TEMA 2.- Modelos de gestión de riesgos Cuantitativos. Grado en Seguridad Nebrija. Curso 15-16. Juan, Ejercicios de Derecho Administrativo. Universidad Antonio de Nebrija
melowh
melowh

TEMA 2.- Modelos de gestión de riesgos Cuantitativos. Grado en Seguridad Nebrija. Curso 15-16. Juan, Ejercicios de Derecho Administrativo. Universidad Antonio de Nebrija

PDF (961 KB)
23 páginas
3Número de visitas
Descripción
Asignatura: Derecho Administrativo, Profesor: Juan Jose Delgado, Carrera: Derecho (On-line), Universidad: Nebrija
20 Puntos
Puntos necesarios para descargar
este documento
Descarga el documento
Vista previa3 páginas / 23
Esta solo es una vista previa
3 páginas mostradas de 23 páginas totales
Descarga el documento
Esta solo es una vista previa
3 páginas mostradas de 23 páginas totales
Descarga el documento
Esta solo es una vista previa
3 páginas mostradas de 23 páginas totales
Descarga el documento
Esta solo es una vista previa
3 páginas mostradas de 23 páginas totales
Descarga el documento

TEMA 2.- MODELOS CUANTITATIVOS DE GESTIÓN DE

RIESGOS

Facultad de Ciencias Sociales

Profesor: Juan José Delgado Morán

Grado en Seguridad

Asignatura; Análisis de riesgos y planificación de la seguridad

Juan José Delgado Morán

Grado en Seguridad. Asignatura Análisis de riesgos y planificación de la seguridad Curso 2015/2016

1.- LOS MODELOS DE GESTIÓN DE RIESGOS: INTRODUCCIÓN ..................................... 3

2.- MODELOS DE ANÁLISIS DE RIESGOS CUANTITATIVOS ............................................ 3

3.- DESARROLLO DE UN MODELO DE RIESGO CUANTITATIVO ................................... 6

3.- HERRAMIENTAS DE ANÁLISIS DE RIESGOS CUANTITATIVOS .............................. 12

4.- MODELOS CUANTITATIVOS: EL MÉTODO MONTECARLO ..................................... 14

5.- MODELOS CUANTITATIVOS: EL MÉTODO MAGERIT ............................................... 15

6.- MODELOS CUANTITATIVOS: EL MÉTODO OCTAVE ALLEGRO ............................. 17

Grado en Seguridad. Asignatura Análisis de riesgos y planificación de la seguridad Curso 2015/2016

[3]

1.- LOS MODELOS DE GESTIÓN DE RIESGOS: INTRODUCCIÓN

Durante el temario de la asignatura Análisis de Riesgos y Planificación de la Seguridad,

dedicaremos diferentes epígrafes a explicar los diferentes análisis de riesgos en los

sectores de interés para la asignatura, dedicando previamente los temas 2,3 y 4 a plantear

inicialmente el escenario habitual del análisis de riesgos según los diferentes métodos

existentes. Los modelos de análisis de riesgos que pueden ser utilizados en un

determinado sector, pasan necesariamente por tener una idea concreta, o una relación de

amenazas y vulnerabilidades que lógicamente obedecerán a las peculiaridades propias del

sector en que se desarrolle el análisis.

Este escenario será obviado por el momento dirigiendo nuestra atención como se expone,

a tener ya considerados, identificados y clasificados los riesgos así como las

consecuencias de cada factor de riesgo con el fin de establecer los niveles de riesgo de

nuestro análisis que determinara los factores de riesgo potencial con mayor incidencia en

nuestro análisis.

De este modo, servirá este tema para observa las distintas herramientas con las que cuenta

el analista para desarrollar su prospección y que dependiendo de los riesgos existentes,

requerirán un análisis cuantitativo, cualitativo o un análisis hibrido entre estos,

dedicándose este segundo tema, al análisis de riesgos mediante los métodos cuantitativos.

2.- MODELOS DE ANÁLISIS DE RIESGOS CUANTITATIVOS

Como exponíamos en el primer tema, la evaluación del riesgo es un enfoque sistemático

que analiza las secuencias de eventos y las relaciones entre los distintos incidentes o

accidentes posibles, identificando los puntos débiles del sistema u organización. Este

proceso de evaluación de riesgos se caracteriza en tres etapas:

1) Análisis del riesgo, que proponga respuestas a la pregunta sobre qué podría

suceder y cuáles son las probabilidades y las consecuencias de un evento de riesgo.

Un análisis de riesgo puede ser realizado de forma cualitativa o cuantitativa o

mediante una combinación de ambas.

Grado en Seguridad. Asignatura Análisis de riesgos y planificación de la seguridad Curso 2015/2016

[4]

2) Un enfoque basado en un escenario, que analiza un conjunto definido de

escenarios apropiados, con un análisis distinto para cada uno.

3) Un enfoque sistemático, que investiga un sistema en su conjunto mediante un

proceso global que incluya todos los escenarios relevantes que pueden tener

influencia en el riesgo, generando indicadores del riesgo para todo el sistema.

