Monografia 1
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Monografia 1 as PDF for free.
More details
- Words: 21,893
- Pages: 104
METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS EN PROYECTOS DE TECNOLOGÍA DE INFORMACIÓN
HÉCTOR VALENCIA VALENCIA
UNIVERSIDAD EAFIT DEPARTAMENTO DE CIENCIAS BÁSICAS MAPFRE ESPAÑA MEDELLÍN Septiembre de 2005
METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS EN PROYECTOS DE TECNOLOGÍA DE INFORMACIÓN
HÉCTOR VALENCIA VALENCIA
Monografía para optar al título de Especialista en Administración de Riesgos y Seguros.
Asesor EULER DE JESÚS MUÑOZ Administrador de Empresas
Coordinador RODRIGO RESTREPO VÉLEZ
UNIVERSIDAD EAFIT DEPARTAMENTO DE CIENCIAS BÁSICAS MAPFRE ESPAÑA MEDELLÍN Septiembre de 2005
" No existe mayor signo de demencia que hacer lo mismo una y otra vez y esperar resultados diferentes” Albert Einstein
TABLA DE CONTENIDO GLOSARIO ......................................................................................................... 7 INTRODUCCIÓN .............................................................................................. 12 1. OBJETIVOS .............................................................................................. 15 1.1. 1.2.
OBJETIVO GENERAL ............................................................................... 15 OBJETIVOS ESPECÍFICOS ....................................................................... 15
2. BENEFICIOS ............................................................................................. 16 3. ALCANCE ................................................................................................. 17 4. APLICACIÓN............................................................................................. 18 5. FORMULACIÓN DEL PROBLEMA .......................................................... 19 6. JUSTIFICACIÓN ....................................................................................... 21 7. MARCO CONCEPTUAL............................................................................ 23 7.1. 7.2.
LAS BASES DE LA GERENCIA DEL RIESGO CORPORATIVO ......................... 24 EL FUTURO ........................................................................................... 26
8. ANTECEDENTES...................................................................................... 32 9. QUÉ SON LAS EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P............... 35 9.1. DE AYER A HOY ..................................................................................... 37 9.2. HACIA EL FUTURO.................................................................................. 38 9.3. NUEVO ESQUEMA EMPRESARIAL ............................................................. 41 9.4. ESTRUCTURA ORGANIZACIONAL DE EE.PP.M. EN EL 2005 ....................... 41 9.5. VISIÓN.................................................................................................. 42 9.6. MISIÓN ................................................................................................. 43 9.7. VALORES ORGANIZACIONALES ............................................................... 43 9.8. ADMINISTRACIÓN ................................................................................... 44 9.9. PRESUPUESTO ...................................................................................... 44 9.10. FUNCIÓN SOCIAL ................................................................................... 45 9.11. GESTIÓN AMBIENTAL ............................................................................. 45 9.12. NUESTROS COMPROMISOS .................................................................... 46 Manejo integral del ambiente ..................................................................... 46 Mejoramiento continuo de la gestión ambiental ......................................... 47 Partes interesadas ..................................................................................... 48 9.13. GESTIÓN DE RIESGOS ........................................................................... 48 9.14. CULTURA EMPRESARIAL ........................................................................ 50 9.15. GRUPO EMPRESARIAL EE.PP.M.. .......................................................... 51
10.
QUÉ ES LA DIRECCIÓN INFORMÁTICA CORPORATIVA.................. 52
10.1. ESTRUCTURA ........................................................................................ 52 10.2. UNIDAD PLANEACIÓN INFORMÁTICA ........................................................ 53 10.3. UNIDAD GESTIÓN INFORMÁTICA .............................................................. 53 10.4. UNIDAD INGENIERÍA Y TECNOLOGÍA INFORMÁTICA .................................... 53 10.5. UNIDAD SISTEMAS DE INFORMACIÓN ....................................................... 54 10.6. UNIDAD OPERACIONES INFORMÁTICA ...................................................... 54 10.7. PENSAMIENTO ESTRATÉGICO ................................................................. 54 Misión 54 Visión 55 Estrategia................................................................................................... 55 11. METODOLOGIA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS EN PROYECTOS DE TECNOLOGÍA DE INFORMACIÓN .............................. 56 11.1. FASE 0: SENSIBILIZACIÓN ..................................................................... 57 11.2. FASE 1: PLANEACIÓN DEL PROYECTO.................................................... 61 Confirmación del Alcance .......................................................................... 61 Conformación del Equipo de Trabajo......................................................... 62 11.3. FASE 2: INICIACIÓN DEL PROYECTO ....................................................... 64 Reunión de Lanzamiento del Proyecto ...................................................... 65 Conocimiento del Negocio ......................................................................... 65 Solicitud de Requerimientos de Información.............................................. 66 Plan de Entrevistas .................................................................................... 66 11.4. FASE 3: GESTIÓN DEL RIESGO .............................................................. 66 Identificación .............................................................................................. 69 Análisis y valoración .................................................................................. 77 11.4.2.1. Perfil de los riesgos .............................................................. 88 11.4.2.2. Patrones normales de distribución...................................... 88 11.4.3. Control ......................................................................................... 90 12.
RECOMENDACIONES .......................................................................... 94
13.
CONCLUSIONES .................................................................................. 96
14.
BIBLIOGRAFÍA ..................................................................................... 98
15.
REFERENCIAS.................................................................................... 101
7
GLOSARIO Para efectos de lograr una adecuada interpretación de los conceptos que se manejan en los proyectos de tecnología de información, a continuación se definen algunos de los principales términos específicos de uso frecuente en la metodología para desarrollar este tipo de proyectos. Información: Es el conjunto de datos que procesados e interpretados arrojan un resultado y con base en él se toman decisiones. Tecnología de Información: Se define como el conjunto de procesos informáticos, gente especializada e infraestructura tecnológica necesaria y con un amplio grado de integración de sus componentes que maximizan la prestación de los servicios para satisfacer los requerimientos del negocio. Proyecto: Un proyecto puede concebirse como un conjunto de actividades interdependientes, diseñadas para viabilizar y materializar los objetivos de una organización en forma eficiente. En su esencia misma puede definirse como: Una acción no repetitiva, ni rutinaria orientada hacia el logro de un objetivo específico y que se ejecuta con metas preestablecidas de calidad, costo y tiempo. Proyecto de Tecnología de Información: Lo componen un conjunto de actividades interdependientes que se realizan en forma planeada, coordinada y controlada, donde se integran las personas, los procesos y la tecnología con el fin de dar una solución automatizada que a través de un sistema de información resuelva una necesidad planteada por el usuario informático o la organización. Usuario Informático: Persona que utiliza la infraestructura informática para acceder a la información y con base en ella tomar decisiones.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
8
Ambiente Informático: Es la integración de tres componentes básicos: aplicaciones, tecnología y personas. Infraestructura Tecnológica: Son los componentes de hardware (servidores, computadores de escritorio, personales, enrutadores, cables de red, entre otros), software (básico, específico, corporativo o departamental), bases de datos y aplicaciones que en forma conjunta e integrada procesan datos y producen resultados que generan información y con base en ella se toman decisiones. Contingencia Informática: Es un suceso fortuito que afecta el procesamiento automatizado de la información y suspende las actividades normales del negocio. Amenaza: Persona, objeto, situación o evento natural del entorno (externo o interno) que es visto como fuente de peligro, catástrofe o interrupción y pueden ser de origen natural tecnológico y social. Ejemplos: sismos, inundación, avalanchas, incendio, explosiones, robo de datos, sabotaje, ausencia del plan de contingencias, insuficiente gestión de monitoreo, aplicativos mal diseñados, secuestro, fraude, etc. También se define como un riesgo no evaluado. Vulnerabilidad: Grado de sensibilidad de un sistema ante un riesgo, medido en cuanto al nivel de afectación posible poniendo en peligro su estabilidad. Situación creada por la falta de uno o varios controles, por lo que la amenaza pudiera ocurrir y afectar el entorno informático. Por ejemplo: deficiente control de accesos, administración deficiente de la infraestructura informática, poco control de versiones de software, ausencia de entrenamiento compartido (respaldo de personas), políticas inexactas e insuficientes, etc.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
9
Riesgo: Definimos el riesgo como la probabilidad de que la amenaza se materialice, debido a la existencia de una o varias vulnerabilidades de peso significativo. El riesgo es difícil de medir, sobretodo, cuando no se cuenta con datos estadísticos que lo respalden o avalen, por la tendencia de las organizaciones a ocultar incidentes, la localización geográfica, las culturas, leyes, criticidad, situación país, etc. También se define como una amenaza evaluada en cuanto a su probabilidad de ocurrencia (Frecuencia) y a la gravedad de sus consecuencias (Severidad).
Riesgo Informático: Es un suceso incierto que puede llegar a presentarse en un futuro con la probabilidad de Generar Consecuencias NEGATIVAS que afecten el ambiente informático o la información.
Frecuencia/Probabilidad: Es una medida sobre el porcentaje de ocurrencia de un evento expresado en número de ocurrencias o veces que se da un evento. Ver también posibilidad y probabilidad. También se define como el número de veces que una amenaza deja de serlo para convertirse en realidad, a lo largo de un determinado periodo de tiempo. Severidad/Impacto: Es la evaluación del efecto y consecuencia del riesgo. Generalmente, la exposición al riesgo se mide en aspectos económicos, imagen de las personas o empresas, disminución de capacidad de respuesta y competitividad, interrupción de operaciones, etc. Efecto que causa en la organización la ocurrencia de un siniestro o contingencia y que normalmente se ve reflejado en la suspensión de las actividades normales del negocio. También se define como el económico de la materialización de una amenaza, se requiere involucrar gastos directos, indirectos y pérdidas consecuenciales.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
10
Siniestro: Todo evento accidental, súbito e imprevisto (repentino, no planeado), que normalmente genera consecuencias negativas sobre un sistema. Control: Control es toda acción orientada a minimizar la frecuencia de ocurrencia de las causas del riesgo o valor de las pérdidas ocasionadas por ellas. Los controles sirven para asegurar la consecución de los objetivos de la organización o asegurar el éxito de un sistema y para reducir la exposición de los riesgos, a niveles razonables. Los objetivos básicos de los controles son: Prevenir las causas del riesgo, detectar la ocurrencia de las causas del riesgo, retroalimentando el sistema de control interno con medios correctivos. Administración de Riesgos: Conjunto de estrategias tendientes a minimizar los riesgos asociados al funcionamiento de un sistema, con el fin de disminuir las pérdidas y garantizar su continuidad. Prevenir Riesgos: Estrategia en la administración de riesgos consistente en actuar sobre las acciones y/o las condiciones inseguras, para disminuir la frecuencia de los siniestros. Transferir Riesgos: Estrategia en la administración de riesgos consistente en controlar las consecuencias económicas de los siniestros, mediante la transferencia parcial o total de las mismas a un tercero. Seguro: Es un contrato en virtud del cual, un ASEGURADOR se compromete mediante el pago de una prima, a pagar a un ASEGURADO o BENEFICIARIO una indemnización, en caso de ocurrir un siniestro.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
11
Retener/Asumir Riesgos: Proceso mediante el cual el propietario de un activo acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación: Actividad final en el proceso de respuesta a un siniestro, consistente en restablecer la operatividad de un sistema interrumpido por la presentación del mismo. Aplicación: Conjunto de programas que soportan un proceso en la organización. Aplicación crítica: Es aquella que por ser esencial, requiere ser procesada para darle continuidad al negocio.
Determinar un Riesgo: Identificar la exposición de un activo de información que cause consecuencias negativas para su normal disponibilidad.
Costo: De una actividad, estos son tanto directos como indirectos, involucran un impacto positivo o negativo, esto se refiere a dinero, tiempo, trabajo, desorganización, renombre, políticas y pérdidas intangibles como imagen, confianza, credibilidad.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
12
INTRODUCCIÓN
El hombre y todas las actividades que desarrolla son susceptibles de sufrir eventos que los puedan afectar en forma negativa.
Desde los comienzos de la computación, los recursos informáticos incluyendo la información, han estado expuestos a una serie de peligros o riesgos que han aumentado y evolucionado conforme se globalizan las comunicaciones.
Proteger los activos más valiosos de la organización frente a posibles amenazas que ofrece permanentemente el medio, es un gran desafío. Este interés crece aún más cuando la información cobra importancia para sobrevivir frente a la competencia y permanecer en el mercado; factores como el uso de Internet y demás herramientas que faciliten la comunicación traen consigo innumerables ventajas, pero igualmente enfrentan a la organización a otros problemas que anteriormente no existían. La materialización de amenazas que alteren o destruyan la información, crea la necesidad de diseñar e implementar otras estrategias que permitan gerenciar y controlar los nuevos tipos de riesgos que están relacionados con la tecnología de información.
Con el devenir del tiempo el hombre ha pretendido desarrollar diferentes metodologías que le permita, de alguna manera, enfrentar las amenazas: desde medidas instintivas hasta el uso racional de los conocimientos y tecnologías a su alcance en cada momento histórico de la vida.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
13
La Administración de Riesgos nace para suplir la necesidad del hombre de caracterizar con precisión el riesgo. Esta novel disciplina tiene como principales actividades la identificación, análisis, evaluación y control físico, lógico y financiero óptimos de los riesgos a que están expuestos los recursos de la Entidad (o de los cuales es responsable, al menos en parte).
Los riesgos para un sistema (en este caso EE.PP.M.) se clasifican entre aquellos denominados comúnmente como Riesgos Convencionales para los cuales la empresa cuenta con recursos permanentes y suficientes para su manejo adecuado, y los denominados Riesgos Mayores con capacidad suficiente para generar un desajuste significativo al régimen de funcionamiento de la empresa, amenazando su estabilidad y muchas veces la integridad de sus funcionarios o de la comunidad, poniendo en peligro su estabilidad y subsistencia. Las consecuencias de un Riesgo Mayor pueden generar graves CRISIS y afectar su operatividad, con un serio impacto sobre las personas, las instalaciones, la economía del negocio, la imagen y buen nombre de la empresa, la operación, la información o el medio ambiente.
