INSTITUTO TECNOLÓGICO DE TIJUANA

Subdirección Académica
Departamento de Sistemas y Computación
Semestre:
9no
Enero – Junio
2015
Ingeniería en Sistemas Computacionales

Gestión de Proyectos de Software

Serie de la Materia
SCG-1009SC9B
Alumno:
Ezequiel Zúñiga Lazo
No. Control:
11210298

Portafolio Google Sites:

https://sites.google.com/site/proyectoszunigaezequiel/

Prof. Alfredo López Chaparro

 Resumen 3.5

3.5 Análisis de Riesgos

Como parte del Sistema de Gestión de Seguridad de la Información, es

necesario para la empresa hacer una adecuada gestión de riesgos que le
permita saber cuáles son las principales vulnerabilidades de sus activos de
información y cuales son las amenazas que podrían explotar las
vulnerabilidades. En la medida que la empresa tenga clara esta identificación
de riesgos podrá establecer las medidas preventivas y correctivas viables que
garanticen mayores niveles de seguridad en su información.

Son muchas las metodologías utilizadas para la gestión de riesgos, pero todas
parten de un punto común: la identificación de activos de información, es
decir todos aquellos recursos involucrados en la gestión de la información, que
va desde datos y hardware hasta documentos escritos y el recurso humano.
Sobre estos activos de información es que hace la identificación de las
amenazas o riesgos y las vulnerabilidades

Una amenaza se puede definir entonces como un evento que puede afectar
los activos de información y están relacionadas con el recurso humano,
eventos naturales o fallas técnicas. Algunos ejemplos pueden ser ataques
informáticos externos, errores u omisiones del personal de la empresa,
infecciones con malware, terremotos, tormentas eléctricas o sobrecargas en el
fluido eléctrico. Por otra parte, una vulnerabilidad es una característica de un
activo de información y que representa un riesgo para la seguridad de la
información. Cuando se materializa una amenaza y hay una vulnerabilidad que
pueda ser aprovechada hay una exposición a que se presente algún tipo de
pérdida para la empresa. Por ejemplo el hecho de tener contraseñas débiles
en los sistemas y que la red de datos no esté correctamente protegida puede
ser aprovechado para los ataques informáticos externos.

Ahora, para que la empresa pueda tomar decisiones sobre cómo actuar ante
los diferentes riesgos es necesario hacer una valoración para determinar cuáles
son los más críticos para la empresa. Esta valoración suele hacerse en términos
de la posibilidad de ocurrencia del riesgo y del impacto que tenga la
materialización del riesgo. La valoración del impacto puede medirse en función
de varios factores: la pérdida económica si es posible cuantificar la cantidad
de dinero que se pierde, la reputación de la empresa dependiendo si el riesgo

2|P a ge
pueda afectar la imagen de la empresa en el mercado o de acuerdo al nivel
de afectación por la pérdida o daño de la información.

En este punto se deberían tener identificados y valorados los principales riesgos

que pueden afectar los activos de información de la empresa. Pero, ¿es
suficiente con saber que puede pasar?. La respuesta es no. Una vez
identificadas las amenazas, lo más importante del análisis de riesgos es la
identificación de controles ya sea para mitigar la posibilidad de ocurrencia de
la amenaza o para mitigar su impacto. Las medidas de control que puede
asumir una empresa van a estar relacionadas con el tipo de amenaza y el nivel
de exposición que represente para la información corporativa.

Una empresa puede afrontar un riesgo de cuatro formas diferentes: aceptarlo,

transferirlo, mitigarlo o evitarlo. Si un riesgo no es lo suficientemente crítico para
la empresa la medida de control puede ser Aceptarlo, es decir, ser consciente
de que el riesgo existe y hacer un monitoreo sobre él. Si el riesgo representa una
amenaza importante para la seguridad de la información se puede tomar la
decisión de Transferir o Mitigar el riesgo. La primera opción está relacionada
con tomar algún tipo de seguro que reduzca el monto de una eventual
pérdida, y la segunda tiene que ver con la implementación de medidas
preventivas o correctivas para reducir la posibilidad de ocurrencia o el impacto
del riesgo. Finalmente si el nivel de riesgo es demasiado alto para que la
empresa lo asuma, puede optar por Evitar el riesgo, eliminando los activos de
información o la actividad asociada.

