Top Banner
METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS EN PROYECTOS DE TECNOLOGÍA DE INFORMACIÓN HÉCTOR VALENCIA VALENCIA UNIVERSIDAD EAFIT DEPARTAMENTO DE CIENCIAS BÁSICAS MAPFRE ESPAÑA MEDELLÍN Septiembre de 2005
104

METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

Oct 18, 2020

Download

Documents

dariahiddleston
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Page 1: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS EN

PROYECTOS DE TECNOLOGÍA DE INFORMACIÓN

HÉCTOR VALENCIA VALENCIA

UNIVERSIDAD EAFIT

DEPARTAMENTO DE CIENCIAS BÁSICAS

MAPFRE ­ ESPAÑA

MEDELLÍN

Septiembre de 2005

Page 2: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:
Page 3: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS EN

PROYECTOS DE TECNOLOGÍA DE INFORMACIÓN

HÉCTOR VALENCIA VALENCIA

Monografía para optar al título de Especialista en Administración de

Riesgos y Seguros.

Asesor

EULER DE JESÚS MUÑOZ

Administrador de Empresas

Coordinador

RODRIGO RESTREPO VÉLEZ

UNIVERSIDAD EAFIT

DEPARTAMENTO DE CIENCIAS BÁSICAS

MAPFRE ­ ESPAÑA

MEDELLÍN

Septiembre de 2005

Page 4: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:
Page 5: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

"No existe mayor signo de demencia que hacer lo mismo una y otra vez y

esperar resultados diferentes”

Albert Einstein

Page 6: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:
Page 7: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

TABLA DE CONTENIDO

GLOSARIO......................................................................................................... 7 INTRODUCCIÓN .............................................................................................. 12 1. OBJETIVOS .............................................................................................. 15

1.1. OBJETIVO GENERAL............................................................................... 15 1.2. OBJETIVOS ESPECÍFICOS ....................................................................... 15

2. BENEFICIOS............................................................................................. 16 3. ALCANCE ................................................................................................. 17 4. APLICACIÓN............................................................................................. 18 5. FORMULACIÓN DEL PROBLEMA .......................................................... 19 6. JUSTIFICACIÓN ....................................................................................... 21 7. MARCO CONCEPTUAL............................................................................ 23

7.1. LAS BASES DE LA GERENCIA DEL RIESGO CORPORATIVO ......................... 24 7.2. EL FUTURO ........................................................................................... 26

8. ANTECEDENTES...................................................................................... 32 9. QUÉ SON LAS EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P............... 35

9.1. DE AYER A HOY ..................................................................................... 37 9.2. HACIA EL FUTURO.................................................................................. 38 9.3. NUEVO ESQUEMA EMPRESARIAL ............................................................. 41 9.4. ESTRUCTURA ORGANIZACIONAL DE EE.PP.M. EN EL 2005 ....................... 41 9.5. VISIÓN.................................................................................................. 42 9.6. MISIÓN ................................................................................................. 43 9.7. VALORES ORGANIZACIONALES ............................................................... 43 9.8. ADMINISTRACIÓN................................................................................... 44 9.9. PRESUPUESTO...................................................................................... 44 9.10. FUNCIÓN SOCIAL................................................................................... 45 9.11. GESTIÓN AMBIENTAL ............................................................................. 45 9.12. NUESTROS COMPROMISOS .................................................................... 46 Manejo integral del ambiente..................................................................... 46 Mejoramiento continuo de la gestión ambiental ......................................... 47 Partes interesadas..................................................................................... 48

9.13. GESTIÓN DE RIESGOS ........................................................................... 48 9.14. CULTURA EMPRESARIAL ........................................................................ 50 9.15. GRUPO EMPRESARIAL EE.PP.M.. .......................................................... 51

Page 8: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

10. QUÉ ES LA DIRECCIÓN INFORMÁTICA CORPORATIVA.................. 52

10.1. ESTRUCTURA ........................................................................................ 52 10.2. UNIDAD PLANEACIÓN INFORMÁTICA ........................................................ 53 10.3. UNIDAD GESTIÓN INFORMÁTICA.............................................................. 53 10.4. UNIDAD INGENIERÍA Y TECNOLOGÍA INFORMÁTICA .................................... 53 10.5. UNIDAD SISTEMAS DE INFORMACIÓN ....................................................... 54 10.6. UNIDAD OPERACIONES INFORMÁTICA...................................................... 54 10.7. PENSAMIENTO ESTRATÉGICO ................................................................. 54 Misión 54 Visión 55 Estrategia................................................................................................... 55

11. METODOLOGIA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS EN PROYECTOS DE TECNOLOGÍA DE INFORMACIÓN .............................. 56

11.1. FASE 0: SENSIBILIZACIÓN ..................................................................... 57 11.2. FASE 1: PLANEACIÓN DEL PROYECTO.................................................... 61 Confirmación del Alcance .......................................................................... 61 Conformación del Equipo de Trabajo......................................................... 62

11.3. FASE 2: INICIACIÓN DEL PROYECTO....................................................... 64 Reunión de Lanzamiento del Proyecto ...................................................... 65 Conocimiento del Negocio ......................................................................... 65 Solicitud de Requerimientos de Información.............................................. 66 Plan de Entrevistas .................................................................................... 66

11.4. FASE 3: GESTIÓN DEL RIESGO.............................................................. 66 Identificación.............................................................................................. 69 Análisis y valoración .................................................................................. 77 11.4.2.1. Perfil de los riesgos .............................................................. 88 11.4.2.2. Patrones normales de distribución...................................... 88

11.4.3. Control ......................................................................................... 90 12. RECOMENDACIONES .......................................................................... 94 13. CONCLUSIONES .................................................................................. 96 14. BIBLIOGRAFÍA ..................................................................................... 98 15. REFERENCIAS.................................................................................... 101

Page 9: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:
Page 10: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

7

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

GLOSARIO

Para efectos de lograr una adecuada interpretación de los conceptos que se

manejan en los proyectos de tecnología de información, a continuación se

definen algunos de los principales términos específicos de uso frecuente en la

metodología para desarrollar este tipo de proyectos.

Información: Es el conjunto de datos que procesados e interpretados arrojan

un resultado y con base en él se toman decisiones.

Tecnología de Información: Se define como el conjunto de procesos

informáticos, gente especializada e infraestructura tecnológica necesaria y con

un amplio grado de integración de sus componentes que maximizan la

prestación de los servicios para satisfacer los requerimientos del negocio.

Proyecto: Un proyecto puede concebirse como un conjunto de actividades

interdependientes, diseñadas para viabilizar y materializar los objetivos de una

organización en forma eficiente. En su esencia misma puede definirse como:

Una acción no repetitiva, ni rutinaria orientada hacia el logro de un objetivo

específico y que se ejecuta con metas preestablecidas de calidad, costo y

tiempo.

Proyecto de Tecnología de Información: Lo componen un conjunto de

actividades interdependientes que se realizan en forma planeada, coordinada y

controlada, donde se integran las personas, los procesos y la tecnología con el

fin de dar una solución automatizada que a través de un sistema de información

resuelva una necesidad planteada por el usuario informático o la organización.

Usuario Informático: Persona que utiliza la infraestructura informática para

acceder a la información y con base en ella tomar decisiones.

Page 11: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

8

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Ambiente Informático: Es la integración de tres componentes básicos:

aplicaciones, tecnología y personas.

Infraestructura Tecnológica: Son los componentes de hardware (servidores,

computadores de escritorio, personales, enrutadores, cables de red, entre

otros), software (básico, específico, corporativo o departamental), bases de

datos y aplicaciones que en forma conjunta e integrada procesan datos y

producen resultados que generan información y con base en ella se toman

decisiones.

Contingencia Informática: Es un suceso fortuito que afecta el procesamiento

automatizado de la información y suspende las actividades normales del

negocio.

Amenaza: Persona, objeto, situación o evento natural del entorno (externo o

interno) que es visto como fuente de peligro, catástrofe o interrupción y pueden

ser de origen natural tecnológico y social. Ejemplos: sismos, inundación,

avalanchas, incendio, explosiones, robo de datos, sabotaje, ausencia del plan

de contingencias, insuficiente gestión de monitoreo, aplicativos mal diseñados,

secuestro, fraude, etc. También se define como un riesgo no evaluado.

Vulnerabilidad: Grado de sensibilidad de un sistema ante un riesgo, medido en

cuanto al nivel de afectación posible poniendo en peligro su estabilidad.

Situación creada por la falta de uno o varios controles, por lo que la amenaza

pudiera ocurrir y afectar el entorno informático. Por ejemplo: deficiente control

de accesos, administración deficiente de la infraestructura informática, poco

control de versiones de software, ausencia de entrenamiento compartido

(respaldo de personas), políticas inexactas e insuficientes, etc.

Page 12: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

9

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Riesgo: Definimos el riesgo como la probabilidad de que la amenaza se

materialice, debido a la existencia de una o varias vulnerabilidades de peso

significativo. El riesgo es difícil de medir, sobretodo, cuando no se cuenta con

datos estadísticos que lo respalden o avalen, por la tendencia de las

organizaciones a ocultar incidentes, la localización geográfica, las culturas,

leyes, criticidad, situación país, etc. También se define como una amenaza

evaluada en cuanto a su probabilidad de ocurrencia (Frecuencia) y a la

gravedad de sus consecuencias (Severidad).

Riesgo Informático: Es un suceso incierto que puede llegar a presentarse en

un futuro con la probabilidad de Generar Consecuencias NEGATIVAS que

afecten el ambiente informático o la información.

Frecuencia/Probabilidad: Es una medida sobre el porcentaje de ocurrencia de

un evento expresado en número de ocurrencias o veces que se da un evento.

Ver también posibilidad y probabilidad. También se define como el número de

veces que una amenaza deja de serlo para convertirse en realidad, a lo largo de

un determinado periodo de tiempo.

Severidad/Impacto: Es la evaluación del efecto y consecuencia del riesgo.

Generalmente, la exposición al riesgo se mide en aspectos económicos, imagen

de las personas o empresas, disminución de capacidad de respuesta y

competitividad, interrupción de operaciones, etc. Efecto que causa en la

organización la ocurrencia de un siniestro o contingencia y que normalmente se

ve reflejado en la suspensión de las actividades normales del negocio. También

se define como el económico de la materialización de una amenaza, se requiere

involucrar gastos directos, indirectos y pérdidas consecuenciales.

Page 13: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

10

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Siniestro: Todo evento accidental, súbito e imprevisto (repentino, no planeado),

que normalmente genera consecuencias negativas sobre un sistema.

Control: Control es toda acción orientada a minimizar la frecuencia de

ocurrencia de las causas del riesgo o valor de las pérdidas ocasionadas por

ellas. Los controles sirven para asegurar la consecución de los objetivos de la

organización o asegurar el éxito de un sistema y para reducir la exposición de

los riesgos, a niveles razonables. Los objetivos básicos de los controles son:

Prevenir las causas del riesgo, detectar la ocurrencia de las causas del riesgo,

retroalimentando el sistema de control interno con medios correctivos.

Administración de Riesgos: Conjunto de estrategias tendientes a minimizar

los riesgos asociados al funcionamiento de un sistema, con el fin de disminuir

las pérdidas y garantizar su continuidad.

Prevenir Riesgos: Estrategia en la administración de riesgos consistente en

actuar sobre las acciones y/o las condiciones inseguras, para disminuir la

frecuencia de los siniestros.

Transferir Riesgos: Estrategia en la administración de riesgos consistente en

controlar las consecuencias económicas de los siniestros, mediante la

transferencia parcial o total de las mismas a un tercero.

Seguro: Es un contrato en virtud del cual, un ASEGURADOR se compromete

mediante el pago de una prima, a pagar a un ASEGURADO o BENEFICIARIO

una indemnización, en caso de ocurrir un siniestro.

Page 14: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

11

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Retener/Asumir Riesgos: Proceso mediante el cual el propietario de un activo

acepta un riesgo de ciertos peligros que no han podido ser solucionados

(acabados, minimizados).

Recuperación: Actividad final en el proceso de respuesta a un siniestro,

consistente en restablecer la operatividad de un sistema interrumpido por la

presentación del mismo.

Aplicación: Conjunto de programas que soportan un proceso en la

organización.

Aplicación crítica: Es aquella que por ser esencial, requiere ser procesada

para darle continuidad al negocio.

Determinar un Riesgo: Identificar la exposición de un activo de información

que cause consecuencias negativas para su normal disponibilidad.

Costo: De una actividad, estos son tanto directos como indirectos, involucran

un impacto positivo o negativo, esto se refiere a dinero, tiempo, trabajo,

desorganización, renombre, políticas y pérdidas intangibles como imagen,

confianza, credibilidad.

Page 15: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

12

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

INTRODUCCIÓN

El hombre y todas las actividades que desarrolla son susceptibles de sufrir

eventos que los puedan afectar en forma negativa.

Desde los comienzos de la computación, los recursos informáticos incluyendo la

información, han estado expuestos a una serie de peligros o riesgos que han

aumentado y evolucionado conforme se globalizan las comunicaciones.

Proteger los activos más valiosos de la organización frente a posibles

amenazas que ofrece permanentemente el medio, es un gran desafío. Este

interés crece aún más cuando la información cobra importancia para sobrevivir

frente a la competencia y permanecer en el mercado; factores como el uso de

Internet y demás herramientas que faciliten la comunicación traen consigo

innumerables ventajas, pero igualmente enfrentan a la organización a otros

problemas que anteriormente no existían. La materialización de amenazas que

alteren o destruyan la información, crea la necesidad de diseñar e implementar

otras estrategias que permitan gerenciar y controlar los nuevos tipos de riesgos

que están relacionados con la tecnología de información.

Con el devenir del tiempo el hombre ha pretendido desarrollar diferentes

metodologías que le permita, de alguna manera, enfrentar las amenazas: desde

medidas instintivas hasta el uso racional de los conocimientos y tecnologías a

su alcance en cada momento histórico de la vida.

Page 16: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

13

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

La Administración de Riesgos nace para suplir la necesidad del hombre de

caracterizar con precisión el riesgo. Esta novel disciplina tiene como principales

actividades la identificación, análisis, evaluación y control físico, lógico y

financiero óptimos de los riesgos a que están expuestos los recursos de la

Entidad (o de los cuales es responsable, al menos en parte).

Los riesgos para un sistema (en este caso EE.PP.M.) se clasifican entre

aquellos denominados comúnmente como Riesgos Convencionales para los

cuales la empresa cuenta con recursos permanentes y suficientes para su

manejo adecuado, y los denominados Riesgos Mayores con capacidad

suficiente para generar un desajuste significativo al régimen de funcionamiento

de la empresa, amenazando su estabilidad y muchas veces la integridad de sus

funcionarios o de la comunidad, poniendo en peligro su estabilidad y

subsistencia.

Las consecuencias de un Riesgo Mayor pueden generar graves CRISIS y

afectar su operatividad, con un serio impacto sobre las personas, las

instalaciones, la economía del negocio, la imagen y buen nombre de la

empresa, la operación, la información o el medio ambiente.

Se conoce como CRISIS toda situación caracterizada por cambios imprevistos

en las variables críticas que regulan el funcionamiento de un sistema y por la

pérdida de control sobre las mismas, con potencial de generar un impacto

negativo grave al sistema que la sufre.

Dentro de un adecuado programa de ADMINISTRACION DE RIESGOS, toda

empresa debe contar con herramientas tendientes a proporcionar la estructura

organizacional, la metodología y los procedimientos para detectar, evaluar y

responder a los Riesgos Mayores, de tal forma que se impida que ellos puedan

Page 17: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

14

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

desembocar en consecuencias desastrosas o catastróficas, salvaguardando la

existencia misma del negocio.

El presente trabajo tiene como fin definir la metodología de análisis y valoración

de riesgos en proyectos de tecnología de información de una manera

estructurada y modular (por fases o etapas) para que sirva como herramienta

de apoyo en la gestión de estos proyectos en las Empresas Públicas de

Medellín E.S.P.

En este informe se describen las actividades y tareas que se deben llevar a

cabo en cada fase de la metodología.

Page 18: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

15

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

1. OBJETIVOS

Con el presente trabajo lo que se pretende lograr son los siguientes:

OBJETIVO GENERAL

Dotar a la organización Informática de Empresas Públicas de Medellín E.S.P.

de una herramienta que le facilite identificar, evaluar, controlar y valorar los

riesgos de los proyectos de tecnología de información que emprenda la

corporación, mejorando la gestión con el fin de disminuir el impacto de la

tecnología en los costos, recursos y el tiempo al entrar en producción.

OBJETIVOS ESPECÍFICOS

Dentro de los objetivos específicos que se pretenden cubrir con este trabajo

están:

• Definir la Metodología.

• Identificar los riesgos asociados a los proyectos de tecnología de

Información.

• Definir el método de evaluación y valoración de riesgos para los

proyectos de tecnología de Información.

• Presentar algunos mecanismos de control de riesgos para los proyectos

de tecnología de Información.

• Documentar la metodología.