Se conoce como CRISIS toda situación caracterizada por cambios imprevistos en las variables críticas que regulan el funcionamiento de un sistema y por la pérdida de control sobre las mismas, con potencial de generar un impacto negativo grave al sistema que la sufre.
Dentro de un adecuado programa de ADMINISTRACION DE RIESGOS, toda empresa debe contar con herramientas tendientes a proporcionar la estructura organizacional, la metodología y los procedimientos para detectar, evaluar y responder a los Riesgos Mayores, de tal forma que se impida que ellos puedan
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
14
desembocar en consecuencias desastrosas o catastróficas, salvaguardando la existencia misma del negocio.
El presente trabajo tiene como fin definir la metodología de análisis y valoración de riesgos en proyectos de tecnología de información de una manera estructurada y modular (por fases o etapas) para que sirva como herramienta de apoyo en la gestión de estos proyectos en las Empresas Públicas de Medellín E.S.P.
En este informe se describen las actividades y tareas que se deben llevar a cabo en cada fase de la metodología.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
15
1. OBJETIVOS Con el presente trabajo lo que se pretende lograr son los siguientes:
OBJETIVO GENERAL Dotar a la organización Informática de Empresas Públicas de Medellín E.S.P. de una herramienta que le facilite identificar, evaluar, controlar y valorar los riesgos de los proyectos de tecnología de información que emprenda la corporación, mejorando la gestión con el fin de disminuir el impacto de la tecnología en los costos, recursos y el tiempo al entrar en producción.
OBJETIVOS ESPECÍFICOS Dentro de los objetivos específicos que se pretenden cubrir con este trabajo están:
·
Definir la Metodología.
·
Identificar los riesgos asociados a los proyectos de tecnología de Información.
·
Definir el método de evaluación y valoración de riesgos para los proyectos de tecnología de Información.
·
Presentar algunos mecanismos de control de riesgos para los proyectos de tecnología de Información.
·
Documentar la metodología.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
16
2. BENEFICIOS Algunos beneficios a obtener en la identificación, análisis y valoración de riesgos son:
·
La identificación de los riesgos internos y externos asociados al proyecto de tecnología de información permitirá definir acciones que ayuden a minimizar el impacto y la probabilidad de que un evento se materialice.
·
Determinar la probabilidad de materialización de una amenaza a la luz de la situación del país y en el contexto ESPG (Económico, Social, Político y Geográfico en la organización) y que puedan afectar el proyecto.
·
Dimensionar el impacto de los riesgos sobre la organización en términos de exposición a interrupciones y pérdida que puedan poner en riesgo la viabilidad y la continuidad del proyecto o la organización.
·
Localización, clasificación y priorización de los riesgos observados, teniendo en cuenta la globalidad del mapa de riesgos y los objetivos del proyecto de tecnología de Información.
·
Obtener las respectivas matrices de riesgos que servirán para diagnosticar la situación actual y definir las medidas de prevención y protección que permitan llevar a feliz término el proyecto.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
17
3. ALCANCE Definir y documentar la metodología de análisis y valoración de riesgos en proyectos de tecnología de información de una manera estructurada y modular (por fases o etapas) que permita identificar, evaluar, controlar y valorar los riesgos en el área informática y para las Empresas Públicas de Medellín E.S.P.
El trabajo se desarrollará documentado cada una de las fases o etapas que componen la metodología: Fase de identificación, evaluación, control y valoración, incluyendo las actividades que se deben ejecutar en cada fase.
Después de identificar y evaluar las amenazas asociadas a los sistemas y sus componentes, se iniciarán programas de control de riesgos.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
18
4. APLICACIÓN La aplicación de la metodología para el análisis y valoración de riesgos informáticos, deberá realizarse en todas las etapas de los proyectos de tecnología de información haciéndola extensiva a contratistas, subcontratistas y proveedores. Existen en la Entidad dependencias 1 con funciones de alcance corporativo que deben realizar la gestión de riesgos en dos niveles claramente diferenciables: Como gestión interna independiente, y como apoyo corporativo hacia las demás unidades o direcciones. En este último caso, serán las unidades que requieran el apoyo de las partes corporativas, las que soliciten en forma explícita la necesidad de asesoría específica y aplicación de esta metodología.
La metodología podrá ser aplicada en cada Unidad de Núcleo Compartido (UNC), Unidad Estratégica de Negocio (UEN) o Unidad de Servicios Compartidos (USC), es decir, dependiendo de los recursos que posean o estén bajo su responsabilidad.
1
Dirección Informática, Dirección Administrativa, Dirección Gestión Humana, Planeación y Finanzas, Secretaría General, Control Interno
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
19
5. FORMULACIÓN DEL PROBLEMA Independientemente de los esfuerzos que las empresas desarrollen para evitar los siniestros, siempre habrá una posibilidad esperamos que remota de que se presente un evento indeseado.
En muchos casos los recursos disponibles en la empresa serán suficientes para sortear con éxito el imprevisto. Sin embargo, en otros casos, tal como la experiencia lo ha demostrado, un evento puede superar la capacidad de respuesta disponible, y es entonces donde sobrevienen los desastres, algunos con resultados catastróficos.
En el transcurso de los años y con la incursión de nuevas y mejores tecnologías, la utilización de la información y del procesamiento electrónico de datos ha cobrado un papel significativo dentro del desarrollo de las operaciones normales de las organizaciones. Así mismo, se ha convertido en estrategia para lograr una ventaja competitiva y en un apoyo definitivo para la gestión negocio.
Los sistemas de información más que una novedad que adquieren las organizaciones para estar “in”, son elementos fundamentales que han contribuido efectivamente en el desarrollo de las mismas, que a su vez han traído consigo una serie de riesgos, los cuales no existían hasta el momento o eran de difícil detección porque las organizaciones no contaban con los mecanismos o la metodología necesaria para lograrla.
Sin embargo, los beneficios reportados por los sistemas de información no son gratuitos, si bien entraron a manejar el recurso más valioso con que cuentan las organizaciones hoy en día, la información, también crearon en éstas una
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
20
altísima dependencia de los mismos, dejando áreas frágiles y vulnerables y sin las cuales las organizaciones no podrían subsistir.
Estamos, sin duda, en la era de la información: Adquirir equipos, obtener servicios y acortar las distancias para estar informados es una posibilidad tecnológica vuelta obsesión. Esto hace que la información adquiera gran importancia y un valor incalculable, y que por lo tanto haya que tomar todas las medidas necesarias para protegerla.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
21
6. JUSTIFICACIÓN Una de las principales características de Empresas Públicas de Medellín E.S.P. es el mantenerse a la vanguardia en la implementación de nuevas tecnologías de información que le permitan brindar un mejor servicio a sus usuarios, disminuir sus costos operacionales, permitiendo así prestar servicios públicos a tarifas más económicas, basándose en el principio de que toda inversión tecnológica o de negocios debe ser sustentada desde la perspectiva técnica y de negocios.
Esto se logra con el adecuado aseguramiento de los recursos con que cuenta una organización, que es uno de los objetivos de la gestión integral de riesgos, entendida como el conjunto de acciones para enfrentar los riesgos que generan los proyectos de tecnología de información a los cuales están expuestos, originados en amenazas provenientes tanto del interior como del exterior de la empresa; definir y diseñar controles preventivos; tomar medidas de protección, y desarrollar programas de recuperación o planes de contingencia ante la posible ocurrencia de siniestros que puedan afectar la planeación, ejecución, implantación y entrada en producción del proyecto en una organización como las Empresas Públicas de Medellín E.S.P.
La necesidad de tener continuidad en los procesos se fundamenta en que las principales estrategias que hacen que la empresa sea competitiva y tenga diferenciación en el medio en que se mueve, dependan de la tecnología de información. Esta realidad la obliga a mantener una alta disponibilidad en su infraestructura tecnológica y en consecuencia la Dirección de Informática Corporativa ha venido respondiendo al reto, comprometiéndose a incrementar año tras año el índice de disponibilidad de la infraestructura de TI, pero
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
22
reconociendo la falta de metodologías, herramientas y estándares de las mejores prácticas que le permitan identificar, evaluar, valorar y controlar los riesgos de la tecnología de información que le faciliten de la manera más eficiente cumplir con los objetivos de la empresa y a costos razonables.
El contar con una metodología de análisis y valoración de riesgos en proyectos de tecnología de información en la organización, ayuda en forma estructurada a identificar, evaluar, controlar y valorar los riesgos para poder administrarlos y de esta manera poder entrar en producción con los recursos, los costos y el tiempo planeado.
El presente trabajo tiene como fin definir la metodología de análisis y valoración de riesgos en Proyectos de Tecnología de información de una manera estructurada y modular (por fases o etapas) para las Empresas Públicas de Medellín E.S.P.
Por todo lo anterior y siendo la Dirección de Informática Corporativa el Área responsable de adquirir los sistemas de información que apoyen los procesos del negocio, ha considerado muy importante y necesario desarrollar y documentar esta metodología con el propósito de aplicarla en todos los proyectos de tecnología de información que emprenda la corporación y bajo la responsabilidad de esta dirección.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
23
7. MARCO CONCEPTUAL El Hombre y sus actividades han estado, desde sus orígenes, acompañados de riesgos y amenazas. La incertidumbre y la exposición al peligro, han permanecido continuamente ligadas al desarrollo humano y por ende, el instinto de protección ante la eventualidad de sufrir un daño o una pérdida, ha sido también una constante en la vida del hombre.
En un comienzo los peligros que lo rodeaban eran sencillos, al igual que las soluciones para enfrentarlos. Sin embargo, el progreso y la diversificación de actividades humanas, trajeron consigo nuevos y más acentuados problemas y peligros, desconocidos hasta ese momento. Esto, unido a la asignación de valor a los bienes poseídos, acarreó que las amenazas se hayan incrementado significativamente. De aquí la importancia de disminuir racionalmente las fuentes de peligro o riesgo a las que está expuesta el hombre.
El desarrollo empresarial no ha sido ajeno a estos procesos. Aún más, es imposible concebir al empresario sin la convivencia con el riesgo, pues de allí es de donde realmente proviene su beneficio. El entorno en que operan las empresas se ha vuelto más complejo y cada vez más dependen de la tecnología y los sistemas de información. Esto ha traído consigo la necesidad de dar una mayor atención al tratamiento de los riesgos en las organizaciones lo que ha propiciado la aparición del gerente de riesgos, que se ha convertido en pieza fundamental dentro del contexto de la alta gerencia
Todas las organizaciones entrañan riesgos de pérdidas a causa de la materialización de amenazas que tienen su origen en la relación de éstas con el entorno natural, social, económico, político, tecnológico entre otros.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
24
La materialización de cualquier tipo de amenaza puede tener serias y graves consecuencias para las que debemos estar preparados. Existe la probabilidad de que se incrementen los riesgos por factores como el desarrollo industrial, la nueva tecnología, el aumento de riesgos de origen social, el surgimiento de una legislación más estricta, la limitada capacidad de respuesta de algunos organismos de emergencia, entre otros.
En cualquier empresa, los gerentes deben lidiar con el riesgo. Sin embargo, dado que cada departamento dentro de una organización afronta el riesgo de diferente manera, la gerencia de riesgos en muchos casos, se ha convertido en una tarea ad hoc.
La gerencia de riesgos es, sin duda, un componente que va en crecimiento en la vida cotidiana, conforme el mundo de los negocios se expande y se va haciendo más complejo.
Una adecuada gerencia del riesgo no sólo puede significar la diferencia entre la vida y la muerte de una empresa, sino que puede ser una forma innovadora de aumentar el valor de la empresa. Esta disciplina, antes circunscrita a la administración de pólizas de seguro, es ahora de interés para Gerentes Generales, Directores de Control Interno, Informática, Gestión Humana, Tesoreros, y en general, para toda la empresa.
L AS B ASES DE LA GERENCIA DEL RIESGO CORPORATIVO El riesgo y la incertidumbre son fundamentales en la vida profesional y personal. El riesgo es la fuente de oportunidades que pueden convertirse en ganancia, pero a su vez, asoma la posibilidad de la ruina.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
25
Las empresas gastan anualmente millonarias sumas de dinero para afrontar su vulnerabilidad ante los riesgos. Esta enorme cifra lleva a plantearnos:
·
¿Es el riesgo tan importante en sí, como para justificar la cantidad de recursos invertidos por las empresas con el fin de afrontarlos?
·
¿Están optimizando su dinero con estas acciones?.
Debido a que el riesgo y la oportunidad van mano a mano, las empresas suelen afrontar una inmensa variedad de riesgos, saberlos manejar es un asunto delicado.
Manejar el riesgo puede reducir los riesgos de tener problemas financieros y proteger a la empresa ante eventos no anticipados que interrumpan sus planes. Mientras que muchos ejecutivos luchan contra ciertos tipos de riesgos específicos, la gerencia de riesgos debería estar integrada y consolidada para lograr una máxima reducción de riesgos a un mínimo costo. El riesgo no se puede evitar, pero es manejable. Las empresas buscan manejar el riesgo de diversas formas:
a) Evasión de riesgos: cuando se decide no emprender ninguna acción riesgosa. b) Reducción de riesgos: prevenir y controlar los riesgos usando equipos de seguridad, técnicas de prevención y diversificación. c) Transferencia de riesgos: se refiere a asegurar y equilibrar los riesgos, compartiéndolos con terceros, por ejemplo las compañías de seguros. d) Retención de riesgos: absorber ciertos riesgos de un modo costo efectivo.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
26
Es crítico para una empresa coordinar sus esfuerzos en todas las áreas, para poder tomar decisiones sobre manejo de riesgos de forma coherente. Un ejemplo de incoherencia es una compañía que gasta sumas millonarias asegurando sus plantas de producción y equipos contra pérdidas por accidentes; sin embargo, un accidente de este tipo sería menos devastador que un cambio en las tasas de interés, una pérdida de información estratégica o una pérdida de imagen contra el que la empresa no tendría protección alguna.
Se debe desarrollar una cooperación cercana y constante entre aquellos responsables por dirigir las actividades de la empresa, los responsables de conseguir el capital para financiar dichas actividades, y los responsables por cubrir los riesgos que esas actividades generan.
La Gerencia de Riesgo Integrado (GRI) provee la estructura para articular estas relaciones críticas.
