martes, 1 de diciembre de 2015
EVALUACIÓN DE RIESGOS
RIESGOS INFORMÁTICOS
RIESGOS INFORMÁTICOS
Es importante en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que participan en el área informática; y por medio de procedimientos de control que puedan evaluar el desempeño del entorno informático.
Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en cuenta que, una de las principales causas de los problemas dentro del entorno informático, es la inadecuada administración de riesgos informáticos, esta información sirve de apoyo para una adecuada gestión de la administración de riesgos.
¿QUE SON LOS RIESGOS?
El riesgo es una condición del mundo real, en el cual hay una exposición a la adversidad conformada por una combinación de circunstancias del entorno donde hay posibilidad de pérdidas. Los riesgos informáticos son exposiciones tales como atentados y amenazas a los sistemas de información.
“La probabilidad de que una amenaza se materialice, utilizando la vulnerabilidad existentes de un activo o grupos de activos, generándoles pérdidas o daños”. Fuente: Organización Internacional por la Normalización (ISO).
• ELEMENTOS A TENER EN CUENTA PARA LA CORRECTA DEFINICIÓN DE RIESGOS
• VALORACIÓN DE RIESGOS
METODO A (Scoring): SISTEMA DE CALIFICACIONES: Prioriza las revisiones con base en una evaluación de los factores de riesgo que consideran variables como: Complejidad técnica, extensión del sistema, el cambio en el proceso y la materialización. Estas variables pueden estar ponderadas.
MÉTODO B: Con base en juicios: Se toma decisión independiente con base en :
• Directivas del máximo nivel ejecutivo
• Perspectivas históricas
• Ambiente del negocio.
• SISTEMA DE CALIFICACIONES
Priorización de las revisiones con base en una evaluación de factores de riesgo que tienen en cuenta variables (ponderadas o no) como: complejidad técnica, la extensión del sistema, el cambio en el proceso y la materialización.
Estas revisiones se programan de acuerdo con el plan de auditoría anual de auditoría de sistemas.
TIPOS DE RIESGOS
1. RIESGOS DE INTEGRIDAD
• Interface del usuario
• Procesamiento
• Procesamiento de errores
• Interface
• Administración de cambios
• Información
2. RIESGOS DE RELACION
Los riesgos de relación se refieren al uso oportuno de la información creada por una aplicación. Estos riesgos se relacionan directamente a la información de toma de decisiones.
3. RIESGOS DE ACCESO
• Procesos de negocio
• Aplicación
• Administración de la información
• Entorno de procesamiento
• Redes
• Nivel físico
4. RIESGOS DE UTILIDAD
• Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los problemas ocurran.
• Técnicas de recuperación/restauración usadas para minimizar la ruptura de los sistemas.
• Backups y planes de contingencia controlan desastres en el procesamiento de la información.
5. RIESGOS EN LA INFRAESTRUCTURA
• Planeación organizacional
• Definición de las aplicaciones
• Administración de seguridad
• Operaciones de red y computacionales
• Administración de sistemas de bases de datos
• Información / Negocio
6. RIESGOS DE SEGURIDAD GENERAL
• Riesgos de choque de eléctrico
• Riesgos de incendio
• Riesgos de niveles inadecuados de energía eléctrica.
• Riesgos de radiaciones
• Riesgos mecánicos
7. CONCENTRACION DE PROCESAMIENTO DE APLICACIONES MAS GRANDES Y DE MAYOR COMPLEJIDAD
Una de las causas más importantes del incremento en los riesgos informáticos probablemente sea el aumento en la cantidad de aplicaciones o usos que se le da a las computadoras y la consecuente concentración de información y tecnología de software para el procesamiento de datos.
8. DEPENDENCIA EN EL PERSONAL CLAVE
La dependencia en individuos clave, algunos de los cuales poseen un alto nivel de desempeño técnico, con frecuencia pone a la compañía en manos de relativamente pocas personas, siendo que éstas por lo general son externas a la organización.
9. DESAPARICION DE LOS CONTROLES TRADICIONALES
Las aplicaciones contienen verificadores automáticos que aseguran la integridad de la información que se procesa. Este gran cambio en el criterio sobre el control de los empleados y las brechas respecto a la comunicación, crean situaciones de seguridad totalmente diferentes.
10. HUELGAS, TERRORISMO E INESTABILIDAD SOCIAL
El nivel actual de riesgo en computación se debe revisar también dentro del contexto de inestabilidad social en muchas partes del mundo. Ha habido ataques físicos a diversas instalaciones, sin embargo algunas veces se trata de la incursión de personal interno y no de agitador.
11. MAYOR CONCIENCIA DE LOS PROVEEDORES
Hasta hace pocos años este tema no constituía motivo de gran preocupación para los proveedores, pero la conciencia acerca de la exposición a los riesgos los ha obligado a destinar presupuestos considerables para la investigación acerca de la seguridad.
4.3 COMO SUCEDEN LOS FRAUDES INFORMATICOS.
FRAUDE INFORMÁTICO.
Acción culpable realizada por un ser humano que causa un perjuicio a personas sin que necesariamente se beneficie el autor o que por el contrario produzca un beneficio ilícito a su autor aunque no perjudique en forma directa o indirecta a la víctima.
TIPOS DE DELITOS O FRAUDES INFORMÁTICOS
1. Sabotaje Informático
En lo referente a Sabotaje Informático podemos encontrar dos clasificaciones las cuales son las siguientes:
• Conductas dirigidas a causar daños físicos
Esto es cuando la persona que comete el delito causa daños físicos al hardware del equipo objeto del delito. Aquí el daño físico se puede ocasionar de muchas formas por la persona que tiene la intención de causar daño.
Uso de instrumentos para golpear, romper o quebrar un equipo de cómputo, ya sea el daño completo o parcial.
Uso de líquidos como café, agua o cualquier líquido que se vierta sobre el equipo y dañe las piezas y componentes electrónicos.
Provocar apagones o cortos en la energía eléctrica con intención de causar daños en el equipo.
Utilizar bombas explosivas o agentes químicos que dañen el equipo de cómputo.
Arrancar, o quitar componentes importantes de algún dispositivo del equipo, como CD-ROM, CD-RW, Disco de 3 ½, Discos Duros, Impresoras, Bocinas, Monitores, MODEM, Tarjetas de audio y video, etc.
Y cualquier otra forma que dañe la integridad del equipo de cómputo.
• Conductas dirigidas a causar daños lógicos
Esto comprende los daños causados a la información y todos los medios lógicos de los cuales se vale un Sistema de Cómputo para funcionar adecuadamente.
Por ejemplo, dañar la información contenida en unidades de almacenamiento permanente, ya sea alterando, cambiando o eliminando archivos; mover configuraciones del equipo de manera que dañe la integridad del mismo; atentar contra la integridad de los datos pertenecientes al dueño del equipo de cómputo y todas formas de ocasionar daños en la parte lógica de un sistema de cómputo.
