lunes, 31 de octubre de 2011

Más a fondo en la gestión de riesgos


Tipos riesgos de Software
  • Riesgos del negocio: Amenazan la viabilidad del software.
  • Riesgos del proyecto: Amenazan el plan del proyecto, planificación temporal y costos  
  • Riesgos del producto: Amenazan la calidad y planificación del software.

Análisis y gestión de riesgos
Ø  Identificación
Identificar los riesgos potenciales que pueden ocurrir en el proyecto.  Los más habituales en proyectos:
·         Cambio de requisitos
·         Meticulosidad en requerimientos o de los desarrolladores
·         Escatimar en la calidad
·         Planificaciones demasiado optimistas
·         Diseño inadecuado
·         Síndrome de la panacea (“esta herramienta ahorrará la mitad del trabajo”)
·         Desarrollo orientado a la investigación (proyectos muy novedosos, más propios de investigación que de desarrollo)
·         Personal mediocre
·         Errores en la contratación
·         Diferencias con los clientes
Ø  Análisis de los riesgos
Estimación del riesgo: Probabilidad y magnitud de perdida.
Establecer una escala que refleje la probabilidad percibida del riesgo.
ej:
<10 % muy bajo
10-25 % bajo
25-50 % Medio
50-75 % Alto
>75 % Muy Alto

La magnitud de perdida puede ser medida en unidades de tiempo y costo.
Matriz de estimación
RIESGO
PROBABILIDAD
MAGNITUD DE PERDIDA (Unidad)
EXPOSICION AL RIESGO (unidad)
r1
20%
3
0,6
r2
35%
20
7
r3
15%
5
0,75

Si existe el 25% de probabilidad que un riesgo ocurra y esto podrá atrasar el proyecto 4 semanas, entonces la exposición al riesgo seria 0,25 * 4 = 1 semana.

Priorización del riesgo: determinar  los riesgos más importantes, se establece una línea de corte, se descartan los riesgos por debajo de esa línea.

Ø  Planificación del riesgo
Se establece un plan de gestión del  riesgo para cada uno de los riesgos claves
Estrategias
        Prevención: reducir la probabilidad
        Minimización: Reducir el impacto
        Planes de contingencia: Estar preparado y planificar la solución.
Ø  Supervisión del riesgo
Realizar un seguimiento de los riesgos durante la ejecución del proyecto. Un buen método es realizar seguimientos periódicos (semanales, por ejemplo) de los riesgos más significativos

Su finalidad es determinar si:
·         Las respuestas son implementadas según se planificó.
·         Las acciones de respuesta son tan efectivas como se esperaba o si nuevas respuestas deberían ser elaboradas.
·         Las asunciones del proyecto son todavía válidas.
·         La exposición a los riesgos ha cambiado y, en caso afirmativo, cual es la tendencia futura.
·         Un disparador (evento) de riesgo ha ocurrido.
·         Se han seguido las políticas y procedimientos adecuados.
·         Han ocurrido riesgos nuevos que no estaban previamente identificados


Algo más de información


http://es.wikipedia.org/wiki/Gesti%C3%B3n_de_riesgos
http://www.monografias.com/trabajos73/gestion-riesgos/gestion-riesgos.shtml
Publicado por en No hay comentarios:

lunes, 24 de octubre de 2011

Proceso de Administración de Riesgos

En el transcurso del Blog hemos mencionado muchos temas relacionados con la Gestión de Riesgos enfocándonos cada vez mas en TI. En las últimas publicaciones hemos visto herramientas que se pueden utilizar para realizar una buena Gestión de Riesgos dentro de una Organización, entre los mencionados hay estándares y marcos de referencia que prestan un apoyo importante al proceso de administración de riesgos que comprende la decisión para enfocar y planear actividades con respecto a la gestión de riesgos.

Dentro del procesos de administración de riesgos se pueden identificar algunas etapas clave que explicaremos a continuación:

  • Planificación de la administración de riesgos:
En este paso se documentan los procedimientos para administrar los riesgos del proyecto indicando metodología, roles y responsabilidades, presupuesto y plazos, categorización de riesgos, calculo de probabilidad de riesgo y su impacto, etc.
  • Identificación de Riesgos:
En esta etapa se comprenden los eventos que potencialmente podrian dañar o mejorar
un proyecto. Esta etapa es clave ya que hay que ser oportuno para poder evitar incidentes realmente críticos.
  • Análisis Cualitativo de Riesgos:
Esta etapa involucra evaluar la probabilidad y el impacto de la identificación de riesgos hecha previamente para determinar que tan grave es y que prioridad se debe asignar para tratarlo.
  • Planificación de la respuesta de los riesgos:
Después que una organización identifica y cuantifica los riesgos, debe desarrollar una apropiada estrategia para poder enfrentarlos. Para ello se tienen en cuenta cuatro aspectos:
-Evitar o eliminar riesgos.
-Aceptar los riesgos.
-Transferir los riesgos.
-Mitigar los Riesgos.