EL FUTURO Muchas tendencias en el mundo actúan como catalizadores para el crecimiento de la gerencia de riesgo integrado.
Los accionistas están preocupados por el uso eficiente de sus fondos; los funcionarios públicos buscan el interés de los consumidores; los accionistas y aseguradores, así como las agencias de calificación de riesgo y otros intermediarios financieros, siguen con cautela las habilidades de manejar riesgos de los gerentes.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
27
Los avances en los modelos analíticos que miden el riesgo y la estandarización de las prácticas de gerencia de riesgos también están acelerando el desarrollo del GRI.
Sin embargo, aún existen barreras que deben ser superadas, especialmente la inercia burocrática que hace difícil cruzar las líneas funcionales tradicionales. El alto costo de las transacciones y la integración de los sistemas de información, la complejidad de los productos y la incertidumbre sobre los tratos regulatorios y contables, son todos factores negativos.
Los Estados Unidos han asumido el rol de liderazgo en las soluciones de Transferencia de Riesgo Alternativo (TRA). La perspectiva es alentadora, debido a la creciente importancia de los mercados de capital y la integración de tareas de gerencia de riesgos dentro de las corporaciones. En Europa, el desarrollo en el Reino Unido ha avanzado relativamente, mientras que el mercado permanece en su infancia en el continente. Sin embargo, los ambientes reguladores, de impuestos y contabilidad europeos son favorables para la innovación, y la región debería ver un fuerte crecimiento para las soluciones TRA a término medio. Los desarrollos de las soluciones TRA apenas comienzan a hacerse en Asia y Latinoamérica.
Quedarse de lado ante la evolución de la gerencia de riesgos implica perder oportunidades. La historia ha demostrado que los innovadores pueden obtener ganancias extraordinarias.
El Gerente Corporativo de Riesgos El CEO de la empresa (Gerente General), como responsable máximo del éxito de la empresa, puede ser considerado como el ejecutivo a cargo del riesgo. Un paso importante a dar en el crecimiento de la gerencia de riesgo integrado es la creación del papel de un gerente de
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
28
riesgos. Esto ya está ocurriendo, especialmente en la industria financiera. Este gerente estaría encargado de manejar la identificación y la medición de todos los riesgos afrontados por su empresa, así como del uso eficiente del capital de riesgo.
Este gerente de riesgo debería provenir de la alta gerencia, y debe reportarle directamente al CEO de la empresa; no debería tener ninguna responsabilidad por las ganancias o negocio directo, debe actuar más bien como un auditor o contador en la empresa.
El gerente de riesgos se convertirá en el campeón del GRI como una base para acceder y medir de forma racional la relación entre los riesgos que una compañía afronta y los recursos de capital que tiene a disposición.
Para el caso colombiano, La Gerencia de Riesgos ha cobrado particular interés a comienzos de la década de los 90, a raíz de las medidas encaminadas a la liberación del mercado dentro de la política de apertura económica. El nuevo ambiente de negocios , alejado ya del proteccionismo, ha exigido el uso de técnicas y metodologías de Gerencia de Riesgo, en detrimento del enfoque simplista de trasladar los riesgos a través de contratos de seguros, comúnmente llamado pólizas, manejados por especialistas en la definición de cláusulas y tarifas generales, que poca o ninguna relación guardaban con la realidad.
Frente a este nuevo panorama, los riesgos dejaron de ser un campo exclusivo de unos pocos conocedores de las condiciones específicas de pólizas existentes en el mercado, para involucrar más directamente a los gerentes de las organizaciones en la gestión de éstos.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
29
En el campo de los riesgos y los seguros, como sucede en la informática, el conocimiento profundo de los conceptos y los métodos por parte de los gerentes redunda en grandes beneficios y por eso es cada vez más imperativo.
La gerencia de riesgos como función de liderazgo ejecutivo en el manejo de los riesgos que afectan la actividad empresarial, puede observarse desde los siguientes puntos de vista: Amplio: Desde el punto de vista amplio, se concibe el gerente de riesgo como un empresario responsable que posee y controla totalmente el negocio, es decir administra totalmente los riesgos a que está expuesto. Limitado: En el enfoque limitado, las funciones del Gerente se circunscriben principalmente, a dirigir los riesgos asegurables, mediante la cobertura ofrecida por los seguros. Intermedio: Las funciones del gerente de riesgos ubicado en una posición intermedia, cuya labor va más allá de la mera adquisición de seguros para cubrir los riesgos de la empresa, pretende administrar los riesgos pero no en forma total.
Es tal la importancia que ha alcanzado la figura del gerente de riesgos, que se dice que este funcionario es tan indispensable para la empresa como lo son el jefe de compras, el gerente comercial, el gerente de ventas, pues tiene la responsabilidad de gestionar eficazmente los riesgos que recaen sobre cada uno de los bienes e intereses de la empresa. De este forma, supervisar el desempeño total de una compañía, es responsabilidad y labor del gerente de riesgos.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
30
Entre las muchas responsabilidades del gerente de riesgos podemos resaltar las siguientes:
·
Determinación y evaluación de los riesgos en las diferentes áreas de la organización como: Planeación, Finanzas, Comercial, Procesos, Administrativa, Informática, Gestión Humana, Medio Ambiente, Jurídica, entre otras.
·
Selección de los mecanismos de cobertura para los riesgos propios de la actividad empresarial.
·
Contabilidad del seguro.
·
Administración del autoseguro.
·
Diseño y administración de planes de emergencias, contingencias y atención de desastres.
·
Administración de planes de seguro de grupo y de beneficios para los funcionarios.
·
Atención de reclamaciones.
·
Prevención de pérdidas.
Dado que la principal función del gerente de riesgos es preventiva, él busca eliminar o reducir al mínimo los riesgos de la empresa y cuando éstos ocurran, busca disminuir su impacto en la producción empresarial, y aunque es difícil eliminar totalmente la posibilidad de riesgos en la empresa, se han diseñado programas bastante difundidos a nivel mundial, para realizar una gerencia del riesgo eficaz, entre los que se destacan los siguientes:
·
Mantenimiento de los registros de pérdidas y accidentes con información veraz y actualizada.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
31
·
Generación de programas de inspección y análisis de la seguridad en todas las áreas de la organización.
·
Programas de prevención de accidentes
·
Generación de conciencia de seguridad en todas las instancias de la empresa.
·
Minimización de las pérdidas.
Al inicio de todo proyecto, contar con un análisis y valoración de riesgos de éste, le permite al gerente tener un panorama más claro y la posibilidad de ir reduciendo frecuencia y severidad ante la posible materialización de las amenazas.
Lo que se pretende es proporcionar herramientas a los gerentes para realizar su labor bajo las condiciones de riesgo, sin perder de vista la misión y visión de su organización.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
32
8. ANTECEDENTES EE.PP.M. es la empresa líder en el Sector de la prestación de Servicios Públicos en el país, y sus operaciones incluyen actividades de generación y distribución de energía, tratamiento y suministro de agua potable, servicios de alcantarillado, telecomunicaciones y distribución de gas natural en Antioquia y otras regiones en Colombia.
Sus negocios se relacionan con lo que se han denominado Líneas Vitales, o sea aquellos servicios y actividades indispensables para el funcionamiento y desarrollo y supervivencia de las comunidades.
Debido a la índole de su operación, su actividad no se limita a aquellas que se desarrollan dentro de una instalación particular, sino que físicamente cubre un extenso territorio, con lo que se incrementa considerablemente las amenazas.
La mayoría de sus operaciones presentan una diferencia significativamente crítica con la mayoría de empresas, debido a que la afectación de su operación se refleja en forma inmediata en las actividades de la comunidad. Por el mismo motivo el impacto producido por cualquier evento que afecte sus operaciones se extiende mucho más allá del relacionado con factores económicos y técnicos, pasando al ámbito social y político, con las graves implicaciones que ello representa.
En el negocio de los servicios públicos una de las variables críticas para el éxito del mismo y su permanencia, es la confiabilidad de sus operaciones, de tal forma que garantice su continuidad y la calidad del servicio.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
33
Por las características de su operación (Empresa de Servicios Públicos), es altamente vulnerable a las amenazas sociales, ya sean de origen voluntario, político o comercial (huelgas, atentados, secuestros, extorsiones, restricciones comerciales, fraude, cambios de legislación, etc.), además de presentar amenazas tecnológicas típicas para este tipo de operación (incendios, explosiones, rotura de presas, pérdida de información, contaminación, fallas en procesos, accidentes de transporte, etc.), así como las amenazas naturales propias de las zonas en donde opera (sismos, inundaciones, sequías, etc.).
EE.PP.M. ha desarrollando en las diferentes Unidades Estratégicas de Negocios –UEN, Unidades de Núcleo Corporativo –UNC y Unidades de Servicios Compartidos –USC, programas y planes específicos para el manejo de sus riesgos. Sin embargo, se hace necesario integrar todos estos esfuerzos para que tengan un mismo enfoque y estructura, así como un modelo organizacional para su administración y operación, coherente con la Misión y la Visión de la Empresa.
Con este propósito, se expidió el DECRETO No 648 del 3 de abril de 1995, el cual fue actualizado y reemplazado con el 1029 del 22 de Enero de 1999, por medio del cual se implanta el Sistema Corporativo de Administración de Riesgos, sus políticas, directrices, normas y procedimientos, el cual establece el proceso para la gestión de los riesgos en EE.PP.M., define los lineamientos para hacerlo, y asigna funciones y responsabilidades al respecto.
Con miras al logro del anterior propósito, y en cumplimiento de las funciones a ella asignadas, la Dirección de Informática Corporativa ha considerado muy importante y necesario desarrollar y documentar una metodología con el propósito de aplicarla en todos los proyectos de tecnología de información que
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
34
emprenda la corporación y bajo la responsabilidad de esta dirección, para ser aplicado a las necesidades de la empresa.
Se busca que en cada una de las Gerencias y Direcciones de EE.PP.M. sean capaz de aplicarla, sirviendo de nexo entre los aspectos estratégicos de la alta Gerencia y los aspectos operativos de los proyectos de tecnología de información que están en ejecución. Todo lo anterior adecuado al marco legal y organizacional que rige el funcionamiento de la empresa.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
35
9. QUÉ SON LAS EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. Hasta 1997 Empresas Públicas de Medellín E.S.P. fue una entidad descentralizada del orden municipal, creada en 1955 por el Consejo Administrativo de Medellín. El 6 de agosto de ese año cuatro entidades, adscritas en ese entonces al Honorable Concejo Municipal las de Energía, Acueducto, Alcantarillado y Teléfonos fueron fusionadas en un establecimiento autónomo por determinación del Consejo Administrativo de Medellín, mediante el Acuerdo Número 58.
El 18 de noviembre de 1955 la Alcaldía de Medellín expidió los Estatutos de la organización (Decreto 375), reglamentando así su existencia, la cual quedó confirmada el 25 de noviembre del mismo año con la sanción del Gobernador. Pero fue sólo en enero de 1956 cuando realmente EE.PP.M. inició su vida administrativa. En 1989, el Acuerdo Número 002 incluyó en los Estatutos el manejo y mejoramiento del medio ambiente como parte del objeto social de EE.PP.M. Además reformó el nombre del servicio telefónico por el de telecomunicaciones.
Desde enero de 1998, y en virtud de lo previsto en el Acuerdo 69 de 1997 expedido por el Concejo de Medellín y en aplicación de las previsiones de la Ley 142 de 1994, Empresas Públicas de Medellín E.S.P. fue transformada en una Empresa Industrial y Comercial del Estado. La entidad tiene por objeto la prestación de los servicios públicos domiciliarios de acueducto, alcantarillado, energía, distribución de gas por red y telecomunicaciones.
Por su naturaleza de Empresa Industrial y Comercial del Estado se encuentra sometida a las disposiciones de la ley comercial para el desarrollo de sus
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
36
actividades, lo cual la sitúa, en principio, en igualdad de condiciones con las empresas de servicios públicos domiciliarios. Por el objeto al cual se halla dedicada, está sujeta a las disposiciones de la Ley 142 de 1994 Régimen de los Servicios Públicos Domiciliarios y debe desenvolverse en el ambiente de competencia entre los diferentes prestadores de los servicios, según lo previsto en el mencionado régimen.
Su sede es Medellín, capital del departamento de Antioquia, con una población de 2.000.000 de habitantes. Con sus servicios EEPPM atiende 3.000.000 de habitantes, la mayoría localizados en el Valle de Aburrá, corredor geográfico donde además de Medellín se encuentran los municipios de Bello, Copacabana, Girardota, Barbosa, Itagüí, Envigado, Sabaneta, La Estrella y Caldas.
La seriedad de su gestión, sus niveles de calidad y cobertura y el estricto cumplimiento de sus compromisos financieros le han valido el respaldo de los organismos crediticios nacionales e internacionales.
En ese entonces Medellín tenía unos 500 mil habitantes. Los servicios estaban en manos de empresas independientes, todas de carácter municipal. El servicio de energía contaba con 75.517 suscriptores, la mayoría de ellos residenciales, y una capacidad instalada de 100 mil kilovatios, representados en las centrales de Piedras Blancas y Guadalupe I y II, ésta última motor del desarrollo industrial de la capital Antioqueña.
El servicio de acueducto llegaba apenas a 50506 usuarios que consumían diariamente 115 mil metros cúbicos. La infraestructura, todavía insuficiente, incluía el tanque de Santa Elena (el primero que tuvo la ciudad), la planta de Villa Hermosa (la primera de purificación, aún en funcionamiento) y el embalse de Piedras Blancas.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
37
En materia de telecomunicaciones la aparición de las Empresas Públicas de Medellín E.S.P. marcó el advenimiento de un gran avance administrativo, técnico y operativo. Al cierre de 1955 existían 25.759 suscriptores en telefonía básica, 29.500 líneas y 54 teléfonos públicos.
DE AYER A HOY Cincuenta años después la población se ha quintuplicado. EE.PP.M. trabaja día a día para elevar el nivel de vida no sólo de los habitantes de Medellín, sino de todo el Valle de Aburrá, garantizándoles la prestación de los servicios públicos básicos con los más altos niveles de calidad, oportunidad y eficiencia.