Page 19: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

16

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

2. BENEFICIOS

Algunos beneficios a obtener en la identificación, análisis y valoración de

riesgos son:

• La identificación de los riesgos internos y externos asociados al proyecto

de tecnología de información permitirá definir acciones que ayuden a

minimizar el impacto y la probabilidad de que un evento se materialice.

• Determinar la probabilidad de materialización de una amenaza a la luz de

la situación del país y en el contexto ESPG (Económico, Social, Político y

Geográfico en la organización) y que puedan afectar el proyecto.

• Dimensionar el impacto de los riesgos sobre la organización en términos

de exposición a interrupciones y pérdida que puedan poner en riesgo la

viabilidad y la continuidad del proyecto o la organización.

• Localización, clasificación y priorización de los riesgos observados,

teniendo en cuenta la globalidad del mapa de riesgos y los objetivos del

proyecto de tecnología de Información.

• Obtener las respectivas matrices de riesgos que servirán para

diagnosticar la situación actual y definir las medidas de prevención y

protección que permitan llevar a feliz término el proyecto.

Page 20: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

17

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

3. ALCANCE

Definir y documentar la metodología de análisis y valoración de riesgos en

proyectos de tecnología de información de una manera estructurada y modular

(por fases o etapas) que permita identificar, evaluar, controlar y valorar los

riesgos en el área informática y para las Empresas Públicas de Medellín E.S.P.

El trabajo se desarrollará documentado cada una de las fases o etapas que

componen la metodología: Fase de identificación, evaluación, control y

valoración, incluyendo las actividades que se deben ejecutar en cada fase.

Después de identificar y evaluar las amenazas asociadas a los sistemas y sus

componentes, se iniciarán programas de control de riesgos.

Page 21: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

18

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

4. APLICACIÓN

La aplicación de la metodología para el análisis y valoración de riesgos

informáticos, deberá realizarse en todas las etapas de los proyectos de

tecnología de información haciéndola extensiva a contratistas, subcontratistas y

proveedores.

Existen en la Entidad dependencias 1 con funciones de alcance corporativo que

deben realizar la gestión de riesgos en dos niveles claramente diferenciables:

Como gestión interna independiente, y como apoyo corporativo hacia las demás

unidades o direcciones. En este último caso, serán las unidades que requieran

el apoyo de las partes corporativas, las que soliciten en forma explícita la

necesidad de asesoría específica y aplicación de esta metodología.

La metodología podrá ser aplicada en cada Unidad de Núcleo Compartido

(UNC), Unidad Estratégica de Negocio (UEN) o Unidad de Servicios

Compartidos (USC), es decir, dependiendo de los recursos que posean o estén

bajo su responsabilidad.

1 Dirección Informática, Dirección Administrativa, Dirección Gestión Humana, Planeación y Finanzas, Secretaría General, Control Interno

Page 22: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

19

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

5. FORMULACIÓN DEL PROBLEMA

Independientemente de los esfuerzos que las empresas desarrollen para evitar

los siniestros, siempre habrá una posibilidad ­ esperamos que remota ­ de que

se presente un evento indeseado.

En muchos casos los recursos disponibles en la empresa serán suficientes para

sortear con éxito el imprevisto. Sin embargo, en otros casos, tal como la

experiencia lo ha demostrado, un evento puede superar la capacidad de

respuesta disponible, y es entonces donde sobrevienen los desastres, algunos

con resultados catastróficos.

En el transcurso de los años y con la incursión de nuevas y mejores

tecnologías, la utilización de la información y del procesamiento electrónico de

datos ha cobrado un papel significativo dentro del desarrollo de las operaciones

normales de las organizaciones. Así mismo, se ha convertido en estrategia para

lograr una ventaja competitiva y en un apoyo definitivo para la gestión negocio.

Los sistemas de información más que una novedad que adquieren las

organizaciones para estar “in”, son elementos fundamentales que han

contribuido efectivamente en el desarrollo de las mismas, que a su vez han

traído consigo una serie de riesgos, los cuales no existían hasta el momento o

eran de difícil detección porque las organizaciones no contaban con los

mecanismos o la metodología necesaria para lograrla.

Sin embargo, los beneficios reportados por los sistemas de información no son

gratuitos, si bien entraron a manejar el recurso más valioso con que cuentan las

organizaciones hoy en día, la información, también crearon en éstas una

Page 23: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

20

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

altísima dependencia de los mismos, dejando áreas frágiles y vulnerables y sin

las cuales las organizaciones no podrían subsistir.

Estamos, sin duda, en la era de la información: Adquirir equipos, obtener

servicios y acortar las distancias para estar informados es una posibilidad

tecnológica vuelta obsesión. Esto hace que la información adquiera gran

importancia y un valor incalculable, y que por lo tanto haya que tomar todas las

medidas necesarias para protegerla.

Page 24: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

21

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

6. JUSTIFICACIÓN

Una de las principales características de Empresas Públicas de Medellín E.S.P.

es el mantenerse a la vanguardia en la implementación de nuevas tecnologías

de información que le permitan brindar un mejor servicio a sus usuarios,

disminuir sus costos operacionales, permitiendo así prestar servicios públicos a

tarifas más económicas, basándose en el principio de que toda inversión

tecnológica o de negocios debe ser sustentada desde la perspectiva técnica y

de negocios.

Esto se logra con el adecuado aseguramiento de los recursos con que cuenta

una organización, que es uno de los objetivos de la gestión integral de riesgos,

entendida como el conjunto de acciones para enfrentar los riesgos que generan

los proyectos de tecnología de información a los cuales están expuestos,

originados en amenazas provenientes tanto del interior como del exterior de la

empresa; definir y diseñar controles preventivos; tomar medidas de protección,

y desarrollar programas de recuperación o planes de contingencia ante la

posible ocurrencia de siniestros que puedan afectar la planeación, ejecución,

implantación y entrada en producción del proyecto en una organización como

las Empresas Públicas de Medellín E.S.P.

La necesidad de tener continuidad en los procesos se fundamenta en que las

principales estrategias que hacen que la empresa sea competitiva y tenga

diferenciación en el medio en que se mueve, dependan de la tecnología de

información. Esta realidad la obliga a mantener una alta disponibilidad en su

infraestructura tecnológica y en consecuencia la Dirección de Informática

Corporativa ha venido respondiendo al reto, comprometiéndose a incrementar

año tras año el índice de disponibilidad de la infraestructura de TI, pero

Page 25: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

22

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

reconociendo la falta de metodologías, herramientas y estándares de las

mejores prácticas que le permitan identificar, evaluar, valorar y controlar los

riesgos de la tecnología de información que le faciliten de la manera más

eficiente cumplir con los objetivos de la empresa y a costos razonables.

El contar con una metodología de análisis y valoración de riesgos en proyectos

de tecnología de información en la organización, ayuda en forma estructurada a

identificar, evaluar, controlar y valorar los riesgos para poder administrarlos y

de esta manera poder entrar en producción con los recursos, los costos y el

tiempo planeado.

El presente trabajo tiene como fin definir la metodología de análisis y valoración

de riesgos en Proyectos de Tecnología de información de una manera

estructurada y modular (por fases o etapas) para las Empresas Públicas de

Medellín E.S.P.

Por todo lo anterior y siendo la Dirección de Informática Corporativa el Área

responsable de adquirir los sistemas de información que apoyen los procesos

del negocio, ha considerado muy importante y necesario desarrollar y

documentar esta metodología con el propósito de aplicarla en todos los

proyectos de tecnología de información que emprenda la corporación y bajo la

responsabilidad de esta dirección.

Page 26: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

23

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

7. MARCO CONCEPTUAL

El Hombre y sus actividades han estado, desde sus orígenes, acompañados de

riesgos y amenazas. La incertidumbre y la exposición al peligro, han

permanecido continuamente ligadas al desarrollo humano y por ende, el instinto

de protección ante la eventualidad de sufrir un daño o una pérdida, ha sido

también una constante en la vida del hombre.

En un comienzo los peligros que lo rodeaban eran sencillos, al igual que las

soluciones para enfrentarlos. Sin embargo, el progreso y la diversificación de

actividades humanas, trajeron consigo nuevos y más acentuados problemas y

peligros, desconocidos hasta ese momento. Esto, unido a la asignación de valor

a los bienes poseídos, acarreó que las amenazas se hayan incrementado

significativamente. De aquí la importancia de disminuir racionalmente las

fuentes de peligro o riesgo a las que está expuesta el hombre.

El desarrollo empresarial no ha sido ajeno a estos procesos. Aún más, es

imposible concebir al empresario sin la convivencia con el riesgo, pues de allí

es de donde realmente proviene su beneficio. El entorno en que operan las

empresas se ha vuelto más complejo y cada vez más dependen de la

tecnología y los sistemas de información. Esto ha traído consigo la necesidad

de dar una mayor atención al tratamiento de los riesgos en las organizaciones

lo que ha propiciado la aparición del gerente de riesgos, que se ha convertido

en pieza fundamental dentro del contexto de la alta gerencia

Todas las organizaciones entrañan riesgos de pérdidas a causa de la

materialización de amenazas que tienen su origen en la relación de éstas con el

entorno natural, social, económico, político, tecnológico entre otros.

Page 27: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

24

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

La materialización de cualquier tipo de amenaza puede tener serias y graves

consecuencias para las que debemos estar preparados. Existe la probabilidad

de que se incrementen los riesgos por factores como el desarrollo industrial, la

nueva tecnología, el aumento de riesgos de origen social, el surgimiento de una

legislación más estricta, la limitada capacidad de respuesta de algunos

organismos de emergencia, entre otros.

En cualquier empresa, los gerentes deben lidiar con el riesgo. Sin embargo,

dado que cada departamento dentro de una organización afronta el riesgo de

diferente manera, la gerencia de riesgos en muchos casos, se ha convertido en

una tarea ad hoc.

La gerencia de riesgos es, sin duda, un componente que va en crecimiento en

la vida cotidiana, conforme el mundo de los negocios se expande y se va

haciendo más complejo.

Una adecuada gerencia del riesgo no sólo puede significar la diferencia entre la

vida y la muerte de una empresa, sino que puede ser una forma innovadora de

aumentar el valor de la empresa. Esta disciplina, antes circunscrita a la

administración de pólizas de seguro, es ahora de interés para Gerentes

Generales, Directores de Control Interno, Informática, Gestión Humana,

Tesoreros, y en general, para toda la empresa.

LAS BASES DE LAGERENCIA DEL RIESGO CORPORATIVO

El riesgo y la incertidumbre son fundamentales en la vida profesional y

personal. El riesgo es la fuente de oportunidades que pueden convertirse en

ganancia, pero a su vez, asoma la posibilidad de la ruina.

Page 28: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

25

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Las empresas gastan anualmente millonarias sumas de dinero para afrontar su

vulnerabilidad ante los riesgos. Esta enorme cifra lleva a plantearnos:

• ¿Es el riesgo tan importante en sí, como para justificar la cantidad de

recursos invertidos por las empresas con el fin de afrontarlos?

• ¿Están optimizando su dinero con estas acciones?.

Debido a que el riesgo y la oportunidad van mano a mano, las empresas suelen

afrontar una inmensa variedad de riesgos, saberlos manejar es un asunto

delicado.

Manejar el riesgo puede reducir los riesgos de tener problemas financieros y

proteger a la empresa ante eventos no anticipados que interrumpan sus planes.

Mientras que muchos ejecutivos luchan contra ciertos tipos de riesgos

específicos, la gerencia de riesgos debería estar integrada y consolidada para

lograr una máxima reducción de riesgos a un mínimo costo. El riesgo no se

puede evitar, pero es manejable. Las empresas buscan manejar el riesgo de

diversas formas:

a) Evasión de riesgos: cuando se decide no emprender ninguna acción

riesgosa.

b) Reducción de riesgos: prevenir y controlar los riesgos usando equipos

de seguridad, técnicas de prevención y diversificación.

c) Transferencia de riesgos: se refiere a asegurar y equilibrar los riesgos,

compartiéndolos con terceros, por ejemplo las compañías de seguros.

d) Retención de riesgos: absorber ciertos riesgos de un modo costo­

efectivo.

Page 29: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

26

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Es crítico para una empresa coordinar sus esfuerzos en todas las áreas, para

poder tomar decisiones sobre manejo de riesgos de forma coherente. Un

ejemplo de incoherencia es una compañía que gasta sumas millonarias

asegurando sus plantas de producción y equipos contra pérdidas por

accidentes; sin embargo, un accidente de este tipo sería menos devastador que

un cambio en las tasas de interés, una pérdida de información estratégica o una

pérdida de imagen contra el que la empresa no tendría protección alguna.

Se debe desarrollar una cooperación cercana y constante entre aquellos

responsables por dirigir las actividades de la empresa, los responsables de

conseguir el capital para financiar dichas actividades, y los responsables por

cubrir los riesgos que esas actividades generan.

La Gerencia de Riesgo Integrado (GRI) provee la estructura para articular estas

relaciones críticas.

EL FUTURO

Muchas tendencias en el mundo actúan como catalizadores para el crecimiento

de la gerencia de riesgo integrado.

Los accionistas están preocupados por el uso eficiente de sus fondos; los

funcionarios públicos buscan el interés de los consumidores; los accionistas y

aseguradores, así como las agencias de calificación de riesgo y otros

intermediarios financieros, siguen con cautela las habilidades de manejar

riesgos de los gerentes.

Page 30: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

27

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Los avances en los modelos analíticos que miden el riesgo y la estandarización

de las prácticas de gerencia de riesgos también están acelerando el desarrollo

del GRI.

Sin embargo, aún existen barreras que deben ser superadas, especialmente la

inercia burocrática que hace difícil cruzar las líneas funcionales tradicionales. El

alto costo de las transacciones y la integración de los sistemas de información,

la complejidad de los productos y la incertidumbre sobre los tratos regulatorios y

contables, son todos factores negativos.

Los Estados Unidos han asumido el rol de liderazgo en las soluciones de

Transferencia de Riesgo Alternativo (TRA). La perspectiva es alentadora,

debido a la creciente importancia de los mercados de capital y la integración de

tareas de gerencia de riesgos dentro de las corporaciones. En Europa, el

desarrollo en el Reino Unido ha avanzado relativamente, mientras que el

mercado permanece en su infancia en el continente. Sin embargo, los

ambientes reguladores, de impuestos y contabilidad europeos son favorables

para la innovación, y la región debería ver un fuerte crecimiento para las

soluciones TRA a término medio. Los desarrollos de las soluciones TRA apenas

comienzan a hacerse en Asia y Latinoamérica.

Quedarse de lado ante la evolución de la gerencia de riesgos implica perder

oportunidades. La historia ha demostrado que los innovadores pueden obtener

ganancias extraordinarias.

El Gerente Corporativo de Riesgos El CEO de la empresa (Gerente General),

como responsable máximo del éxito de la empresa, puede ser considerado

como el ejecutivo a cargo del riesgo. Un paso importante a dar en el crecimiento

de la gerencia de riesgo integrado es la creación del papel de un gerente de

Page 31: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

28

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

riesgos. Esto ya está ocurriendo, especialmente en la industria financiera. Este

gerente estaría encargado de manejar la identificación y la medición de todos

los riesgos afrontados por su empresa, así como del uso eficiente del capital de

riesgo.

Este gerente de riesgo debería provenir de la alta gerencia, y debe reportarle

directamente al CEO de la empresa; no debería tener ninguna responsabilidad

por las ganancias o negocio directo, debe actuar más bien como un auditor o

contador en la empresa.

El gerente de riesgos se convertirá en el campeón del GRI como una base para

acceder y medir de forma racional la relación entre los riesgos que una

compañía afronta y los recursos de capital que tiene a disposición.

Para el caso colombiano, La Gerencia de Riesgos ha cobrado particular interés

a comienzos de la década de los 90, a raíz de las medidas encaminadas a la

liberación del mercado dentro de la política de apertura económica. El nuevo

ambiente de negocios , alejado ya del proteccionismo, ha exigido el uso de

técnicas y metodologías de Gerencia de Riesgo, en detrimento del enfoque

simplista de trasladar los riesgos a través de contratos de seguros,

comúnmente llamado pólizas, manejados por especialistas en la definición de

cláusulas y tarifas generales, que poca o ninguna relación guardaban con la

realidad.

Frente a este nuevo panorama, los riesgos dejaron de ser un campo exclusivo

de unos pocos conocedores de las condiciones específicas de pólizas

existentes en el mercado, para involucrar más directamente a los gerentes de

las organizaciones en la gestión de éstos.

Page 32: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

29

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

En el campo de los riesgos y los seguros, como sucede en la informática, el

conocimiento profundo de los conceptos y los métodos por parte de los

gerentes redunda en grandes beneficios y por eso es cada vez más imperativo.

La gerencia de riesgos como función de liderazgo ejecutivo en el manejo de los

riesgos que afectan la actividad empresarial, puede observarse desde los

siguientes puntos de vista:

Amplio: Desde el punto de vista amplio, se concibe el gerente de riesgo como

un empresario responsable que posee y controla totalmente el negocio, es decir

administra totalmente los riesgos a que está expuesto.