Para una concreta asunción en la tarea de evaluación de riesgos, se muestra necesario el

conocer las amenazas concretas que pudieran llegar a materializarse, siendo estas

susceptibles de provocar consecuencias negativas para el interés analizado, requiriéndose

la atención ante determinadas amenazas y determinando la prioridad entre unas y otras.

Este enfoque generalmente utiliza varios contextos posibles para ser abordado, y que son

denominados como contextos cualitativos o cuantitativos, o incluso contexto hibrido,

semicualitativos o semicuantitativos, utilizándose cualquiera de estos modelos, al objeto

de permitan determinar la severidad de los riesgos identificados y analizados

previamente.

La utilización de modelos de análisis de riesgos aporta beneficios tales como:

A) Automatización de la toma de decisiones que mejora la eficiencia y reducción

de costes

B) Objetividad en la toma de decisiones y la garantía de que el resultado ofrecido

será siempre el mismo ante idénticas circunstancias.

C) Capacidad de sintetizar cuestiones complejas e ingentes que determina el perfil

de riesgo de la organización

Aun estos conocidos beneficios, hay que destacar que la utilización de modelos también

repercute en costes y riesgos entre los cuales destacamos:

D) El coste económico y el coste de recursos humanos dedicados a su desarrollo

y materialización.

E) El propio riesgo de confiar en los resultados ofrecidos por un modelo de análisis

de riesgos mal aplicado, incorrectamente manipulado o erróneamente escogido

entre otros modelos que pueden ofrecer unos resultados inapropiados al objeto del

análisis

Grado en Seguridad. Asignatura Análisis de riesgos y planificación de la seguridad Curso 2015/2016

[5]

Los métodos cuantitativos se emplean habitualmente en el caso de los análisis del riesgo

sistémicos, e donde las probabilidades de materializarse el riesgo y sus consecuencias

para diferentes indicadores de daños (por ejemplo en términos de muertes, de heridos, de

pérdidas materiales, de interrupciones de servicio etc) y el riesgo resultante es estimado

de forma cuantitativa mediante la adecuada consideración económica de los factores más

importantes del sistema.

Por lo tanto, los modelos que se basan en una metodología cuantitativa, asignan valores

económicos a los riesgos concretos, teniendo como referencia de este modelo, la

determinación de una pérdida económica potencial que se ve asociada a la consecución

de la, o las amenazas determinadas, permitiendo asignar valores de ocurrencia a los

diferentes riesgos identificados, con la finalidad de, calcular el nivel de riesgo del

proyecto

Esta peculiaridad del modelo cuantitativo de tener necesariamente que dotar de un valor

económico concreto al conjunto de variables que permitan obtener resultados precisos

permiten asignar valores de ocurrencia a los diferentes riesgos identificados, es decir,

calcular el nivel de riesgo del proyecto, con un único inconveniente sobre los activos

intangibles.

Esta potencial pérdida en caso de materializarse el riesgo, puede ser calculada mediante

determinadas fórmulas matemáticas y que se denomina formula de Expectativa de

Perdida anual (ALE), dotando de una mayor objetividad los resultados de las

evaluaciones mediante métodos cuantitativos, que ofrece al analista un resultado que

muestre a la organización, las relaciones de costo-beneficio que determinen la asignación

de recursos a atajar determinados riesgos de seguridad o al menos reducir las pérdidas

derivadas de tales riesgos identificados. Se consideran métodos cuantitativos a aquellos

que incluyen:

o Tecnicas de análisis de probabilidad

o Tecnicas de análisis de consecuencias

o Tecnicas de simulación computacional

Grado en Seguridad. Asignatura Análisis de riesgos y planificación de la seguridad Curso 2015/2016

[6]

3.- DESARROLLO DE UN MODELO DE RIESGO CUANTITATIVO

Los análisis de riesgos basados en métodos cuantitativos están fundamentados en la

medición de las probabilidades de ocurrencia a través de cuatro etapas.

1.- Selección de las funciones de probabilidad

2.- Identificación de las variables sobre las que se medirá el riesgo

3.- Simulación computacional de las evaluaciones

4.- Perfil de Riesgo

1º ETAPA.-SELECCIÓN DE LAS FUNCIONES DE PROBABILIDAD

Identificadas las variables de riesgos por el analista interesara a este conocer el

comportamiento de estas variables ante la función de probabilidad asociada a cada una de

las variables que se ven afectadas por el riesgo identificado, esto es reflejar a través de

una función matemática, la explicación de la variable riesgo definida para esta. Entre las

funciones de distribución de probabilidad más usuales y de sencilla aplicación podemos

destacar las siguientes:

A) Funciones de distribución triangulares

Mediante la función (grafica) triangular podemos asignar un minino y un máximo de

manera predeterminada, asignando entre estas, el valor más probable de ocurrencia que

se verá reflejado a través de una función o diagrama triangular. La aplicación que pretende

esta función es la estimación de la probabilidad.

B) Funciones de distribución uniformes

Mediante la función (grafica) uniforme, podemos asignar unos mininos y máximos

predeterminados en donde estos tienen todos la misma probabilidad de acaecer, siendo el

rango de variables entre el máximo y mínimo establecido, igualmente probable de

sucederse en el escenario propuesto por el analista.