Medios Utilizados para Realizar Daños Lógicos
VIRUS: Es una serie de claves programáticas que pueden adherirse a los programas legítimos y propagarse a otros programas informáticos. Un virus puede ingresar en un sistema por conducto de una pieza legítima de soporte lógico que ha quedado infectada, así como utilizando el método del Caballo de Troya.
GUSANOS: Se fabrica de forma análoga al virus con miras a infiltrarlo en programas legítimos de procesamiento de datos o para modificar o destruir los datos, pero es diferente del virus porque no puede regenerarse. En términos médicos podría decirse que un gusano es un tumor benigno, mientras que el virus es un tumor maligno. Ahora bien, las consecuencias del ataque de un gusano pueden ser tan graves como las del ataque de un virus: por ejemplo, un programa gusano que subsiguientemente se destruirá puede dar instrucciones a un sistema informático de un banco para que transfiera continuamente dinero a una cuenta ilícita.
BOMBA LOGICA O CRONOLOGICA: Exige conocimientos especializados ya que requiere la programación de la destrucción o modificación de datos en un momento dado del futuro. Ahora bien, al revés de los virus o los gusanos, las bombas lógicas son difíciles de detectar antes de que exploten; por eso, de todos los dispositivos informáticos criminales, las bombas lógicas son las que poseen el máximo potencial de daño.
2. Fraude a través de Computadoras
Cuando la computadora es el medio para realizar y maquinar fraudes por una persona, se considera un delito.
a. Manipulación de los datos de entrada
Este tipo de fraude informático conocido también como sustracción de datos, representa el delito informático más común ya que es fácil de cometer y difícil de descubrir. Este delito no requiere de conocimientos técnicos de informática y puede realizarlo cualquier persona que tenga acceso a las funciones normales de procesamiento de datos en la fase de adquisición de los mismos.
b. Manipulación de Programas
Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe tener conocimientos técnicos concretos de informática. Este delito consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas. Un método común utilizado por las personas que tienen conocimientos especializados en programación informática es el denominado Caballo de Troya, que consiste en insertar instrucciones de computadora de forma encubierta en un programa informático para que pueda realizar una función no autorizada al mismo tiempo que su función normal.
c. Manipulación de los datos de salida
Se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo más común es el fraude de que se hace objeto a los cajeros automáticos mediante la falsificación de instrucciones para la computadora en la fase de adquisición de datos. Tradicionalmente esos fraudes se hacían a base de tarjetas bancarias robadas, sin embargo, en la actualidad se usan ampliamente equipo y programas de computadora especializados para codificar información electrónica falsificada en las bandas magnéticas de las tarjetas bancarias y de las tarjetas de crédito.
3. Estafas electrónicas
El hacer compras en línea mediante el uso de Internet o alguna red de servicio, y no cumplir con lo establecido en el acuerdo de compra en entregar el producto de forma completa o parcial se considera fraude, lo que es muy común al hacer compras por Internet donde se requiere pagar a la cuenta de alguna persona antes de recibir el pedido.
Las personas que se dedican a este tipo de estafas, consiguen clientes, gente que se interese en comprarles el producto que venden y cuando esas personas se deciden por hacer la compra y pagan a la cuenta que se les dio, ya no se entrega nada pues lograron engañar a todas esas personas.
También aquellos lugares o sitios donde se hacen citas, ofrecen cosas que luego no son verdad, son estafas electrónicas. Lo que hace que no se pueda tener la suficiente confianza para hacer las compras en línea.
Por lo que lo mejor sería limitarse a hacer las compras solo en aquellos lugares que están garantizados y son conocidos. Hay que evitar aquellos que son sospechosos o que no son conocidos y no dan confianza, porque ahí se podría generar una estafa.
4. Pesca u olfateo de contraseñas
Hacer uso de programas o métodos que puedan descifrar claves o que puedan averiguar o buscarlas. Ya sean claves personales de una cuenta de correo electrónico, contraseña para entrar al sistema, claves de acceso a algún sitio, claves de productos, etc.
Para poder evitar un poco esto, se recomienda que las claves no sean muy obvias, teniendo como respuesta el nombre de una persona familiar, o el de la mascota de esa persona, fecha de nacimiento, o frases que use comúnmente. También es importante cambiar periódicamente las contraseñas para que así no sea siempre una posibilidad de descifrar la contraseña.
5. Juegos de Azar
Los juegos de azar son aquellos juegos de casino o que hacen uso del factor "suerte"
Para obtener ganancias a través de la red, donde se hacen apuestas o inversiones de dinero.
Esto está prohibido en ciertos lugares, países o regiones, así que solo aplica para ellos. Pues dependiendo de la Ley que tengan en esos lugares, puede o no ser un delito. Y si se sorprende a una persona obteniendo ganancias producto de los juegos de azar, se hallará como cometiendo un delito.
Esto puede ser debido a que se prestan mucho a estafas o ganancias no justificadas y por lo cual no están permitidas en esos lugares.
6. Lavado de dinero
Poner a funcionar el dinero producto del narcotráfico, o producto de estafas, robos, fraudes o cualquier actividad ilegal. Pues este dinero lo invierten en alguna actividad que aparenta no tener nada de malo, y lo que se obtiene es producto de la inversión de dinero mal obtenido, por lo que no está permitido el Lavado de Dinero.
Puede haber casinos electrónicos en los cuales se esté lavando el dinero, o sorteos, o comercio como medio para el lavado de dinero.
7. Copia ilegal de software
Esta puede entrañar una pérdida económica sustancial para los propietarios legítimos. Algunas jurisdicciones han tipificado como delito esta clase de actividad y la han sometido a sanciones penales. El problema ha alcanzado dimensiones transnacionales con el tráfico de esas reproducciones no autorizadas a través de las redes de telecomunicaciones modernas. Al respecto, consideramos, que la reproducción no autorizada de programas informáticos no es un delito informático debido a que el bien jurídico a tutelar es la propiedad intelectual
8. Espionaje Informático
El acceso se efectúa a menudo desde un lugar exterior, situado en la red de telecomunicaciones, recurriendo a uno de los diversos medios que se mencionan a continuación. El delincuente puede aprovechar la falta de rigor de las medidas de seguridad para obtener acceso o puede descubrir deficiencias en las medidas vigentes de seguridad o en los procedimientos del sistema. A menudo, los piratas informáticos se hacen pasar por usuarios legítimos del sistema; esto suele suceder con frecuencia en los sistemas en los que los usuarios pueden emplear contraseñas comunes o contraseñas de mantenimiento que están en el propio sistema.