En el marco de una clara y total función social, sus estatutos le asignan, en forma expresa, el objetivo de constituir un factor de bienestar y progreso para la comunidad.
En este tiempo EE.PP.M. ha construido la columna vertebral del sistema hidroeléctrico Antioqueño. Los desarrollos de Guadalupe, la primera y segunda etapa de la central Guatapé, las centrales de Playas, Niquía y La Tasajera, y el avance del proyecto Porce II, encarnan el más grande patrimonio energético de la región. En 1998 entró en operación La Sierra, su primer desarrollo térmico a base de gas.
EE.PP.M. ha asumido también la prestación y distribución gradual del servicio de gas natural en 10 municipios del Valle de Aburrá, labor que inició desde agosto de 1998.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
38
Si de acueducto, se habla, EE.PP.M. entrega el agua de mejor calidad del país, procesada en 11 plantas de potabilización. La Empresa de Aguas cuenta con fuentes de agua y sistemas de captación suficientes para atender la población hasta condiciones de máxima saturación. Dispone del más moderno laboratorio de Colombia para el control del agua, mediante análisis bacteriológicos, físico químicos, instrumentales y de aguas residuales.
En materia de alcantarillado y resueltas las necesidades de agua potable del Medellín Metropolitano, EE.PP.M. orienta ahora sus esfuerzos hacia el saneamiento del río Medellín y para lograr este propósito ha construido y puesto en operación la primera gran planta de aguas residuales, la de San Fernando.
En el área de telecomunicaciones el impulso tecnológico ha sido una constante. Ha brindado aportes importantes en estas cuatro décadas como las centrales digitales, la transmisión por fibra óptica, los sistemas telefónico vía radio, buscapersonas y de transmisión de datos; la Red Digital de Servicios Integrados, RDSI, y la videoconferencia. Toda esta tecnología cuenta con el respaldo de servicios computarizados, como el de información al usuario o 113, el de atención de daños o 114, y los centros de Control, de Operación y Mantenimiento.
HACIA EL FUTURO Empresas Públicas de Medellín E.S.P. sigue preparándose para el futuro. Hacia el 2005, su presupuesto aprobado alcanzará los $4.797.740 millones de pesos.
Esta previsión en el desarrollo de los servicios es el resultado de la planificación y de la visión futurista de muchas generaciones de antioqueños. Gracias a ese
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
39
sentido de planeación, el panorama de los servicios públicos en Medellín y en los demás municipios donde la Empresa presta servicios, se encuentra tan despejado como en el presente y en el pasado. Así lo confirman los planes de desarrollo ya financiados con recursos propios y de la banca multilateral y comercial.
En desarrollo de su Plan de Expansión de Energía, trabaja en Porce II que, en los albores del siglo XXI entregará al país 392 MW; en el proyecto Nechí (750 MW) que será una realidad a partir del 2005, y en la segunda fase de un desarrollo térmico en el Magdalena Medio.
Con su servicio domiciliario de Gas Natural Empresas Públicas de Medellín E.S.P. aspira a cubrir todo el Valle de Aburrá. El desarrollo del plan de masificación se extenderá hasta el año 2005 y demandará la construcción de 89 kilómetros de redes primarias, 24 estaciones reguladoras para los circuitos y 5.600 kilómetros de redes secundarias.
En los albores de un nuevo siglo EE.PP.M. quiere legarle a las generaciones venideras un río Medellín recuperado, más amable y sin olores. A través de su plan de Saneamiento proyecta 406 kilómetros de redes, la puesta en marcha de la planta San Fernando para el tratamiento de aguas residuales, al sur del Valle de Aburrá, y la definición y el diseño de una segunda planta en Bello, al norte del Valle de Aburrá.
Empresas Públicas de Medellín E.S.P. está preparada para afrontar el reto tecnológico de las telecomunicaciones del siglo XXI: con EMCALI constituyó a EMTELCO para la prestación de servicios de valor agregado y telemáticos a nivel nacional e internacional, y con los grupos empresariales Bavaria y
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
40
Sarmiento Angulo conformó a Orbitel S.A. para la prestación de los servicios de Larga Distancia nacional e internacional.
EE.PP.M. adquirió igualmente la empresa Veracruz TV Cable, hoy EPM TELEVISIÓN, para prestar el servicio de televisión por suscripción, así como el 36.88% de las acciones de EMTELSA, la telefónica de Manizales.
Uno de los principales pilares que sostiene la gestión y la credibilidad pública de las Empresas Públicas de Medellín E.S.P. es el rigor conceptual que respalda todos sus actos:
Rigor jurídico, por su respeto a la Constitución, a las leyes de la República y al ordenamiento legal específico que las rigen, en particular sus estatutos orgánicos y de contratación administrativa.
Rigor técnico por la planeación de largo plazo y por los procesos de selección, adquisición, montaje y operación de los recursos tecnológicos más adecuados, que garanticen la prestación de los servicios en forma oportuna, confiable y económica.
Rigor financiero, por su manejo ortodoxo del dinero. La entidad sólo puede ser viable si sus rentas le permiten cubrir los costos de operación, mantenimiento, reposición y expansión de sus sistemas. Al mismo tiempo sólo puede ser eficaz y eficiente si mantiene el equilibrio en el costo de los servicios que cobra a los usuarios y transmite a éstos la señal adecuada para el uso racional de los mismos servicios.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
41
NUEVO ESQUEMA EMPRESARIAL La apertura económica y la consecuente competencia en todos los campos y los nuevos esquemas regulatorios establecidos por la Constitución Política de 1991 y sus desarrollos legales generan un nuevo ambiente para estas organizaciones.
Empresas Públicas de Medellín E.S.P. claramente requiere acomodarse al nuevo esquema para mantener su permanencia y crecimiento en beneficio de la comunidad. Por lo tanto, uno de sus principales procesos de planeación lo constituye el análisis de su esquema empresarial y de sus condiciones estratégicas de desarrollo en el nuevo ambiente institucional.
Empresas Públicas de Medellín E.S.P. es hoy el resultado de las decisiones acertadas que se tomaron hace cincuenta años, como respuesta a las exigencias del momento. Con gran visión, los gestores del ente autónomo crearon una empresa que demostró ser la más apropiada para responder a las necesidades del desarrollo económico y social de la ciudad.
Hoy, los administradores de la organización, los dirigentes y la opinión pública enfrentan una evidencia irrebatible: encarar con éxito las nuevas condiciones políticas, económicas e institucionales del país y del mundo, relacionadas con la prestación de los servicios públicos.
ESTRUCTURA ORGANIZACIONAL DE EE.PP.M. EN EL 2005 Actualmente Las Empresas cuentan con seis mil doscientos setenta (6270) funcionarios distribuidos en las diferentes sedes con que cuenta la entidad.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
42
Cuatro mil cuatrocientos doce (4412) empleados y mil sesenta y tres (1063) contratistas tienen acceso a los diferentes servicios que ofrece la red corporativa de datos.
En la gráfica siguiente se muestra como es la organización y la manera de cómo se administra la gente y los recursos que maneja la empresa.
OR G A N IG R A M A E EP P M G er en c ia G en er al Un id ad d e C o m u n ic ac io n es y R el ac io n es C o r po rat iv as G er en c ia ia d d e P lan eac i ó n Co r p o r ati v a
G er en c i a d e In v ers ió n
Di rec c ió n d e C on tr o l In t er n o
S ec ret ar ía G en eral
G erencia G eneración E nergía
G erenc ia D istribució n E nergía
U n i d a d e s d e N ú c l e o C o r p o r a t i v o
G erencia Telecom unicaciones
G erencia A guas
G erencia Com ercial
U n i d a d e s E s t r a t é g i c a s d e N e g o c i o
Di rec c ió n Fin an c iera
Di r ec c i ó n A d m i n is t rat iv a
D ir ec c i ó n G es ti ó n H u m an a
D ir ec c i ó n In f o rm át i c a Co r p o rrati ati v a
U n i d a d e s d e S e r v i c i o s C o m p a r t i d o s
VISIÓN Ser una empresa líder en Colombia y relevante en América Latina en la prestación integral de servicios públicos domiciliarios y conexos, que a partir del conocimiento de las necesidades de los clientes, les brinde soluciones de valor agregado y un nivel de excelencia que los satisfaga, y de esta manera garantice su lealtad y maximice el valor generado por cada uno de ellos.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
43
MISIÓN Ser una empresa de servicios públicos domiciliarios integrales de clase mundial: Que satisfaga las necesidades de sus clientes con servicios de excelencia.
Que contribuya de esta forma al desarrollo socioeconómico de las áreas donde actúe.
Que genere rendimientos económicos suficientes para atender a su crecimiento y contribuir a la satisfacción de las necesidades de la ciudad de Medellín y su gente.
VALORES ORGANIZACIONALES Los siguientes son los valores que caracterizan y mueven a las Empresas buscando siempre su estabilidad, crecimiento y cumplimiento de su misión, visión y responsabilidad social:
Innovación: Implementación de nuevas alternativas a problemas o situaciones con un fuerte enfoque de mejoramiento. Conocimiento y satisfacción del cliente: habilidad para conocer e indagar sobre las necesidades de cada cliente, logrando que él opte por nuestros servicios después de haber entendido sus necesidades, satisfaciéndolas en tiempo y forma, superando incluso sus expectativas.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
44
Integridad: disposición para actuar con principios éticos, de manera confiable y consecuente con los objetivos empresariales, sin obtener ventajas personales en las decisiones o en los procesos organizacionales. Productividad: capacidad para cumplir los objetivos rentables propuestos haciendo uso óptimo de los recursos disponibles.
A DMINISTRACIÓN La máxima autoridad de EE.PP.M. es la Junta Directiva, conformada por representantes de la Alcaldía de Medellín, el Concejo y las entidades cívicas o de usuarios de los servicios, con presidencia del Alcalde Metropolitano. La representación legal y la administración están a cargo del Gerente General, nombrado por el Alcalde, quien cuenta con el apoyo de ocho Gerencias: Auxiliar, Telecomunicaciones, Aguas, Generación de Energía, Distribución de Energía, Comercial, EPM Consulting y Planeación Corporativa; seis Direcciones: Informática Corporativa, Administrativa, Gestión Humana, Control Interno, Desarrollo Organizacional, Financiera; y la Secretaría General. El Control Fiscal posterior de EE.PP.M. lo ejerce la Contraloría Municipal.
PRESUPUESTO Empresas Públicas de Medellín aprobó para el año 2005 un presupuesto de $4.797.740 millones de pesos.
De esa cifra, el 39% será destinado a inversión, un 18% a funcionamiento, 31% a la operación comercial y otro 12% al servicio de la deuda.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
45
FUNCIÓN SOCIAL Para atender adecuada y oportunamente a las clases menos favorecidas, durante más de 30 años EE.PP.M. ha aportado soluciones concretas al problema de los servicios de Energía, Telefonía Básica, Acueducto y Alcantarillado en las zonas urbanas y semirurales de Medellín y en los demás municipios de su área de influencia, a través de su Programa Habilitación Viviendas, buscando mejorar la calidad de vida de las comunidades, mitigando los impactos generados por las obras y proyectos, participando activamente en el desarrollo comunitario y velando por el cumplimiento de las obligaciones consagradas por ley.
La entidad ha estado presente en Antioquia con la ejecución de obras de amplio contenido social: carreteras, puentes, sedes educativas, culturales y comunitarias; pavimentación de vías, suministro y transporte de materiales y maquinaria; dotación de espacios locativos, creación de fuentes de empleo, obras de explanación, protección y drenaje, prestación de servicios públicos básicos, realización de actividades forestales, labores de veeduría, asesoría e interventoría, entre otras.
GESTIÓN A MBIENTAL Las Empresas Públicas de Medellín E.S.P. desarrollan desde hace más de tres décadas una vasta tarea reforestadora y de protección de los recursos naturales de los cuales se sirve, agua, suelo y bosques, a través del cuidado de cuencas y microcuencas, la ejecución de actividades de reforestación, mantenimiento de bosques naturales alrededor de sus embalses, control de erosión y estudios de recuperación e impactos ambientales, entre otros.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
46
Empresas Públicas de Medellín también hace presencia ecológica en Antioquia con su Plan de Parques como son: La Culebra en el embalse PeñolGuatapé, Los Salados en el corregimiento La Fe del municipio de El Retiro, Piedras Blancas en la represa del mismo nombre entre Medellín y Guarne, y el núcleo Mirador de la Torre en Riogrande II, en el municipio de Don Matías, constituyen verdaderas reservas forestales y, al mismo tiempo, opciones recreativas para la comunidad, llenas de senderos, miradores naturales, agua y mucho paisaje.
Además, EE.PP.M. hizo aportes importantes en tierra y en la construcción de la infraestructura de servicios públicos al Parque de las Aguas, con el cual se abrió un nuevo lugar de esparcimiento para la comunidad.
NUESTROS COMPROMISOS Las Empresas concientes de su responsabilidad social y del desarrollo integral de la ciudad y el departamento, ha adquirido dentro de su gestión, los siguientes compromisos:
MANEJO INTEGRAL DEL AMBIENTE Se entiende el ambiente como el resultado de la interacción dinámica entre el medio natural y el medio social. En este contexto, la gestión ambiental estará relacionada con la prevención y el manejo adecuado de los impactos ambientales no deseables y la potenciación de los impactos positivos causados por los proyectos, obras o actividades propios de cada uno de los negocios en las áreas de influencia.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
47
La gestión ambiental se fundamenta en un enfoque integral y preventivo, en métodos interdisciplinarios y de trabajo en equipo, en mecanismos de comunicación, concertación y participación con todos los actores involucrados en dicha gestión y mediante la responsabilidad individual y colectiva de los trabajadores, proveedores y contratistas con el entorno. Lo anterior, con el propósito de insertar adecuadamente los proyectos y obras en las áreas donde actúa EEPPM, bajo los principios de uso racional de los recursos naturales, de responsabilidad social con la población influenciada y de compromiso con las generaciones futuras. En EE.PP.M. se cumple con la legislación ambiental establecida en la Constitución, las leyes y las normas aplicables al desarrollo de proyectos y obras.