Limitado: En el enfoque limitado, las funciones del Gerente se circunscriben

principalmente, a dirigir los riesgos asegurables, mediante la cobertura ofrecida

por los seguros.

Intermedio: Las funciones del gerente de riesgos ubicado en una posición

intermedia, cuya labor va más allá de la mera adquisición de seguros para

cubrir los riesgos de la empresa, pretende administrar los riesgos pero no en

forma total.

Es tal la importancia que ha alcanzado la figura del gerente de riesgos, que se

dice que este funcionario es tan indispensable para la empresa como lo son el

jefe de compras, el gerente comercial, el gerente de ventas, pues tiene la

responsabilidad de gestionar eficazmente los riesgos que recaen sobre cada

uno de los bienes e intereses de la empresa. De este forma, supervisar el

desempeño total de una compañía, es responsabilidad y labor del gerente de

riesgos.

Page 33: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

30

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Entre las muchas responsabilidades del gerente de riesgos podemos resaltar

las siguientes:

• Determinación y evaluación de los riesgos en las diferentes áreas de la

organización como: Planeación, Finanzas, Comercial, Procesos,

Administrativa, Informática, Gestión Humana, Medio Ambiente, Jurídica,

entre otras.

• Selección de los mecanismos de cobertura para los riesgos propios de la

actividad empresarial.

• Contabilidad del seguro.

• Administración del autoseguro.

• Diseño y administración de planes de emergencias, contingencias y

atención de desastres.

• Administración de planes de seguro de grupo y de beneficios para los

funcionarios.

• Atención de reclamaciones.

• Prevención de pérdidas.

Dado que la principal función del gerente de riesgos es preventiva, él busca

eliminar o reducir al mínimo los riesgos de la empresa y cuando éstos ocurran,

busca disminuir su impacto en la producción empresarial, y aunque es difícil

eliminar totalmente la posibilidad de riesgos en la empresa, se han diseñado

programas bastante difundidos a nivel mundial, para realizar una gerencia del

riesgo eficaz, entre los que se destacan los siguientes:

• Mantenimiento de los registros de pérdidas y accidentes con información

veraz y actualizada.

Page 34: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

31

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

• Generación de programas de inspección y análisis de la seguridad en

todas las áreas de la organización.

• Programas de prevención de accidentes

• Generación de conciencia de seguridad en todas las instancias de la

empresa.

• Minimización de las pérdidas.

Al inicio de todo proyecto, contar con un análisis y valoración de riesgos de

éste, le permite al gerente tener un panorama más claro y la posibilidad de ir

reduciendo frecuencia y severidad ante la posible materialización de las

amenazas.

Lo que se pretende es proporcionar herramientas a los gerentes para realizar

su labor bajo las condiciones de riesgo, sin perder de vista la misión y visión de

su organización.

Page 35: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

32

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

8. ANTECEDENTES

EE.PP.M. es la empresa líder en el Sector de la prestación de Servicios

Públicos en el país, y sus operaciones incluyen actividades de generación y

distribución de energía, tratamiento y suministro de agua potable, servicios de

alcantarillado, telecomunicaciones y distribución de gas natural en Antioquia y

otras regiones en Colombia.

Sus negocios se relacionan con lo que se han denominado Líneas Vitales, o

sea aquellos servicios y actividades indispensables para el funcionamiento y

desarrollo y supervivencia de las comunidades.

Debido a la índole de su operación, su actividad no se limita a aquellas que se

desarrollan dentro de una instalación particular, sino que físicamente cubre un

extenso territorio, con lo que se incrementa considerablemente las amenazas.

La mayoría de sus operaciones presentan una diferencia significativamente

crítica con la mayoría de empresas, debido a que la afectación de su operación

se refleja en forma inmediata en las actividades de la comunidad. Por el mismo

motivo el impacto producido por cualquier evento que afecte sus operaciones se

extiende mucho más allá del relacionado con factores económicos y técnicos,

pasando al ámbito social y político, con las graves implicaciones que ello

representa.

En el negocio de los servicios públicos una de las variables críticas para el éxito

del mismo y su permanencia, es la confiabilidad de sus operaciones, de tal

forma que garantice su continuidad y la calidad del servicio.

Page 36: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

33

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Por las características de su operación (Empresa de Servicios Públicos), es

altamente vulnerable a las amenazas sociales, ya sean de origen voluntario,

político o comercial (huelgas, atentados, secuestros, extorsiones, restricciones

comerciales, fraude, cambios de legislación, etc.), además de presentar

amenazas tecnológicas típicas para este tipo de operación (incendios,

explosiones, rotura de presas, pérdida de información, contaminación, fallas en

procesos, accidentes de transporte, etc.), así como las amenazas naturales

propias de las zonas en donde opera (sismos, inundaciones, sequías, etc.).

EE.PP.M. ha desarrollando en las diferentes Unidades Estratégicas de

Negocios –UEN­, Unidades de Núcleo Corporativo –UNC­ y Unidades de

Servicios Compartidos –USC­, programas y planes específicos para el manejo

de sus riesgos. Sin embargo, se hace necesario integrar todos estos esfuerzos

para que tengan un mismo enfoque y estructura, así como un modelo

organizacional para su administración y operación, coherente con la Misión y la

Visión de la Empresa.

Con este propósito, se expidió el DECRETO No 648 del 3 de abril de 1995, el

cual fue actualizado y reemplazado con el 1029 del 22 de Enero de 1999, por

medio del cual se implanta el Sistema Corporativo de Administración de

Riesgos, sus políticas, directrices, normas y procedimientos, el cual establece el

proceso para la gestión de los riesgos en EE.PP.M., define los lineamientos

para hacerlo, y asigna funciones y responsabilidades al respecto.

Con miras al logro del anterior propósito, y en cumplimiento de las funciones a

ella asignadas, la Dirección de Informática Corporativa ha considerado muy

importante y necesario desarrollar y documentar una metodología con el

propósito de aplicarla en todos los proyectos de tecnología de información que

Page 37: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

34

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

emprenda la corporación y bajo la responsabilidad de esta dirección, para ser

aplicado a las necesidades de la empresa.

Se busca que en cada una de las Gerencias y Direcciones de EE.PP.M. sean

capaz de aplicarla, sirviendo de nexo entre los aspectos estratégicos de la alta

Gerencia y los aspectos operativos de los proyectos de tecnología de

información que están en ejecución. Todo lo anterior adecuado al marco legal y

organizacional que rige el funcionamiento de la empresa.

Page 38: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

35

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

9. QUÉ SON LAS EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P.

Hasta 1997 Empresas Públicas de Medellín E.S.P. fue una entidad

descentralizada del orden municipal, creada en 1955 por el Consejo

Administrativo de Medellín. El 6 de agosto de ese año cuatro entidades,

adscritas en ese entonces al Honorable Concejo Municipal ­las de Energía,

Acueducto, Alcantarillado y Teléfonos­ fueron fusionadas en un establecimiento

autónomo por determinación del Consejo Administrativo de Medellín, mediante

el Acuerdo Número 58.

El 18 de noviembre de 1955 la Alcaldía de Medellín expidió los Estatutos de la

organización (Decreto 375), reglamentando así su existencia, la cual quedó

confirmada el 25 de noviembre del mismo año con la sanción del Gobernador.

Pero fue sólo en enero de 1956 cuando realmente EE.PP.M. inició su vida

administrativa. En 1989, el Acuerdo Número 002 incluyó en los Estatutos el

manejo y mejoramiento del medio ambiente como parte del objeto social de

EE.PP.M. Además reformó el nombre del servicio telefónico por el de

telecomunicaciones.

Desde enero de 1998, y en virtud de lo previsto en el Acuerdo 69 de 1997

expedido por el Concejo de Medellín y en aplicación de las previsiones de la

Ley 142 de 1994, Empresas Públicas de Medellín E.S.P. fue transformada en

una Empresa Industrial y Comercial del Estado. La entidad tiene por objeto la

prestación de los servicios públicos domiciliarios de acueducto, alcantarillado,

energía, distribución de gas por red y telecomunicaciones.

Por su naturaleza de Empresa Industrial y Comercial del Estado se encuentra

sometida a las disposiciones de la ley comercial para el desarrollo de sus

Page 39: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

36

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

actividades, lo cual la sitúa, en principio, en igualdad de condiciones con las

empresas de servicios públicos domiciliarios. Por el objeto al cual se halla

dedicada, está sujeta a las disposiciones de la Ley 142 de 1994 ­ Régimen de

los Servicios Públicos Domiciliarios­ y debe desenvolverse en el ambiente de

competencia entre los diferentes prestadores de los servicios, según lo previsto

en el mencionado régimen.

Su sede es Medellín, capital del departamento de Antioquia, con una población

de 2.000.000 de habitantes. Con sus servicios EEPPM atiende 3.000.000 de

habitantes, la mayoría localizados en el Valle de Aburrá, corredor geográfico

donde además de Medellín se encuentran los municipios de Bello, Copacabana,

Girardota, Barbosa, Itagüí, Envigado, Sabaneta, La Estrella y Caldas.

La seriedad de su gestión, sus niveles de calidad y cobertura y el estricto

cumplimiento de sus compromisos financieros le han valido el respaldo de los

organismos crediticios nacionales e internacionales.

En ese entonces Medellín tenía unos 500 mil habitantes. Los servicios estaban

en manos de empresas independientes, todas de carácter municipal. El servicio

de energía contaba con 75.517 suscriptores, la mayoría de ellos residenciales, y

una capacidad instalada de 100 mil kilovatios, representados en las centrales

de Piedras Blancas y Guadalupe I y II, ésta última motor del desarrollo industrial

de la capital Antioqueña.

El servicio de acueducto llegaba apenas a 50506 usuarios que consumían

diariamente 115 mil metros cúbicos. La infraestructura, todavía insuficiente,

incluía el tanque de Santa Elena (el primero que tuvo la ciudad), la planta de

Villa Hermosa (la primera de purificación, aún en funcionamiento) y el embalse

de Piedras Blancas.

Page 40: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

37

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

En materia de telecomunicaciones la aparición de las Empresas Públicas de

Medellín E.S.P. marcó el advenimiento de un gran avance administrativo,

técnico y operativo. Al cierre de 1955 existían 25.759 suscriptores en telefonía

básica, 29.500 líneas y 54 teléfonos públicos.

DE AYER A HOY

Cincuenta años después la población se ha quintuplicado. EE.PP.M. trabaja día

a día para elevar el nivel de vida no sólo de los habitantes de Medellín, sino de

todo el Valle de Aburrá, garantizándoles la prestación de los servicios públicos

básicos con los más altos niveles de calidad, oportunidad y eficiencia.

En el marco de una clara y total función social, sus estatutos le asignan, en

forma expresa, el objetivo de constituir un factor de bienestar y progreso para la

comunidad.

En este tiempo EE.PP.M. ha construido la columna vertebral del sistema

hidroeléctrico Antioqueño. Los desarrollos de Guadalupe, la primera y segunda

etapa de la central Guatapé, las centrales de Playas, Niquía y La Tasajera, y el

avance del proyecto Porce II, encarnan el más grande patrimonio energético de

la región. En 1998 entró en operación La Sierra, su primer desarrollo térmico a

base de gas.

EE.PP.M. ha asumido también la prestación y distribución gradual del servicio

de gas natural en 10 municipios del Valle de Aburrá, labor que inició desde

agosto de 1998.

Page 41: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

38

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Si de acueducto, se habla, EE.PP.M. entrega el agua de mejor calidad del país,

procesada en 11 plantas de potabilización. La Empresa de Aguas cuenta con

fuentes de agua y sistemas de captación suficientes para atender la población

hasta condiciones de máxima saturación. Dispone del más moderno laboratorio

de Colombia para el control del agua, mediante análisis bacteriológicos, físico­

químicos, instrumentales y de aguas residuales.

En materia de alcantarillado y resueltas las necesidades de agua potable del

Medellín Metropolitano, EE.PP.M. orienta ahora sus esfuerzos hacia el

saneamiento del río Medellín y para lograr este propósito ha construido y puesto

en operación la primera gran planta de aguas residuales, la de San Fernando.

En el área de telecomunicaciones el impulso tecnológico ha sido una constante.

Ha brindado aportes importantes en estas cuatro décadas como las centrales

digitales, la transmisión por fibra óptica, los sistemas telefónico vía radio,

buscapersonas y de transmisión de datos; la Red Digital de Servicios

Integrados, RDSI, y la videoconferencia. Toda esta tecnología cuenta con el

respaldo de servicios computarizados, como el de información al usuario o 113,

el de atención de daños o 114, y los centros de Control, de Operación y

Mantenimiento.

HACIA EL FUTURO

Empresas Públicas de Medellín E.S.P. sigue preparándose para el futuro. Hacia

el 2005, su presupuesto aprobado alcanzará los $4.797.740 millones de pesos.

Esta previsión en el desarrollo de los servicios es el resultado de la planificación

y de la visión futurista de muchas generaciones de antioqueños. Gracias a ese

Page 42: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

39

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

sentido de planeación, el panorama de los servicios públicos en Medellín y en

los demás municipios donde la Empresa presta servicios, se encuentra tan

despejado como en el presente y en el pasado. Así lo confirman los planes de

desarrollo ya financiados con recursos propios y de la banca multilateral y

comercial.

En desarrollo de su Plan de Expansión de Energía, trabaja en Porce II que, en

los albores del siglo XXI entregará al país 392 MW; en el proyecto Nechí (750

MW) que será una realidad a partir del 2005, y en la segunda fase de un

desarrollo térmico en el Magdalena Medio.

Con su servicio domiciliario de Gas Natural Empresas Públicas de Medellín

E.S.P. aspira a cubrir todo el Valle de Aburrá. El desarrollo del plan de

masificación se extenderá hasta el año 2005 y demandará la construcción de 89

kilómetros de redes primarias, 24 estaciones reguladoras para los circuitos y

5.600 kilómetros de redes secundarias.

En los albores de un nuevo siglo EE.PP.M. quiere legarle a las generaciones

venideras un río Medellín recuperado, más amable y sin olores. A través de su

plan de Saneamiento proyecta 406 kilómetros de redes, la puesta en marcha de

la planta San Fernando para el tratamiento de aguas residuales, al sur del Valle

de Aburrá, y la definición y el diseño de una segunda planta en Bello, al norte

del Valle de Aburrá.

Empresas Públicas de Medellín E.S.P. está preparada para afrontar el reto

tecnológico de las telecomunicaciones del siglo XXI: con EMCALI constituyó a

EMTELCO para la prestación de servicios de valor agregado y telemáticos a

nivel nacional e internacional, y con los grupos empresariales Bavaria y

Page 43: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

40

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Sarmiento Angulo conformó a Orbitel S.A. para la prestación de los servicios de

Larga Distancia nacional e internacional.

EE.PP.M. adquirió igualmente la empresa Veracruz TV Cable, hoy EPM

TELEVISIÓN, para prestar el servicio de televisión por suscripción, así como el

36.88% de las acciones de EMTELSA, la telefónica de Manizales.

Uno de los principales pilares que sostiene la gestión y la credibilidad pública de

las Empresas Públicas de Medellín E.S.P. es el rigor conceptual que respalda

todos sus actos:

Rigor jurídico, por su respeto a la Constitución, a las leyes de la República y al

ordenamiento legal específico que las rigen, en particular sus estatutos

orgánicos y de contratación administrativa.

Rigor técnico por la planeación de largo plazo y por los procesos de selección,

adquisición, montaje y operación de los recursos tecnológicos más adecuados,

que garanticen la prestación de los servicios en forma oportuna, confiable y

económica.

Rigor financiero, por su manejo ortodoxo del dinero. La entidad sólo puede ser

viable si sus rentas le permiten cubrir los costos de operación, mantenimiento,

reposición y expansión de sus sistemas. Al mismo tiempo sólo puede ser eficaz

y eficiente si mantiene el equilibrio en el costo de los servicios que cobra a los

usuarios y transmite a éstos la señal adecuada para el uso racional de los

mismos servicios.

Page 44: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

41

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

NUEVO ESQUEMA EMPRESARIAL

La apertura económica y la consecuente competencia en todos los campos y

los nuevos esquemas regulatorios establecidos por la Constitución Política de

1991 y sus desarrollos legales generan un nuevo ambiente para estas

organizaciones.

Empresas Públicas de Medellín E.S.P. claramente requiere acomodarse al

nuevo esquema para mantener su permanencia y crecimiento en beneficio de la

comunidad. Por lo tanto, uno de sus principales procesos de planeación lo

constituye el análisis de su esquema empresarial y de sus condiciones

estratégicas de desarrollo en el nuevo ambiente institucional.

Empresas Públicas de Medellín E.S.P. es hoy el resultado de las decisiones

acertadas que se tomaron hace cincuenta años, como respuesta a las

exigencias del momento. Con gran visión, los gestores del ente autónomo

crearon una empresa que demostró ser la más apropiada para responder a las

necesidades del desarrollo económico y social de la ciudad.