9. Infracción del copyright en bases de datos
Es la infracción de los derechos reservados del autor, ya que todo producto de marca tiene sus derechos y el infringir y violar la información de las bases de datos, ya sea ver, copiar, borrar, alterar es también un delito.
10. Uso ilegítimo de Sistemas Informáticos ajenos
El usar un Sistema Informático de manera prohibida o incorrecta fuera del propósito para el que fueron creados, o para obtener ganancias a su autor o solo por cometer actos ilegítimos en contra de alguien o algún Sistema.
11. Accesos no autorizados
El acceder a información, sitios o secciones que no están autorizadas a usuarios comunes sino solo a aquellos que tienen autorización. Acceso indebido. El que sin la debida autorización o excediendo la que hubiere obtenido, acceda, intercepte, interfiera o use un sistema que utilice tecnologías de información, será penado con prisión de uno a cinco años de cárcel.
12. Interceptación de E-mail
Al enviar mensajes y correo electrónico a través de la Red, e interceptar esos mensajes y desviarlos o eliminarlos, es un delito. También esto podría entrar con los delitos de espionaje y podrían acumularse por lo que la sentencia sería mayor. Aún más podría aumentarse cuando hay una demanda por parte del afectado si logra comprobarse.
13. Falsificación Informática
Como objeto. Cuando se alteran datos de los documentos almacenados en forma computarizada.
Como instrumento. Las computadoras pueden utilizarse también para efectuar falsificaciones de documentos de uso comercial. Cuando empezó a disponerse de fotocopiadoras computarizadas en color a base de rayos láser surgió una nueva generación de falsificaciones o alteraciones fraudulentas. Estas fotocopiadoras pueden hacer copias de alta resolución, pueden modificar documentos e incluso pueden crear documentos falsos sin tener que recurrir a un original, y los documentos que producen son de tal calidad que sólo un experto puede diferenciarlos de los documentos auténticos.
4.4 TECNICAS UTILIZADAS PARA PERPETRAR LOS FRAUDES.
1. LA TÉCNICA DEL CABALLO DE TROYA.
Consiste en insertar instrucciones, con objetivos de fraude, en los programas aplicativos, de manera que, además de las funciones propias del programa, también ejecute funciones no autorizadas.
Las instrucciones fraudulentas se esconden dentro de las demás, obteniendo acceso libre a los archivos de datos, normalmente usados por el programa.
Esta técnica es muy común debido a la facilidad que se presenta para ocultar las instrucciones fraudulentas dentro de cientos de instrucciones que generalmente componen los programas aplicativos.
2. TÉCNICA DEL TALADRO.
Consiste en utilizar una computadora para llamar o buscar la manera de entrar al sistema con diferentes códigos hasta cuando uno de ellos resulte aceptado y permita el acceso a los archivos deseados.
Mediante e del sistema de ensayo permanente se descubren las contraseñas del sistema para entrar a los archivos y extraer información, en forma fraudulenta.
3. AGUJEROS DEL SISTEMA OPERATIVO O TRAMPAS-PUERTA.
Son deficiencias del sistema operacional, desde las etapas de diseño original.
Los expertos programadores del sistema pueden aprovechar las debilidades del sistema operacional para insertar instrucciones no autorizadas, en dicho sistema, con el objeto de configurar fraudes informáticos. Las salidas del sistema operacional permiten el control a programas escritos, por el usuario, lo cual facilita la operacionalizacion de fraudes.
MANIPULACIÓN DE TRANSACCIONES.
La manipulación de transacciones ha sido el método más utilizado para la comisión de fraudes, en ambientes computarizados.
El mecanismo para concretar el fraude sistémico o informático, consiste en cambiar los datos antes o durante la entrada al computador. Puede ser ejecutado por cualquier persona que tenga acceso a crear, registrar, transportar, codificar, examinar, comprobar o convertir los datos que entran al computador.
Por ejemplo alterar los documentos fuente y modificar el contenido en alto relieve de las tarjetas de crédito entre otros.
RIESGOS INFORMÁTICOS
Es importante en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que participan en el área informática; y por medio de procedimientos de control que puedan evaluar el desempeño del entorno informático.
Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en cuenta que, una de las principales causas de los problemas dentro del entorno informático, es la inadecuada administración de riesgos informáticos, esta información sirve de apoyo para una adecuada gestión de la administración de riesgos.
¿QUE SON LOS RIESGOS?
El riesgo es una condición del mundo real, en el cual hay una exposición a la adversidad conformada por una combinación de circunstancias del entorno donde hay posibilidad de pérdidas. Los riesgos informáticos son exposiciones tales como atentados y amenazas a los sistemas de información.
“La probabilidad de que una amenaza se materialice, utilizando la vulnerabilidad existentes de un activo o grupos de activos, generándoles pérdidas o daños”. Fuente: Organización Internacional por la Normalización (ISO).
• ELEMENTOS A TENER EN CUENTA PARA LA CORRECTA DEFINICIÓN DE RIESGOS
- ADMINISTRACIÓN DE RIESGOS
• VALORACIÓN DE RIESGOS
METODO A (Scoring): SISTEMA DE CALIFICACIONES: Prioriza las revisiones con base en una evaluación de los factores de riesgo que consideran variables como: Complejidad técnica, extensión del sistema, el cambio en el proceso y la materialización. Estas variables pueden estar ponderadas.
MÉTODO B: Con base en juicios: Se toma decisión independiente con base en :
• Directivas del máximo nivel ejecutivo
• Perspectivas históricas
• Ambiente del negocio.
• SISTEMA DE CALIFICACIONES
Priorización de las revisiones con base en una evaluación de factores de riesgo que tienen en cuenta variables (ponderadas o no) como: complejidad técnica, la extensión del sistema, el cambio en el proceso y la materialización.
Estas revisiones se programan de acuerdo con el plan de auditoría anual de auditoría de sistemas.
TIPOS DE RIESGOS
1. RIESGOS DE INTEGRIDAD
• Interface del usuario
• Procesamiento
• Procesamiento de errores
• Interface
• Administración de cambios
• Información
2. RIESGOS DE RELACION
Los riesgos de relación se refieren al uso oportuno de la información creada por una aplicación. Estos riesgos se relacionan directamente a la información de toma de decisiones.
3. RIESGOS DE ACCESO
• Procesos de negocio
• Aplicación
• Administración de la información
• Entorno de procesamiento
• Redes
• Nivel físico
4. RIESGOS DE UTILIDAD
• Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los problemas ocurran.
• Técnicas de recuperación/restauración usadas para minimizar la ruptura de los sistemas.
• Backups y planes de contingencia controlan desastres en el procesamiento de la información.