C) Funciones de distribución discretas

Grado en Seguridad. Asignatura Análisis de riesgos y planificación de la seguridad Curso 2015/2016

[7]

Mediante la función (grafica) discreta, queda abierta la posibilidad que se le asocie a cada

variable independientemente de los valores conocidos a considerar por el analista, que

asignara probabilidades al cumplimiento de cada valor.

Analizadas las funciones descritas, en donde se vean expresadas las variables de riesgo

seleccionadas por el analista estas se representaran mediante la gráfica que mejor describa

y refleje el comportamiento de la variable, en donde la selección de las funciones de

riesgo previamente definidas, tienen asignadas una distribución de probabilidad una vez

arrojado el resultado computarizado. Estos resultados expresados por los valores

asignados a través de la simulación, obedecerán a un resultado determinado entre un valor

mínimo y máximo según se le solicite.

- Valor Mínimo: Valor inferior que puede alcanzar la variable que se está

analizando.

- Valor Máximo: Valor superior que puede alcanzar la variable que se está

analizando.

- Valor más probable: Valor que el usuario considera que, en condiciones

normales, tomará la variable que se está analizando.

Otro tipo análisis de variables solicitan el valor estimado y la probabilidad de ocurrencia

asociada a dicho valor de modo qua a cada valor se le asocia una probabilidad:

A)- Valor 1: Un valor posible que el usuario asigna a la variable que se está

analizando

- Probabilidad 1: Probabilidad de ocurrencia que el usuario considera para el

valor 1

B)- Valor 2: Segundo valor posible que el usuario asigna a la variable que se está

analizando

- Probabilidad 2: Probabilidad de ocurrencia que el usuario considera para el

valor 2

Grado en Seguridad. Asignatura Análisis de riesgos y planificación de la seguridad Curso 2015/2016

[8]

ETAPA 2 - IDENTIFICACIÓN DE LAS VARIABLES SOBRE LAS QUE MEDIR

EL RIESGO.

Para poder cuantificar numéricamente le riesgo es necesario previamente poder

identificar las variables sobre las que se medirá dicho riesgo, siendo necesario que las

variables escogidas sean representativas del valor analizado por el analista de riesgos. Los

diferentes métodos utilizados en los análisis cuantitativos se basan generalmente en los

siguientes criterios:

A) Métodos basados en el balance económico de la organización

B) Métodos basados en la cuente de resultados de la organización

C) Métodos basados en el descuento de flujo de la organización

D) Métodos basados en la creación de Valor

ETAPA 3- SIMULACIÓN COMPUTACIONAL

Identificados los riesgos por el analista a través de cualquiera de los métodos cuantitativos

elegido para analizar el riesgo, introduce los valores asignados afectados por el riesgo en

una herramienta computerizada, cuantificándose a través de la herramienta el proceso de

simulación del riesgo a través de millares de interacciones entre variables, con la finalidad

de obtener una muestra lo suficientemente representativa de a realidad, generándose de

forma aleatoria, millares de posibles valores para todas las variables de riesgos y situados

todos ellos entre los intervalos establecidos previamente definidos por el analista como

se describe en la etapa primera.

Esta simulación computacional permite a la organización alcanzar cierto grado de certeza,

ocurrencia o probabilidad sobre los diferentes posibles escenarios que ofrecen los

resultados

Grado en Seguridad. Asignatura Análisis de riesgos y planificación de la seguridad Curso 2015/2016

[9]

ETAPA 4 - GENERACIÓN DE INFORMES Y OBTENCIÓN DEL PERFIL DE

RIESGO

Todas estas etapas descritas tiene el objeto de llegar a la fase en que los resultados

obtenidos ofrecen un informe donde se expongan las conclusiones del perfil de riesgo que

ha arrojado la muestra obtenida a través de las diferentes interacciones efectuadas,

tratando de interpretar a través de la simulación, la representación más cercana a la

realidad.

Estos informes que también pueden elaborarse mediante gráficos serán los siguientes:

1) Histogramas

2) Perfil de riesgos

3) Valor en riesgo

4) Grafica Tornado

5) Análisis de escenarios

1.- HISTOGRAMA

La grafica mediante histogramas informa acerca de posibles valores a tomar por las

variables del modelo y la probabilidad asociada a cada uno de ellos, que podrán ser

alcanzados con un nivel de confianza determinado (probabilidad de ocurrencia asociada

al valor).

Grado en Seguridad. Asignatura Análisis de riesgos y planificación de la seguridad Curso 2015/2016

[10]

2.- PERFIL DE RIESGO

La grafica mediante el perfil de riesgo expone lo que podría constituir la curva de perfil

de riesgo de un determinado activo, empresa, región, etc., respecto de los riesgos que le

afectan, obteniendo una visión del riesgo que facilite la toma de decisiones más óptima

en cada momento del ciclo de vida de la organización. Cuánto más riesgo exista, más

amplio será el rango de posibles resultados, dando lugar a una curva más horizontal.

Cuanto más vertical sea la representación, menos incertidumbre llevara asociado el

proyecto.