MEJORAMIENTO CONTINUO DE LA GESTIÓN AMBIENTAL Se asume el compromiso de mejoramiento continuo de la gestión ambiental mediante la planeación, implementación, revisión y actualización de los procesos y acciones que interactúan con el ambiente, para integrar y dar coherencia a la gestión realizada por la Organización en su relación con el entorno.
Está afianzada la integralidad técnica económica y ambiental en todos los proyectos y obras y se mantiene el compromiso de que la gestión ambiental debe estar asociada a la innovación, al fomento de la investigación, al desarrollo tecnológico y del talento humano y a la optimización de los recursos en la búsqueda del mejoramiento de la productividad, la eficiencia y la racionalización de los costos ambientales, con el fin de fortalecer la competitividad de las Empresas Públicas de Medellín E.S.P.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
48
PARTES INTERESADAS Reafirmamos que el cliente es nuestra razón de ser, por lo tanto el compromiso con la excelencia en la prestación de los servicios, en la satisfacción de sus necesidades y en la comunicación adecuada, seguirán siendo la base de nuestra relación con éste. La información oportuna, la consulta, la concertación y la participación efectiva fundamentan nuestras relaciones con el Municipio de Medellín, los clientes, los empleados, las comunidades donde actuamos, los proveedores y demás actores involucrados en nuestra gestión ambiental. De esta manera, se afianza la lealtad, el respeto, la confianza y la interacción de mutuo beneficio. Nos comprometemos a divulgar la política ambiental a todos los empleados desarrollando programas y medios que posibiliten su conocimiento y aplicación, como también su disponibilidad para el público en general.
GESTIÓN DE RIESGOS Para garantizar una óptima confiabilidad de los equipos, instalaciones y procesos, EEPPM se ha interesado en mantener un estricto cumplimiento de las normas y prácticas de ingeniería, una adecuada interventoría en la construcción y montaje, y una efectiva administración, operación y mantenimiento de los recursos. Adicionalmente, la Unidad Riesgos y Seguros tiene en ejecución varios programas de Control y Administración de Pérdidas, los cuales comprenden la identificación de peligros, la evaluación y análisis de los riesgos, la elaboración de recomendaciones para minimizar el riesgo, la asesoría y coordinación con las dependencias involucradas en el análisis de la viabilidad técnica y económica de las medidas recomendadas, y el análisis e
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
49
implementación de las alternativas de administración de riesgos más convenientes.
Estos estudios están orientados al análisis de todo tipo de riesgos asociados a las instalaciones en particular (centrales hidroeléctricas, subestaciones, almacenes generales, laboratorios, etc.), incluyendo las pérdidas materiales, humanas, afectación del medio ambiente, responsabilidad civil, si existe.
Mediante el decreto No. 648 del 3 de abril de 1995 de EE.PP.M. las Empresas implantaron un sistema corporativo de administración de riesgos, el cual contempla las políticas, normas y procedimientos a seguir en materia de gestión de riesgos a los cuales deben ser sometidos los bienes, recursos humanos e intereses de las Empresas, además de la comunidad y el medio ambiente que bajo ciertas condiciones podría amenazar o ser amenazada por las operaciones propias de las Empresas.
Dicho decreto fue actualizado y reemplazado mediante el 1029 del 22 de enero de 1999, para adaptarlo a las nuevas condiciones dadas por el proceso de reestructuración interna adelantado en las Empresas.
A partir de este decreto, se dio inicio al proceso de administración de riesgos en cada una de las UENs, UNCs y USCs, denominado Sistema Corporativo de Administración de Riesgos, SCAR.
Mediante éste sistema se pretende desarrollar, estandarizar e implementar la metodología y herramientas para la ejecución de las etapas de identificación, análisis, evaluación, control físico y financiero de los riesgos en cada una de las dependencias de las Empresas Públicas de Medellín.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
50
Para lo anterior se ha contado con la dedicación de numerosos funcionarios adscritos a las diferentes Unidades, quienes han recibido capacitación y entrenamiento en diferentes temas de administración de riesgos, con el objeto de que cada uno se convierta en multiplicador de la cultura de la administración de riesgos en las EE.PP.M.
CULTURA EMPRESARIAL Esa cultura empresarial se manifiesta en un profundo sentido de pertenencia por la entidad, no sólo por parte de sus funcionarios, empleados y trabajadores, sino también por parte de la comunidad, que la quiere, la respeta y cierra filas en torno a ella para defenderla de amenazas externas. Se ha generado así un verdadero círculo virtuoso: la gente apoya a las Empresas Públicas de Medellín E.S.P. porque son eficientes, y ellas son eficientes gracias al respaldo de la gente.
Todo esto se manifiesta en la forma como sus directivas y funcionarios en general manejan los recursos que le son asignados para el cumplimiento de sus funciones y como dentro de su práctica profesional han incluido el manejo del riesgo en el que hacer diario y en los nuevos proyectos que emprende la corporación para mejorar la calidad de vida de su comunidad, razón de ser de la Empresa.
Gracias al apoyo de la gerencia y al compromiso de la gente que ha recibido capacitación y han sido multiplicadores del tema, la cultura de administrar el riesgo se ve cada vez inmersa en los procesos, en las contrataciones y en la adquisición de la tecnología de información bajo esquemas de redundancia, alta disponibilidad y respaldo necesaria para soportar y mantener el servicio 24
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
51
horas 7 días a la semana, que es lo que demanda hoy el cliente y la competencia.
GRUPO EMPRESARIAL EE.PP.M. A continuación se muestran algunas de las empresas en las cuales EE.PP.M. tiene participación económica. Algunas de estas empresas están alineadas dentro de la estrategia de TI junto con EE.PP.M. en la búsqueda de sinergias. Empresa
Participación
Actividad Principal
EPM BOGOTÁ
63.40%
Telecomunicaciones
EMTELSA
36.88%
Telecomunicaciones
ORBITEL
50.00%
Telecomunicaciones – larga distancia
Empresa Telefónica de Pereira
56.14%
Telecomunicaciones
EMTELCO
99.54%
Comunicación de datos
EDATEL
56.00%
Telecomunicaciones
Colombia Móvil
50.00%
Telefonía Móvil PCs
TELEPSA
60.00%
Telecomunicaciones
Aguas de Oriente
56.00%
Aguas
EPM Bogota Aguas
89.58%
Aguas
EADE
63.90%
Energía
CHEC
56.00%
Energía
Energía de Quindío
56.00%
Energía
HET S.A. (BONYIC)
75.00%
Energía
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
52
10. QUÉ ES LA DIRECCIÓN INFORMÁTICA CORPORATIVA Es el área encargada de promover y liderar la planeación y el desarrollo coherente e integrado de la informática en las Empresas, para garantizar una estrategia informática alineada con la visión corporativa.
ESTRUCTURA Actualmente La Dirección de Informática Corporativa cuentan con ciento cincuenta y ocho (158) funcionarios distribuidos en las diferentes áreas que componen dicha Unidad de Servicio Compartido (USC). En la gráfica siguiente se muestra como es la organización:
DIRECCIÓN DE INFORMÁTICA CORPORATIVA
Unidad Planeación Informática
Unidad Gestión Informática
Unidad Sistemas de Información
Unidad de Ingeniería y Tecnología Informática
Unidad Operaciones Informática Informática
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
53
UNIDAD PLANEACIÓN INFORMÁTICA Su función es elaborar y mantener actualizada la estrategia informática, en cuanto a aplicaciones, tecnología y organización, con sus correspondientes planes estratégicos y tácticos, para garantizar un desarrollo integrado de la informática en las Empresas.
UNIDAD GESTIÓN INFORMÁTICA Su función es asesorar y trabajar en equipo con las unidades de la Dirección Informática Corporativa y con las demás gerencias, en la ejecución y el mejoramiento de sus planes, para garantizar la coherencia de la gestión informática de todas las unidades.
Ofrece apoyo en lo referente al mejoramiento de los productos y servicios, medición de la calidad del servicio, asesoría y adquisición de infraestructura informática.
UNIDAD INGENIERÍA Y TECNOLOGÍA INFORMÁTICA Su función es coordinar la Integración de la planeación informática, las necesidades de ingeniería y tecnología y la infraestructura informática para proveer asesoría especializada a toda la organización.
Presta soporte especializado en los temas de seguridad informática, viabilidad técnica para adquisición de tecnología y compatibilidad con la infraestructura que posee EE.PP.M.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
54
UNIDAD SISTEMAS DE INFORMACIÓN Su función es coordinar la adquisición de paquetes de software, el desarrollo, la evolución y mantenimiento de los sistemas de información corporativos tales como OneWorld, Sigma, Siebel, Fénix, Factura, Open, entre otros, para garantizar que éstos apoyen los procesos organizacionales.
UNIDAD OPERACIONES INFORMÁTICA Su función es coordinar la instalación, soporte, operación y mantenimiento de todos los equipos informáticos, servidores, redes y aplicaciones para garantizarle a la corporación la disponibilidad de la infraestructura tecnológica.
PENSAMIENTO ESTRATÉGICO Para entender el papel de la Dirección Informática Corporativa en lo relacionado con la infraestructura de TI, veamos a continuación un resumen de su pensamiento estratégico:
MISIÓN “Crear y prestar servicios de Tecnología de Información que sean convenientes para el desempeño integral del Grupo Empresarial EPM.” Desempeñando los siguientes roles: ·
Direccionador y controlador de TI en Las Empresas.
·
Direccionador estratégico de TI para las empresas filiales.
·
Prestador de servicios de tecnología de iformación.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
55
VISIÓN Ser la mejor opción en la prestación de servicios de Tecnología de Información para el Grupo Empresarial EPM.
ESTRATEGIA ·
Retener y Potenciar el liderazgo en servicios de TI en el Grupo Empresarial.
·
Ser los líderes de la planeación, la evolución y el soporte de los paquetes corporativos.
·
Obtener sinergias en TI entre EE.PP.M. y sus filiales.
·
Apalancar el negocio de IDC y buscar la convergencia del datacenter
·
Mantener las aplicaciones críticas en los niveles de continuidad que requiere el negocio.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
56
11. METODOLOGIA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS EN PROYECTOS DE TECNOLOGÍA DE INFORMACIÓN Es importante en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que participan en un proyecto de tecnología de información; y por medio de una buena gestión se pueda evaluar el desempeño, desarrollo y ejecución del mismo.
Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en cuenta que una de las principales causas de los problemas dentro del entorno informático, es la inadecuada administración de riesgos, este trabajo sirve de apoyo para una adecuada gestión de la administración de riesgos, basándose en los siguientes aspectos:
·
La sensibilización en la administración y gestión de los riesgos.
·
La asignación de responsables a los proyectos de tecnología de información.
·
La evaluación y valoración de los riesgos inherentes a los proyectos de tecnología de información y a los procesos que soporta
·
El análisis de las causas de los riesgos.
·
Los controles utilizados para minimizar los riesgos.
El proceso de administración de riesgo es el conjunto de estrategias tendientes a minimizar los riesgos asociados al funcionamiento de un sistema, con el fin de disminuir las pérdidas y garantizar su estabilidad operativa y financiera en el corto plazo y su continuidad y permanencia en el largo plazo.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
57
El esfuerzo metodológico desarrollado en este documento, en donde se integran los conceptos de la administración de riesgos y la gerencia de proyectos, es aplicable a cualquier empresa puesto que la metodología descrita, en sí no tiene restricciones específicas.
A continuación se describen las fases, actividades y tareas que se deben realizar en las fases que conforman la metodología y son: (0) Sensibilización, (1) Planeación del proyecto, (2). Inicio del proyecto, (3) Análisis y valoración de riesgos.
F A S E S D E L A M E T O D O L O G ÍA P l a n e a c i ó n
In ic i o d e l P r o y e c t o
G e s ti ó n d e l R i e s g o
• C o n f i r m a c i ó n d e l A l c a n c e .
• L a n z a m i e n t o d e l P r o y e c t o .
• Id e n t i f i c a c i ó n .
• L o g ís t i c a d e A d m i n i s t r a c i ó n .
• C o n o c i m i e n t o d e l N e g o c i o .
• C o n f o r m a c i ó n d e l e q u i p o d e t r a b a j o .
• S o l i c i t u d d e r e q u e r i m i e n t o s d e In f o r m a c i ó n
• R e t e n c i ó n .
• P l a n d e e n t r e v i s t a s .
• A n á l i s i s d e R e s u l t a d o s .
• A n á l i s i s y V a l o r a c i ó n . • C o n t r o l .
• T r a n s f e r e n c i a .
S e n s i b i l i z a c i ó n
FASE 0: SENSIBILIZACIÓN Se debe fomentar en la organización y el proyecto la cultura del riesgo. En la medida en que se perciban los riesgos a qué se está expuesto, se estará en capacidad de administrarlos. Esta fase es transversal, es decir, se ejecuta durante el desarrollo de todo el proyecto y se puede decir que de aquí depende en gran parte el éxito del mismo.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
58
Todo integrante juega un papel importantísimo en la Administración de Riesgos, toda vez que al ser parte activa del proceso, consolida una cultura organizacional que garantiza la adecuada protección de los bienes, recursos y procesos de la empresa y asegura un manejo de los riesgos en forma racional, óptima, integral, confiable, altamente participativa y a costo mínimo.
Todo funcionario de las Empresas debe asumir un papel y responsabilidad claramente definida frente a los riesgos.
Con esta actividad lo que se pretende es identificar las características generales de las personas involucradas en el proyecto, así como las percepciones, motivaciones y sugerencias que tiene frente a la administración de los riesgos, reconociendo la conformación e interrelación entre los distintos equipos de trabajo, todo esto para generar las estrategias de sensibilización y comunicación que faciliten la implementación exitosa del proyecto en la entidad y la adecuada gestión del riesgo durante su ejecución.
Para lograr lo anterior se pueden utilizar instrumentos como las entrevistas, las encuestas, la observación del comportamiento frente al riesgo entre otras.