Hoy, los administradores de la organización, los dirigentes y la opinión pública

enfrentan una evidencia irrebatible: encarar con éxito las nuevas condiciones

políticas, económicas e institucionales del país y del mundo, relacionadas con la

prestación de los servicios públicos.

ESTRUCTURA ORGANIZACIONAL DE EE.PP.M. EN EL 2005

Actualmente Las Empresas cuentan con seis mil doscientos setenta (6270)

funcionarios distribuidos en las diferentes sedes con que cuenta la entidad.

Page 45: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

42

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Cuatro mil cuatrocientos doce (4412) empleados y mil sesenta y tres (1063)

contratistas tienen acceso a los diferentes servicios que ofrece la red

corporativa de datos.

En la gráfica siguiente se muestra como es la organización y la manera de

cómo se administra la gente y los recursos que maneja la empresa.

Geren c ia de In vers ió n Gerenc ia d e Planeac ión Co rpo rati va

Gerencia Generación Energía

Gerenc ia D istribución Energía

Gerencia Telecomunicaciones

Sec retar ía General Di recc ió n de Con tro l In terno

Gerencia General

Un idad de Comun ic ac iones y Relac io nes Co rpo rat iv as

Un id ad es d e N ú c le o Co rp o ra tivo

U n id ad e s Est ra té g ic as d e N eg o c io

U n id ad es d e Se rv ic io s Com pa r tid o s

ORGANIGRAMA EEPPM

Di recc ió n Fin an c iera

Gerencia Aguas

Gerencia Comercial

Di rec c ión Adm in is t rat iva

D irec c ión Ges tión Hum an a

D irec c ión In fo rm át i ca Co rpo rati va

Geren c ia de In vers ió n Gerenc ia d e Planeac ión Co rpo rati va

Gerencia Generación Energía

Gerenc ia D istribución Energía

Gerencia Telecomunicaciones

Sec retar ía General Di recc ió n de Con tro l In terno

Gerencia General

Un idad de Comun ic ac iones y Relac io nes Co rpo rat iv as

Un id ad es d e N ú c le o Co rp o ra tivo

U n id ad e s Est ra té g ic as d e N eg o c io

U n id ad es d e Se rv ic io s Com pa r tid o s

ORGANIGRAMA EEPPM

Di recc ió n Fin an c iera

Gerencia Aguas

Gerencia Comercial

Di rec c ión Adm in is t rat iva

D irec c ión Ges tión Hum an a

D irec c ión In fo rm át i ca Co rpo rati va

VISIÓN

Ser una empresa líder en Colombia y relevante en América Latina en la

prestación integral de servicios públicos domiciliarios y conexos, que a partir

del conocimiento de las necesidades de los clientes, les brinde soluciones de

valor agregado y un nivel de excelencia que los satisfaga, y de esta manera

garantice su lealtad y maximice el valor generado por cada uno de ellos.

Page 46: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

43

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

MISIÓN

Ser una empresa de servicios públicos domiciliarios integrales de clase mundial:

Que satisfaga las necesidades de sus clientes con servicios de excelencia.

Que contribuya de esta forma al desarrollo socioeconómico de las áreas donde

actúe.

Que genere rendimientos económicos suficientes para atender a su crecimiento

y contribuir a la satisfacción de las necesidades de la ciudad de Medellín y su

gente.

VALORES ORGANIZACIONALES

Los siguientes son los valores que caracterizan y mueven a las Empresas

buscando siempre su estabilidad, crecimiento y cumplimiento de su misión,

visión y responsabilidad social:

Innovación: Implementación de nuevas alternativas a problemas o situaciones

con un fuerte enfoque de mejoramiento.

Conocimiento y satisfacción del cliente: habilidad para conocer e indagar

sobre las necesidades de cada cliente, logrando que él opte por nuestros

servicios después de haber entendido sus necesidades, satisfaciéndolas en

tiempo y forma, superando incluso sus expectativas.

Page 47: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

44

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Integridad: disposición para actuar con principios éticos, de manera confiable y

consecuente con los objetivos empresariales, sin obtener ventajas personales

en las decisiones o en los procesos organizacionales.

Productividad: capacidad para cumplir los objetivos rentables propuestos

haciendo uso óptimo de los recursos disponibles.

ADMINISTRACIÓN

La máxima autoridad de EE.PP.M. es la Junta Directiva, conformada por

representantes de la Alcaldía de Medellín, el Concejo y las entidades cívicas o

de usuarios de los servicios, con presidencia del Alcalde Metropolitano.

La representación legal y la administración están a cargo del Gerente General,

nombrado por el Alcalde, quien cuenta con el apoyo de ocho Gerencias:

Auxiliar, Telecomunicaciones, Aguas, Generación de Energía, Distribución de

Energía, Comercial, EPM Consulting y Planeación Corporativa; seis

Direcciones: Informática Corporativa, Administrativa, Gestión Humana, Control

Interno, Desarrollo Organizacional, Financiera; y la Secretaría General. El

Control Fiscal posterior de EE.PP.M. lo ejerce la Contraloría Municipal.

PRESUPUESTO

Empresas Públicas de Medellín aprobó para el año 2005 un presupuesto de

$4.797.740 millones de pesos.

De esa cifra, el 39% será destinado a inversión, un 18% a funcionamiento, 31%

a la operación comercial y otro 12% al servicio de la deuda.

Page 48: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

45

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

FUNCIÓN SOCIAL

Para atender adecuada y oportunamente a las clases menos favorecidas,

durante más de 30 años EE.PP.M. ha aportado soluciones concretas al

problema de los servicios de Energía, Telefonía Básica, Acueducto y

Alcantarillado en las zonas urbanas y semirurales de Medellín y en los demás

municipios de su área de influencia, a través de su Programa Habilitación

Viviendas, buscando mejorar la calidad de vida de las comunidades, mitigando

los impactos generados por las obras y proyectos, participando activamente en

el desarrollo comunitario y velando por el cumplimiento de las obligaciones

consagradas por ley.

La entidad ha estado presente en Antioquia con la ejecución de obras de amplio

contenido social: carreteras, puentes, sedes educativas, culturales y

comunitarias; pavimentación de vías, suministro y transporte de materiales y

maquinaria; dotación de espacios locativos, creación de fuentes de empleo,

obras de explanación, protección y drenaje, prestación de servicios públicos

básicos, realización de actividades forestales, labores de veeduría, asesoría e

interventoría, entre otras.

GESTIÓN AMBIENTAL

Las Empresas Públicas de Medellín E.S.P. desarrollan desde hace más de tres

décadas una vasta tarea reforestadora y de protección de los recursos

naturales de los cuales se sirve, agua, suelo y bosques, a través del cuidado de

cuencas y microcuencas, la ejecución de actividades de reforestación,

mantenimiento de bosques naturales alrededor de sus embalses, control de

erosión y estudios de recuperación e impactos ambientales, entre otros.

Page 49: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

46

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Empresas Públicas de Medellín también hace presencia ecológica en Antioquia

con su Plan de Parques como son: La Culebra en el embalse Peñol­Guatapé,

Los Salados en el corregimiento La Fe del municipio de El Retiro, Piedras

Blancas en la represa del mismo nombre entre Medellín y Guarne, y el núcleo

Mirador de la Torre en Riogrande II, en el municipio de Don Matías, constituyen

verdaderas reservas forestales y, al mismo tiempo, opciones recreativas para la

comunidad, llenas de senderos, miradores naturales, agua y mucho paisaje.

Además, EE.PP.M. hizo aportes importantes en tierra y en la construcción de la

infraestructura de servicios públicos al Parque de las Aguas, con el cual se

abrió un nuevo lugar de esparcimiento para la comunidad.

NUESTROS COMPROMISOS

Las Empresas concientes de su responsabilidad social y del desarrollo integral

de la ciudad y el departamento, ha adquirido dentro de su gestión, los

siguientes compromisos:

MANEJO INTEGRAL DEL AMBIENTE

Se entiende el ambiente como el resultado de la interacción dinámica entre el

medio natural y el medio social. En este contexto, la gestión ambiental estará

relacionada con la prevención y el manejo adecuado de los impactos

ambientales no deseables y la potenciación de los impactos positivos causados

por los proyectos, obras o actividades propios de cada uno de los negocios en

las áreas de influencia.

Page 50: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

47

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

La gestión ambiental se fundamenta en un enfoque integral y preventivo, en

métodos interdisciplinarios y de trabajo en equipo, en mecanismos de

comunicación, concertación y participación con todos los actores involucrados

en dicha gestión y mediante la responsabilidad individual y colectiva de los

trabajadores, proveedores y contratistas con el entorno. Lo anterior, con el

propósito de insertar adecuadamente los proyectos y obras en las áreas donde

actúa EEPPM, bajo los principios de uso racional de los recursos naturales, de

responsabilidad social con la población influenciada y de compromiso con las

generaciones futuras.

En EE.PP.M. se cumple con la legislación ambiental establecida en la

Constitución, las leyes y las normas aplicables al desarrollo de proyectos y

obras.

MEJORAMIENTO CONTINUO DE LA GESTIÓN AMBIENTAL

Se asume el compromiso de mejoramiento continuo de la gestión ambiental

mediante la planeación, implementación, revisión y actualización de los

procesos y acciones que interactúan con el ambiente, para integrar y dar

coherencia a la gestión realizada por la Organización en su relación con el

entorno.

Está afianzada la integralidad técnica­ económica y ambiental en todos los

proyectos y obras y se mantiene el compromiso de que la gestión ambiental

debe estar asociada a la innovación, al fomento de la investigación, al

desarrollo tecnológico y del talento humano y a la optimización de los recursos

en la búsqueda del mejoramiento de la productividad, la eficiencia y la

racionalización de los costos ambientales, con el fin de fortalecer la

competitividad de las Empresas Públicas de Medellín E.S.P.

Page 51: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

48

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

PARTES INTERESADAS

Reafirmamos que el cliente es nuestra razón de ser, por lo tanto el compromiso

con la excelencia en la prestación de los servicios, en la satisfacción de sus

necesidades y en la comunicación adecuada, seguirán siendo la base de

nuestra relación con éste.

La información oportuna, la consulta, la concertación y la participación efectiva

fundamentan nuestras relaciones con el Municipio de Medellín, los clientes, los

empleados, las comunidades donde actuamos, los proveedores y demás

actores involucrados en nuestra gestión ambiental. De esta manera, se afianza

la lealtad, el respeto, la confianza y la interacción de mutuo beneficio.

Nos comprometemos a divulgar la política ambiental a todos los empleados

desarrollando programas y medios que posibiliten su conocimiento y aplicación,

como también su disponibilidad para el público en general.

GESTIÓN DE RIESGOS

Para garantizar una óptima confiabilidad de los equipos, instalaciones y

procesos, EEPPM se ha interesado en mantener un estricto cumplimiento de

las normas y prácticas de ingeniería, una adecuada interventoría en la

construcción y montaje, y una efectiva administración, operación y

mantenimiento de los recursos. Adicionalmente, la Unidad Riesgos y Seguros

tiene en ejecución varios programas de Control y Administración de Pérdidas,

los cuales comprenden la identificación de peligros, la evaluación y análisis de

los riesgos, la elaboración de recomendaciones para minimizar el riesgo, la

asesoría y coordinación con las dependencias involucradas en el análisis de la

viabilidad técnica y económica de las medidas recomendadas, y el análisis e

Page 52: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

49

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

implementación de las alternativas de administración de riesgos más

convenientes.

Estos estudios están orientados al análisis de todo tipo de riesgos asociados a

las instalaciones en particular (centrales hidroeléctricas, subestaciones,

almacenes generales, laboratorios, etc.), incluyendo las pérdidas materiales,

humanas, afectación del medio ambiente, responsabilidad civil, si existe.

Mediante el decreto No. 648 del 3 de abril de 1995 de EE.PP.M. las Empresas

implantaron un sistema corporativo de administración de riesgos, el cual

contempla las políticas, normas y procedimientos a seguir en materia de gestión

de riesgos a los cuales deben ser sometidos los bienes, recursos humanos e

intereses de las Empresas, además de la comunidad y el medio ambiente que

bajo ciertas condiciones podría amenazar o ser amenazada por las operaciones

propias de las Empresas.

Dicho decreto fue actualizado y reemplazado mediante el 1029 del 22 de enero

de 1999, para adaptarlo a las nuevas condiciones dadas por el proceso de

reestructuración interna adelantado en las Empresas.

A partir de este decreto, se dio inicio al proceso de administración de riesgos en

cada una de las UENs, UNCs y USCs, denominado Sistema Corporativo de

Administración de Riesgos, SCAR.

Mediante éste sistema se pretende desarrollar, estandarizar e implementar la

metodología y herramientas para la ejecución de las etapas de identificación,

análisis, evaluación, control físico y financiero de los riesgos en cada una de las

dependencias de las Empresas Públicas de Medellín.

Page 53: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

50

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Para lo anterior se ha contado con la dedicación de numerosos funcionarios

adscritos a las diferentes Unidades, quienes han recibido capacitación y

entrenamiento en diferentes temas de administración de riesgos, con el objeto

de que cada uno se convierta en multiplicador de la cultura de la administración

de riesgos en las EE.PP.M.

CULTURA EMPRESARIAL

Esa cultura empresarial se manifiesta en un profundo sentido de pertenencia

por la entidad, no sólo por parte de sus funcionarios, empleados y trabajadores,

sino también por parte de la comunidad, que la quiere, la respeta y cierra filas

en torno a ella para defenderla de amenazas externas. Se ha generado así un

verdadero círculo virtuoso: la gente apoya a las Empresas Públicas de Medellín

E.S.P. porque son eficientes, y ellas son eficientes gracias al respaldo de la

gente.

Todo esto se manifiesta en la forma como sus directivas y funcionarios en

general manejan los recursos que le son asignados para el cumplimiento de sus

funciones y como dentro de su práctica profesional han incluido el manejo del

riesgo en el que hacer diario y en los nuevos proyectos que emprende la

corporación para mejorar la calidad de vida de su comunidad, razón de ser de la

Empresa.

Gracias al apoyo de la gerencia y al compromiso de la gente que ha recibido

capacitación y han sido multiplicadores del tema, la cultura de administrar el

riesgo se ve cada vez inmersa en los procesos, en las contrataciones y en la

adquisición de la tecnología de información bajo esquemas de redundancia, alta

disponibilidad y respaldo necesaria para soportar y mantener el servicio 24

Page 54: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

51

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

horas 7 días a la semana, que es lo que demanda hoy el cliente y la

competencia.

GRUPO EMPRESARIAL EE.PP.M.

A continuación se muestran algunas de las empresas en las cuales EE.PP.M.

tiene participación económica. Algunas de estas empresas están alineadas

dentro de la estrategia de TI junto con EE.PP.M. en la búsqueda de sinergias.

Empresa Participación Actividad Principal

EPM­ BOGOTÁ 63.40% Telecomunicaciones

EMTELSA 36.88% Telecomunicaciones

ORBITEL 50.00% Telecomunicaciones – larga distancia

Empresa Telefónica de Pereira 56.14% Telecomunicaciones

EMTELCO 99.54% Comunicación de datos

EDATEL 56.00% Telecomunicaciones

Colombia Móvil 50.00% Telefonía Móvil PCs

TELEPSA 60.00% Telecomunicaciones

Aguas de Oriente 56.00% Aguas

EPM Bogota Aguas 89.58% Aguas

EADE 63.90% Energía

CHEC 56.00% Energía

Energía de Quindío 56.00% Energía

HET S.A. (BONYIC) 75.00% Energía

Page 55: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

52

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

10. QUÉ ES LA DIRECCIÓN INFORMÁTICA CORPORATIVA

Es el área encargada de promover y liderar la planeación y el desarrollo

coherente e integrado de la informática en las Empresas, para garantizar una

estrategia informática alineada con la visión corporativa.

ESTRUCTURA

Actualmente La Dirección de Informática Corporativa cuentan con ciento

cincuenta y ocho (158) funcionarios distribuidos en las diferentes áreas que

componen dicha Unidad de Servicio Compartido (USC).

En la gráfica siguiente se muestra como es la organización:

Unidad Planeación Informática

Unidad Gestión Informática

DIRECCIÓN DE INFORMÁTICA CORPORATIVA

Unidad Sistemas de Información

Unidad de Ingeniería y Tecnología Informática

Unidad Operaciones Informática

Unidad Planeación Informática

Unidad Planeación Informática

Unidad Gestión Informática

DIRECCIÓN DE INFORMÁTICA CORPORATIVA

Unidad Sistemas de Información

Unidad de Ingeniería y Tecnología Informática

Unidad de Ingeniería y Tecnología Informática

Unidad Operaciones Informática

Page 56: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

53

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

UNIDAD PLANEACIÓN INFORMÁTICA

Su función es elaborar y mantener actualizada la estrategia informática, en

cuanto a aplicaciones, tecnología y organización, con sus correspondientes

planes estratégicos y tácticos, para garantizar un desarrollo integrado de la

informática en las Empresas.

