o cualquier
    otra entidad como un sistema.

    Los recursos que hacen parte de una organización
    incluyen: materiales, personal, procedimientos,
    tecnología, tiempo y otros factores. Un accidente ocurre
    cuando un ser humano o un componente mecánico falla en su
    funcionamiento. El objeto de los sistemas de seguridad es
    identificar esas fallas, eliminándolas o minimizando sus
    efectos; y son una variedad de diferentes técnicas
    diseñadas para analizar e identificar fallas potenciales
    en las organizaciones. La premisa en el desarrollo de
    metodologías en los sistemas de seguridad, es que los
    accidentes resultan de fallas y ellos pueden ser prevenidos para
    identificar estas fallas antes de que ocurran. La primera
    distinción entre los sistemas de seguridad y las
    aproximaciones tradicionales es el énfasis en identificar
    las pérdidas que aun no han ocurrido, una segunda
    diferencia es su permanente fe en el principio de la casualidad y
    otra diferencia es el total énfasis en la
    prevención de accidentes.

    Tecnicas De Sistemas De Seguridad

    • ANALISIS DE EFECTO Y MODO DE AMENAZA (HMEA): Intenta
      identificar fallas potenciales en los sistemas a través
      de un detallado análisis de identificación de
      riesgos. El análisis puede ser preparado en cualquier
      nivel de complejidad – sistema, subsistema, componente o parte
      detallada, generalmente de la siguiente forma:

    Los eventos indeseables que pueden ocurrir o los
    eventos deseables que pueden fallar

    El hardware o software que puede causar la
    falla

    Las razones humanas o fallas que en el mecanismo
    puede ocurrir.

    El resultado funcional inmediato de un
    riesgo

    El impacto de mal funcionamiento de los objetivos
    del sistema

    La primera indicación o exhibición
    observable de un mecanismo del sistema

    Una estimación del mal
    funcionamiento

    Posibles medidas de eliminación de
    mecanismos de riesgo

    Acción implementada para eliminar o
    controlar el riesgo

    Valor de todos los recursos requeridos para
    implementar acciones preventivas.

    MODO DE RIESGO

    MECANISMO DE RIESGO

    CAUSA DEL RIESGO

    EFECTO DEL RIESGO

    SEVERIDAD DEL RIESGO

    DETECCION DEL RIESGO

    PROBABILIDAD DEL RIESGO

    MEDIDAS TOMADAS CON EL RIESGO

    ACCION PREVENTIVA

    RECURSOS DE CONTROL

    Tabla No.2 Columnas de entrada en el análisis de
    efecto y modo de amenaza.

    • ANALISIS JERARQUICO DE FALLAS (FTA). Esta
      diseñado para identificar fallas en los sistemas
      observando las causas de los eventos. Es usualmente ejecutada
      por un diagrama
      (conocida como jerarquía de fallas) que sigue las
      relaciones entre todos los eventos menores que pueden causar
      eventos mayores no deseados. El diagrama lógico de
      análisis jerárquico de fallas puede ser el
      siguiente:

    Figura No, 2 Diagrama lógico del análisis
    jerárquico de fallas
    El FTA es usualmente analizado en un gráfico. una
    jerarquía de fallas tiene dos elementos superiores: (1)
    diagrama lógico, conectando con O y Y lógicos
    subeventos que contribuyen a ver el último evento deseado
    (2) los elementos como si mismos .

    La construcción del árbol comienza en
    la parte superior con el evento no deseado definitivo, el
    árbol es construido progresivamente por repeticiones a la
    respuesta de la pregunta que pasa cuando el evento ocurre? La
    necesidad o suficiencia de cada subevento en la casualidad del
    siguiente evento es indicado por un conector lógico Y
    ó O cuando la cadena de casualidad ha sido identificado y
    el significado de los subeventos determinado, el FTA provee un
    mapa para tomar medidas de prevención.