Con los resultados obtenidos después de aplicar dichos instrumentos, se define las estrategias de sensibilización que deben estar enfocada a reforzar el poder, el querer y el saber partiendo del hecho de reconocer que las personas son los artífices del cambio. Asume que el ser humano no es resistente al cambio sino a ser cambiado, por lo tanto el verdadero cambio se da al interior de las personas.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
59
S e n s ib il iza c ió n P u e d a (P o d e r )
Q u i e r a (Q u e r e r )
• R e c u rs o s • P roc ed im ie n to s • E s tán d are s • S is tem a s y H e rra m ie n ta s
• A c titu d • C o n du c ta • C o m p rom is o
S e p a (S a b e r ) • C o m p e te n c ia s T éc n ic a s • C o m p e te n c ia s F u nc io n ale s • C o m p e te n c ia s Interp e rs o n a le s
Está científicamente comprobado, que los adultos tenemos ciertas características en el aprendizaje en la que la transmisión oral o visual de conceptos y conocimientos solo permiten un nivel de efectividad y recordación promedio del 20%, mientras que las vivencias y/o los descubrimientos que realizamos por nosotros mismos se graban en un 80%, facilitando un proceso sistémico y perdurable de aprendizaje y cambio, pero sobre todo de aplicación práctica, útil e inmediata.
En este orden de ideas, las metodologías vivenciales o de outdoortraininng, logran alto impacto, porque aceleran la curva de aprendizaje, apoyado en el objetivo de modificar conductas y comportamientos, generando compromisos y facilitando los procesos de cambio y transformación cultural.
El Outdoortraining es una metodología de formación que se basa en reproducir situaciones empresariales a través de simulaciones y de actividades al aire libre. Es lo que llamamos una metodología vivencial, porque el punto de partida es la experiencia que viven los participantes.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
60
Después de estas situaciones fuera del aula, se analiza de forma conjunta lo sucedido, se exploran las analogías que existen con la realidad de las organizaciones. Posteriormente el aprendizaje se integra a través de la asimilación de modelos conceptuales de psicología y management (kolb, Hertberg, etc.).
El aprendizaje, en definitiva, se produce a través de la vivencia del equipo, del análisis de ésta y de su conceptualización posterior. El último paso del proceso consiste en transferir lo aprendido a la empresa a través de acciones y compromisos concretos.
Tal y como se ha comentado anteriormente buena parte del éxito del proyecto radica en disminuir la ansiedad que generará el proyecto, suministrando los conceptos, procesos, metodologías y herramientas de análisis y valoración de los riesgos, capacitando y entrenando a todos los involucrados y a aquellos que participan de una manera puntual en el desarrollo del proyecto.
Al desarrollar las dimensiones del poder, el querer y el saber, se obtiene un cambio de actitud y comportamiento de las persona frente al tema que se está sensibilizando y para este caso concreto frente a la administración y gestión de riesgos en el proyecto, por que lo interiorizan y hacen parte integral de su trabajo diario.
Todo lo anterior debe ir acompañado de una compaña de comunicación donde se aprovecharán los medios corporativos existentes y se diseñarán otros que garanticen la cobertura de los públicos identificados. La comunicación será abierta, frecuente, breve, sencilla y durante toda la ejecución del proyecto.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
61
FASE 1: PLANEACIÓN DEL PROYECTO En esta fase se busca definir y confirmar el alcance, entender el ambiente de trabajo donde se desarrollará el proyecto, identificando el responsable así como el equipo que tomará parte en el mismo. En la Fase de planeación del proyecto se busca desarrollar un plan de trabajo acorde con las necesidades planteadas y con los requerimientos del cliente que para este caso pueden ser las UNCs, UENs y USCs.
El siguiente mapa muestra cada una de las actividades que se deben llevar a cabo en esta fase de planeación: P L A N E A C I Ó N
1 . C o n f i r m a c i ó n d e l A l c a n c e
2 . C o n f o r m a c i ó n d e l E q u i p o d e T r a b a j o
3 . E s t a b l e c i m i e n t o d e l a l o g í s t i c a d e a d m i n i s t r a c i ó n
Figura 1: Actividades de la Fase de Planeación del Proyecto
CONFIRMACIÓN DEL A LCANCE El objetivo de esta actividad es que el equipo del proyecto y la organización tengan muy en claro lo que contemplará el proyecto, cuáles procesos, aplicaciones, servidores, instalaciones, bases de datos, etc, estarían incluidas en el estudio. Además, se debe estar muy atento en conservar el alcance, confirmarlo y no permitir que se modifique o cambie. De esto depende en gran parte el éxito del proyecto.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
62
CONFORMACIÓN DEL EQUIPO DE TRABAJO Para realizar este tipo de proyectos es necesario conformar un equipo de trabajo interdisciplinario entre la UEN, o UNC, o USC, la Dirección de Informática Corporativa y con el apoyo puntual de las áreas que se requieran y deban participar en el análisis y valoración de riesgos, utilizando mecanismos de integración, comunicación y coordinación teniendo en cuenta lo siguiente:
·
Conformar el equipo de trabajo con roles y responsabilidades definidas.
·
Conformar el Comité directivo del proyecto con roles y responsabilidades definidas que ayuden a dirimir conflictos, a tomar decisiones y a apoyar el proyecto.
·
Divulgar la metodología utilizada para hacer el análisis y valoración de riesgos en proyectos de tecnología de información a los participantes por parte de la Dirección de Informática Corporativa.
·
Analizar los ajustes y mejoras requeridas en la metodología de acuerdo con los cambios que hayan surgido en los sistemas de información y los ambientes tecnológicos.
·
Recolectar la información necesaria relacionada con las actividades de la metodología teniendo en cuenta los controles que se implementan y buscan mejorar el escenario del riesgo y disminuir su impacto.
·
Aplicar la metodología teniendo en cuenta los ajustes y mejoras que hayan sido requeridas y que fueron el resultado del análisis de la misma.
·
Efectuar reuniones periódicas con los diferentes miembros del equipo de trabajo, para conocer el estado de avance del análisis y valoración.
·
Analizar la información y validar los resultados obtenidos de acuerdo con la metodología aplicada.
·
Estructurar el informe final del análisis y valoración de los riegos.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
63
Este equipo debe estar conformado por el cliente y el proveedor del servicio. La siguiente figura muestra un esquema de cómo debe trabajar un proyecto de esta naturaleza al interior de la organización. E Q U IP O D E T R A B A J O E q u i p o A s e s o r d e l a M e t o d o l o g ía
IN T E G R A C IÓ N
E q u i p o d e l C l i e n t e U N C , U S C , U E N
M e t o d o l o g ía p a r a e l A n á l i s i s y v a l o r a c i ó n d e R i e s g o s e n P T I C O M U N IC A C IÓ N
C O O R D IN A C IÓ N
Á r e a s d e A p o y o d e l r e s t o d e l a O r g a n i z a c i ó n
T R A N S F E R E N C IA D E C O N O C IM IE N T O Figura 2: Esquema de trabajo en el proyecto
11.2.3.
ESTABLECIMIENTO DE LA L OGÍSTICA DE A DMINISTRACIÓN
El propósito es definir cuales son las actividades que van apoyar y controlar la administración del proyecto. Estas actividades dependen de cada empresa, respetando su cultura y manera de ejecutar este tipo de proyectos, algunas de ellas son:
·
Realizar un recorrido por las instalaciones con el equipo de trabajo, aquí se busca conocer el entorno de trabajo, la asignación de una oficina y los recursos necesarios (escritorios, sillas, teléfonos, red, Internet, entre otras) para el normal desarrollo del proyecto.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
64
·
Definir el cronograma (Plan de trabajo) que contenga las actividades, las fechas de inicio y terminación, los responsables de ejecutarlas, los recursos, el presupuesto y los productos o informes que se deben elaborar y entregar.
·
Definir el formato de los informes de avance, presentaciones y actas.
·
Definir reuniones de seguimiento con el equipo del proyecto.
·
Definir las reuniones periódicas de informe de avance o presentaciones con el comité directivo del proyecto y las áreas dueñas para quienes se está realizando el trabajo.
FASE 2: INICIACIÓN DEL PROYECTO Es importante para llevar a cabo de una manera exitosa el proyecto contar con el apoyo de la alta gerencia, por esto es necesario tener una permanente comunicación con la dirección mediante informes de avances y presentaciones que den una idea de cómo va el desarrollo del proyecto.
En esta fase se busca lanzar el proyecto con el fin de que la alta gerencia y las áreas a las cuales se les va a hacer el trabajo lo conozcan, apoyen, participen y se comprometan con ejecución y desarrollo hasta el final.
Después de que los involucrados, tanto áreas usuarias como equipo de proyecto y alta gerencia, lo conocen, se desarrollan las actividades de conocimiento del negocio, solicitud de requerimientos de información y el plan de entrevistas de una manera más ágil y oportuna donde se evidencia claramente si hay apoyo o no al proyecto.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
65
El siguiente mapa muestra cada una de las actividades que se deben llevar a cabo en esta fase de Iniciación:
IN IC IO D E L P R O Y E C TO
4 . R e u n ió n d e la n z a m ie n to d e l p ro y e c to
5 . C o n o c im ie n to d e l N e g o c io
6 . S o lic itu d d e R e q u e rim ie n to s d e in fo rm a c ió n .
7 . P la n d e E n tre vis ta s
Figura 3: Actividades de la Fase de Iniciación del Proyecto
REUNIÓN DE L ANZAMIENTO DEL PROYECTO Preparar una presentación que muestre los beneficios, el plan, los productos y el equipo de trabajo, al grupo gerencial con el fin de confirmar el apoyo y lograr el compromiso de cada una de las áreas dentro del alcance para asegurar el éxito del proyecto.
CONOCIMIENTO DEL NEGOCIO El equipo se debe hacer una idea general del negocio, los procesos en los que se realizará el trabajo, la infraestructura de TI, instalaciones etc.
La mecánica para la realización consta de 2 partes:
·
Solicitud de unos requerimientos de información básica.
·
Presentaciones de los usuarios y dueños de tecnología
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
66
SOLICITUD DE REQUERIMIENTOS DE INFORMACIÓN El equipo de trabajo debe hacer una solicitud a las áreas involucradas en el estudio sobre la información necesaria para realizar el proyecto. Esta solicitud se hace a través de una plantilla que recoja los requerimientos y la información necesarios para conocer el negocio y sobre todo el área objeto del análisis. PLAN DE ENTREVISTAS Se debe elaborar un plan de entrevistas con las personas que conocen los procesos, las aplicaciones y la infraestructura, donde se indique la fecha, hora y lugar de la reunión. Es conveniente que las reuniones no sean muy extensas, máximo de dos (2) horas, ya que se tiende a perder la información suministrada.
FASE 3: GESTIÓN DEL RIESGO Esta fase está destinada a identificar, evaluar, valorar y controlar los riesgos, la frecuencia y severidad con que se pueden presentar y el grado de aceptabilidad que tendría el proyecto o la organización si ocurriera dicho riesgo evaluado.
Para comenzar con el análisis y la valoración se requiere utilizar el mismo lenguaje y que conceptualmente todos estemos de acuerdo para que el análisis sea lo más objetivo posible y para poder lograrlo es necesario retomar algunas definiciones hechas al principio de este documento:
Amenaza: Persona, objeto, situación o evento natural del entorno (externo o interno) que es visto como fuente de peligro, catástrofe o interrupción y pueden ser de origen natural tecnológico y social. Ejemplos: sismos, inundación,
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
67
avalanchas, incendio, explosiones, robo de datos, sabotaje, ausencia del plan de contingencias, insuficiente gestión de monitoreo, aplicativos mal diseñados, secuestro, fraude, etc. También se define como un riesgo no evaluado. Es necesario cuantificarla para poder tomar decisiones (Administración de Riesgos). En síntesis podemos definir que la amenaza es una percepción del algo que puede ocurrir. Riesgo: Definimos el riesgo como la probabilidad de que la amenaza se materialice, debido a la existencia de una o varias vulnerabilidades de peso significativo. El riesgo es difícil de medir, sobretodo, cuando no se cuenta con datos estadísticos que lo respalden o avalen, por la tendencia de las organizaciones a ocultar incidentes, la localización geográfica, las culturas, leyes, criticidad, situación país, etc. También se define como una amenaza evaluada en cuanto a su probabilidad de ocurrencia (Frecuencia) y a la gravedad de sus consecuencias (Severidad). Riesgo Informático: Es un suceso incierto que puede llegar a presentarse en un futuro con la probabilidad de Generar Consecuencias NEGATIVAS que afecten el ambiente informático o la información. Probabilidad/Frecuencia: Es el numero de veces que se da un evento. Ver también posibilidad y probabilidad. También se define como el número de veces que una amenaza deja de serlo para convertirse en realidad, a lo largo de un determinado periodo de tiempo.
Gravedad/Severidad/Impacto: Es la evaluación del efecto y consecuencia del riesgo. Generalmente, la exposición al riesgo se mide en aspectos económicos, imagen de las personas o empresas, disminución de capacidad de respuesta y competitividad, interrupción de operaciones, etc. Efecto que causa en la
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
68
organización la ocurrencia de un siniestro o contingencia y que normalmente se ve reflejado en la suspensión de las actividades normales del negocio. También se define como el económico de la materialización de una amenaza, se requiere involucrar gastos directos, indirectos y pérdidas consecuenciales.
Valor del riesgo: Riesgo = Probabilidad X Gravedad (R = PxG)
Siniestro: Todo evento accidental, súbito e imprevisto (repentino, no planeado), que normalmente genera consecuencias negativas sobre un sistema.
Control: Control es toda acción orientada a minimizar la frecuencia de ocurrencia de las causas del riesgo o valor de las pérdidas ocasionadas por ellas. Los controles sirven para asegurar la consecución de los objetivos de la organización o asegurar el éxito de un sistema y para reducir la exposición de los riesgos, a niveles razonables. Los objetivos básicos de los controles son: Prevenir las causas del riesgo, detectar la ocurrencia de las causas del riesgo, retroalimentando el sistema de control interno con medios correctivos.
Con las anteriores definiciones, esta etapa de análisis y valoración pretende identificar y calificar los riesgos que pueden presentarse alrededor del proyecto de tecnología de información siguiendo una serie de pasos basados en el siguiente mapa que muestra cada una de las actividades que se deben llevar a cabo en esta fase.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
69
G E S T IÓ N D E L R IE S G O
Id e n t i f i c a c i ó n
A n á l i s i s y V a l o r a c i ó n
C o n t r o l F ís i c o
A n á l i s i s d e R e s u l t a d o s
¿ S e a c e p t a e l r i e s g o ?