5. RIESGOS EN LA INFRAESTRUCTURA
• Planeación organizacional
• Definición de las aplicaciones
• Administración de seguridad
• Operaciones de red y computacionales
• Administración de sistemas de bases de datos
• Información / Negocio
6. RIESGOS DE SEGURIDAD GENERAL
• Riesgos de choque de eléctrico
• Riesgos de incendio
• Riesgos de niveles inadecuados de energía eléctrica.
• Riesgos de radiaciones
• Riesgos mecánicos
7. CONCENTRACION DE PROCESAMIENTO DE APLICACIONES MAS GRANDES Y DE MAYOR COMPLEJIDAD
Una de las causas más importantes del incremento en los riesgos informáticos probablemente sea el aumento en la cantidad de aplicaciones o usos que se le da a las computadoras y la consecuente concentración de información y tecnología de software para el procesamiento de datos.
8. DEPENDENCIA EN EL PERSONAL CLAVE
La dependencia en individuos clave, algunos de los cuales poseen un alto nivel de desempeño técnico, con frecuencia pone a la compañía en manos de relativamente pocas personas, siendo que éstas por lo general son externas a la organización.
9. DESAPARICION DE LOS CONTROLES TRADICIONALES
Las aplicaciones contienen verificadores automáticos que aseguran la integridad de la información que se procesa. Este gran cambio en el criterio sobre el control de los empleados y las brechas respecto a la comunicación, crean situaciones de seguridad totalmente diferentes.
10. HUELGAS, TERRORISMO E INESTABILIDAD SOCIAL
El nivel actual de riesgo en computación se debe revisar también dentro del contexto de inestabilidad social en muchas partes del mundo. Ha habido ataques físicos a diversas instalaciones, sin embargo algunas veces se trata de la incursión de personal interno y no de agitador.
11. MAYOR CONCIENCIA DE LOS PROVEEDORES
Hasta hace pocos años este tema no constituía motivo de gran preocupación para los proveedores, pero la conciencia acerca de la exposición a los riesgos los ha obligado a destinar presupuestos considerables para la investigación acerca de la seguridad.
4.3 COMO SUCEDEN LOS FRAUDES INFORMATICOS.
FRAUDE INFORMÁTICO.
Acción culpable realizada por un ser humano que causa un perjuicio a personas sin que necesariamente se beneficie el autor o que por el contrario produzca un beneficio ilícito a su autor aunque no perjudique en forma directa o indirecta a la víctima.
TIPOS DE DELITOS O FRAUDES INFORMÁTICOS
1. Sabotaje Informático
En lo referente a Sabotaje Informático podemos encontrar dos clasificaciones las cuales son las siguientes:
• Conductas dirigidas a causar daños físicos
Esto es cuando la persona que comete el delito causa daños físicos al hardware del equipo objeto del delito. Aquí el daño físico se puede ocasionar de muchas formas por la persona que tiene la intención de causar daño.
Uso de instrumentos para golpear, romper o quebrar un equipo de cómputo, ya sea el daño completo o parcial.
Uso de líquidos como café, agua o cualquier líquido que se vierta sobre el equipo y dañe las piezas y componentes electrónicos.
Provocar apagones o cortos en la energía eléctrica con intención de causar daños en el equipo.
Utilizar bombas explosivas o agentes químicos que dañen el equipo de cómputo.
Arrancar, o quitar componentes importantes de algún dispositivo del equipo, como CD-ROM, CD-RW, Disco de 3 ½, Discos Duros, Impresoras, Bocinas, Monitores, MODEM, Tarjetas de audio y video, etc.
Y cualquier otra forma que dañe la integridad del equipo de cómputo.
• Conductas dirigidas a causar daños lógicos
Esto comprende los daños causados a la información y todos los medios lógicos de los cuales se vale un Sistema de Cómputo para funcionar adecuadamente.
Por ejemplo, dañar la información contenida en unidades de almacenamiento permanente, ya sea alterando, cambiando o eliminando archivos; mover configuraciones del equipo de manera que dañe la integridad del mismo; atentar contra la integridad de los datos pertenecientes al dueño del equipo de cómputo y todas formas de ocasionar daños en la parte lógica de un sistema de cómputo.
Medios Utilizados para Realizar Daños Lógicos
VIRUS: Es una serie de claves programáticas que pueden adherirse a los programas legítimos y propagarse a otros programas informáticos. Un virus puede ingresar en un sistema por conducto de una pieza legítima de soporte lógico que ha quedado infectada, así como utilizando el método del Caballo de Troya.
GUSANOS: Se fabrica de forma análoga al virus con miras a infiltrarlo en programas legítimos de procesamiento de datos o para modificar o destruir los datos, pero es diferente del virus porque no puede regenerarse. En términos médicos podría decirse que un gusano es un tumor benigno, mientras que el virus es un tumor maligno. Ahora bien, las consecuencias del ataque de un gusano pueden ser tan graves como las del ataque de un virus: por ejemplo, un programa gusano que subsiguientemente se destruirá puede dar instrucciones a un sistema informático de un banco para que transfiera continuamente dinero a una cuenta ilícita.
BOMBA LOGICA O CRONOLOGICA: Exige conocimientos especializados ya que requiere la programación de la destrucción o modificación de datos en un momento dado del futuro. Ahora bien, al revés de los virus o los gusanos, las bombas lógicas son difíciles de detectar antes de que exploten; por eso, de todos los dispositivos informáticos criminales, las bombas lógicas son las que poseen el máximo potencial de daño.
2. Fraude a través de Computadoras
Cuando la computadora es el medio para realizar y maquinar fraudes por una persona, se considera un delito.
a. Manipulación de los datos de entrada
Este tipo de fraude informático conocido también como sustracción de datos, representa el delito informático más común ya que es fácil de cometer y difícil de descubrir. Este delito no requiere de conocimientos técnicos de informática y puede realizarlo cualquier persona que tenga acceso a las funciones normales de procesamiento de datos en la fase de adquisición de los mismos.
b. Manipulación de Programas
Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe tener conocimientos técnicos concretos de informática. Este delito consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas. Un método común utilizado por las personas que tienen conocimientos especializados en programación informática es el denominado Caballo de Troya, que consiste en insertar instrucciones de computadora de forma encubierta en un programa informático para que pueda realizar una función no autorizada al mismo tiempo que su función normal.
c. Manipulación de los datos de salida
Se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo más común es el fraude de que se hace objeto a los cajeros automáticos mediante la falsificación de instrucciones para la computadora en la fase de adquisición de datos. Tradicionalmente esos fraudes se hacían a base de tarjetas bancarias robadas, sin embargo, en la actualidad se usan ampliamente equipo y programas de computadora especializados para codificar información electrónica falsificada en las bandas magnéticas de las tarjetas bancarias y de las tarjetas de crédito.