- Eje X es el rango entero de valores del resultado

- Eje Y es la probabilidad de ocurrencia acumulada

3.- VALOR EN RIESGO

La grafica mediante el valor en riesgo arroja una cuantificación de este que mide la peor

pérdida esperada o el peor escenario propuesto por el analista en las condiciones normales

y con un nivel de confianza dado, y que oscila generalmente al 95% Por ejemplo si se

obtiene que el Valor en Riesgo anual de un análisis es de 1 millón de euros con un nivel

de confianza del 95%, quiere decir que solo existe cinco posibilidades entre 100, bajo

condiciones normales del mercado, de que ocurra una pérdida superior a un millón de

euros, resumiendo esta cifra, su exposición al riesgo de mercado en condiciones normales,

sin considerar otras situaciones extremas.

Grado en Seguridad. Asignatura Análisis de riesgos y planificación de la seguridad Curso 2015/2016

[11]

4.- GRAFICA TORNADO

La grafica tornado permite identificar los factores de mayor riesgo del análisis,

informando al analista de aquellas variables con mayor impacto en la viabilidad de la

organización. La lista de variables que muestra la gráfica tornado, estarán ordenadas en

función del impacto en el valor actual neto analizado, ayudando a determinar aquellas

variables que se deberán priorizar al contener un riesgo relevante dentro del análisis.

5.- ANÁLISIS DE ESCENARIOS

Una vez que se ha realizado la simulación mediante el modelo de riesgos definido

previamente, y habiéndose determinado el interés específico que tiene cada una de las

variables de riesgo para la organización, deberán ser identificados aquellos riesgos que

mayor repercusión tendrán en la viabilidad del análisis. Estas variables consideradas de

mayor relevancia dentro del análisis, se les prestar especial atención pudiendo ser objeto

de ser evaluadas por separado mediante diferentes escenarios a los que hacerles frente, ya

sea mediante expectativas optimistas y pesimistas del comportamiento de la variable. Este

Grado en Seguridad. Asignatura Análisis de riesgos y planificación de la seguridad Curso 2015/2016

[12]

proceso de análisis de escenarios se desarrolla generalmente mediante los siguientes

pasos:

ETAPA 1- ANÁLISIS DE RIESGO

En esta etapa se identifican las variables de riesgo y se construye el modelo de riesgos,

definiendo la tendencia y el rango de las variables de riesgo, utilizando una herramienta

computacional.

ETAPA 2- SELECCIÓN VARIABLE CRÍTICA

En esta etapa se analiza las variables identificadas como críticas sobre las que se puede

actuar y reducir el nivel de riesgo.

ETAPA 3- DEFINICIÓN DE ESCENARIOS

En esta etapa se puede asignar valores optimistas o pesimistas a una determina variable

que se quiera observar, extrayendo hipótesis sobre el comportamiento de dicha variable

en estos escenarios.

ETAPA 4- SIMULACIÓN CON NUEVOS ESCENARIOS

En esta etapa igualmente se puede someter a estresores a las variables con escenarios

optimistas o pesimistas, con el ánimo de obtener resultados diferentes a los definidos

previamente y comparar los perfiles de riesgo en ese nuevo escenario, para evaluar

estrategias alternativas que mejores el perfil de riesgo.

3.- HERRAMIENTAS DE ANÁLISIS DE RIESGOS CUANTITATIVOS

El análisis cuantitativo de riesgos, como su nombre lo indica, atribuye un valor numérico

a cada riesgo en particular. Pudiendo representar la cantidad de dinero que una

Grado en Seguridad. Asignatura Análisis de riesgos y planificación de la seguridad Curso 2015/2016

[13]

organización o una empresa perderán si determinado evento considerado como un riesgo

sucede. Estimando valores realistas para las consecuencias y la probabilidad en donde el

nivel de riesgo se obtiene en unidades específicas definidas. Por ejemplo, mediante

análisis estadísticos de sucesos a nivel histórico, etc. Los inconvenientes de estos métodos

son su complejidad y la gran cantidad necesaria de información. El análisis cuantitativo

expresa la cantidad más aproximada posible que le constaría a la empresa u organización

así como los efectos secundarios de esta pérdida. Información está, para cualquier

organización o cualquier empresa, vital para saber cuánto dinero podría perder ante

determinado evento. El analista calculara estas probabilidades mediante un análisis

cuantitativo para extraer las CONSECUENCIAS y la PROBABILIDAD de

materializarse un RIESGO a partir de datos existentes incluyendo entre estos las tasas de

ataque o penetración contra la organización u empresa así como las tendencias del

mercado previas.

Estimar el parámetro CONSECUENCIAS, supondrá conocer los posibles efectos

adversos que se puedan desatar, decidiendo el analista la atribución de una magnitud para

cada posible impacto y determinando dentro de una escala la ponderación ante escenarios

que aunque puedan suponer un impacto menor en un plazo dado, a su vez pueden suponer

un impacto critico en el coste, determinando el analista que nivel de desfavorabilidad es

más pertinente tomar.