N O T r a n s f e r e n c i a
S I R e t e n c i ó n
Figura 4: Diagrama de Administración de Riesgos
Cada paso debe realizarse para dos entornos:
·
Procesos Vs. Tecnología de Información: Tomar como referencia los procesos que tienen asociada la tecnología informática.
·
Tecnología de Información Vs. Tecnología Informática, es decir analizar cada recurso de la tecnología informática evaluando el hardware, software, aplicaciones, comunicaciones, red, instalaciones físicas donde se encuentra ubicado o vaya a funcionar el proyecto a implantar.
IDENTIFICACIÓN La identificación de riesgos consiste en determinar qué tipos de riesgos es más probable que afecten al proyecto de tecnología de información y documentar las características de cada uno.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
70
La identificación de riesgos no es un suceso que se produzca en un instante determinado; debe desarrollarse de una manera regular a lo largo de todo el proyecto.
Es difícil generalizar acerca de los riesgos de una organización o de un proyecto porque las condiciones y operaciones son distintas, pero existen formas de identificarlos entre las cuales están:
·
Herramientas de identificación de riesgos: Las más importantes herramientas usadas en la identificación de riesgos incluyen: registros internos de la organización, listas de chequeo, cuestionarios de análisis de riesgos, flujos de procesos, análisis financiero, inspecciones, entrevistas, tormenta de ideas, entre otras.
·
Aproximación de combinación: La aproximación preferida en la identificación de riesgos consiste de una aproximación de combinación, en el cual todas las herramientas de identificación de riesgos están hechas para tolerar problemas. En pocas palabras cada herramienta puede resolver una parte del problema y combinados pueden ser una considerable ayuda al administrador de riesgos. Esto significa que dependiendo de lo que quiera analizar puede utilizar una u otra y combinar el resultado de las que utilizó. Por ejemplo: las entrevistas y los cuestionarios y hacer análisis cruzados de ambos instrumentos, con el fin de disminuir la subjetividad en el análisis.
Para facilitar la identificación de los riesgos en un proyecto de tecnología de información es muy útil apoyarse en el siguiente diagrama:
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
71
R IESG O S
In f lu en c ia s E x t er n as A c t i v i d ad es f u er a d e l alc an c e
PL A NEA CIÓN
EJ EC UC IÓN Y CO NTR OL
Hitos
Res is t en c ia al Cam b io In f l u e n c ias In t e rn as
P lazo s
Pr o b lem a s Ur g en t es
L a g es t ió n d e Ri es g o s es u n a r es p o n s ab il i d ad d e to d o s l o s i n t eg r an t es d el Pr o y e c t o . El a n ál is i s y g es t i ó n d e lo s r ies g o s d el Pr o y ec t o es u n a ac c i ó n c o n t in u a y d in ám ic a.
Figura 5: Identificación de riesgos del proyecto
A continuación se presenta una serie de preguntas y respuestas que sirven como lista de chequeo al momento de hacer la identificación de los riesgos en las diferentes fases del proyecto:
¿Por qué un proyecto de tecnología de información falla? Ver el siguiente diagrama
P l a n e a c i ó n n o e x i s t e o e s i n a d e c u a d a
F a l l a s e n l a E j e c u c i ó n . I m p l a n t a c i ó n m a l c o o r d i n a d a . F a l t a d e F o c o y C o n t r o l
F A L L A • N o s e p r a c ti c ó lo q u e s e p l a n te ó . • N o s e c a p a c i tó a d e c u a d a m e n te . • N o s e c a m b ió la c u ltu r a . • L a s o l u c i ó n e s in a d e c u a d a . • N o s e c u m p li e r o n l o s o b j e t iv o s . • R e tr a s o s y r e p r o c e s o s .
R i e s g o s e s p e c íf i c o s d e l p r o y e c t o
F a l t a d e d e c i s i o n e s o p o r t u n a s .
L a s R e s i s t e n c i a s a l C a m b i o n o f u e r o n i d e n t i f i c a d a s y t r a t a d a s o p o r t u n a m e n t e .
Figura 6: Identificación de riesgos del proyecto
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
72
Puede existir un riesgo en la PLANEACIÓN del proyecto cuando:
·
No existe una clara definición de los objetivos y expectativas para el Proyecto.
·
No se formalizó un Cronograma que establezca los tiempos para las actividades, los plazos, los hitos y productos, y fuera validado por el Equipo y Comité Directivo del proyecto.
·
No se han asignado miembros del Equipo que cumplan los requisitos de competencia, que estén comprometidos y tengan la independencia para generar las soluciones.
·
No se han establecido las responsabilidades y roles de cada miembro del Equipo.
·
No se ha establecido la forma de integración con otros Proyectos, cuáles son los “inputs” y “outputs”, las dependencias, los eventos que deberán ocurrir, responsables, y qué actividades deberán los equipos trabajar coordinadamente.
Puede existir un riesgo en la EJECUCIÓN Y CONTROL del proyecto cuando:
·
Las decisiones no son tomadas oportunamente, causando probables retrasos.
·
No se obtiene el compromiso y apoyo del patrocinador a lo largo de la ejecución y control del proyecto
·
No se ejecuta el plan de capacitación del equipo y de las personas involucradas.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
73
·
El nivel de dedicación de cada miembro del equipo y otras personas involucradas no es adecuada o no cumple la definición del plan.
·
No se entregan informes/ productos adecuados, completos y según la periodicidad definida.
·
No se documentan las mejoras y metodologías
·
No se obtiene la adecuada participación y compromiso de los involucrados.
·
No se identifican los problemas reales / potenciales y no se toman las acciones correctivas y preventivas adecuadas.
Puede existir un riesgo en el proyecto debido a una RESISTENCIA AL CAMBIO cuando:
·
Los involucrados no entienden con claridad las razones para los cambios.
·
Existe una incompatibilidad entre los valores actuales y los cambios
·
Los involucrados perciben que sus jefes y otras personas o grupos políticamente importantes en la Organización no apoyan el cambio.
·
Los involucrados creen que los cambios impactarán negativamente la forma en que ellos se relacionan hoy.
·
Existe presión o influencia externa al proyecto.
Para ayudar en el análisis de las amenazas y los riesgos se requiere:
·
Identificar los riesgos internos de los procesos con cada elemento de tecnología informática asociado al proyecto de tecnología de información.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
74
·
Realizar una lista de chequeo de las amenazas internas que puedan presentarse en forma accidental o intencional en la Empresa con relación a la tecnología informática asociado al proyecto de tecnología de información.
·
Identificar los riesgos externos de los procesos por cada elemento de tecnología informática asociado al proyecto de tecnología de información.
·
Realizar un chequeo del entorno en los fenómenos naturales, el ambiente geopolítico, el ambiente tecnológico, el ambiente ecológico y el sistema sociocultural que rodea la Organización para definir las amenazas a las que puede estar expuesto el proyecto de tecnología de información de la Empresa.
Para facilitar la identificación de los riesgos en la infraestructura en un proyecto de tecnología de información es muy útil apoyarse en el siguiente diagrama:
C o m p o n e n t e s d e l a T e c n o l o g í a d e i n f o r m a c i ó n A P L I C A C I O N E S
E N T O R N O
R E D
I N F R A E S T R U C T U R A E N S U C O N J U N T O
U N I X
U S U A R I O S I S T E M A O P E R A T I V O
A L M A C E N A M IE N T O , R E S P A L D O Y R E C U P E R A C I Ó N
M O T O R D E B A S E S D E D A T O S
S E R V I D O R S e g u r i d a d F í s i c a y l ó g i c a
O P E R A D O R
Figura 7: Escenarios donde se identifican riesgos de la Infraestructura de TI.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
75
Una vez identificadas las amenazas y los riesgos se elaboran las siguientes matrices: Elaborar la matriz de eventos con relación a los procesos de la Empresa y la matriz de eventos con relación a la tecnología informática.
La matriz de eventos, denominada escenario de riesgos con relación a los procesos se construye con las amenazas y con los procesos que tiene la tecnología informática. La combinación Proceso – Amenaza (fila, columna) lo denominaremos Evento o escenario de riesgos, tal como se muestra a continuación en la Tabla N° 1.
Tabla Nro 1. Matriz de Eventos o escenarios con relación a Procesos
Procesos / Amenazas
A1
A2
An
P1
P1,A1
P1,A2
P1,An
P2
P2,A1
P2,A2
P2,An
Pn
P1= proceso 1, P2= proceso 2 …… Pn= proceso n A1= amenaza 1, A2= amenaza 2 …… …. An= amenaza n P1,A1 = E1, es el evento 1 de que en el proceso 1 ocurra la amenaza 1.
Estas matrices se elaboran de acuerdo con el criterio experto del responsable del proceso y de la tecnología informática.
A manera de ejemplo, si tenemos los procesos de Administrar Recursos Humanos, Administrar Finanzas, Desarrollar y Mantener Sistemas/Tecnología,
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
76
Administrar Servicios Legales que poseen tecnología informática asociada a sus procesos y las amenazas de: fallas en sistemas de información, fallas en la aplicación (OneWorld), fallas en la red de comunicaciones, entre otros, se elabora la siguiente tabla:
Tabla Nro 2. Ejemplo Matriz de Eventos o escenarios con relación a Procesos Procesos/Amenazas
Administrar Recursos Humanos –P1
Fallas en Sistemas de Información Falta de funcionamiento del Sistema de Información de Nomina – A1
Fallas en ONEWORLD
Fallas en la Red de Comunicaciones
No disponibilidad del Módulo ARA2 No disponibilidad del Switche ATM – A3
Administrar Finanzas –P2
Falta de funcionamiento del Sistema de Información Financiero – A4 Falla en el backup Online de Oneworld A5
Desarrollar y Mantener Sistemas/Tecnología –P3
Administrar Servicio Legales –P4
Falla en el backup Offline de Oneworld –A6 Falta de funcionamiento del Sistema Documental Mercurio –A7
De igual forma se obtiene la matriz de eventos con relación a la tecnología informática, para analizar las posibles amenazas que pueden llegar a sufrir los recursos informáticos, asociándolos con la letra T como se muestra en la Tabla Nro 3:
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
77
Tabla Nro 3. Ejemplo Matriz de Eventos o escenarios con relación a la Tecnología Informática Tecnología Informática / No Funcionamiento Fallas en Sistema Fallas en la Red de Amenazas de Equipos Operativo Comunicaciones Servidor de Desarrollo Problemas de lectura T1 en el disco duro A1 Servidor de Correo T2 Falla en tarjetas de red A2 Switche ATM T3 Switche ATM fuera de Switche ATM fuera servicio A3 de servicio A4 Centro de Cómputo Sede Inundación de equipos Administrativa T4 A5 Centro de Computo Inundación de equipos Alterno T5 –A6
A NÁLISIS Y VALORACIÓN Una vez que los riesgos han sido identificados el administrador de riesgos debe evaluarlos. El paso a seguir es hacer el análisis y la valoración. En esta actividad se tiene como objetivo, una vez definidos los riesgos, la determinación y cálculo de los criterios que, con posterioridad, nos facilitarán la evaluación y valoración del riesgo.
Como procedimiento a seguir se identificarán las variables específicas y se analizarán los factores obtenidos. Los criterios de análisis del riesgo para este caso en particular que usaremos son: Probabilidad o frecuencia, gravedad o impacto y la aceptabilidad del riesgo.
Para poder hacer el análisis y la valoración del riesgo es necesario elaborar las escalas de probabilidad y gravedad en que se pueden presentar las amenazas. Estas dos tablas tienen como finalidad obtener una calificación del riesgo en cuanto a frecuencia o posibilidad de ocurrencia y en cuanto a la consecuencia o gravedad si se llegara a materializar la amenaza.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
78
Ambas escalas son generadas por los responsables del proceso y de la tecnología informática en forma estándar para la empresa o el proyecto, ya que las consecuencias de un determinado evento o amenaza es diferente para cada proyecto. El termino probabilidad se refiere a la posibilidad de ocurrencia (frecuencia) que puede tener el riesgo evaluado, a los valores o niveles de probabilidad se le asigna un valor relativo (cualquiera); generalmente por facilidad de manejo se utilizan valores enteros. Ver ejemplo en la Tabla Nro 4: Tabla Nro 4. Ejemplo para una Escala de Probabilidad Valor
Probabilidad
1
Improbable
2
Remoto
3
Ocasional
4
Moderado
5
Frecuente
6
Constante
Definición Se presenta bajo circunstancias extremas de orden público en el país, de catástrofe o bajo situaciones excepcionales fuera del alcance de la organización o del proyecto. Como paros, huelgas, sabotajes o amenazas de terrorismo. Se presenta por situaciones atribuibles a las personas, y pueden ser causadas por hechos internos de la organización hacia el proyecto como suspenderlo, no apoyarlo, abortarlo, entre otras. El evento se clasifica como norutinario y no es inherente a la tecnología, su frecuencia se asocia con variables externas a la tecnología, los procesos o componentes del proyecto. Se presenta por situaciones atribuibles al descuido o error humano que afectan la ejecución del proyecto. Se presenta con cierta regularidad, y su causa es atribuible a los recursos mínimos del proyecto (Personas, presupuesto, tiempo, tecnología) los cuales son necesarios para su ejecución. Se presenta en el día a día, su origen es atribuible a situaciones normales del proyecto como interrupciones menores de los procesos, los servicios de la tecnología, la desviación de los recursos y otros similares.
IMPROBABLE: Cuando el riesgo evaluado no ha sucedido hasta ahora y es muy difícil que ocurra. REMOTO: Cuando el riesgo evaluado ha sucedido sólo en forma excepcional y se tiene una posibilidad de ocurrencia muy baja.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
79
OCASIONAL: Cuando el riesgo evaluado ha sucedido pocas veces y tiene baja posibilidad de ocurrencia. MODERADO: Si el riesgo sucede en forma esporádica y tiene limitada posibilidad de ocurrencia.
FRECUENTE: Si el riesgo sucede algunas veces y tiene una significativa posibilidad de ocurrencia.