UNIDAD GESTIÓN INFORMÁTICA

Su función es asesorar y trabajar en equipo con las unidades de la Dirección

Informática Corporativa y con las demás gerencias, en la ejecución y el

mejoramiento de sus planes, para garantizar la coherencia de la gestión

informática de todas las unidades.

Ofrece apoyo en lo referente al mejoramiento de los productos y servicios,

medición de la calidad del servicio, asesoría y adquisición de infraestructura

informática.

UNIDAD INGENIERÍA Y TECNOLOGÍA INFORMÁTICA

Su función es coordinar la Integración de la planeación informática, las

necesidades de ingeniería y tecnología y la infraestructura informática para

proveer asesoría especializada a toda la organización.

Presta soporte especializado en los temas de seguridad informática, viabilidad

técnica para adquisición de tecnología y compatibilidad con la infraestructura

que posee EE.PP.M.

Page 57: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

54

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

UNIDAD SISTEMAS DE INFORMACIÓN

Su función es coordinar la adquisición de paquetes de software, el desarrollo, la

evolución y mantenimiento de los sistemas de información corporativos tales

como One­World, Sigma, Siebel, Fénix, Factura, Open, entre otros, para

garantizar que éstos apoyen los procesos organizacionales.

UNIDAD OPERACIONES INFORMÁTICA

Su función es coordinar la instalación, soporte, operación y mantenimiento de

todos los equipos informáticos, servidores, redes y aplicaciones para

garantizarle a la corporación la disponibilidad de la infraestructura tecnológica.

PENSAMIENTO ESTRATÉGICO

Para entender el papel de la Dirección Informática Corporativa en lo relacionado

con la infraestructura de TI, veamos a continuación un resumen de su

pensamiento estratégico:

MISIÓN

“Crear y prestar servicios de Tecnología de Información que sean convenientes

para el desempeño integral del Grupo Empresarial EPM.” Desempeñando los

siguientes roles:

• Direccionador y controlador de TI en Las Empresas.

• Direccionador estratégico de TI para las empresas filiales.

• Prestador de servicios de tecnología de iformación.

Page 58: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

55

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

VISIÓN

Ser la mejor opción en la prestación de servicios de Tecnología de Información

para el Grupo Empresarial EPM.

ESTRATEGIA

• Retener y Potenciar el liderazgo en servicios de TI en el Grupo

Empresarial.

• Ser los líderes de la planeación, la evolución y el soporte de los

paquetes corporativos.

• Obtener sinergias en TI entre EE.PP.M. y sus filiales.

• Apalancar el negocio de IDC y buscar la convergencia del datacenter

• Mantener las aplicaciones críticas en los niveles de continuidad que

requiere el negocio.

Page 59: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

56

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

11. METODOLOGIA PARA EL ANÁLISIS Y VALORACIÓN DE

RIESGOS EN PROYECTOS DE TECNOLOGÍA DE

INFORMACIÓN

Es importante en toda organización contar con una herramienta, que garantice

la correcta evaluación de los riesgos, a los cuales están sometidos los procesos

y actividades que participan en un proyecto de tecnología de información; y por

medio de una buena gestión se pueda evaluar el desempeño, desarrollo y

ejecución del mismo.

Viendo la necesidad en el entorno empresarial de este tipo de herramientas y

teniendo en cuenta que una de las principales causas de los problemas dentro

del entorno informático, es la inadecuada administración de riesgos, este

trabajo sirve de apoyo para una adecuada gestión de la administración de

riesgos, basándose en los siguientes aspectos:

• La sensibilización en la administración y gestión de los riesgos.

• La asignación de responsables a los proyectos de tecnología de

información.

• La evaluación y valoración de los riesgos inherentes a los proyectos de

tecnología de información y a los procesos que soporta

• El análisis de las causas de los riesgos.

• Los controles utilizados para minimizar los riesgos.

El proceso de administración de riesgo es el conjunto de estrategias tendientes

a minimizar los riesgos asociados al funcionamiento de un sistema, con el fin de

disminuir las pérdidas y garantizar su estabilidad operativa y financiera en el

corto plazo y su continuidad y permanencia en el largo plazo.

Page 60: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

57

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

El esfuerzo metodológico desarrollado en este documento, en donde se

integran los conceptos de la administración de riesgos y la gerencia de

proyectos, es aplicable a cualquier empresa puesto que la metodología descrita,

en sí no tiene restricciones específicas.

A continuación se describen las fases, actividades y tareas que se deben

realizar en las fases que conforman la metodología y son: (0) Sensibilización,

(1) Planeación del proyecto, (2). Inicio del proyecto, (3) Análisis y valoración de

riesgos.

Sen s ib i l i zac ió n

P lan eac ió n In ic io d e l P r o y ec t o G es t ió n d e l R ie s g o

• C o n f i rm ac ió n d e l A l c a n c e .

• L o g ís t i c a d e A d m in i s t r ac ió n .

• C o n f o rm ac ió n d e l eq u ip o d e t r a b a jo .

• L a n zam ien t o d e l P r o y e c t o .

• C o n o c im ien t o d e l N eg o c io .

• S o l i c i t u d d e r eq u e r im ien t o s d e In f o rm ac ió n

• P lan d e en t r ev i s t a s .

• Id en t i f i c ac i ó n .

• A n á l i s i s y V a l o r a c i ó n .

• C o n t r o l .

• R e t en c ió n .

• T r a n s f e r en c ia .

• A n á l i s i s d e R e s u l t ad o s .

FASES DE L A M ETODOL OG ÍA

Sen s ib i l i zac ió n S en s ib i l i zac ió n

P lan eac ió n In ic io d e l P r o y ec t o G es t ió n d e l R ie s g o

• C o n f i rm ac ió n d e l A l c a n c e .

• L o g ís t i c a d e A d m in i s t r ac ió n .

• C o n f o rm ac ió n d e l eq u ip o d e t r a b a jo .

• L a n zam ien t o d e l P r o y e c t o .

• C o n o c im ien t o d e l N eg o c io .

• S o l i c i t u d d e r eq u e r im ien t o s d e In f o rm ac ió n

• P lan d e en t r ev i s t a s .

• Id en t i f i c ac i ó n .

• A n á l i s i s y V a l o r a c i ó n .

• C o n t r o l .

• R e t en c ió n .

• T r a n s f e r en c ia .

• A n á l i s i s d e R e s u l t ad o s .

FASES DE L A M ETODOL OG ÍA

FASE 0: SENSIBILIZACIÓN

Se debe fomentar en la organización y el proyecto la cultura del riesgo. En la

medida en que se perciban los riesgos a qué se está expuesto, se estará en

capacidad de administrarlos. Esta fase es transversal, es decir, se ejecuta

durante el desarrollo de todo el proyecto y se puede decir que de aquí depende

en gran parte el éxito del mismo.

Page 61: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

58

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Todo integrante juega un papel importantísimo en la Administración de Riesgos,

toda vez que al ser parte activa del proceso, consolida una cultura

organizacional que garantiza la adecuada protección de los bienes, recursos y

procesos de la empresa y asegura un manejo de los riesgos en forma racional,

óptima, integral, confiable, altamente participativa y a costo mínimo.

Todo funcionario de las Empresas debe asumir un papel y responsabilidad

claramente definida frente a los riesgos.

Con esta actividad lo que se pretende es identificar las características generales

de las personas involucradas en el proyecto, así como las percepciones,

motivaciones y sugerencias que tiene frente a la administración de los riesgos,

reconociendo la conformación e interrelación entre los distintos equipos de

trabajo, todo esto para generar las estrategias de sensibilización y

comunicación que faciliten la implementación exitosa del proyecto en la entidad

y la adecuada gestión del riesgo durante su ejecución.

Para lograr lo anterior se pueden utilizar instrumentos como las entrevistas, las

encuestas, la observación del comportamiento frente al riesgo entre otras.

Con los resultados obtenidos después de aplicar dichos instrumentos, se define

las estrategias de sensibilización que deben estar enfocada a reforzar el poder,

el querer y el saber partiendo del hecho de reconocer que las personas son los

artífices del cambio. Asume que el ser humano no es resistente al cambio sino

a ser cambiado, por lo tanto el verdadero cambio se da al interior de las

personas.

Page 62: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

59

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Sen s ib i l izac ió n

Qu iera (Qu ere r ) • Actitud • Conducta • Comprom iso

Sep a (Sab er ) • Competenc ias T écn icas • Competenc ias Func ionales • Competenc ias Interpersona les

Pu eda (Po d er ) • Recursos • P roced im ien tos • Estándares • S is temas y Herram ien tas

Sen s ib i l izac ió n Sen s ib i l izac ió n

Qu iera (Qu ere r ) • Actitud • Conducta • Comprom iso

Sep a (Sab er ) • Competenc ias T écn icas • Competenc ias Func ionales • Competenc ias Interpersona les

Sep a (Sab er ) • Competenc ias T écn icas • Competenc ias Func ionales • Competenc ias Interpersona les

Pu eda (Po d er ) • Recursos • P roced im ien tos • Estándares • S is temas y Herram ien tas

Pu eda (Po d er ) • Recursos • P roced im ien tos • Estándares • S is temas y Herram ien tas

Está científicamente comprobado, que los adultos tenemos ciertas

características en el aprendizaje en la que la transmisión oral o visual de

conceptos y conocimientos solo permiten un nivel de efectividad y recordación

promedio del 20%, mientras que las vivencias y/o los descubrimientos que

realizamos por nosotros mismos se graban en un 80%, facilitando un proceso

sistémico y perdurable de aprendizaje y cambio, pero sobre todo de aplicación

práctica, útil e inmediata.

En este orden de ideas, las metodologías vivenciales o de outdoortraininng,

logran alto impacto, porque aceleran la curva de aprendizaje, apoyado en el

objetivo de modificar conductas y comportamientos, generando compromisos y

facilitando los procesos de cambio y transformación cultural.

El Outdoortraining es una metodología de formación que se basa en reproducir

situaciones empresariales a través de simulaciones y de actividades al aire

libre. Es lo que llamamos una metodología vivencial, porque el punto de

partida es la experiencia que viven los participantes.

Page 63: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

60

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Después de estas situaciones fuera del aula, se analiza de forma conjunta lo

sucedido, se exploran las analogías que existen con la realidad de las

organizaciones. Posteriormente el aprendizaje se integra a través de la

asimilación de modelos conceptuales de psicología y management (kolb,

Hertberg, etc.).

El aprendizaje, en definitiva, se produce a través de la vivencia del equipo, del

análisis de ésta y de su conceptualización posterior. El último paso del proceso

consiste en transferir lo aprendido a la empresa a través de acciones y

compromisos concretos.

Tal y como se ha comentado anteriormente buena parte del éxito del proyecto

radica en disminuir la ansiedad que generará el proyecto, suministrando los

conceptos, procesos, metodologías y herramientas de análisis y valoración de

los riesgos, capacitando y entrenando a todos los involucrados y a aquellos que

participan de una manera puntual en el desarrollo del proyecto.

Al desarrollar las dimensiones del poder, el querer y el saber, se obtiene un

cambio de actitud y comportamiento de las persona frente al tema que se está

sensibilizando y para este caso concreto frente a la administración y gestión de

riesgos en el proyecto, por que lo interiorizan y hacen parte integral de su

trabajo diario.

Todo lo anterior debe ir acompañado de una compaña de comunicación donde

se aprovecharán los medios corporativos existentes y se diseñarán otros que

garanticen la cobertura de los públicos identificados. La comunicación será

abierta, frecuente, breve, sencilla y durante toda la ejecución del proyecto.

Page 64: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

61

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

FASE 1: PLANEACIÓN DEL PROYECTO

En esta fase se busca definir y confirmar el alcance, entender el ambiente de

trabajo donde se desarrollará el proyecto, identificando el responsable así como

el equipo que tomará parte en el mismo. En la Fase de planeación del proyecto

se busca desarrollar un plan de trabajo acorde con las necesidades planteadas

y con los requerimientos del cliente que para este caso pueden ser las UNCs,

UENs y USCs.

El siguiente mapa muestra cada una de las actividades que se deben llevar a

cabo en esta fase de planeación:

P L A N E A C IÓ N

1 . C o n f i r m a c ió n d e l A l c a n c e

2 . C o n f o r m a c i ó n d e l E q u i p o d e T r a b a j o

3 . E s t a b l e c im ie n t o d e l a l o g í s t i c a d e a d m i n i s t r a c i ó n

P L A N E A C IÓ N P L A N E A C IÓ N

1 . C o n f i r m a c ió n d e l A l c a n c e 1 . C o n f i r m a c ió n d e l A l c a n c e

2 . C o n f o r m a c i ó n d e l E q u i p o d e T r a b a j o

2 . C o n f o r m a c i ó n d e l E q u i p o d e T r a b a j o

3 . E s t a b l e c im ie n t o d e l a l o g í s t i c a d e a d m i n i s t r a c i ó n

3 . E s t a b l e c im ie n t o d e l a l o g í s t i c a d e a d m i n i s t r a c i ó n

Figura 1: Actividades de la Fase de Planeación del Proyecto

CONFIRMACIÓN DEL ALCANCE

El objetivo de esta actividad es que el equipo del proyecto y la organización

tengan muy en claro lo que contemplará el proyecto, cuáles procesos,

aplicaciones, servidores, instalaciones, bases de datos, etc, estarían incluidas

en el estudio. Además, se debe estar muy atento en conservar el alcance,

confirmarlo y no permitir que se modifique o cambie. De esto depende en gran

parte el éxito del proyecto.

Page 65: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

62

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

CONFORMACIÓN DEL EQUIPO DE TRABAJO

Para realizar este tipo de proyectos es necesario conformar un equipo de

trabajo interdisciplinario entre la UEN, o UNC, o USC, la Dirección de

Informática Corporativa y con el apoyo puntual de las áreas que se requieran y

deban participar en el análisis y valoración de riesgos, utilizando mecanismos

de integración, comunicación y coordinación teniendo en cuenta lo siguiente:

• Conformar el equipo de trabajo con roles y responsabilidades definidas.

• Conformar el Comité directivo del proyecto con roles y responsabilidades

definidas que ayuden a dirimir conflictos, a tomar decisiones y a apoyar

el proyecto.

• Divulgar la metodología utilizada para hacer el análisis y valoración de

riesgos en proyectos de tecnología de información a los participantes por

parte de la Dirección de Informática Corporativa.

• Analizar los ajustes y mejoras requeridas en la metodología de acuerdo

con los cambios que hayan surgido en los sistemas de información y los

ambientes tecnológicos.

• Recolectar la información necesaria relacionada con las actividades de la

metodología teniendo en cuenta los controles que se implementan y

buscan mejorar el escenario del riesgo y disminuir su impacto.

• Aplicar la metodología teniendo en cuenta los ajustes y mejoras que

hayan sido requeridas y que fueron el resultado del análisis de la misma.

• Efectuar reuniones periódicas con los diferentes miembros del equipo de

trabajo, para conocer el estado de avance del análisis y valoración.

• Analizar la información y validar los resultados obtenidos de acuerdo con

la metodología aplicada.

• Estructurar el informe final del análisis y valoración de los riegos.

Page 66: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

63

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Este equipo debe estar conformado por el cliente y el proveedor del servicio. La

siguiente figura muestra un esquema de cómo debe trabajar un proyecto de

esta naturaleza al interior de la organización.

M e to d o l o g ía p a r a e l A n á l i s i s y v a l o r a c i ó n d e R i e s g o s e n P T I

E q u i p o A s e s o r d e l a M e t o d o l o g ía

Eq u i p o d e l C l i e n t e U NC , U SC , U EN

Á r ea s d e A p o y o d e l r e s t o d e l a O r g an iz a c i ó n

EQ U IPO D E TR A B A JO

COM UN ICA C IÓ N C O O R D IN A C IÓ N

IN TEG R A C IÓ N

TR A N SFER EN C IA D E C O NOC IM IEN TO

M e to d o l o g ía p a r a e l A n á l i s i s y v a l o r a c i ó n d e R i e s g o s e n P T I

E q u i p o A s e s o r d e l a M e t o d o l o g ía

Eq u i p o d e l C l i e n t e U NC , U SC , U EN

Eq u i p o d e l C l i e n t e U NC , U SC , U EN

Á r ea s d e A p o y o d e l r e s t o d e l a O r g an iz a c i ó n

Á r e a s d e A p o y o d e l r e s t o d e l a O r g an iz a c i ó n

EQ U IPO D E TR A B A JO

COM UN ICA C IÓ N C O O R D IN A C IÓ N

IN TEG R A C IÓ N

TR A N SFER EN C IA D E C O NOC IM IEN TO

Figura 2: Esquema de trabajo en el proyecto

11.2.3. ESTABLECIMIENTO DE LA LOGÍSTICA DE ADMINISTRACIÓN

El propósito es definir cuales son las actividades que van apoyar y controlar la

administración del proyecto. Estas actividades dependen de cada empresa,

respetando su cultura y manera de ejecutar este tipo de proyectos, algunas de

ellas son:

• Realizar un recorrido por las instalaciones con el equipo de trabajo, aquí

se busca conocer el entorno de trabajo, la asignación de una oficina y

los recursos necesarios (escritorios, sillas, teléfonos, red, Internet, entre

otras) para el normal desarrollo del proyecto.