3. Estafas electrónicas
El hacer compras en línea mediante el uso de Internet o alguna red de servicio, y no cumplir con lo establecido en el acuerdo de compra en entregar el producto de forma completa o parcial se considera fraude, lo que es muy común al hacer compras por Internet donde se requiere pagar a la cuenta de alguna persona antes de recibir el pedido.
Las personas que se dedican a este tipo de estafas, consiguen clientes, gente que se interese en comprarles el producto que venden y cuando esas personas se deciden por hacer la compra y pagan a la cuenta que se les dio, ya no se entrega nada pues lograron engañar a todas esas personas.
También aquellos lugares o sitios donde se hacen citas, ofrecen cosas que luego no son verdad, son estafas electrónicas. Lo que hace que no se pueda tener la suficiente confianza para hacer las compras en línea.
Por lo que lo mejor sería limitarse a hacer las compras solo en aquellos lugares que están garantizados y son conocidos. Hay que evitar aquellos que son sospechosos o que no son conocidos y no dan confianza, porque ahí se podría generar una estafa.
4. Pesca u olfateo de contraseñas
Hacer uso de programas o métodos que puedan descifrar claves o que puedan averiguar o buscarlas. Ya sean claves personales de una cuenta de correo electrónico, contraseña para entrar al sistema, claves de acceso a algún sitio, claves de productos, etc.
Para poder evitar un poco esto, se recomienda que las claves no sean muy obvias, teniendo como respuesta el nombre de una persona familiar, o el de la mascota de esa persona, fecha de nacimiento, o frases que use comúnmente. También es importante cambiar periódicamente las contraseñas para que así no sea siempre una posibilidad de descifrar la contraseña.
5. Juegos de Azar
Los juegos de azar son aquellos juegos de casino o que hacen uso del factor "suerte"
Para obtener ganancias a través de la red, donde se hacen apuestas o inversiones de dinero.
Esto está prohibido en ciertos lugares, países o regiones, así que solo aplica para ellos. Pues dependiendo de la Ley que tengan en esos lugares, puede o no ser un delito. Y si se sorprende a una persona obteniendo ganancias producto de los juegos de azar, se hallará como cometiendo un delito.
Esto puede ser debido a que se prestan mucho a estafas o ganancias no justificadas y por lo cual no están permitidas en esos lugares.
6. Lavado de dinero
Poner a funcionar el dinero producto del narcotráfico, o producto de estafas, robos, fraudes o cualquier actividad ilegal. Pues este dinero lo invierten en alguna actividad que aparenta no tener nada de malo, y lo que se obtiene es producto de la inversión de dinero mal obtenido, por lo que no está permitido el Lavado de Dinero.
Puede haber casinos electrónicos en los cuales se esté lavando el dinero, o sorteos, o comercio como medio para el lavado de dinero.
7. Copia ilegal de software
Esta puede entrañar una pérdida económica sustancial para los propietarios legítimos. Algunas jurisdicciones han tipificado como delito esta clase de actividad y la han sometido a sanciones penales. El problema ha alcanzado dimensiones transnacionales con el tráfico de esas reproducciones no autorizadas a través de las redes de telecomunicaciones modernas. Al respecto, consideramos, que la reproducción no autorizada de programas informáticos no es un delito informático debido a que el bien jurídico a tutelar es la propiedad intelectual
8. Espionaje Informático
El acceso se efectúa a menudo desde un lugar exterior, situado en la red de telecomunicaciones, recurriendo a uno de los diversos medios que se mencionan a continuación. El delincuente puede aprovechar la falta de rigor de las medidas de seguridad para obtener acceso o puede descubrir deficiencias en las medidas vigentes de seguridad o en los procedimientos del sistema. A menudo, los piratas informáticos se hacen pasar por usuarios legítimos del sistema; esto suele suceder con frecuencia en los sistemas en los que los usuarios pueden emplear contraseñas comunes o contraseñas de mantenimiento que están en el propio sistema.
9. Infracción del copyright en bases de datos
Es la infracción de los derechos reservados del autor, ya que todo producto de marca tiene sus derechos y el infringir y violar la información de las bases de datos, ya sea ver, copiar, borrar, alterar es también un delito.
10. Uso ilegítimo de Sistemas Informáticos ajenos
El usar un Sistema Informático de manera prohibida o incorrecta fuera del propósito para el que fueron creados, o para obtener ganancias a su autor o solo por cometer actos ilegítimos en contra de alguien o algún Sistema.
11. Accesos no autorizados
El acceder a información, sitios o secciones que no están autorizadas a usuarios comunes sino solo a aquellos que tienen autorización. Acceso indebido. El que sin la debida autorización o excediendo la que hubiere obtenido, acceda, intercepte, interfiera o use un sistema que utilice tecnologías de información, será penado con prisión de uno a cinco años de cárcel.
12. Interceptación de E-mail
Al enviar mensajes y correo electrónico a través de la Red, e interceptar esos mensajes y desviarlos o eliminarlos, es un delito. También esto podría entrar con los delitos de espionaje y podrían acumularse por lo que la sentencia sería mayor. Aún más podría aumentarse cuando hay una demanda por parte del afectado si logra comprobarse.
13. Falsificación Informática
Como objeto. Cuando se alteran datos de los documentos almacenados en forma computarizada.
Como instrumento. Las computadoras pueden utilizarse también para efectuar falsificaciones de documentos de uso comercial. Cuando empezó a disponerse de fotocopiadoras computarizadas en color a base de rayos láser surgió una nueva generación de falsificaciones o alteraciones fraudulentas. Estas fotocopiadoras pueden hacer copias de alta resolución, pueden modificar documentos e incluso pueden crear documentos falsos sin tener que recurrir a un original, y los documentos que producen son de tal calidad que sólo un experto puede diferenciarlos de los documentos auténticos.
4.4 TECNICAS UTILIZADAS PARA PERPETRAR LOS FRAUDES.
1. LA TÉCNICA DEL CABALLO DE TROYA.
Consiste en insertar instrucciones, con objetivos de fraude, en los programas aplicativos, de manera que, además de las funciones propias del programa, también ejecute funciones no autorizadas.
Las instrucciones fraudulentas se esconden dentro de las demás, obteniendo acceso libre a los archivos de datos, normalmente usados por el programa.
Esta técnica es muy común debido a la facilidad que se presenta para ocultar las instrucciones fraudulentas dentro de cientos de instrucciones que generalmente componen los programas aplicativos.
2. TÉCNICA DEL TALADRO.
Consiste en utilizar una computadora para llamar o buscar la manera de entrar al sistema con diferentes códigos hasta cuando uno de ellos resulte aceptado y permita el acceso a los archivos deseados.
Mediante e del sistema de ensayo permanente se descubren las contraseñas del sistema para entrar a los archivos y extraer información, en forma fraudulenta.
3. AGUJEROS DEL SISTEMA OPERATIVO O TRAMPAS-PUERTA.
Son deficiencias del sistema operacional, desde las etapas de diseño original.