Estimar el parámetro PROBABILIDAD, supone la determinación del nivel de ocurrencia

de un suceso una vez evaluadas sus causas o las fuentes del peligro. La probabilidad

generalmente acude a hechos y ocurrencias históricas mediante técnicas de predicción ya

que la probabilidad de que un suceso se desencadene, requerirá necesariamente de la

combinación de las probabilidades de sus causas o fuentes, de ahí la importancia de

conocer dichas fuentes de riesgo.

Estimar el parámetro RIESGO, supone combinar los parámetros de consecuencias y

probabilidad una vez estimados estos y que se puede representar mediante una matriz.

Estos parámetros definidos en el caso de estimarse mediante herramientas cuantitativas,

obedecerán al objeto del análisis y generalmente al carácter de la organización dado que

determinada herramientas serán más propicias para unos sectores, mientras que otras

serán menos pertinentes. Las herramientas de análisis de riesgo cuantitativas más

Grado en Seguridad. Asignatura Análisis de riesgos y planificación de la seguridad Curso 2015/2016

[14]

utilizadas para nuestro interés serán las que se basen en modelos de simulación, como las

que sugerimos seguidamente y explicaremos muy brevemente para en temas siguientes

abordar un análisis de riesgos mediante una de estas técnicas a través de un motor de

simulación computerizada.

A) MÉTODO DE MONTECARLO

B) MÉTODO MAGERIT

C) MÉTODO OCTAVE ALLEGRO

4.- MODELOS CUANTITATIVOS: EL MÉTODO MONTECARLO

El llamado Método Montecarlo propuesto por Neumann y Ulam, se denomina así en

referencia a “la capital del juego de azar” y se basa en, una amplia visión para mostrar

múltiples posibles escenarios, aplicando una sencilla forma de llevarlo a la práctica,

gracias a la ayuda computerizada que puedan ofrecer las diferentes simulaciones

analizadas. Las simulaciones del análisis Montecarlo, utilizan un modelo de proyecto que

traduce las incertidumbres específicas a un nivel detallado en impacto potencial sobre los

objetivos de la organización. Las simulaciones propuestas por el analista, utilizan

modelos de computación y estimaciones de riesgo normalmente expresadas como una

distribución de probabilidad de costes de un sistema para analizar el comportamiento

esperado o rendimiento del sistema. Para usar la simulación Monte Carlo se debe tener 3

estimaciones (muy probable, pesimista, optimista) más una estimación de la probabilidad

de la estimación existente entre los valores más optimistas y probables.

Este método trata de representar la realidad mediante un modelo de riesgo matemático

asignando valores de manera aleatoria a las distintas variables del modelo de forma que

se puedan obtener diferentes escenarios y diferentes escenarios posibles ante estos. Este

método se basa en la realización de las interacciones suficientes, esto es, la asignación de

valores de una forma aleatoria, para que los resultados de la muestra, puedan ser

representativa de la realidad. Estas interacciones requieren en determinados análisis, el

acudir a potentes programas informáticos Los resultados que se obtienen mediante las

interacciones que propone este método extraen conclusiones relevantes tales como los

Grado en Seguridad. Asignatura Análisis de riesgos y planificación de la seguridad Curso 2015/2016

[15]

valores medios, valores máximos y los valores mínimos del riesgo del proyecto así como

las probabilidades de ocurrencia de las distintas variables sobre las que se ha medido estos

5.- MODELOS CUANTITATIVOS: EL MÉTODO MAGERIT

El método MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de

Información) es una metodología de análisis de riesgos ligados a los sistemas de

información y los sistemas informáticos que la tratan.

El método MAGERIT persigue los siguientes objetivos

- Concienciar a los responsables de los sistemas de información de la existencia

de riesgos y de la necesidad de atajarlos a tiempo

- Ofrecer un método sistemático para analizar tales riesgos

- Ayudar a descubrir y planificar las medidas oportunas para mantener los

riesgos bajo control

- Apoyar la preparación a la organización para procesos de evaluación,

auditoría, certificación o acreditación, según corresponda en cada caso

El método MAGERIT describe los pasos para realizar un análisis del estado de riesgo y

para gestionar su mitigación, describiendo las tareas básicas de un proyecto de análisis y

gestión de riesgos, de sistemas de información, como los riesgos que las propias

aplicaciones introducen en el sistema.

En la realización de un Análisis y Gestión de Riesgos mediante el metodo MAGERIT, el

Analista de Riesgos, manejara seis elementos básicos:

•Activos

•Amenazas

•Vulnerabilidades

•Impactos

Grado en Seguridad. Asignatura Análisis de riesgos y planificación de la seguridad Curso 2015/2016

[16]

•Riesgo

•Salvaguardas (Funciones, Servicios y Mecanismos)

Para poder identificar estos elementos, es muy importante que el Analista de Riesgos

- Conozca, transmita y valore los aspectos de la seguridad de los Activos de su

Dominio;

- Comprenda su Vulnerabilidad o sea la posibilidad de ataque de cada Amenaza

- Valore el Impacto consecuente al posible ataque sobre cada uno de sus Activos.