Page 67: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

64

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

• Definir el cronograma (Plan de trabajo) que contenga las actividades, las

fechas de inicio y terminación, los responsables de ejecutarlas, los

recursos, el presupuesto y los productos o informes que se deben

elaborar y entregar.

• Definir el formato de los informes de avance, presentaciones y actas.

• Definir reuniones de seguimiento con el equipo del proyecto.

• Definir las reuniones periódicas de informe de avance o presentaciones

con el comité directivo del proyecto y las áreas dueñas para quienes se

está realizando el trabajo.

FASE 2: INICIACIÓN DEL PROYECTO

Es importante para llevar a cabo de una manera exitosa el proyecto contar con

el apoyo de la alta gerencia, por esto es necesario tener una permanente

comunicación con la dirección mediante informes de avances y presentaciones

que den una idea de cómo va el desarrollo del proyecto.

En esta fase se busca lanzar el proyecto con el fin de que la alta gerencia y las

áreas a las cuales se les va a hacer el trabajo lo conozcan, apoyen, participen y

se comprometan con ejecución y desarrollo hasta el final.

Después de que los involucrados, tanto áreas usuarias como equipo de

proyecto y alta gerencia, lo conocen, se desarrollan las actividades de

conocimiento del negocio, solicitud de requerimientos de información y el plan

de entrevistas de una manera más ágil y oportuna donde se evidencia

claramente si hay apoyo o no al proyecto.

Page 68: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

65

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

El siguiente mapa muestra cada una de las actividades que se deben llevar a

cabo en esta fase de Iniciación:

IN IC IO DEL PROYECTO

4 . Reunión de lanzam iento de l p royecto

5. Conocim ien to de l N egoc io 6. So lic itud de Reque rim ien tos

de in form ac ión . 7 . P lan de Entrevis tas

IN IC IO DEL PROYECTO

4 . Reunión de lanzam iento de l p royecto

5. Conocim ien to de l N egoc io 6. So lic itud de Reque rim ien tos

de in form ac ión . 6 . So lic itud de Reque rim ien tos

de in form ac ión . 7 . P lan de Entrevis tas

Figura 3: Actividades de la Fase de Iniciación del Proyecto

REUNIÓN DE LANZAMIENTO DEL PROYECTO

Preparar una presentación que muestre los beneficios, el plan, los productos y

el equipo de trabajo, al grupo gerencial con el fin de confirmar el apoyo y lograr

el compromiso de cada una de las áreas dentro del alcance para asegurar el

éxito del proyecto.

CONOCIMIENTO DEL NEGOCIO

El equipo se debe hacer una idea general del negocio, los procesos en los que

se realizará el trabajo, la infraestructura de TI, instalaciones etc.

La mecánica para la realización consta de 2 partes:

• Solicitud de unos requerimientos de información básica.

• Presentaciones de los usuarios y dueños de tecnología

Page 69: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

66

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

SOLICITUD DE REQUERIMIENTOS DE INFORMACIÓN

El equipo de trabajo debe hacer una solicitud a las áreas involucradas en el

estudio sobre la información necesaria para realizar el proyecto. Esta solicitud

se hace a través de una plantilla que recoja los requerimientos y la información

necesarios para conocer el negocio y sobre todo el área objeto del análisis.

PLAN DE ENTREVISTAS

Se debe elaborar un plan de entrevistas con las personas que conocen los

procesos, las aplicaciones y la infraestructura, donde se indique la fecha, hora y

lugar de la reunión. Es conveniente que las reuniones no sean muy extensas,

máximo de dos (2) horas, ya que se tiende a perder la información

suministrada.

FASE 3: GESTIÓN DEL RIESGO

Esta fase está destinada a identificar, evaluar, valorar y controlar los riesgos, la

frecuencia y severidad con que se pueden presentar y el grado de aceptabilidad

que tendría el proyecto o la organización si ocurriera dicho riesgo evaluado.

Para comenzar con el análisis y la valoración se requiere utilizar el mismo

lenguaje y que conceptualmente todos estemos de acuerdo para que el análisis

sea lo más objetivo posible y para poder lograrlo es necesario retomar algunas

definiciones hechas al principio de este documento:

Amenaza: Persona, objeto, situación o evento natural del entorno (externo o

interno) que es visto como fuente de peligro, catástrofe o interrupción y pueden

ser de origen natural tecnológico y social. Ejemplos: sismos, inundación,

Page 70: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

67

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

avalanchas, incendio, explosiones, robo de datos, sabotaje, ausencia del plan

de contingencias, insuficiente gestión de monitoreo, aplicativos mal diseñados,

secuestro, fraude, etc. También se define como un riesgo no evaluado. Es

necesario cuantificarla para poder tomar decisiones (Administración de

Riesgos). En síntesis podemos definir que la amenaza es una percepción del

algo que puede ocurrir.

Riesgo: Definimos el riesgo como la probabilidad de que la amenaza se

materialice, debido a la existencia de una o varias vulnerabilidades de peso

significativo. El riesgo es difícil de medir, sobretodo, cuando no se cuenta con

datos estadísticos que lo respalden o avalen, por la tendencia de las

organizaciones a ocultar incidentes, la localización geográfica, las culturas,

leyes, criticidad, situación país, etc. También se define como una amenaza

evaluada en cuanto a su probabilidad de ocurrencia (Frecuencia) y a la

gravedad de sus consecuencias (Severidad).

Riesgo Informático: Es un suceso incierto que puede llegar a presentarse en

un futuro con la probabilidad de Generar Consecuencias NEGATIVAS que

afecten el ambiente informático o la información.

Probabilidad/Frecuencia: Es el numero de veces que se da un evento. Ver

también posibilidad y probabilidad. También se define como el número de veces

que una amenaza deja de serlo para convertirse en realidad, a lo largo de un

determinado periodo de tiempo.

Gravedad/Severidad/Impacto: Es la evaluación del efecto y consecuencia del

riesgo. Generalmente, la exposición al riesgo se mide en aspectos económicos,

imagen de las personas o empresas, disminución de capacidad de respuesta y

competitividad, interrupción de operaciones, etc. Efecto que causa en la

Page 71: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

68

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

organización la ocurrencia de un siniestro o contingencia y que normalmente se

ve reflejado en la suspensión de las actividades normales del negocio. También

se define como el económico de la materialización de una amenaza, se requiere

involucrar gastos directos, indirectos y pérdidas consecuenciales.

Valor del riesgo: Riesgo = Probabilidad X Gravedad (R = PxG)

Siniestro: Todo evento accidental, súbito e imprevisto (repentino, no planeado),

que normalmente genera consecuencias negativas sobre un sistema.

Control: Control es toda acción orientada a minimizar la frecuencia de

ocurrencia de las causas del riesgo o valor de las pérdidas ocasionadas por

ellas. Los controles sirven para asegurar la consecución de los objetivos de la

organización o asegurar el éxito de un sistema y para reducir la exposición de

los riesgos, a niveles razonables. Los objetivos básicos de los controles son:

Prevenir las causas del riesgo, detectar la ocurrencia de las causas del riesgo,

retroalimentando el sistema de control interno con medios correctivos.

Con las anteriores definiciones, esta etapa de análisis y valoración pretende

identificar y calificar los riesgos que pueden presentarse alrededor del proyecto

de tecnología de información siguiendo una serie de pasos basados en el

siguiente mapa que muestra cada una de las actividades que se deben llevar a

cabo en esta fase.

Page 72: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

69

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

G E S T IÓ N D E L R IE S G O

C o n t r o l F ís i c o

¿ S e a c e p t a e l r ie s g o ?

Id e n t i f i c a c i ó n

A n á l i s i s y V a l o r a c i ó n

R e t e n c i ó n

T r a n s f e r e n c i a

S I

N O A n á l i s i s d e R e s u l t a d o s

G E S T IÓ N D E L R IE S G O

C o n t r o l F ís i c o C o n t r o l F ís i c o

¿ S e a c e p t a e l r ie s g o ? ¿ S e a c e p t a e l r ie s g o ?

Id e n t i f i c a c i ó n Id e n t i f i c a c i ó n

A n á l i s i s y V a l o r a c i ó n A n á l i s i s y V a l o r a c i ó n

R e t e n c i ó n R e t e n c i ó n

T r a n s f e r e n c i a T r a n s f e r e n c i a

S I

N O A n á l i s i s d e R e s u l t a d o s A n á l i s i s d e R e s u l t a d o s

Figura 4: Diagrama de Administración de Riesgos

Cada paso debe realizarse para dos entornos:

• Procesos Vs. Tecnología de Información: Tomar como referencia los

procesos que tienen asociada la tecnología informática.

• Tecnología de Información Vs. Tecnología Informática, es decir analizar

cada recurso de la tecnología informática evaluando el hardware,

software, aplicaciones, comunicaciones, red, instalaciones físicas donde

se encuentra ubicado o vaya a funcionar el proyecto a implantar.

IDENTIFICACIÓN

La identificación de riesgos consiste en determinar qué tipos de riesgos es más

probable que afecten al proyecto de tecnología de información y documentar las

características de cada uno.

Page 73: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

70

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

La identificación de riesgos no es un suceso que se produzca en un instante

determinado; debe desarrollarse de una manera regular a lo largo de todo el

proyecto.

Es difícil generalizar acerca de los riesgos de una organización o de un

proyecto porque las condiciones y operaciones son distintas, pero existen

formas de identificarlos entre las cuales están:

• Herramientas de identificación de riesgos: Las más importantes

herramientas usadas en la identificación de riesgos incluyen: registros

internos de la organización, listas de chequeo, cuestionarios de análisis

de riesgos, flujos de procesos, análisis financiero, inspecciones,

entrevistas, tormenta de ideas, entre otras.

• Aproximación de combinación: La aproximación preferida en la

identificación de riesgos consiste de una aproximación de combinación,

en el cual todas las herramientas de identificación de riesgos están

hechas para tolerar problemas. En pocas palabras cada herramienta

puede resolver una parte del problema y combinados pueden ser una

considerable ayuda al administrador de riesgos. Esto significa que

dependiendo de lo que quiera analizar puede utilizar una u otra y

combinar el resultado de las que utilizó. Por ejemplo: las entrevistas y los

cuestionarios y hacer análisis cruzados de ambos instrumentos, con el fin

de disminuir la subjetividad en el análisis.

Para facilitar la identificación de los riesgos en un proyecto de tecnología de

información es muy útil apoyarse en el siguiente diagrama:

Page 74: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

71

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Hitos

PL ANEACIÓN EJECUCIÓN Y CONTROL

In f lu en c ias Ex tern as Ac t i v i d ades fu era de l alcan ce

In f l uen c ias In te rn as

Res is ten c ia al Cam b io

Pro b lem as Urgen tes

P lazo s

RIESGOS

La ges t ión de Riesgos es una respons ab il idad de to dos lo s in teg ran tes del Pro yec to .

El anál is is y g es t ión d e lo s r ies gos del Pro yec to es una acc ión con t inu a y d in ám ic a.

Hitos Hitos

PL ANEACIÓN EJECUCIÓN Y CONTROL PLANEACIÓN PLANEACIÓN EJECUCIÓN Y CONTROL

In f lu en c ias Ex tern as Ac t i v i d ades fu era de l alcan ce

In f l uen c ias In te rn as

Res is ten c ia al Cam b io

Pro b lem as Urgen tes

P lazo s

RIESGOS

La ges t ión de Riesgos es una respons ab il idad de to dos lo s in teg ran tes del Pro yec to .

El anál is is y g es t ión d e lo s r ies gos del Pro yec to es una acc ión con t inu a y d in ám ic a.

Figura 5: Identificación de riesgos del proyecto

A continuación se presenta una serie de preguntas y respuestas que sirven

como lista de chequeo al momento de hacer la identificación de los riesgos en

las diferentes fases del proyecto:

¿Por qué un proyecto de tecnología de información falla? Ver el siguiente

diagrama

P l a n e a c i ó n n o e x i s t e o e s i n a d e c u a d a

F a l l a s e n l a E j e c u c i ó n . Im p l a n t a c i ó n m a l

c o o r d i n a d a . F a l t a d e F o c o y C o n t r o l

L a s R e s i s t e n c i a s a l C a m b i o n o f u e r o n

i d e n t i f i c a d a s y t r a t a d a s o p o r t u n a m e n t e .

F a l t a d e d e c i s i o n e s o p o r t u n a s .

R i e s g o s e s p e c íf i c o s d e l p r o y e c t o

• N o s e p r a c t ic ó lo q u e s e p la n te ó . • N o s e c a p a c i tó a d e c u a d a m e n te . • N o s e c a m b ió la c u ltu ra . • L a s o lu c ió n e s in a d e c u a d a . • N o s e c u m p lie ro n lo s o b je t iv o s . • R e tr a s o s y r e p ro c e s o s .

F A L L A

P l a n e a c i ó n n o e x i s t e o e s i n a d e c u a d a

P l a n e a c i ó n n o e x i s t e o e s i n a d e c u a d a

F a l l a s e n l a E j e c u c i ó n . Im p l a n t a c i ó n m a l

c o o r d i n a d a . F a l t a d e F o c o y C o n t r o l

F a l l a s e n l a E j e c u c i ó n . Im p l a n t a c i ó n m a l

c o o r d i n a d a . F a l t a d e F o c o y C o n t r o l

L a s R e s i s t e n c i a s a l C a m b i o n o f u e r o n

i d e n t i f i c a d a s y t r a t a d a s o p o r t u n a m e n t e .

L a s R e s i s t e n c i a s a l C a m b i o n o f u e r o n

i d e n t i f i c a d a s y t r a t a d a s o p o r t u n a m e n t e .

F a l t a d e d e c i s i o n e s o p o r t u n a s .

F a l t a d e d e c i s i o n e s o p o r t u n a s .

R i e s g o s e s p e c íf i c o s d e l p r o y e c t o

R i e s g o s e s p e c íf i c o s d e l p r o y e c t o

• N o s e p r a c t ic ó lo q u e s e p la n te ó . • N o s e c a p a c i tó a d e c u a d a m e n te . • N o s e c a m b ió la c u ltu ra . • L a s o lu c ió n e s in a d e c u a d a . • N o s e c u m p lie ro n lo s o b je t iv o s . • R e tr a s o s y r e p ro c e s o s .

F A L L A F A L L A

Figura 6: Identificación de riesgos del proyecto

Page 75: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

72

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Puede existir un riesgo en la PLANEACIÓN del proyecto cuando:

• No existe una clara definición de los objetivos y expectativas para el

Proyecto.

• No se formalizó un Cronograma que establezca los tiempos para las

actividades, los plazos, los hitos y productos, y fuera validado por el

Equipo y Comité Directivo del proyecto.

• No se han asignado miembros del Equipo que cumplan los requisitos de

competencia, que estén comprometidos y tengan la independencia para

generar las soluciones.

• No se han establecido las responsabilidades y roles de cada miembro del

Equipo.

• No se ha establecido la forma de integración con otros Proyectos, cuáles

son los “inputs” y “outputs”, las dependencias, los eventos que deberán

ocurrir, responsables, y qué actividades deberán los equipos trabajar

coordinadamente.

Puede existir un riesgo en la EJECUCIÓN Y CONTROL del proyecto

cuando:

• Las decisiones no son tomadas oportunamente, causando probables

retrasos.

• No se obtiene el compromiso y apoyo del patrocinador a lo largo de la

ejecución y control del proyecto

• No se ejecuta el plan de capacitación del equipo y de las personas

involucradas.

Page 76: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

73

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

• El nivel de dedicación de cada miembro del equipo y otras personas

involucradas no es adecuada o no cumple la definición del plan.

• No se entregan informes/ productos adecuados, completos y según la

periodicidad definida.

• No se documentan las mejoras y metodologías

• No se obtiene la adecuada participación y compromiso de los

involucrados.

• No se identifican los problemas reales / potenciales y no se toman las

acciones correctivas y preventivas adecuadas.

Puede existir un riesgo en el proyecto debido a una RESISTENCIA AL

CAMBIO cuando:

• Los involucrados no entienden con claridad las razones para los

cambios.

• Existe una incompatibilidad entre los valores actuales y los cambios

• Los involucrados perciben que sus jefes y otras personas o grupos

políticamente importantes en la Organización no apoyan el cambio.

• Los involucrados creen que los cambios impactarán negativamente la

forma en que ellos se relacionan hoy.

• Existe presión o influencia externa al proyecto.

Para ayudar en el análisis de las amenazas y los riesgos se requiere:

• Identificar los riesgos internos de los procesos con cada elemento de

tecnología informática asociado al proyecto de tecnología de información.

Page 77: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

74

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

• Realizar una lista de chequeo de las amenazas internas que puedan

presentarse en forma accidental o intencional en la Empresa con relación

a la tecnología informática asociado al proyecto de tecnología de

información.