    Plan De Contingencia – Plan De Prevencion De
    Desastres
    La necesidad de un plan avanzado para establecer procedimientos
    en el evento de un desastre es obvio. En el momento del desastre
    las operaciones y procedimientos normales pueden ser
    interrumpidos, básicamente un plan contra desastres provee
    una administración de planes de acción para guiar
    en caso de desastres o situaciones de emergencia. En un plan
    contra desastres se debe tener en cuenta:

    • DETERMINACION DE LOS REQUERIMIENTOS DEL NEGOCIO:
      Durante esta parte inicial del proceso, debe hacerse un
      análisis de impacto en el negocio para determinar
      cuáles son los requerimientos de este. Muchos procesos
      de negocios dependen tanto del procesamiento de
      datos que ya no pueden seguir llevándose a cabo en
      caso de un desastre. Debe evaluarse el impacto negativo de esta
      falla de los procesos; es decir, pérdidas de negocios,
      pérdidas de clientes, costos en dinero y de utilidades.
      También puede haber razones de regulación que
      requieran que siempre pueda disponerse de un proceso de
      negocios. Este análisis indicará cuáles
      son las prioridades en el proceso de negocios y cuál es
      la escala de
      tiempo de recuperación que se necesita para cada
      proceso. Asimismo, un desastre conlleva el riesgo de que la
      organización pierda la pista de algunas transacciones de
      negocios que estaban en proceso cuando ocurrió un
      desastre. Los análisis de impacto en los negocios
      tendrán que determinar en qué medida puede
      tolerarse semejante pérdida para cada proceso del
      negocio.
    • PRIORIDADES EN LA ORGANIZACION DE DESASTRES: Esta
      determinación de prioridades garantizará evitar
      confusiones y conflictos en el desarrollo del plan, los
      siguientes son los principales tipos de prioridades en su orden
      de importancia:
    • Protección a la vida humana
    • Prevenir o minimizar el daño
      personal
    • Prevenir o minimizar el daño potencial a los
      activos físicos
    • Restaurar las operaciones normales lo mas
      rápidamente posible.
    • DETERMINACION DE LOS REQUERIMIENTOS DE PROCESAMIENTO
      DE DATOS: Una vez que se han determinado los requerimientos de
      negocio, se deben convertir en términos de procesamiento
      de datos, con el fin de determinar cuáles procedimientos
      y recursos son necesarios para dar soporte a la
      recuperación y al procesamiento normal. Entre las
      funciones que estarán relacionadas con el
      análisis de los procesos del negocio y la
      definición de los requerimientos se
      incluyen:
    • Alta gerencia ( Tecnología informática,
      Finanzas y Negocios).
    • Propietarios del proceso del negocio.
    • Propietarios de la aplicación.
    • Soporte y programación de sistemas de
      información.
    • Trabajo en red.
    • Operaciones en general.

    Para realizar este proceso, posiblemente se tengan
    dificultades tales como:

    • Falta de cooperación entre los ejecutivos de
      alto nivel y las unidades de negocio.
    • Falta de prioridad dada a la recuperación de
      desastres.
    • Subestimación de los procesos del
      negocio.
    • Carencia de conciencia y
      buena voluntad.
    • Falta de un plan de procedimientos.
    • DISEÑO DE LA SOLUCION DE RESPALDO Y DE
      RECUPERACION: En este paso se describen las características generales y los
      principales elementos de la solución que se pretende.
      Estos elementos son los siguientes:
    • El alcance de la recuperación: Este elemento
      asegura desde el principio que no haya confusión,
      sabiendo que es lo qué se intenta recuperar y dentro de
      qué periodo. La definición del alcance incluye:
      Tipos de desastres que se incluyen o se excluyen, el tiempo
      máximo de recuperación y la actualidad de la
      información una vez recuperada.
    • Estrategia de pruebas:
      Este elemento determina, en forma muy general, cómo se
      efectuará las pruebas, para determinar la complejidad y
      el costo de la solución.
    • Procesos de respaldo y recuperación de datos:
      Los factores que influyen en las decisiones acerca del respaldo
      y la recuperación son:
    • Categorización de la información: La
      información es el recurso más importante. Otros
      recursos, como el hardware, el software y las instalaciones
      físicas son en última instancia reemplazables. La
      información es el recurso más volátil y
      complejo de todos.
    • Tener un escenario de recuperación de
      desastres.
    • Verificar las interrelaciones entre los
      datos.
    • Verificar que el transporte y
      almacenamiento de datos sea seguro.
    • Verificar las distintas opciones de respaldo de datos
      (Copias al momento, copias en línea y copias
      incrementales).
    • Administrar y operar sitios alternativos de
      emergencia.
    • Descripción física y lógica de
      la configuración de la recuperación.
    • Seleccionar los productos de respaldo (cintas,
      disquetes, tape backup, software de backup y utilidades de red)
      adecuadas para el diseño.
    • IMPLEMENTAR LA SOLUCION DE RESPALDO Y DE
      RECUPERACION: El paso inicial en el desarrollo del plan contra
      desastres, es la identificación de las personas que
      serán las responsables de crear el plan y coordinar las
      funciones. Típicamente las personas pueden hacer parte
      del departamento de personal, administración de riesgos,
      departamento de seguridad, y relaciones
      públicas. Un plan contra desastres no requiere
      creación de una nueva estructura
      organizacional. La estructura existente, temporalmente
      reconfigurada para la situación de desastre puede
      ejecutar las funciones en el momento de un desastre. En este
      paso se lleva a la práctica la solución de
      recuperación de acuerdo con el diseño que se
      elaboró, cubriendo dos áreas
      principales:
    • Desarrollar e implementar los procedimientos
      técnicos para dar soporte a la solución de
      recuperación; entre los que están:
    • Procedimientos de respaldo de datos.
    • Procedimientos de almacenamiento.
    • Procedimientos de recuperación de
      datos.
    • Procedimientos de administración
      informática.
    • Procedimientos de recursos humanos.
    • Desarrollar el plan de recuperación: Un plan
      de recuperación de desastres se conforma de un documento
      detallado, que establece todas las acciones que se
      tomarán antes, durante y después de que ocurra
      una catástrofe. El plan de recuperación debe
      incluir los siguientes elementos:
    • Alcance de la recuperación.
    • Procesos para identificar desastres.
    • Identificación de los equipos de
      trabajo de recuperación.
    • Definir tareas y responsabilidades de los equipos de
      trabajo.
    • Lista de teléfonos y direcciones de las
      personas responsables.
    • Información sobre compras y
      adquisiciones.
    • Diagramas de topologías de red.
    • Configuraciones y copias de seguridad.
    • Distribución y mantenimiento del plan: Una vez
      que se ha elaborado el plan de recuperación de desastres
      y que se ha implementado la solución de
      recuperación, es necesario distribuirlo a las personas
      que necesitan tenerlo. Los cambios en el ambiente
      informático son constantes, y cualquier cambio
      drástico podría inutilizar el plan, entre los
      cambios que pueden afectar se encuentran:
    • Surgimiento de nuevas
      tecnologías.
    • Cambios en la configuración actual del
      hardware.
    • Cambios en el entorno de red.
    • Cambios organizacionales.

    Por lo cual es necesario llevar una auditoría permanente del plan, para
    determinar si se han aplicado las actualizaciones ó los
    cambios al plan.

    Estructura De La Seguridad Informaticaç
    La historia de la seguridad informática se remonta a los
    tiempos de los primeros documentos escritos. De hecho, la
    necesidad de información segura tuvo su origen en el
    año 2000 antes de Cristo. Los egipcios fueron los primeros
    en utilizar jeroglíficos especiales para codificar la
    información y, según paso el tiempo, las
    civilizaciones de Babilonia, Mesopotamia y
    Grecia
    inventaron formas de proteger su información escrita. La
    codificación de la información, que es el base del
    cifrado, fue utilizada por Julio Cesar, y durante toda la
    historia en periodos de guerra, incluyendo las guerras
    civiles y revolucionarias, y las dos guerras mundiales. Una de
    las máquinas de codificación mejor conocidas fue la
    alemana Enigma, utilizada por los alemanes para crear mensajes
    codificados en la Segunda Guerra
    Mundial. Con el tiempo, y gracias a los esfuerzos del
    proyecto Ultra
    de los Estados Unidos de América, entre otros, la capacidad de
    descifrar los mensajes generados por los alemanes marcó un
    éxito
    importante para los aliados.