Los expertos programadores del sistema pueden aprovechar las debilidades del sistema operacional para insertar instrucciones no autorizadas, en dicho sistema, con el objeto de configurar fraudes informáticos. Las salidas del sistema operacional permiten el control a programas escritos, por el usuario, lo cual facilita la operacionalizacion de fraudes.
MANIPULACIÓN DE TRANSACCIONES.
La manipulación de transacciones ha sido el método más utilizado para la comisión de fraudes, en ambientes computarizados.
El mecanismo para concretar el fraude sistémico o informático, consiste en cambiar los datos antes o durante la entrada al computador. Puede ser ejecutado por cualquier persona que tenga acceso a crear, registrar, transportar, codificar, examinar, comprobar o convertir los datos que entran al computador.
Por ejemplo alterar los documentos fuente y modificar el contenido en alto relieve de las tarjetas de crédito entre otros.
RIESGOS INFORMATICOS
martes, 24 de noviembre de 2015
Identificación de Riesgos
Evaluación de Riesgos
El análisis de riesgos supone más que el hecho de calcular la posibilidad de que ocurran cosas negativas.
- Se debe poder obtener una evaluación económica del impacto de estos sucesos. Este valor se podrá utilizar para contrastar el costo de la protección de la información en análisis, versus el costo de volverla a producir (reproducir).
- Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de acción adecuado.
- Se debe conocer qué se quiere proteger, dónde y cómo, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos. Para esto se deberá identificar los recursos (hardware, software, información, personal, accesorios, etc.) con que se cuenta y las amenazas a las que se está expuesto.
La evaluación de riesgos y presentación de respuestas debe prepararse de forma personalizada para cada organización; pero se puede presupone algunas preguntas que ayudan en la identificación de lo anteriormente expuesto (1):
- "¿Qué puede ir mal?"
- "¿Con qué frecuencia puede ocurrir?"
- "¿Cuáles serían sus consecuencias?"
- "¿Qué fiabilidad tienen las respuestas a las tres primeras preguntas?"
- "¿Se está preparado para abrir las puertas del negocio sin sistemas, por un día, una semana, cuanto tiempo?"
- "¿Cuál es el costo de una hora sin procesar, un día, una semana...?"
- "¿Cuánto, tiempo se puede estar off-line sin que los clientes se vayan a la competencia?"
- "¿Se tiene forma de detectar a un empleado deshonesto en el sistema?"
- "¿Se tiene control sobre las operaciones de los distintos sistemas?"
- "¿Cuantas personas dentro de la empresa, (sin considerar su honestidad), están en condiciones de inhibir el procesamiento de datos?"
- "¿A que se llama información confidencial y/o sensitiva?"
- "¿La información confidencial y sensitiva permanece así en los sistemas?"
- "¿La seguridad actual cubre los tipos de ataques existentes y está preparada para adecuarse a los avances tecnológicos esperados?"
- "¿A quien se le permite usar que recurso?"
- "¿Quién es el propietario del recurso? y ¿quién es el usuario con mayores privilegios sobre ese recurso?"
- "¿Cuáles serán los privilegios y responsabilidades del Administrador vs. la del usuario?"
- "¿Cómo se actuará si la seguridad es violada?"
Una vez obtenida la lista de cada uno de los riesgos se efectuará un resumen del tipo:
| Tipo de Riesgo | Factor |
|---|---|
| Robo de hardware | Alto |
| Robo de información | Alto |
| Vandalismo | Medio |
| Fallas en los equipos | Medio |
| Virus Informáticos | Medio |
| Equivocaciones | Medio |
| Accesos no autorizados | Medio |
| Fraude | Bajo |
| Fuego | Muy Bajo |
| Terremotos | Muy Bajo |
Tabla 9.1 - Tipo de Riesgo-Factor
Según esta tabla habrá que tomar las medidas pertinentes de seguridad para cada caso en particular, cuidando incurrir en los costos necesarios según el factor de riesgo representado.
Identificación de Amenazas
Una vez conocidos los riesgos, los recursos que se deben proteger y como su daño o falta pueden influir en la organización es necesario identificar cada una de las amenazas y vulnerabilidades que pueden causar estas bajas en los recursos. Como ya se mencionó existe una relación directa entre amenaza y vulnerabilidad a tal punto que si una no existe la otra tampoco.
Se suele dividir las amenazas existentes según su ámbito de acción:
- Desastre del entorno (Seguridad Física).
- Amenazas del sistema (Seguridad Lógica).
- Amenazas en la red (Comunicaciones).
- Amenazas de personas (Insiders-Outsiders).
Se debería disponer de una lista de amenazas (actualizadas) para ayudar a los administradores de seguridad a identificar los distintos métodos, herramientas y técnicas de ataque que se pueden utilizar. Es importante que los Administradores actualicen constantemente sus conocimientos en esta área, ya que los nuevos métodos, herramientas y técnicas para sortear las medidas de seguridad evolucionan de forma continua.
En la siguiente sección se explica una metodología para definir una estrategia de seguridad informática que se puede utilizar para implementar directivas y controles de seguridad con el objeto de aminorar los posibles ataques y amenazas. Los métodos se pueden utilizar en todos los tipos de ataques a sistemas, independientemente de que sean intencionados, no intencionados o desastres naturales.
La metodología se basa en los distintos ejemplos (uno para cada tipo de amenaza) y contempla como hubiera ayudado una política de seguridad en caso de haber existido.
modelo de gestión de riesgp
PLAN DE MITIGACION
PLAN DE MITIGACION DE RIESGOS
Desarrollar un plan de administración de riesgos eficaz es una parte importante de cualquier proyecto, pero por desgracia a menudo es visto como algo que puede hacerse más adelante. Los problemas aparecen a menudo, y sin un plan bien desarrollado, incluso los pequeños problemas pueden convertirse en situaciones de emergencia. Existen diferentes tipos de administración de riesgos y diferentes usos que incluyen el cálculo del crédito, la determinación de cuánto debe durar la garantía en un producto y el cálculo de tarifas de un seguro. En este documento vamos a ver la administración de riesgos desde la perspectiva de la planificación de los eventos adversos.
PASOS
1
Entiende cómo funciona la administración de riesgos. El riesgo es el efecto (positivo o negativo) de un evento o serie de eventos que puede ocurrir en uno o varios lugares. Se calcula a partir de la probabilidad del evento convirtiéndolo en un problema y el impacto que tendría (Ver riesgo = Probabilidad X Impacto). Hay varios factores que deben ser identificados con el fin de analizar el riesgo, incluyendo:
Evento: ¿Qué podría pasar?
- Probabilidad: ¿Qué tan probable es que suceda?
Impacto: ¿Qué tan malo será si pasa?