• Identificar los riesgos externos de los procesos por cada elemento de

tecnología informática asociado al proyecto de tecnología de información.

• Realizar un chequeo del entorno en los fenómenos naturales, el

ambiente geopolítico, el ambiente tecnológico, el ambiente ecológico y el

sistema sociocultural que rodea la Organización para definir las

amenazas a las que puede estar expuesto el proyecto de tecnología de

información de la Empresa.

Para facilitar la identificación de los riesgos en la infraestructura en un proyecto

de tecnología de información es muy útil apoyarse en el siguiente diagrama:

C o m p o n e n t e s d e l a T e c n o l o g ía d e i n f o r m a c i ó n

R E D

S E R V ID O R

U S U A R IO

M O T O R D E B A S E S D E D A T O S

S e g u r i d a d F ís i c a y l ó g i c a

O P E R A D O R

A P L IC A C IO N E S

S IS T E M A O P E R A T IV O

E N T O R N O

U N IX U N IX

A L M A C E N A M IE N T O , R E S P A L D O Y R E C U P E R A C IÓ N

IN F R A E S T R U C T U R A E N S U C O N J U N T O

C o m p o n e n t e s d e l a T e c n o l o g ía d e i n f o r m a c i ó n

R E D

S E R V ID O R

U S U A R IO

M O T O R D E B A S E S D E D A T O S

S e g u r i d a d F ís i c a y l ó g i c a

O P E R A D O R

A P L IC A C IO N E S

S IS T E M A O P E R A T IV O

E N T O R N O

U N IX U N IX

A L M A C E N A M IE N T O , R E S P A L D O Y R E C U P E R A C IÓ N

IN F R A E S T R U C T U R A E N S U C O N J U N T O

Figura 7: Escenarios donde se identifican riesgos de la Infraestructura de TI.

Page 78: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

75

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Una vez identificadas las amenazas y los riesgos se elaboran las siguientes

matrices:

Elaborar la matriz de eventos con relación a los procesos de la Empresa y

la matriz de eventos con relación a la tecnología informática.

La matriz de eventos, denominada escenario de riesgos con relación a los

procesos se construye con las amenazas y con los procesos que tiene la

tecnología informática. La combinación Proceso – Amenaza (fila, columna) lo

denominaremos Evento o escenario de riesgos, tal como se muestra a

continuación en la Tabla N° 1.

Tabla Nro 1. Matriz de Eventos o escenarios con relación a Procesos

Procesos / Amenazas A1 A2 An

P1 P1,A1 P1,A2 P1,An

P2 P2,A1 P2,A2 P2,An

Pn

P1= proceso 1, P2= proceso 2 …… Pn= proceso n

A1= amenaza 1, A2= amenaza 2 …… …. An= amenaza n

P1,A1 = E1, es el evento 1 de que en el proceso 1 ocurra la amenaza 1.

Estas matrices se elaboran de acuerdo con el criterio experto del responsable

del proceso y de la tecnología informática.

A manera de ejemplo, si tenemos los procesos de Administrar Recursos

Humanos, Administrar Finanzas, Desarrollar y Mantener Sistemas/Tecnología,

Page 79: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

76

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Administrar Servicios Legales que poseen tecnología informática asociada a

sus procesos y las amenazas de: fallas en sistemas de información, fallas en la

aplicación (OneWorld), fallas en la red de comunicaciones, entre otros, se

elabora la siguiente tabla:

Tabla Nro 2. Ejemplo Matriz de Eventos o escenarios con relación a Procesos Procesos/Amenazas Fallas en Sistemas de

Información Fallas en

ONEWORLD Fallas en la Red de Comunicaciones

Administrar Recursos Humanos –P1­

Falta de funcionamiento del Sistema de

Información de Nomina – A1­

No disponibilidad del Módulo AR­A2­

No disponibilidad del Switche ATM –

A3­

Administrar Finanzas –P2­

Falta de funcionamiento del Sistema de

Información Financiero – A4­

Desarrollar y Mantener Sistemas/Tecnología –P3­

Falla en el backup On­line de

Oneworld ­A5­ Falla en el backup

Off­line de Oneworld –A6­

Administrar Servicio Legales –P4­

Falta de funcionamiento del Sistema Documental

Mercurio –A7­

De igual forma se obtiene la matriz de eventos con relación a la tecnología

informática, para analizar las posibles amenazas que pueden llegar a sufrir los

recursos informáticos, asociándolos con la letra T como se muestra en la Tabla

Nro 3:

Page 80: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

77

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Tabla Nro 3. Ejemplo Matriz de Eventos o escenarios con relación a la

Tecnología Informática Tecnología Informática /

Amenazas No Funcionamiento

de Equipos Fallas en Sistema

Operativo Fallas en la Red de Comunicaciones

Servidor de Desarrollo ­ T1­

Problemas de lectura en el disco duro ­A1­

Servidor de Correo ­T2­ Falla en tarjetas de red ­A2­

Switche ATM ­T3­ Switche ATM fuera de servicio ­A3­

Switche ATM fuera de servicio ­A4­

Centro de Cómputo Sede Administrativa ­T4­

Inundación de equipos ­A5­

Centro de Computo Alterno ­T5­

Inundación de equipos –A6­

ANÁLISIS Y VALORACIÓN

Una vez que los riesgos han sido identificados el administrador de riesgos debe

evaluarlos. El paso a seguir es hacer el análisis y la valoración. En esta

actividad se tiene como objetivo, una vez definidos los riesgos, la determinación

y cálculo de los criterios que, con posterioridad, nos facilitarán la evaluación y

valoración del riesgo.

Como procedimiento a seguir se identificarán las variables específicas y se

analizarán los factores obtenidos. Los criterios de análisis del riesgo para este

caso en particular que usaremos son: Probabilidad o frecuencia, gravedad o

impacto y la aceptabilidad del riesgo.

Para poder hacer el análisis y la valoración del riesgo es necesario elaborar las

escalas de probabilidad y gravedad en que se pueden presentar las amenazas.

Estas dos tablas tienen como finalidad obtener una calificación del riesgo en

cuanto a frecuencia o posibilidad de ocurrencia y en cuanto a la consecuencia o

gravedad si se llegara a materializar la amenaza.

Page 81: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

78

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Ambas escalas son generadas por los responsables del proceso y de la

tecnología informática en forma estándar para la empresa o el proyecto, ya que

las consecuencias de un determinado evento o amenaza es diferente para cada

proyecto.

El termino probabilidad se refiere a la posibilidad de ocurrencia (frecuencia)

que puede tener el riesgo evaluado, a los valores o niveles de probabilidad se le

asigna un valor relativo (cualquiera); generalmente por facilidad de manejo se

utilizan valores enteros. Ver ejemplo en la Tabla Nro 4:

Tabla Nro 4. Ejemplo para una Escala de Probabilidad

Valor Probabilidad Definición

1 Improbable

Se presenta bajo circunstancias extremas de orden público en el país, de catástrofe o bajo situaciones excepcionales fuera del alcance de la organización o del proyecto. Como paros, huelgas, sabotajes o amenazas de terrorismo.

2 Remoto Se presenta por situaciones atribuibles a las personas, y pueden ser causadas por hechos internos de la organización hacia el proyecto como suspenderlo, no apoyarlo, abortarlo, entre otras.

3 Ocasional El evento se clasifica como no­rutinario y no es inherente a la tecnología, su frecuencia se asocia con variables externas a la tecnología, los procesos o componentes del proyecto.

4 Moderado Se presenta por situaciones atribuibles al descuido o error humano que afectan la ejecución del proyecto.

5 Frecuente Se presenta con cierta regularidad, y su causa es atribuible a los recursos mínimos del proyecto (Personas, presupuesto, tiempo, tecnología) los cuales son necesarios para su ejecución.

6 Constante

Se presenta en el día a día, su origen es atribuible a situaciones normales del proyecto como interrupciones menores de los procesos, los servicios de la tecnología, la desviación de los recursos y otros similares.

IMPROBABLE: Cuando el riesgo evaluado no ha sucedido hasta ahora y es

muy difícil que ocurra.

REMOTO: Cuando el riesgo evaluado ha sucedido sólo en forma excepcional y

se tiene una posibilidad de ocurrencia muy baja.

Page 82: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

79

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

OCASIONAL: Cuando el riesgo evaluado ha sucedido pocas veces y tiene baja

posibilidad de ocurrencia.

MODERADO: Si el riesgo sucede en forma esporádica y tiene limitada

posibilidad de ocurrencia.

FRECUENTE: Si el riesgo sucede algunas veces y tiene una significativa

posibilidad de ocurrencia.

CONSTANTE: Cuando el riesgo evaluado sucede en forma reiterada y tiene

alta posibilidad de ocurrencia.

El termino gravedad se refiere a la magnitud en términos relativos de las

consecuencias que pueden generarse al ocurrir la amenaza evaluada. La tabla

de gravedad, debe construirse en forma estándar para la empresa; a

continuación se muestra un ejemplo mediante la Tabla Nro 5:

Tabla Nro 5. Ejemplo para una Escala de Gravedad Valor Gravedad

1 Insignificante: La duración de la interrupción es menor a 1 hora.

2 Marginal: La duración de la interrupción esta entre 1­ 4

Page 83: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

80

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Valor Gravedad

horas.

5 Grave: La duración de la interrupción esta entre 4­8 horas.

10 Crítico: La duración de la interrupción esta entre 8­24 horas.

Page 84: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

81

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Valor Gravedad

20 Desastroso: La duración de la interrupción esta entre 24­ 36 horas.

Page 85: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

82

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Valor Gravedad

50 Catastrófico: La duración de la interrupción es mayor a 36 horas.

INSIGNIFICANTE: Cuando las consecuencias (impacto) pueden ser

consideradas como despreciables porque que no afectan el funcionamiento del

proyecto.

MARGINAL: Cuando las consecuencias (impacto) se consideran tolerables

(moderadas) porque afectan en forma leve al proyecto.

GRAVE: Cuando las consecuencias (impacto) afectan parcialmente el

funcionamiento del proyecto, pero no ponen en peligro su ejecución.

Page 86: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

83

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

CRÍTICO: Se valora la consecuencia (impacto) en términos considerables

porque dichas consecuencias afectan parcialmente al proyecto desplazando su

ejecución.

DESASTROSO: Las consecuencias afectan totalmente al proyecto,

desplazando su ejecución y aumentando los costos del mismo de lo

inicialmente presupuestado.

CATASTRÓFICO: Cuando las consecuencias se consideran de gran magnitud

porque afectan en forma total el proyecto pudiendo poner en riesgo la

estabilidad del mismo e inclusive impidiendo su terminación.

Para la construcción de estas tablas o escalas de probabilidad y gravedad se

toma como referencia la experiencia propia del equipo de trabajo y la

percepción del mismo.

Podemos hablar con el término riesgo cuando la amenaza se evalúa con las

escalas de probabilidad y gravedad. El próximo paso entonces, de esta etapa,

es calificar los riesgos multiplicando el valor del riesgo en cuanto a probabilidad

por el valor del riesgo en cuanto a gravedad

Riesgo = Probabilidad X Gravedad (R = PxG)

Tal como se muestra en la Tabla Nro 6 tomando como referencia el ejemplo de

la Tabla Nro 2. Matriz de Eventos o escenarios en cuanto a Procesos:

Page 87: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

84

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Tabla Nro 6. Ejemplo para la Calificación del Riesgo con relación a los

procesos.

ENTORNO DE PROCESOS PROBABILIDAD P GRAVEDAD G RIESGO Administrar Recursos Humanos con falta de funcionamiento del Sistema de Información ­P1A1­

Ocasional 3 Catastrófico 50 150

Administrar Recursos Humanos sin disponibilidad del Módulo AR de OneWorld. ­P1A2­

Moderado 4 Crítico 10 40

Administrar Finanzas con falta funcionamiento del Sistema de Información ­P2A4­

Ocasional 3 Crítico 10 30

Desarrollar y Mantener Sistemas/Tecnología con fallas en el backup Off­line de OneWorld. –P3A6­

Frecuente 5 Catastrófico 50 250

Riesgo = P X G

Donde:

P = Probabilidad de ocurrencia (frecuencia)

G = Gravedad o intensidad de las consecuencias (impacto)

De igual forma ocurre con el análisis de la tecnología informática, con el

siguiente ejemplo de la Tabla Nro 7 tomando como referencia la Tabla Nro 3.

Matriz de Eventos con relación a la Tecnología Informática

Tabla Nro 7. Ejemplo para la Calificación del Riesgo con relación a la

Tecnología

ENTORNO DE TECNOLOGÍA PROBABILIDAD P GRAVEDAD G RIESGO Servidor de desarrollo con problemas de lectura en el disco duro ­T1A1­ Remoto 2 Crítico 10 20 Servidor de Correo con falla en las tarjetas de red ­T2A2­ Moderado 4 Insignificante 1 4 Switche ATM fuera de servicio ­T3A4­ Ocasional 3 Catastrófico 50 150 Centro de Cómputo Sede Administrativa con inundación de equipos ­T4A5­ Remoto 2 Catastrófico 50 100

Page 88: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

85

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Elaborar la Matriz de Aceptabilidad, que nos permita determinar el nivel de

aceptabilidad hacia el riesgo: La Matriz de Aceptabilidad de Riesgos nos

determina el nivel de aceptabilidad del evento o escenario (combinación de

riesgo­proceso, o combinación de riesgo­tecnología) que pueda suceder en el

proyecto.

Esta matriz está conformada por cuatro zonas de acuerdo con la escala de

probabilidad y de gravedad definida en los pasos anteriores:

Zona Aceptable: Donde la probabilidad de ocurrencia del riesgo es muy baja,

es decir, un evento o escenario situado en esta región de la matriz, significa que

la combinación frecuencia ­ consecuencia no implica una gravedad significativa,

por lo que no amerita la inversión de recursos y no requiere acciones

adicionales para la gestión sobre el factor de vulnerabilidad considerado,

diferentes a las ya aplicadas en el proyecto.

Zona Tolerable: Un evento o escenario situado en esta región de la matriz,

significa que, aunque deben desarrollarse actividades para la gestión sobre el

riesgo en el proyecto, tienen una prioridad de segundo nivel, pudiendo ser a

mediano plazo.

Zona Inaceptable: Donde la probabilidad de ocurrencia del riesgo es alta, y su

consecuencia es considerable, es decir, un evento o escenario situado en esta

región de la Matriz, significa que se requiere siempre desarrollar acciones

prioritarias a corto plazo para su gestión, debido al alto impacto que tendrían

sobre el proyecto.

Zona Inadmisible: Un evento o escenario situado en esta región de la matriz,

significa que bajo ninguna circunstancia se deberá mantener un escenario con

esa capacidad potencial de afectar la estabilidad del proyecto e inclusive su

Page 89: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

86

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

terminación. Por ello estos escenarios requieren una atención de alta prioridad

para buscar disminuir en forma inmediata su vulnerabilidad.

Para determinar los límites de cada una de las zonas de aceptabilidad en la

matriz, se utilizan los siguientes criterios de valoración:

ZONA CRITERIO DE ACEPTABILIDAD (% de vulnerabilidad)

Aceptable Hasta el 3.0 Tolerable Del 3.1 al 5.0 Inaceptable Del 5.1 al 25.0 Inadmisible Más del 25.0

PROBABILIDAD RELATIVA

Constante 6 6 (2.0%) 12 (4.0%) 30 (10.0%) 60 (20.0%) 120 (40.0%) 300 (100%) Frecuente 5 5 (1.6%) 10 (3.3%) 25 (8.3%) 50 (16.5%) 100 (33.0%) 250 (83.0%) Moderado 4 4 (1.3%) 8 (2.6%) 20 (6.6%) 40 (13.3%) 80 (26.0%) 200 (66.0%) Ocasional 3 3 (1.0%) 6 (2.0%) 15 (5.0%) 30 (10.0%) 60 (20.0%) 150 (50.0%) Remoto 2 2 (0.6%) 4 (1.3%) 10 (3.3%) 20 (6.6%) 40 (13.3%) 100 (33.0%)

Improbable 1 1 (0.3%) 2 (0.6%) 5 (1.6%) 10 (3.3%) 20 (6.6%) 50 (16.5%) 1 2 5 10 20 50

Insignificante Marginal Grave Crítico Desastroso Catastrófico

GRAVEDAD RELATIVA

Cada evento o escenario (PnAn), resultante de la matriz de eventos con

relación a los procesos y a la tecnología informática, se sitúa dentro de la matriz

de aceptabilidad para poder determinar los requerimientos de medidas de

control como insumos necesarios para la próxima etapa o fase que es la de

Control.

La experiencia muestra que los riesgos no identificados son lo que comúnmente

causan graves problemas a los afectados, por presentarse sin que exista

ningún plan concreto para controlarlos y por eso conllevan efectos desastrosos.

Page 90: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

87

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Es importante efectuar una evaluación cuidadosa de los riesgos y sus causas,

ya que todo resultado erróneo conllevará a un exceso o a una deficiencia de

medidas de control físico, lógico o a la toma de decisiones equivocadas en el

control financiero.