ETAPA 1

En la Planificación del Análisis y Gestión de Riesgos se establecen las consideraciones

necesarias del proyecto, definiendo los objetivos que ha de cumplir y el ámbito que

abarcará, planificando los medios materiales y humanos para su realización e iniciando

materialmente el propio lanzamiento del proyecto

Grado en Seguridad. Asignatura Análisis de riesgos y planificación de la seguridad Curso 2015/2016

[17]

ETAPA 2

En el Análisis de riesgos se identifican y valoran los diversos elementos componentes del

riesgo, obteniendo una estimación de los umbrales de riesgo deseables.

ETAPA 3

En la Gestión de riesgos se identifican las posibles funciones y servicios de salvaguarda

reductores del riesgo calculado, y se seleccionan los riesgos aceptables en función de las

salvaguardas existentes.

ETAPA 4

En la Selección de salvaguardas se escogen los mecanismos de salvaguarda a implantarse

elaborando una secuencia de implantación, estableciéndose los procedimientos de

seguimiento para la implantación, recopilándose la información necesaria para obtener

los productos finales del proyecto y realizar las presentaciones de resultados.

Cada una de esta Etapas se subdividirán en 19 Actividades, y éstas a su vez en Tareas que

se detallan en la Guía de Procedimiento de MAGERIT que veremos en detalle en un tema

propio desarrollándolo a través de su herramienta PILAR, llevando a cabo un simulacro

de análisis computacional.

6.- MODELOS CUANTITATIVOS: EL MÉTODO OCTAVE ALLEGRO

El método OCTAVE (Operationally Critical Thereat, Asset and Vulnerability Evaluation)

es una marca de Carnegie Mellon Univeristy registrada en la oficina de patentes y

negocios de EEUU que evalúa los riesgos que afectan la seguridad dentro de una

organización, evaluando amenazas y vulnerabilidades de los recursos tecnológicos y

operacionales importantes de una organización.

Las funciones del analista que utilice la herramienta OCTAVE tendrá como análisis:

- Identificar los recursos importantes mediante encuestas y entrevistas.

- Realizar actividades de análisis de riesgo.

- Relacionar amenazas y vulnerabilidades.

Grado en Seguridad. Asignatura Análisis de riesgos y planificación de la seguridad Curso 2015/2016

[18]

- Crear estrategias de protección, planes de mitigación y diseñar políticas de

seguridad.

El método OCTAVE apunta a dos aspectos diferentes: riesgos operativos y prácticas de

seguridad, permitiendo a las compañías tomar decisiones de protección de información

basados en los riesgos de confidencialidad, integridad y disponibilidad de los bienes

relacionados a la información crítica.

El método OCTAVE a su vez, permite la comprensión del manejo de los recursos,

identificación y evaluación de riesgos que afectan la seguridad dentro de una

organización.

El Método OCTAVE ALLEGRO: Es una variante simplificada del método de Octave

que se centra en los activos de la información, que consta de ocho pasos organizados en

cuatro fases:

Grado en Seguridad. Asignatura Análisis de riesgos y planificación de la seguridad Curso 2015/2016

[19]

Fase 1

Evaluación de los participantes desarrollando criterios de medición del riesgo con las

directrices de la organización: la misión de la organización, los objetivos y los factores

críticos de éxito.

Fase 2

Cada uno de los participantes crean un perfil de los activos críticos de información, que

establece límites claros para el activo, identifica sus necesidades de seguridad, e identifica

todos sus contenedores.

Fase 3

Los participantes identifican las amenazas a la información de cada activo en el contexto

de sus contenedores.

Fase 4

Los participantes identifican y analizan los riesgos para los activos de información y

empiezan a desarrollar planes de mitigación.

Bibliografía

ÁVILA, D y GARCÍA GARCÍA, S. Entre el riesgo y la emergencia. Insinuaciones policiales en

la intervención social, Revista de Antropología Social, 2013.

AYMERICH LOBO, J. I., FERNÁNDEZ ISLA, G., GARCÍA ARANDA, M. y ITURMENDI

MORALES, G. Gerenciade riesgos y seguros en la empresa, Editorial MAPFRE,

Madrid. 1998.

BECK, U, “Teoría de la sociedad del riesgo”, en Josexto Beriain (comp.), Las consecuencias

perversas dela modernidad. Modernidad, contingencia y riesgo, Anthropos,

Barcelona,1996,

Grado en Seguridad. Asignatura Análisis de riesgos y planificación de la seguridad Curso 2015/2016

[20]

BESTARD, J, “Prólogo”, en Mary Douglas, La aceptabilidad del riesgo según las ciencias

sociales, Paidós Studio,Barcelona, 1996.

CALVO GARCÍA, M., «Políticas de Seguridad y Transformaciones del Derecho», La protección

de la seguridad ciudadana, Ed. I. MUÑAGORRI LAGUIA, OÑATI PROCEEDIGS, 18,

1995.

CASTEL, R. De la peligrosidad al riesgo. En ÁLVAREZ-URÍA, Fernando y VARELA, Julia.

Materiales de sociología crítica. Madrid: La Piqueta, 1986.