Mitigación: ¿Cómo se puede reducir la probabilidad (y en qué medida)?
Contingencia: ¿Cómo se puede reducir el impacto (y en qué medida)?
Reducción = Mitigación X Contingencia
Exposición = Riesgo–Reducción-
2
Define tu proyecto. En este artículo, vamos a suponer que eres responsable de un sistema informático que proporciona información importante (pero no crítico para la vida) en alguna gran población. El ordenador principal de ese sistema es viejo y necesita ser reemplazado. Tu tarea es desarrollar un plan de administración de riesgos para la migración. Este será un modelo simplificado en el que el Riesgo y el Impacto se enlistan como alto, medio o bajo (que es muy común sobre todo en la administración de proyectos). -
3
Busca la ayuda de los demás. Hagan una lluvia de ideas sobre los riesgos. Consigue varias personas juntas que estén familiarizadas con el proyecto y pídeles información sobre lo que podría suceder, cómo ayudar a prevenirlo y qué hacer si sucede. ¡Toma muchas notas! Necesitarás la ayuda de este importante período de sesiones varias veces durante los siguientes pasos. Trata de mantener una mente abierta acerca de las ideas. Pensar "Fuera de la caja" es bueno, pero mantén el control durante la sesión. Debes mantenerte concentrado y en el objetivo. -
4
Identifica las consecuencias de cada riesgo. Desde la sesión de lluvia de ideas que reunió información acerca de lo que sucedería si los riesgos se materializan. Asocia cada riesgo con las consecuencias a las que llegaron durante esa sesión. Sé lo más específico posible con cada una. "El proyecto se atrasó" no es tan aceptable como "el proyecto se retrasará 13 días." Si hay un valor en dólares, enlístalo. Que simplemente diga "sobre el presupuesto" es muy general.
- 5
-
6
Enlista todos los elementos de riesgo identificados. No es necesario ponerlos en orden por el momento. Sólo tienes que enumerarlos uno por uno. -
7
Asígnale probabilidades. Para cada elemento de riesgo en tu lista, determina si la probabilidad de que en realidad se materialice es Alta, Media o Baja. Si es absolutamente necesario usar números, entonces calcula la probabilidad en una escala de 0.00 a 1.00. 0.01 a 0.33 = Baja, 0.34 a 0.66 = Media, 0.67 a 1.00 = Alta.
Nota: Si la probabilidad de que ocurra un evento es cero, entonces se eliminará de la consideración. No hay razón para considerar cosas que simplemente no puede suceder (un enfurecido T-Rex se come el equipo). -
8
Asigna el impacto. En general, asigna el impacto como Alto, Medio o Bajo en base a unas pautas preestablecidas. Si es absolutamente necesario usar números, entonces averigua el impacto en una escala de 0.00 a 1.00 de la siguiente manera: 0.01 a 0.33 = Baja, 0.34 – 066 = Meda, 0.67 – 1.00 = Alta.
Nota: Si el impacto de un evento es cero, no debe ser enlistado. No hay razón para considerar cosas que son irrelevantes, con independencia de la probabilidad (mi perro se comió la cena). -
9
Determina el riesgo para el elemento. A menudo, se utiliza una tabla para esto. Si has usado los valores bajo, medio y alto de probabilidad e impacto, la tabla de arriba es más útil. Si has usado los valores numéricos, será necesario considerar un sistema de clasificación más compleja poco similar a la segunda tabla. Es importante tener en cuenta que no hay una fórmula universal para la combinación de probabilidad e impacto, puede variar entre las personas y proyectos. Esto es sólo un ejemplo (aunque de la vida real):Sé flexible en el análisis. A veces puede ser conveniente alternar entre las denominaciones BMA y las designaciones numéricas. Puedes usar una tabla similar a la de abajo. -
10
Clasifica los riesgos: Lista todos los elementos que se han identificado en el riesgo más alto al más bajo. -
11
Calcula el riesgo total: Aquí es donde los números te ayudará. En la tabla 6, que tiene 7 riesgos asignados como A, A, M, M, M, B, and B. Esto puede traducirse en 0.8, 0.8, 0.5, 0.5, 0.5, 0.2 y 0.2, de la tabla 5. El promedio del riesgo total es entonces 0.5 y esto se traduce en medio. -
12
Desarrolla estrategias de mitigación. La mitigación está diseñada para reducir la probabilidad de que un riesgo se materialice. Normalmente sólo se hará por elementos de riesgo alto y medio. Es posible que desees mitigar los elementos de bajo riesgo, pero sin duda hacerle frente a los otros primero. Por ejemplo, si uno de los elementos de riesgo es que podría haber un retraso en la entrega de las zonas críticas, es posible mitigar el riesgo ordenándolas al principio del proyecto. -
13
Desarrolla planes de contingencia. La contingencia está diseñada para reducir el impacto si el riesgo se materializa. Una vez más, lo normal es que sólo se desarrolle la contingencia para los elementos de riesgo alto y medio. Por ejemplo, si las partes fundamentales que necesitas no llegan a tiempo, es posible que tengas que usar las piezas viejas existentes mientras esperas las nuevas. -
14
Analiza la efectividad de las estrategias. ¿Cuánto has reducido la probabilidad y el impacto? Evalúa tu contingencia y las estrategias de mitigación y reasigna las valoraciones eficaces a tus riesgos. -
15
Calcula el riesgo eficaz. Ahora tus 7 riesgos son M, M, M, B, B, B and B, que se traduce en 0.5, 0.5, 0.5, 0.2, 0.2, 0.2 y 0.2. Esto te da un riesgo promedio de 0.329. En cuanto a la tabla 5, se observa que el riesgo general es ahora clasificado como bajo. Originalmente, el riesgo fue medio (0.5). Después de añadir las estrategias de gestión, tu exposición es baja (0.329). Eso significa que has logrado una reducción del 34.2% en el riesgo por medio de mitigación y contingencia. ¡No está mal! - 16
Monitorea tus riesgos. Ahora que sabes cuáles son tus riesgos, es necesario determinar cómo sabrás si se materializan para saber cuándo y si debes poner tus contingencias en su lugar. Esto se realiza mediante la identificación de pistas de riesgo. Haz esto para cada uno de los elementos de riesgo alto y medio. Entonces, conforme el proyecto avanza, podrás determinar si un elemento de riesgo se ha convertido en un problema. Si no sabes estas señales, es muy posible que el riesgo pueda materializarse en silencio y afectar el proyecto, incluso si tienes buenas contingencias en su lugar.
Elimina los problemas irrelevantes. Si te estás moviendo, por ejemplo, estás moviendo el sistema informático de una concesionaria de automóviles, pensar en amenazas como la guerra nuclear, una plaga pandémica o asteroides asesinos, son más o menos las cosas que interrumpirán el proyecto. No hay nada que puedas hacer para hacer un plan contra esas cosas o para disminuir el impacto. Es posible que quieras tenerlos en cuenta, pero no pongas ese tipo de cosas en tu plan de riesgos.