La Matriz de Aceptabilidad del riesgo está determinada por la escala de

probabilidad tomada de la Tabla Nro 4 y la escala de gravedad basada en la

Tabla Nro 5 con la definición de los valores de aceptable, tolerable, inaceptable

e inadmisible como se muestra a continuación en la Tabla Nro. 8:

Tabla Nro. 8. Matriz de Aceptabilidad

PROBABILIDAD RELATIVA

Constante 6 Aceptable Tolerable Inaceptable Inaceptable Inadmisible Inadmisible Frecuente 5 Aceptable Tolerable Inaceptable Inaceptable Inadmisible Inadmisible Moderado 4 Aceptable Aceptable Inaceptable Inaceptable Inadmisible Inadmisible Ocasional 3 Aceptable Aceptable Tolerable Inaceptable Inaceptable Inadmisible Remoto 2 Aceptable Aceptable Tolerable Inaceptable Inaceptable Inadmisible

Improbable 1 Aceptable Aceptable Aceptable Tolerable Inaceptable Inaceptable 1 2 5 10 20 50

Insignificante Marginal Grave Crítico Desastroso Catastrófico GRAVEDAD RELATIVA

Continuando con el ejemplo ilustrado en la Tabla Nro. 6, la Matriz de

Aceptabilidad para el entorno de procesos se muestra en la Tabla Nro. 9:

Tabla Nro. 9. Matriz de Aceptabilidad para el entorno de Procesos

PROBABILIDAD RELATIVA Constante 6 Frecuente 5 ­P3A6­ Moderado 4 ­P1A2­ Ocasional 3 ­P2A4­ ­P1A1­ Remoto 2

Improbable 1

Page 91: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

88

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

1 2 5 10 20 50 Insignificante Marginal Grave Crítico Desastroso Catastrófico

GRAVEDAD RELATIVA

La Matriz de Aceptabilidad para el entorno de tecnología informática se muestra

en la Tabla Nro 10 tomando los valores de la Tabla Nro 7:

Tabla Nro 10. Matriz de Aceptabilidad para el entorno de tecnología informática

PROBABILIDAD RELATIVA

Constante 6 Frecuente 5 Moderado 4 ­T2A2­ Ocasional 3 ­T3A4­ Remoto 2 ­T1A1­ ­T4A5­

Improbable 1 1 2 5 10 20 50

Insignificante Marginal Grave Crítico Desastroso Catastrófico GRAVEDAD RELATIVA CONTROL

11.4.2.1. Perfil de los riesgos

El conjunto de todos los eventos o escenarios ubicados en la matriz de

aceptabilidad configura el perfil de los riesgos para el proyecto o sistema y que

se realiza para el entorno de los procesos y la tecnología informática:

Administrar recursos humanos, administrar finanzas, desarrollar y mantener

sistemas/tecnología, administrar servicios legales, entre otros.

11.4.2.2. Patrones normales de distribución

Los patrones normales de distribución son propios de la actividad particular del

proyecto o sistema; por ejemplo, no es lo mismo la distribución típica en un

proyecto de obra civil o de infraestructura que en un proyecto de tecnología

informática.

Page 92: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

89

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

A continuación se presentan los patrones de distribución de referencia de los

eventos o escenarios. Estos patrones son indicadores de la confiabilidad del

estado global de riesgos de un proyecto o sistema. Un sistema con patrones

anormales en la distribución de los riesgos presenta una gran incertidumbre

sobre los resultados de su manejo.

ZONA DISTRIBUCION DE EVENTOS O ESCENARIOS Aceptable Mínimo el 60% Tolerable Máximo el 30% Inaceptable Máximo el 10% Inadmisible Ningún Escenario TOTAL 100%

11.4.2.3. Cálculo del índice de distribución de eventos o escenarios, IDE

Conocida la calificación de aceptabilidad de cada evento o escenario, se suman

cuántos de ellos están en cada nivel y se calcula lo que representan

porcentualmente del total de escenarios.

Continuando con el ejemplo, el total de escenarios evaluados es de 4 para el

entorno de procesos que se muestra en la Tabla Nro 9, tomando los valores de

la Tabla Nro 6, de ellos 2 están en el nivel inaceptable y 2 en el nivel de

inadmisible; Entonces su distribución sería como se muestra en la siguiente

tabla:

Procesos NIVEL ESCENARIOS DISTR. REAL DISTR. NORMAL

Aceptable 0 0% Mín. 60% Tolerable 0 0% Máx. 30% Inaceptable 2 50% Máx. 10% Inadmisible 2 50% 0% TOTAL 4 100% 100%

Page 93: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

90

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Para el entorno de tecnología informática, el total de escenarios evaluados es

de 4 como se muestra en la Tabla Nro 10 y tomando los valores de la Tabla Nro

7, de ellos 1 está en el nivel aceptable, 1 en el nivel de inaceptable y 2 en el

nivel de inadmisible; Entonces su distribución sería como se muestra en la

siguiente tabla:

Tecnología Informática NIVEL ESCENARIOS DISTR. REAL DISTR. NORMAL

Aceptable 1 25% Mín. 60% Tolerable 0 0% Máx. 30% Inaceptable 1 25% Máx. 10% Inadmisible 2 50% 0% TOTAL 4 100% 100%

Nota: La Metodología se aplica bajo los mismos criterios definidos, pero en

forma separada para los procesos y para la tecnología informática, como lo

ilustra el ejemplo trabajado en este documento

11.4.3. CONTROL

Esta fase consiste en identificar y analizar las soluciones disponibles para tratar

los riesgos estudiados en las etapas anteriores, con el fin de reducir la

frecuencia y severidad de las pérdidas, en caso de que los riesgos identificados

se materialicen.

Control es toda acción orientada a minimizar la frecuencia de ocurrencia de las

causas del riesgo o valor de las pérdidas ocasionadas por ellas. Los controles

sirven para asegurar la consecución de los objetivos de la organización o

asegurar el éxito de un sistema y para reducir la exposición de los riesgos, a

niveles razonables. Los objetivos básicos de los controles son: Prevenir las

causas del riesgo, detectar la ocurrencia de las causas del riesgo,

Page 94: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

91

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

retroalimentando el sistema de control interno con medios correctivos para

establecer las respectivas medidas de protección y permitiendo así la

continuidad de la organización o el proyecto que esté en ejecución.

En gráfico siguiente muestra cuales son las actividades que se deben seguir

para tener un buen control de riesgos en el proyecto que se está desarrollado.

C O N T R O L D E R IE S G O S

P r e v e n c i ó n

C O N T R O L D E R IE S G O S

F í s i c o / L ó g i c o

P r o t e c c i ó n P r o t e c c i ó n

F i n a n c i e r o

T r a n s f e r i r R e t e n e r

Control Físico/Lógico: En esta actividad se definen dos alternativas

fundamentales para obtener un buen control del riesgo:

Prevención: Estudio exhaustivo de las alternativas lógicas conducentes a

reducir en la medida de lo posible, los causas que originan la materialización de

un riesgo.

Son aquellas medidas tendientes a minimizar las causas que puedan provocar

una pérdida teniendo en cuenta los procesos, la gente y la tecnología.

Page 95: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

92

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Protección: Conjunto de actividades encaminadas a reducir la severidad del

impacto causado por la materialización de un riesgo. Actúan sobre las

consecuencias.

Son aquellas medidas tendientes a reducir la severidad de la pérdida, es decir

en caso de que ésta suceda, reduzca las consecuencias al mínimo, tendiendo

en cuenta los procesos, la gente y la tecnología.

Control Financiero: En esta actividad se definen dos alternativas

fundamentales la de retener y la de transferir el riesgo:

Retener: Consiste en proveer los medios hoy, para el estado de necesidad, que

la materialización de un riesgo pueda causar en el futuro. De acuerdo con la

capacidad financiera de la organización, se pueden asumir los riesgos que se

determinen después de analizar la matriz de riesgos. Se asumen generalmente

los riesgos de baja probabilidad de ocurrencia y baja severidad (riesgos no

catastróficos).

Uno de los mecanismos que se pueden definir en la organización o en el

proyecto para tratar los riesgos que se consideren se pueden asumir es el fondo

de auto seguro que consiste en reservar el dinero para anticiparse a las

consecuencias de una pérdida que se podría generar al materializarse el riesgo

asumido y previamente calculado su posible costo.

Transferir: Es el traslado del riesgo a una compañía aseguradora mediante el

pago de una prima. (Contrato de seguro). Consiste también en la transferencia

contractual de los riesgos a los contratistas y subcontratistas de la organización

o de los que interviene en el desarrollo del proyecto.

Page 96: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

93

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

Análisis de resultados: Cualquier proceso requiere de un “feedback” o

retroalimentación, para mantenerse en el tiempo y hacerse flexible ante los

múltiples y vertiginosos cambios que se viven en las organizaciones y con

mayor razón en los proyectos y especialmente en los de tecnología de

información.

Cuando ocurren cambios en el proyecto, es ciclo básico de identificación,

evaluación, análisis y valoración de riesgos se repite. Es importante comprender

que incluso el análisis más profundo y completo no puede identificar todos los

riesgos y probabilidades correctamente; se requiere un control y una iteración.

“ Los riesgos son dinámicos y deben ser monitoreados permanentemente”

Page 97: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

94

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

12. RECOMENDACIONES

• La metodología aquí definida y documentada se convierte en una

herramienta clave para la organización Informática de Empresas Públicas

de Medellín E.S.P. porque a través de su utilización y aplicación le facilita

identificar, evaluar, controlar y valorar los riesgos de los proyectos de

tecnología de información que emprenda la corporación, mejorando la

gestión con el fin de disminuir el impacto de la tecnología en los costos,

recursos y el tiempo al entrar en producción.

• La aplicación de esta metodología, deberá realizarse en todas las etapas

de los proyectos de tecnología de información haciéndola extensiva a

contratistas, subcontratistas y proveedores que la empresa adelante en

este campo específico.

• Es importante oficializar esta metodología y definir los mecanismos que

faciliten su utilización, para que la organización Informática de Empresas

Públicas de Medellín E.S.P. la aplique en todos los proyectos de

tecnología de información que emprenda con el fin de poder diseñar e

implementar otras estrategias que permitan gerenciar y controlar los

nuevos tipos de riesgos que están relacionados con estos proyectos.

• El foco del proyecto de tecnología de información debe entonces estar no

sólo encaminado a procurar el hardware y el software necesario para

resolver las necesidades del proceso de negocio sino que también debe

buscar los medios materiales, económicos y humanos para que en el caso

de la materialización de un riesgo las pérdidas sean mínimas o incluso se

pueda evitar la inviabilidad del proyecto como tal. En este sentido la

Page 98: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

95

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

metodología cubre una gama de aspectos éticos, socioculturales,

económicos, administrativos y tecnológicos que le permitirán al director o

gerente de tecnología informática tener un dominio integral sobre cada

aspecto de la ejecución del proyecto garantizando su continuidad y sin por

ello descuidar otros aspectos de su operación o administración.

• Es importante que la alta gerencia tenga una formación sólida en todo este

tipo de conceptos, para que no caigan en el error de delegar este tipo de

decisiones o proyectos en los técnicos puristas, provocando con ello una

desarticulación entre la estrategia del negocio y la tecnología de

información.

Page 99: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

96

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

13. CONCLUSIONES

• Estamos, sin duda, en la era de la información: Adquirir equipos, obtener

servicios y acortar las distancias para estar informados, es una posibilidad

tecnológica vuelta obsesión. Esto hace que la información adquiera gran

importancia y un valor incalculable, y que por lo tanto haya que tomar

todas las medidas necesarias para protegerla. El contar con una

metodología que nos ayude a identificar, evaluar, controlar y valorar los

riesgos en los proyectos de tecnología de información en la organización

es una de las herramientas claves para ayudar a proteger la información

que se genera y maneja en este tipo de proyectos, además que facilita la

terminación de los mismos según lo planeado.

• Para definir la metodología de análisis y valoración de riesgos en

proyectos de tecnología de información se tuvo en cuenta las tres

dimensiones fundamentales que componen una organización informática a

nivel mundial: Los procesos; la gente y la tecnología, sin olvidar que la

parte más importante es la gente, la que hace que los procesos y la

tecnología funcionen.

• El esfuerzo metodológico desarrollado en este documento, en donde se

integraron los conceptos de la administración de riesgos y la gerencia de

proyectos, es aplicable a cualquier empresa puesto que la metodología

descrita, en sí no tiene restricciones específicas.

• Lo trascendental en la implementación de la metodología es como cada

empresa percibe la ocurrencia y la consecuencia de los riesgos en la

ejecución de los proyectos de tecnología que la empresa A, B o C

adelanten en este sentido.

Page 100: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

97

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

• La gestión del riesgo en los proyectos de tecnología de información ha de

ser una preocupación constante en las entidades y a nivel de toda la

organización, especialmente de la alta dirección, que no es

exclusivamente un problema técnico y de técnicos; pero que será aplicado

en forma diferente según la empresa y el momento.

• La competencia basada en tecnología de información se está volviendo

cada día más fuerte y agresiva, y el contar con la metodología de análisis y

valoración de riesgos como una herramienta clave de gestión, ayuda a que

la organización enfrente este nuevo reto que se plantea en el siglo XXI, el

siglo de era de la información, el nuevo poder.

Page 101: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

98

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

14. BIBLIOGRAFÍA

[Mejía, 2001] Rubi Consuelo Mejía Quijano, Diplomatura en Control y Auditoría,

TextoGuía, Universidad EAFIT, Medellín, Agosto de 2001, 133 p.

[EE.PP.M. , 1999] Empresas Públicas de Medellín, Administración de Riesgos,

Guía de Control Administrativo No. 12, Cartilla Guía, Medellín, Marzo de 1999,

24 p.

[EE.PP.M. , 1999] Empresas Públicas de Medellín, Metodología Análisis de

Riesgos y Vulnerabilidad, Unidad de Riesgos y Seguros, Medellín, Marzo de

1999, 37 p.

[EE.PP.M.­1, 1999] Empresas Públicas de Medellín, Plan General de

Emergencias, Guía de Control Administrativo No. 13, Cartilla Guía, Medellín,

Marzo de 1999, 20 p.

[EE.PP.M., 1999] Empresas Públicas de Medellín, Sistema de Control Interno,

Equipo de Planeación y Desarrollo del Control, Dirección de Control Interno,

Medellín, Julio de 1999, 57 p.

[SUMA , 2000] SUMA Corredores de Seguros S.A., Metodología de Análisis de

Riesgos y Vulnerabilidad (AR&V) para el Metro de Medellín, Documento Guía,

Medellín, Febrero de 2000, 13 p.

Mauricio Zuluaga Ruiz Director Departamento Administrativo de la Función

Pública Bogotá, Administración del Riesgo, Cartilla Guía, Bogotá, Diciembre de

2001, 32 p.

Page 102: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

99

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

[Rojas, 1996]Francisco Abanal Rojas, Cómo se hace un Plan Estratégico,

Modelo de Desarrollo en una Empresa, 1996, 512 p.

Monsalve Suescun Ismael, Eusse Restrepo Iván Darío. Análisis Cuantitativo del

Riesgo. Medellín, 2001. 78p. Monografíia de Grado (Especialista en Finanzas,

preparación y Evaluación de Proyectos). Universidad de Antioquia. Facultad de

Ingeniería.

Gabriel Baca Urbina. Evaluación de Proyectos, Tercera Edición. 339p.

Business Continuity Planning, A Necessity in New E­Commerce Era

Disaster Recovery Jounal, Agosto 2000.

Hewlett­Packard Company, 2000.

Cost and Effect: Using Integrated Cost Systems to Drive Profitability and

Performance.

Harvard Business School, 1997

Project Management for Mission Critical Systems.

A Handbook for Government Executives

Information Technology Resources Board, Abril 2001.

Business Continuity: New risks, new imperatives and a new approach

International Business Machines Coporations, 1999.

Computer Crime Costs on the Rise

Computerworld, 20 Abril 1998.

Page 103: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

100

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

MIT Business Continuity Plan

Massachusetts Institute of Technology, 1995.

Computer Related Risks

International Business Machines Corp, 1990.

Disaster Tolerant Solutions for Mission­Critical Computing, White Paper

Project Management for Mission Critical Systems

A Handbook for Government Executives.

Development Information Systems, A New Paradigm in Software Development:

Complexity Begets Complexity – A Vicious Cycle, White Paper

Page 104: METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS …€¦ · acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación:

101

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

15. REFERENCIAS

Stratus Technologies Corp.

http://www.stratus.com

Sungard Corp.

http://www.sungard.com

Gartner Group

http://www.gartner.com

IDC Corp.

http://www.idc.com

Aberdeen Group, Inc.

http://www.aberdeen.com

Price WaterHouse Coopers Inc.

http://www.pwcglobal.com/

KPMG Inc.

http://www.kpmg.com

Project Management Institute

http://www.pmi.org