La gestión de riesgos debe garantizarle a la empresa la tranquilidad de tener

identificados sus riesgos y los controles que le van a permitir actuar ante una
eventual materialización o simplemente evitar que se presenten. Esta gestión
debe mantener el equilibrio entre el costo que tiene una actividad de control,
la importancia del activo de información para los procesos de la empresa y el
nivel de criticidad del riesgo.

3|P a ge
3.5.1. Tipos de riesgos

Existen tres tipos de riesgos en un proyecto:

Riesgo individual es el riesgo que tendría un activo si fuera el único que posee
una empresa, se mide a través de la variabilidad de los rendimientos esperados
de dicho activo.

Riesgo corporativo o interno de la empresa, es aquél que considera los efectos

de la diversificación de los accionistas, se mide a través de los efectos de un
proyecto sobre la variabilidad en las utilidades de la empresa. Refleja el efecto
del proyecto sobre el riesgo de la empresa.

Riesgo de beta o de mercado, es la parte del proyecto que no puede ser

eliminado por diversificación, se mide a través del coeficiente de beta de un
proyecto. No afecta mucho por la diversificación de cartera.

La estabilidad de la empresa es importante para los accionistas y para todos los

involucrados. Una empresa de alto riesgo tiene problemas para solicitar el
crédito a tasas razonables, disminuyendo su rentabilidad y el precio de sus
acciones.

¿Cómo se mide el riesgo en un proyecto?

Uno de los métodos más tratados es a través de la distribución de

probabilidades de los flujos de caja esperado por el proyecto, si la dispersión de
estos flujos es muy alta, mayor será el riesgo inherente a un proyecto de
inversión. Las formas precisas para medir estas dispersiones pueden realizarse
con los siguientes métodos:

 Desviación estándar
 Dependencia e independencia de los flujos de cajas en el tiempo.
 El ajuste a la tasa de descuento.
 Equivalencia a incertidumbre y el tradicional árbol de decisión.

4|P a ge
3.5.2. Identificación, Impacto y Proyección del riesgo

Los riesgos conocidos son todos aquellos que se pueden descubrir después de
una cuidadosa evaluación del plan del proyecto, del entorno técnico y
comercial en el que se desarrolla el proyecto y otras fuentes de información
fiables (por ejemplo: fechas de entrega poco realistas, falta de especificación
de requisitos o de ámbito del software, o un entorno pobre de desarrollo). Los
riesgos predecibles se extrapolan de la experiencia en proyectos anteriores (por
ejemplo: cambio de personal, mala comunicación con el cliente, disminución
del esfuerzo del personal a medida que atienden peticiones de
mantenimiento). Los riesgos impredecibles son el comodín de la baraja. Pueden
ocurrir, pero son extremadamente difíciles de identificar por adelantado.

Identificación del Riesgo

La identificación del riesgo es un intento sistemático para especificar las

amenazas al plan del proyecto (estimaciones, planificación temporal, carga de
recursos, etc.). Identificando los riesgos conocidos y predecibles, el gestor del
proyecto da un paso adelante para evitarlos cuando sea posible y controlarlos
cuando sea necesario. Es importante identificar los riesgos potenciales lo más
pronto posible, pero también se debe continuar con la identificación de los
riesgos basados enl os cambios en el entorno del proyecto. Se cuenta con
varias herramientas y técnicas para identificar riesgos. Los administradores de
proyectos a menudo empiezan el proceso de identificación de los riesgos
revisando la documentación, y la información reciente e histórica relacionada
a la organización, y los supuestos que pueden afectar el proyecto.

5|P a ge
3.5.3. Evaluación del riesgo

En la UE no existen normas establecidas sobre cómo llevar a cabo una

evaluación de riesgos (consulte la legislación específica en materia de
evaluación de riesgos de su país). No obstante, existen dos principios que
debería tener siempre en cuenta a la hora de abordar una evaluación de
riesgos:

 la evaluación debe estar estructurada para garantizar que se abordan

todos los peligros y los riesgos pertinentes (y no se olvidan tareas como las
de limpieza, que podrían realizarse fuera del horario laboral normal, o
departamentos auxiliares como el de compactación de basuras);
 cuando se identifica un riesgo, se ha de basar la evaluación en los
principios básicos y considerar si se puede eliminar el riesgo.