CARDONA, O.D. “Estimación Holística del Riesgo Sísmico utilizando Sistemas Dinámicos

Complejos” Universidad Politécnica de Cataluña, Barcelona. 2001.

Centro de Investigaciones Sociológicos, «Delincuencia y Seguridad », Estudios 2152, Abril,

Madrid, 2001..

CASARES SAN JOSÉ-MARTÍ, I. “Gerencia de riesgos asegurables”, Actuarios, nº 23, Julio-

Agosto. 2005.

CASARES SAN JOSÉ-MARTÍ, I. “La necesidad del control interno en las empresas: gerencia

de riesgos”, La Gaceta de los Negocios, 22/05/07, Madrid. 2007.

CIPOLLA, W. Administración de riesgos; visiónº técnica y su compatibilidad con la norma ISO-

9000. Evaluación de riesgos, impacto y consecuencias,2010.

DAMMERT, L. Ciudad y seguridad: más allá de la dicotomía entre prevención control. Actas

del congreso Ciudades, urbanismo y seguridad, 2007.

D. SARMIENTO, El soft law administrativo, Thomson-Civitas, Madrid, 2008.

DELGADO, J. La criminalidad organizada., Ed. J. M. BOSCH, Barcelona, 2001.

DOUGLAS, M, La aceptabilidad del riesgo según las ciencias sociales, Paidós Studio,

Barcelona.1996.

FERNÁNDEZ ROMERO, A. Dirección y planificación: estrategias en las empresas y

organizaciones. Madrid: Ed. Diaz de Santos, 2004.

FERNÁNDEZ ISLA, G. “La transferencia de riesgos”, Actuarios, nº 26, Julio. 2007

GÁNDARA, E, Delincuencia en el nivel local: delincuencia propia y delincuencia proyectada.

Actas del congreso Ciudades, urbanismo y seguridad, 2007.

GARCÍA AÑÓN, J, BRADFORD, B, GARCÍA SÁEZ, J A, et. al. Identificación policial por

étnico racial en España. Informe sobre experiencias yactitudes en relación con las

actuaciones policiales. Valencia: Tirant lo Blanch, 2013.

GARLAND, D., La cultura del control, Gedisa, Barcelona, 2005.

Grado en Seguridad. Asignatura Análisis de riesgos y planificación de la seguridad Curso 2015/2016

[21]

GOMEZ MARTÍN, «Libertad, seguridad y sociedad del riesgo», en La política criminal en

Europa, (dir. MIR/CORCOY), Atelier, Madrid, 2004.

GONZALO JAR, Couselo, Modelos Comparados de Policía, Ministerio del Interior, Dykinson,

Madrid. 2000.

GONZALEZ RODRÍGUEZ, Luis Gabriel y GONZALEZ MARTINEZ, Rafael, (1999) La

Seguridad Pública en España, Recopilación normativa, Ministerio del Interior, secretaría

de Estado de Seguridad,

HERNANDO, F. La seguridad en las ciudades: el nuevo enfoque de la geoprevención. Scripta

Nova, Revista Electrónica de Geografía y Ciencias Sociales. Barcelona: Universidad de

Barcelona, Vol. XII, núm. 270 (14), 2008.

HEBBERECHT, P., «Sociedad de riesgos y política de seguridad», en La seguridad en la

sociedad del riesgo. Un debate abierto. Atelier, Políticas de Seguridad 2, Barcelona,

2003.

JIMÉNEZ DÍAZ, Seguridad ciudadana y Derecho penal, Dykinson, Madrid, 2006.

JOURNES, C., La problemática de la seguridad en Gran Bretaña” Grenoble CERDAP, Presse

Universitaries 2003

LAVELL, A. “Ciencias sociales y desastres naturales en América Latina: Un encuentro

inconcluso” Desastres Naturales, Sociedad y Protección Civil, COMECSO,

México.1992.

LAVELL, A. “Degradación ambiental, riesgo y desastre urbano. Problemas y conceptos: hacia

la definición de una agenda de investigación”, Ciudades en Riesgo, M. A. Fernández

(Ed.), La RED, USAID. 1996.

LANDROVE DÍAZ, G., «El Derecho penal de la seguridad», en Diario la Ley, 2003.

LUHMANN, N, “El concepto de riesgo”, en Josexto Beriain (comp.), Las consecuencias

perversas de la modernidad.Modernidad, contingencia y riesgo,Anthropos, Barcelona.

1996,

LÓPEZ-NIETO Y MALLO, F., Seguridad ciudadana y orden público, Ed. El Consultor de los

Ayuntamientos y de los Juzgados, Madrid, 1992.

MARTINEZ PEREZ, Roberto, Policía Judicial y Constitución, Aranzadi-Ministerio del Interior,

Madrid. 2001.

MARTINEZ MARTINEZ, R, Tecnologías de la información, policía y Constitución, Tirant lo

Blanch arternativa, Valencia. 2001.

MARTINEZ GARCÍA, C.“Gestión integral de riesgos corporativos como fuente de ventaja

competitiva: cultura positiva del riesgo y reorganización estructural”, Cuadernos de la

FundaciónMapfre, Nº 134, Instituto de Ciencias del Seguro, Madrid. 2009.