    En los últimos diez años, la importancia
    de la seguridad informática se ha puesto de manifiesto por
    algunas historias. Una de ellas fue la del gusano de Internet, en 1988, que se
    extendió por decenas de miles de computadores, como
    resultado de la obra de un hacker llamado
    Robert Morris. Había un pirata informático en 1995
    en Alemania que
    se introdujo en casi 30 sistemas a partir de un objetivo que se
    había propuesto a sí mismo de casi 500. Más
    recientemente, en febrero de 1995, el arresto del pirata
    informático más buscado, Kevin Nitnick,
    reveló las actividades criminales que incluían el
    robo de códigos, de información y de otro tipo de
    datos secretos durante años. Claramente, la amplia
    utilización de los sistemas informáticos ha puesto
    en evidencia la importancia de la seguridad informática.
    El objetivo principal de la seguridad informática es
    proteger los recursos informáticos del daño, la
    alteración, el robo y la pérdida. Esto incluye los
    equipos, los medios de
    almacenamiento, el software, los listados de impresora y en
    general, los datos. Una efectiva estructura de seguridad
    informática se basa en cuatro técnicas de
    administración de riesgos, mostradas en el siguiente
    diagrama:

    Figura No. 3 Estructura de la seguridad
    informática

    • Estrategias y políticas: Estrategias de
      administración para seguridad informática y
      políticas, estándares, guías o directivos
      usados para comunicar estas estrategias a la
      organización.
    • Administración de la
      organización: Procesos que se dirigen hacia
      políticas profesionales y programas de capacitación, administración de
      cambios y control, administración de seguridad y otras
      actividades necesarias.
    • Monitorización de eventos: Procesos reactivos
      que permite a la administración medir correctamente la
      implementación de políticas e identificar en que
      momento las políticas necesitan cambios.
    • Técnología informática: Es la
      tecnología necesaria para proveer la apropiada
      protección y soporte en los distintos procesos
      involucrados en la organización. La seguridad
      informática abarca un amplio rango de estrategias y
      soluciones, tales como:
    • Control de acceso: Una de las líneas de
      defensa más importantes contra los intrusos indeseados
      es el control de acceso. Básicamente, el papel del
      control de acceso es identificar la persona que desea acceder
      al sistema y a sus datos, y verificar la identidad de
      dicha persona. La manera habitual de controlar el acceso a un
      sistema es restringir la entrada a cualquiera que no tenga un
      nombre de usuario y una contraseña válidos. Las
      contraseñas son un ejemplo de una forma simple pero
      efectiva de control de acceso.

    El control de acceso es efectivo para mantener a las
    personas desautorizadas fuera del sistema. Sin embargo, una vez
    que alguien está dentro, la persona no debería
    tener acceso libre a todos los programas, archivos e
    información existente en el sistema. El control de acceso
    discrecional, a veces abreviado por el acrónimo DAC, se
    realiza en muchos sistemas, y es una parte importante de
    cualquier acceso donde el acceso a los archivos y programas se
    concede en función de la clase de permisos otorgados a un
    usuario o un perfil de usuarios. Es discrecional en tanto que un
    administrador puede especificar la clase de acceso que decide dar
    a otros usuarios del sistema. Esto difiere de otra clase de
    controles más restrictiva, control de acceso obligatorio
    (MAC), que proporciona un control mucho más rigido de
    acceso a la información del sistema.