Un enfoque en pasos para la evaluación de riesgos

La Guía Europea para la evaluación de riesgos en el trabajo propone un

enfoque que se basa en una serie de pasos sucesivos. No es el único método
de llevar a cabo una evaluación de riesgos, existen varias metodologías para
lograr el mismo objetivo. No hay una única forma «correcta» de llevar a cabo
una evaluación de riesgos, ya que cada situación puede requerir un enfoque
distinto.

El proceso de evaluación de riesgos (que incluye elementos de gestión de

riesgos) puede desglosarse en varios pasos:

1. Poner en marcha un programa de evaluación de riesgos en el trabajo

2. Estructurar la evaluación (decidir el enfoque:
geográfico/funcional/proceso/flujo)
3. Recabar información
4. Identificar los peligros
5. Identificar cuáles son los trabajadores expuestos a los riesgos
6. Identificar las pautas de exposición de las personas en situación de riesgo
7. Evaluar los riesgos (la probabilidad y la gravedad del daño en situaciones
reales)
8. Investigar las posibilidades de eliminación y control de los riesgos
9. Dar prioridad a la adopción de medidas y planificación de las medidas
de control

6|P a ge
 10. Realizar controles
11. Documentar la evaluación
12. Medir la eficacia de las medidas
13. Revisar (si se producen cambios o periódicamente)
14. Hacer un seguimiento del programa de evaluación de riesgos

Para la mayoría de las empresas, sobre todo las pequeñas y medianas

empresas, un enfoque sencillo de la evaluación de riesgos en cinco pasos (que
incluya elementos de gestión de riesgo) como el que se presenta a
continuación debería dar buenos resultados.

3.5.4. Estrategias frente al riesgo

1. Reactivas, cuyo método es evaluar las consecuencias del riesgo cuando

este ya se ha producido (ya no es un riesgo) y actuar en consecuencia.
Este tipo de estrategias acarrea consecuencias negativas, al poner el
proyecto en peligro.
2. Preactivas, que aplican el método de evaluación previa y sistemática de
los riesgos y sus posibles consecuencias, a la par que conforman planes
de contingencias para de evitar y minimizar las consecuencias.

Consecuentemente, este tipo de estrategias permite lograr un menor tiempo

de reacción ante la aparición de riesgos impredecibles. Se considera que la
estrategia más factible para enfrentar los riesgos es la preactiva y se considera
necesaria la realización de los análisis de riesgos de forma temprana,
sistemática, formal y profunda.

7|P a ge
Referencias Bibliográficas
Cómo llevar a cabo una evaluación de riesgos — Seguridad y Salud en el
Trabajo - EU-OSHA. 2015. Cómo llevar a cabo una evaluación de riesgos —
Seguridad y Salud en el Trabajo - EU-OSHA. [ONLINE] Available at:
https://osha.europa.eu/es/topics/riskassessment/carry_out [Accessed 10 March
2015].

Evaluación de riesgos — Seguridad y Salud en el Trabajo - EU-OSHA. 2015.

Evaluación de riesgos — Seguridad y Salud en el Trabajo - EU-OSHA. [ONLINE]
Available at: https://osha.europa.eu/es/topics/riskassessment/index_html
[Accessed 10 March 2015].

Gestión de riesgo en softwares - EcuRed. 2015. Gestión de riesgo en softwares -

EcuRed. [ONLINE] Available at:
http://www.ecured.cu/index.php/Gesti%C3%B3n_de_riesgo_en_softwares
[Accessed 10 March 2015].

¿Qué es y por qué hacer un Análisis de Riesgos?. 2015. ¿Qué es y por qué hacer
un Análisis de Riesgos?. [ONLINE] Available at:
http://www.welivesecurity.com/la-es/2012/08/16/en-que-consiste-analisis-
riesgos/ [Accessed 10 March 2015].

Analisis De Riesgo De Un Proyecto. 2015. Analisis De Riesgo De Un Proyecto.

[ONLINE] Available at:
http://www.eoi.es/blogs/estefanykaryelindeaza/2011/12/18/analisis-de-riesgo-
de-un-proyecto/ [Accessed 10 March 2015].

Identificación y Evaluación de Riesgos y la definición de Planes de

contingencia. 2015. Identificación y Evaluación de Riesgos y la definición de
Planes de contingencia. [ONLINE] Available at:
http://es.scribd.com/doc/38412080/Identificacion-y-Evaluacion-de-Riesgos-y-la-
definicion-de-Planes-de-contingencia#scribd [Accessed 10 March 2015].

8|P a ge