Grado en Seguridad. Asignatura Análisis de riesgos y planificación de la seguridad Curso 2015/2016

[22]

MARTÍNEZ TORRE-ENCISO, M. I. “La gerencia de riesgos”, Anuario Jurídico y Económico

Escurialense, Ed. Real Colegio Universitario “Escorial-Mª Cristina”, San Lorenzo del

Escorial, Vol. XXXV. 2002

MANSILLA, E. (Ed.) Desastres: modelo para armar, La RED, Lima.1996

MARTÍNEZ TORRE-ENCISO, M. I. “La elección de la estrategia correcta para evitar el

desastre”, Anuario Jurídico y Económico Escurialense, Ed. Real Colegio Universitario

“Escorial-Mª Cristina”, San Lorenzo del Escorial, Vol. XXXIII, 2000.

MASKREY, A. “Comunidad y desastres en América Latina: estrategias de intervención”,

Viviendo en riesgo: comunidades vulnerables y prevención de desastres en América

Latina, Allan Lavell (Ed.), LA RED, Tercer Mundo Editores, Bogotá. 1994.

MASKREY, A (comp.), 1993, Los desastres no son naturales, LA RED-Tercer Mundo Editores,

Bogotá.

MEDINA ARIZA, J., «Discursos políticos sobre seguridad ciudadana en la historia reciente de

España», en: PÉREZ ÁLVAREZ, F. (Ed.). Serta. Inmemorian Alexandri Baratta,

Universidad de Salamanca, 2004.

MILETI, D. S. Psicología social de las alertas públicas efectivas de desastres, Especial:

Predicciones, Pronósticos, Alertas y Respuestas Sociales, Revista Desastres & Sociedad

No. 6.LA RED, Tarea Gráfica, Lima. 1996

MARTÍN-REBOLLO, L., «La introducción de la referencia al orden público en el Reglamento

de lo contencioso-administrativo de 1890-1894», Revistade Administración Pública,

Madrid, nº 78, 1975.

NORMA ESPAÑOLA UNE-ISO 31000 (2009): Gestión del riesgo. Principios y Directrices.

Traducido por AENOR(Asociación Española de Normalización y Certificación.

OLMEDO, N, Guardia Civil, ¿Policías o soldados?, Almuzara, Córdoba. 2004.

PLA BARNIOL, C., «Orden y seguridad: una antología», Revista Cuadernosde Trabajo Social,

nº 7, 1994.

PIRIS PERPÉN, J. «La prevención del delito y la seguridad ciudadana», enRevista Policial, nº

38, 1996.

PAREJO ALFONSO, L./DROMI, R., Seguridad pública y Derechoadministrativo», Ed.

Marcial Pons, Madrid, 2001.

PÉREZ ÁLVAREZ, F., (coord..)Serta. In Memorian Alexandri Baratta, Ediciones Universidad

de Salamanca, Salamanca, 2004.

PUTTER Citado por Julio ARAGON RUIZ, "Origen y desarrollo de la institución

policial",Ciencia Policial, Ministerio del Interior, Madrid, número 11,

Grado en Seguridad. Asignatura Análisis de riesgos y planificación de la seguridad Curso 2015/2016

[23]

PONCE DE LEON, J. Introducción al Análisis de Riesgos. México D.F.: Limusa Noriega

Editores.2002.

RUIDÏAZ GARCÍA, C., Los españoles y la inseguridad ciudadana, Centro de Investigaciones

Sociológicos, Opiniones y Actitudes, nº 12, 2001.

RICO, J. M., y SALAS, L., Inseguridad Ciudadana y Policía. Madrid, 1988

RODRIGUEZ HERRERA, M., La policía comunitaria: una aproximación a su concepto y

principio, en VIDALES Y CARQUE. Policia Comunitaria: Una policía para la sociedad

del siglo xxi. Valencia Tirant lo Blach. 2014.

SANZ MULAS, N., «La actual política criminal en España», en Revista Politeia, Institu Superior

de Ciencias Policias e Segurança Interna, Año I, nº 1, Enero/Junio 2004.

STEVE PARDO J. E, Técnica, riesgo y Derecho. Tratamiento del riesgo tecnológico en el

Derecho Ambiental , Ariel, Barcelona, 1999,

STEVE PARDO J. E, «De la policía administrativa a la gestión de riesgos», Revista Española

de Derecho Administrativo, núm. 119, 2003,

WILCHES-CHAUX, G, “La vulnerabilidad global”,en Andrew Maskrey (comp.), Los desastres

no son naturales,LA RED-Tercer Mundo Editores, Bogotá, 1993

ZÁRRAGA ARANCETA, E. “Propuesta de un modelo: el análisis objetivo del corredor de

seguros”, Gerencia de riesgos y seguros, Fundación MAPFRE, Instituto de Ciencias del

Seguro, nº 98, 2º cuatrimestre 2007, Madrid. 2007.

comentarios (0)
No hay comentarios
¡Escribe tú el primero!
Esta solo es una vista previa
3 páginas mostradas de 23 páginas totales
Descarga el documento