    • Virus informáticos: La prevención y
      control de los efectos producidos por las diferentes clases de
      virus y
      programas destructivos que existen.
    • Planificación y administración del
      sistema: Planificación, organización y
      administración de los servicios
      relacionados con la informática , así como
      políticas y procedimientos para garantizar la seguridad
      de los recursos de la organización.
    • Cifrado: La encriptación y la
      desencriptación de la información manipulada, de
      forma que sólo las personas autorizadas pueden acceder a
      ella.
    • Seguridad de la red y de comunicaciones: Controlar problemas de seguridad
      a través de las redes y los sistemas de telecomunicaciones.
    • Seguridad física: Otro aspecto importante de
      la seguridad informática es la seguridad física
      de sus servicios, equipos informáticos y medios de datos
      reales; para evitar problemas que pueden tener como resultado:
      Pérdida de la productividad,
      pérdida de ventaja competitiva y sabotajes
      intencionados. Algunos de los métodos de prevenir el
      acceso ilegal a los servicios informáticos
      incluyen:
    • Claves y contraseñas para permitir el acceso a
      los equipos.
    • Uso de cerrojos y llaves.
    • Fichas ó tarjetas
      inteligentes.
    • Dispositivos biométricos (
      Identificación de huellas dactilares, lectores de
      huellas de manos, patrones de voz, firma/escritura
      digital, análisis de pulsaciones y escáner
      de retina, entre otros).

    La administracion de riesgos y los delitos
    No se sabe exactamente cuanto pierden los negocios a causa de
    delitos cada
    año. Se estima que las pérdidas causadas por los
    efectos negativos de los delitos ascienden a un 2% y 5% de los
    ingresos en los negocios.

    Delitos contra los negocios
    Los delitos contra los negocios son clasificados de acuerdo al
    perpetrador del crimen generalmente así:

    • Hurto: consiste en el apoderamiento o
      sustracción de un bien ajeno con el ánimo de
      aprovechase de él, por cualquier acto fuera de la ley
      ó sin autorización de la persona
      dueña.
    • Fraude: sinónimo de engaño y simulación, que se emplea, para
      sorprender la buena fe, confianza o ignorancia de la
      víctima, haciéndole creer lo que no es. Por
      ejemplo: un delito
      cometido cuando alguien falsifica una firma autorizada de
      cualquier instrumento financiero (un cheque, por
      ejemplo), incrementando o alterando su valor.

    Aspectos del control de perdidas y la deshonestidad de
    los empleados

    • Selección del personal: Una medida
      estándar para la prevención de pérdidas
      con respecto a los delitos cometidos por los empleados, es un
      chequeo a fondo del trabajo individual de las personas. Basado
      en la presunción de que una persona que ha cometido un
      delito, vuelva a cometerlo; se verifica el registro criminal de
      la persona. Sin embargo lo anterior no es el único
      factor de decisión, pues muchos delitos se cometen por
      tentación de trabajadores de confianza.
    • Controles Internos: El término control
      interno se refiere a los elementos que son incorporados
      dentro de la organización, diseñado para prevenir
      delitos dentro de la empresa. El primer elemento es una clara
      asignación de responsabilidades, en las cuales personas
      identificables se les asignan funciones definidas. El segundo
      elemento divide los deberes de los empleados de manera que
      separe la ejecución de una función de acuerdo a
      las políticas dela empresa. El tercer elemento es hacer
      una pista de auditoría para asegurar un continuo
      control.

    Basándose en lo anterior se diseñan
    controles internos en:

    • Procedimientos de gastos.
    • Procedimientos en ventas.
    • Procedimientos de recepción y envío de
      activos.
    • Procedimientos de control del manejo del
      dinero.
    • Auditorías: Después de tener
      procedimientos de control en el área financiera, un
      efectivo programa de auditoría ayuda a asegurar que los
      requerimientos de control sean cumplidos.

    Un programa de auditoría es una función
    importante, a pesar de que la compañía tenga un
    sistema de control interno excepcional. Esto hace imperativo
    chequear los sistemas periódicamente para asegurar que
    éstos actualmente están trabajando
    adecuadamente.

    Partes: 1, 2

    Página siguiente 

    Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

    Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

    Categorias
    Newsletter