Video
Consejos
El plan de cambio. La gestión de riesgos es un proceso fluido ya que los riesgos siempre están cambiando. Hoy en día, es posible asignar un cierto riesgo con una alta probabilidad y alto impacto. Mañana, la probabilidad o el impacto podrían cambiar. Además, algunos riesgos pueden perderse por completo fuera de la tabla, mientras que otros pueden entrar en juego.
Siempre investiga. ¿Qué has echado de menos? ¿Qué cosas podrían suceder que no has considerado? Esta es una de las cosas más difíciles de hacer, y uno de las más críticas. Haz una lista y revísala continuamente.
Usa una hoja de cálculo para realizar un seguimiento del plan de riesgos de forma permanente. Los riesgos cambian, los riesgos viejos pueden desaparecer y entrar nuevos riesgos en los debas enfocarte.
Parte de un buen plan de contingencia es una señal de alerta temprana. Si hay un resultado de alguna prueba que te dirá si necesitas adoptar tu plan de contingencia, asegúrate de agilizar los resultados de la misma. Si no hay una buena señal de advertencia, trata de diseñar una.
Puedes usar la exposición para ayudar a determinar si quieres hacer realidad el proyecto. Si la estimación total del proyecto es de $1,000,000 y tu exposición es de 0.329, la regla general es que hay un potencial de 329.000 dólares en el presupuesto. ¿Puedes presupuestar el dinero extra por si acaso? Si no es así, es posible que quieras volver a reconsiderar el alcance del proyecto.
Reducción = Riesgo – Exposición. En este ejemplo (y suponiendo una estimación de $1,000,000 del proyecto) el riesgo es 0.5 X $1,000,000 ($500,000) y tu exposición es 0.329 X $1,000,000 ($329.000), lo que significa que el valor de tu reducción es = $171,000. Usa esto como una indicación de cuánto puedes gastar razonablemente sobre la gestión de los riesgos, que debe ser parte de la estimación revisada del proyecto (como un seguro).
En situaciones en las que el director del proyecto puede llegar a sobrecargase con la función de gestión de riesgos, el análisis podría limitarse al camino crítico del proyecto. En ese caso, es conveniente calcular varios caminos críticos con el tiempo de atraso adicional para identificar de manera más proactiva las tareas que pueden aterrizar en el camino crítica. Esto es especialmente apropiado cuando un solo director está controlando múltiples proyectos. La gestión de riesgos debe ser considerada como una parte del proyecto, pero sin opacar el resto de las funciones de planificación y control (mira las advertencias).
Si eres un gerente de proyectos sin experiencia, o el proyecto es pequeño, considera ahorrarte tiempo saltándote los pasos que no aplican o que tienen poco impacto en el proyecto; pasa por alto la probabilidad oficial y la evaluación de impactos, haz el "cálculo mental" y sáltate inmediatamente a mirar la gravedad. Por ejemplo, si tienes que hacer el mantenimiento de un circuito eléctrico y la actividad derribará el servidor, es "más arriesgado" mover el servidor a un nuevo circuito antes del mantenimiento o esperar a que el mantenimiento se termine para poner la máquina en línea de nuevo. En cualquier caso, el servidor se caerá, pero puedes simplemente identificar qué actividad representa el menor riesgo para el proyecto
El plan de cambio. La gestión de riesgos es un proceso fluido ya que los riesgos siempre están cambiando. Hoy en día, es posible asignar un cierto riesgo con una alta probabilidad y alto impacto. Mañana, la probabilidad o el impacto podrían cambiar. Además, algunos riesgos pueden perderse por completo fuera de la tabla, mientras que otros pueden entrar en juego.
Siempre investiga. ¿Qué has echado de menos? ¿Qué cosas podrían suceder que no has considerado? Esta es una de las cosas más difíciles de hacer, y uno de las más críticas. Haz una lista y revísala continuamente.
Usa una hoja de cálculo para realizar un seguimiento del plan de riesgos de forma permanente. Los riesgos cambian, los riesgos viejos pueden desaparecer y entrar nuevos riesgos en los debas enfocarte.
Parte de un buen plan de contingencia es una señal de alerta temprana. Si hay un resultado de alguna prueba que te dirá si necesitas adoptar tu plan de contingencia, asegúrate de agilizar los resultados de la misma. Si no hay una buena señal de advertencia, trata de diseñar una.
Puedes usar la exposición para ayudar a determinar si quieres hacer realidad el proyecto. Si la estimación total del proyecto es de $1,000,000 y tu exposición es de 0.329, la regla general es que hay un potencial de 329.000 dólares en el presupuesto. ¿Puedes presupuestar el dinero extra por si acaso? Si no es así, es posible que quieras volver a reconsiderar el alcance del proyecto.
Reducción = Riesgo – Exposición. En este ejemplo (y suponiendo una estimación de $1,000,000 del proyecto) el riesgo es 0.5 X $1,000,000 ($500,000) y tu exposición es 0.329 X $1,000,000 ($329.000), lo que significa que el valor de tu reducción es = $171,000. Usa esto como una indicación de cuánto puedes gastar razonablemente sobre la gestión de los riesgos, que debe ser parte de la estimación revisada del proyecto (como un seguro).
En situaciones en las que el director del proyecto puede llegar a sobrecargase con la función de gestión de riesgos, el análisis podría limitarse al camino crítico del proyecto. En ese caso, es conveniente calcular varios caminos críticos con el tiempo de atraso adicional para identificar de manera más proactiva las tareas que pueden aterrizar en el camino crítica. Esto es especialmente apropiado cuando un solo director está controlando múltiples proyectos. La gestión de riesgos debe ser considerada como una parte del proyecto, pero sin opacar el resto de las funciones de planificación y control (mira las advertencias).
Si eres un gerente de proyectos sin experiencia, o el proyecto es pequeño, considera ahorrarte tiempo saltándote los pasos que no aplican o que tienen poco impacto en el proyecto; pasa por alto la probabilidad oficial y la evaluación de impactos, haz el "cálculo mental" y sáltate inmediatamente a mirar la gravedad. Por ejemplo, si tienes que hacer el mantenimiento de un circuito eléctrico y la actividad derribará el servidor, es "más arriesgado" mover el servidor a un nuevo circuito antes del mantenimiento o esperar a que el mantenimiento se termine para poner la máquina en línea de nuevo. En cualquier caso, el servidor se caerá, pero puedes simplemente identificar qué actividad representa el menor riesgo para el proyecto
PLAN DE MITIGACION DE RIESGOS
Suscribirse a:
Comentarios (Atom)