Es importante tener en cuenta que también se deben tener en cuenta los riesgos que significan algún aspecto positivo para la organización, esto hace que la administración de los mismos sea integral.
  • Monitoreo y control de Riesgos
El monitoreo y control de los riesgos involucra la ejecución de los procesos de la administración de riesgo para responder a los eventos riesgosos.
A partir de este procedimiento muchos proyectos de TI ejecutan su plan de Control de Riesgos, aplicando estándares tales como ISO 27000 o marcos de referencia y metodologías comoo ITIL o Cobit de forma integrada.
Publicado por en No hay comentarios:

lunes, 10 de octubre de 2011

COBIT Y SU MARCO RISK IT





Elementos de gestión de riesgo tomado dehttp://upload.wikimedia.org/wikipedia/commons/2/2d/Risk_Management_Elements.jpg

Tras la aparición del marco basado en COBIT en el mes de noviembre en el año 2009 de la mano de ISACA, Risk IT como un nuevo modelo de la familia COBIT que complementaria a ValIT y COBIT.

RISK IT tiene el objetivo de ”ayudar a las organizaciones en la mitigación de los riesgos corporativos que tengan su origen en el uso de las TIC a la generación de valor para el negocio”,enfocado a las coporaciones que tengan su origen en el uso de las TIC. Con esto se cerraría el triángulo sincronía-valor-riesgo que complementaria la Gobernanza de TI y apoyaría el futuro COBIT 5.

RISK IT está distribuido en dos documentos principales

El marco de referencia propiamente dicho (The Risk IT Framework)

Disponible de forma gratuita, previo registro en la web de la Asociación, que, con una estructura similar a la de CobiT y/o Val IT, muestra el repertorio de dominios y procesos ligados al Gobierno de los Riesgos Corporativos, asociados al uso de las TI.

La guía para el especialista (The Risk IT Practitioner Guide)

Disponible sólo para socios de ISACA, que contiene indicaciones prácticas y detalladas sobre cómo realizar algunas de las actividades clave descritas en el anterior modelo de procesos y que ofrece una visión en mayor detalle de ciertos aspectos concretos.

RISK IT leyes y regulaciones

· United Nations

· OECD

· European Union

· Council of Europe

· USA

Estándares de Organizaciones

§ International standard bodies:

§ International Organization for Standardization - ISO

§ Payment Card Industry Security Standards Council

§ Information Security Forum

§ The Open Group

§ USA standard bodies:

§ National Institute of Standards and Technology - NIST

§ Federal Information Processing Standards - FIPS by NIST devoted to Federal Government and Agencies

§ UK standard bodies

§ British Standard Institute

REFERENCIAS

http://www.isaca.org/Knowledge-Center/Risk-IT-IT-Risk-Management/Pages/Risk-IT1.aspx

http://en.wikipedia.org/wiki/IT_risk#Definitions

http://www.slideshare.net/mmedinasearch/coso-y-cobit-riesgo-y-gestin-de-cambio-ifrs

http://www.isacamty.org.mx/archivo/GRCModel09.pdf

Publicado por en No hay comentarios:

lunes, 3 de octubre de 2011

Estándares


  • ISO 27000  (serie)

Estándar para la seguridad de la información, el cual contiene un conjunto de políticas de aseguramiento de la información.
Nos permite el establecimiento de una metodología de seguridad clara y estructurada, el cual es continuamente revisado permitiendo mejoras tras cada publicación y gracias a su marco de referencia permite una fácil integración con otros estándares relacionados (ISO9001, ISO14001, etc.)   y aceptación mundial lo que permite integración y alineación a nivel mundial

  • ITIL

“Las actividades de la administración de la seguridad están inmersas en casi todos los procesos de ITIL, debido a que es de vital importancia dentro de una adecuada administración, identificar los riesgos asociados al proceso para definir líneas de acción, con la finalidad de mitigarlos; por lo anterior, cobra especial relevancia el tópico "Security Management" que forma parte de la biblioteca.” ... más info ...

Entre otros beneficios facilita la toma de decisiones de acuerdo a indicadores de TI y de negocio y minimiza los riesgos que pueden afectar la continuidad del negocio.




  • COBIT
Se trata de un marco compatible con ISO27002 que incorpora aspectos fundamentales de otros estándares relacionados.

Ayuda a los administradores a entender como los asuntos de seguridad y control benefician sus áreas de operación




Otros estándares:
  • NIST Serie 800
  • UNE 71502:2004
  • BS 7799-3
  • BS 25999
  • BS 25777
  • COSO / Sarbanes-Oxley


Publicado por en No hay comentarios:
Etiquetas: , , , , , , , , , , , ,
Suscribirse a: Entradas (Atom)