CONSTANTE: Cuando el riesgo evaluado sucede en forma reiterada y tiene alta posibilidad de ocurrencia. El termino gravedad se refiere a la magnitud en términos relativos de las consecuencias que pueden generarse al ocurrir la amenaza evaluada. La tabla de gravedad, debe construirse en forma estándar para la empresa; a continuación se muestra un ejemplo mediante la Tabla Nro 5:
Tabla Nro 5. Ejemplo para una Escala de Gravedad Valor
Gravedad
1
Insignificante: La duración de la interrupción es menor a 1 hora.
2
Marginal: La duración de la interrupción esta entre 1 4
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
80
Valor
Gravedad horas.
5
Grave: La duración de la interrupción esta entre 48 horas.
10
Crítico: La duración de la interrupción esta entre 824 horas.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
81
Valor
Gravedad
20
Desastroso: La duración de la interrupción esta entre 24 36 horas.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
82
Valor
Gravedad
50
Catastrófico: La duración de la interrupción es mayor a 36 horas.
INSIGNIFICANTE: Cuando las consecuencias (impacto) pueden ser consideradas como despreciables porque que no afectan el funcionamiento del proyecto. MARGINAL: Cuando las consecuencias (impacto) se consideran tolerables (moderadas) porque afectan en forma leve al proyecto.
GRAVE: Cuando las consecuencias (impacto) afectan parcialmente el funcionamiento del proyecto, pero no ponen en peligro su ejecución.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
83
CRÍTICO: Se valora la consecuencia (impacto) en términos considerables porque dichas consecuencias afectan parcialmente al proyecto desplazando su ejecución.
DESASTROSO: Las consecuencias afectan totalmente al proyecto, desplazando su ejecución y aumentando los costos del mismo de lo inicialmente presupuestado.
CATASTRÓFICO: Cuando las consecuencias se consideran de gran magnitud porque afectan en forma total el proyecto pudiendo poner en riesgo la estabilidad del mismo e inclusive impidiendo su terminación.
Para la construcción de estas tablas o escalas de probabilidad y gravedad se toma como referencia la experiencia propia del equipo de trabajo y la percepción del mismo.
Podemos hablar con el término riesgo cuando la amenaza se evalúa con las escalas de probabilidad y gravedad. El próximo paso entonces, de esta etapa, es calificar los riesgos multiplicando el valor del riesgo en cuanto a probabilidad por el valor del riesgo en cuanto a gravedad Riesgo = Probabilidad X Gravedad (R = PxG)
Tal como se muestra en la Tabla Nro 6 tomando como referencia el ejemplo de la Tabla Nro 2. Matriz de Eventos o escenarios en cuanto a Procesos:
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
84
Tabla Nro 6. Ejemplo para la Calificación del Riesgo con relación a los procesos. ENTORNO DE PROCESOS Administrar Recursos Humanos con falta de funcionamiento del Sistema de Información P1A1 Administrar Recursos Humanos sin disponibilidad del Módulo AR de OneWorld. P1A2 Administrar Finanzas con falta funcionamiento del Sistema de Información P2A4 Desarrollar y Mantener Sistemas/Tecnología con fallas en el backup Offline de OneWorld. –P3A6
PROBABILIDAD
P GRAVEDAD G RIESGO
Ocasional
3 Catastrófico 50
150
Moderado
4
Crítico
10
40
Ocasional
3
Crítico
10
30
Frecuente
5 Catastrófico 50
250
Riesgo = P X G Donde: P = Probabilidad de ocurrencia (frecuencia) G = Gravedad o intensidad de las consecuencias (impacto)
De igual forma ocurre con el análisis de la tecnología informática, con el siguiente ejemplo de la Tabla Nro 7 tomando como referencia la Tabla Nro 3. Matriz de Eventos con relación a la Tecnología Informática
Tabla Nro 7. Ejemplo para la Calificación del Riesgo con relación a la Tecnología ENTORNO DE TECNOLOGÍA Servidor de desarrollo con problemas de lectura en el disco duro T1A1 Servidor de Correo con falla en las tarjetas de red T2A2 Switche ATM fuera de servicio T3A4 Centro de Cómputo Sede Administrativa con inundación de equipos T4A5
PROBABILIDAD Remoto Moderado Ocasional Remoto
P GRAVEDAD G RIESGO 2
Crítico
10
20
4 Insignificante 1 3 Catastrófico 50
4 150
2
100
Catastrófico 50
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
85
Elaborar la Matriz de Aceptabilidad, que nos permita determinar el nivel de aceptabilidad hacia el riesgo: La Matriz de Aceptabilidad de Riesgos nos determina el nivel de aceptabilidad del evento o escenario (combinación de riesgoproceso, o combinación de riesgotecnología) que pueda suceder en el proyecto. Esta matriz está conformada por cuatro zonas de acuerdo con la escala de probabilidad y de gravedad definida en los pasos anteriores: Zona Aceptable: Donde la probabilidad de ocurrencia del riesgo es muy baja, es decir, un evento o escenario situado en esta región de la matriz, significa que la combinación frecuencia consecuencia no implica una gravedad significativa, por lo que no amerita la inversión de recursos y no requiere acciones adicionales para la gestión sobre el factor de vulnerabilidad considerado, diferentes a las ya aplicadas en el proyecto. Zona Tolerable: Un evento o escenario situado en esta región de la matriz, significa que, aunque deben desarrollarse actividades para la gestión sobre el riesgo en el proyecto, tienen una prioridad de segundo nivel, pudiendo ser a mediano plazo. Zona Inaceptable: Donde la probabilidad de ocurrencia del riesgo es alta, y su consecuencia es considerable, es decir, un evento o escenario situado en esta región de la Matriz, significa que se requiere siempre desarrollar acciones prioritarias a corto plazo para su gestión, debido al alto impacto que tendrían sobre el proyecto.
Zona Inadmisible: Un evento o escenario situado en esta región de la matriz, significa que bajo ninguna circunstancia se deberá mantener un escenario con esa capacidad potencial de afectar la estabilidad del proyecto e inclusive su
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
86
terminación. Por ello estos escenarios requieren una atención de alta prioridad para buscar disminuir en forma inmediata su vulnerabilidad.
Para determinar los límites de cada una de las zonas de aceptabilidad en la matriz, se utilizan los siguientes criterios de valoración:
ZONA
CRITERIO DE ACEPTABILIDAD (% de vulnerabilidad) Hasta el 3.0 Del 3.1 al 5.0 Del 5.1 al 25.0 Más del 25.0
Aceptable Tolerable Inaceptable Inadmisible PROBABILIDAD RELATIVA Constante Frecuente Moderado Ocasional Remoto Improbable
6 5 4 3 2 1
6 (2.0%) 5 (1.6%) 4 (1.3%) 3 (1.0%) 2 (0.6%) 1 (0.3%) 1 Insignificante
12 (4.0%) 30 (10.0%) 60 (20.0%) 120 (40.0%) 300 (100%) 10 (3.3%) 25 (8.3%) 50 (16.5%) 100 (33.0%) 250 (83.0%) 8 (2.6%) 20 (6.6%) 40 (13.3%) 80 (26.0%) 200 (66.0%) 6 (2.0%) 15 (5.0%) 30 (10.0%) 60 (20.0%) 150 (50.0%) 4 (1.3%) 10 (3.3%) 20 (6.6%) 40 (13.3%) 100 (33.0%) 2 (0.6%) 5 (1.6%) 10 (3.3%) 20 (6.6%) 50 (16.5%) 2 5 10 20 50 Marginal Grave Crítico Desastroso Catastrófico
GRAVEDAD RELATIVA
Cada evento o escenario (PnAn), resultante de la matriz de eventos con relación a los procesos y a la tecnología informática, se sitúa dentro de la matriz de aceptabilidad para poder determinar los requerimientos de medidas de control como insumos necesarios para la próxima etapa o fase que es la de Control.
La experiencia muestra que los riesgos no identificados son lo que comúnmente causan graves problemas a los afectados, por presentarse sin que exista ningún plan concreto para controlarlos y por eso conllevan efectos desastrosos.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
87
Es importante efectuar una evaluación cuidadosa de los riesgos y sus causas, ya que todo resultado erróneo conllevará a un exceso o a una deficiencia de medidas de control físico, lógico o a la toma de decisiones equivocadas en el control financiero. La Matriz de Aceptabilidad del riesgo está determinada por la escala de probabilidad tomada de la Tabla Nro 4 y la escala de gravedad basada en la Tabla Nro 5 con la definición de los valores de aceptable, tolerable, inaceptable e inadmisible como se muestra a continuación en la Tabla Nro. 8: Tabla Nro. 8. Matriz de Aceptabilidad PROBABILIDAD RELATIVA Constante Frecuente Moderado Ocasional Remoto Improbable
6 5 4 3 2 1
Aceptable Aceptable Aceptable Aceptable Aceptable Aceptable 1 Insignificante
Tolerable Inaceptable Inaceptable Inadmisible Inadmisible Tolerable Inaceptable Inaceptable Inadmisible Inadmisible Aceptable Inaceptable Inaceptable Inadmisible Inadmisible Aceptable Tolerable Inaceptable Inaceptable Inadmisible Aceptable Tolerable Inaceptable Inaceptable Inadmisible Aceptable Aceptable Tolerable Inaceptable Inaceptable 2 5 10 20 50 Marginal Grave Crítico Desastroso Catastrófico
GRAVEDAD RELATIVA Continuando con el ejemplo ilustrado en la Tabla Nro. 6, la Matriz de Aceptabilidad para el entorno de procesos se muestra en la Tabla Nro. 9:
Tabla Nro. 9. Matriz de Aceptabilidad para el entorno de Procesos
PROBABILIDAD RELATIVA Constante Frecuente Moderado Ocasional Remoto Improbable
6 5 4 3 2 1
P3A6 P1A2 P2A4
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
P1A1
88
1 2 5 Insignificante Marginal Grave
10 20 50 Crítico Desastroso Catastrófico
GRAVEDAD RELATIVA La Matriz de Aceptabilidad para el entorno de tecnología informática se muestra en la Tabla Nro 10 tomando los valores de la Tabla Nro 7: Tabla Nro 10. Matriz de Aceptabilidad para el entorno de tecnología informática PROBABILIDAD RELATIVA Constante Frecuente Moderado Ocasional Remoto Improbable
6 5 4 3 2 1
T2A2 T1A1 1 2 5 Insignificante Marginal Grave
T3A4 T4A5
10 20 50 Crítico Desastroso Catastrófico
GRAVEDAD RELATIVA CONTROL 11.4.2.1. Perfil de los riesgos El conjunto de todos los eventos o escenarios ubicados en la matriz de aceptabilidad configura el perfil de los riesgos para el proyecto o sistema y que se realiza para el entorno de los procesos y la tecnología informática: Administrar recursos humanos, administrar finanzas, desarrollar y mantener sistemas/tecnología, administrar servicios legales, entre otros.
11.4.2.2. Patrones normales de distribución Los patrones normales de distribución son propios de la actividad particular del proyecto o sistema; por ejemplo, no es lo mismo la distribución típica en un proyecto de obra civil o de infraestructura que en un proyecto de tecnología informática.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
89
A continuación se presentan los patrones de distribución de referencia de los eventos o escenarios. Estos patrones son indicadores de la confiabilidad del estado global de riesgos de un proyecto o sistema. Un sistema con patrones anormales en la distribución de los riesgos presenta una gran incertidumbre sobre los resultados de su manejo. ZONA Aceptable Tolerable Inaceptable Inadmisible TOTAL
DISTRIBUCION DE EVENTOS O ESCENARIOS Mínimo el 60% Máximo el 30% Máximo el 10% Ningún Escenario 100%
11.4.2.3. Cálculo del índice de distribución de eventos o escenarios, IDE Conocida la calificación de aceptabilidad de cada evento o escenario, se suman cuántos de ellos están en cada nivel y se calcula lo que representan porcentualmente del total de escenarios.
Continuando con el ejemplo, el total de escenarios evaluados es de 4 para el entorno de procesos que se muestra en la Tabla Nro 9, tomando los valores de la Tabla Nro 6, de ellos 2 están en el nivel inaceptable y 2 en el nivel de inadmisible; Entonces su distribución sería como se muestra en la siguiente tabla:
Procesos NIVEL Aceptable Tolerable Inaceptable Inadmisible TOTAL
ESCENARIOS 0 0 2 2 4
DISTR. REAL 0% 0% 50% 50% 100%
DISTR. NORMAL Mín. 60% Máx. 30% Máx. 10% 0% 100%
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
90
Para el entorno de tecnología informática, el total de escenarios evaluados es de 4 como se muestra en la Tabla Nro 10 y tomando los valores de la Tabla Nro 7, de ellos 1 está en el nivel aceptable, 1 en el nivel de inaceptable y 2 en el nivel de inadmisible; Entonces su distribución sería como se muestra en la siguiente tabla: Tecnología Informática NIVEL Aceptable Tolerable Inaceptable Inadmisible TOTAL
ESCENARIOS 1 0 1 2 4
DISTR. REAL 25% 0% 25% 50% 100%
DISTR. NORMAL Mín. 60% Máx. 30% Máx. 10% 0% 100%
Nota: La Metodología se aplica bajo los mismos criterios definidos, pero en forma separada para los procesos y para la tecnología informática, como lo ilustra el ejemplo trabajado en este documento
11.4.3. CONTROL Esta fase consiste en identificar y analizar las soluciones disponibles para tratar los riesgos estudiados en las etapas anteriores, con el fin de reducir la frecuencia y severidad de las pérdidas, en caso de que los riesgos identificados se materialicen.
Control es toda acción orientada a minimizar la frecuencia de ocurrencia de las causas del riesgo o valor de las pérdidas ocasionadas por ellas. Los controles sirven para asegurar la consecución de los objetivos de la organización o asegurar el éxito de un sistema y para reducir la exposición de los riesgos, a niveles razonables. Los objetivos básicos de los controles son: Prevenir las causas del riesgo, detectar la ocurrencia de las causas del riesgo,
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
91
retroalimentando el sistema de control interno con medios correctivos para establecer las respectivas medidas de protección y permitiendo así la continuidad de la organización o el proyecto que esté en ejecución.
En gráfico siguiente muestra cuales son las actividades que se deben seguir para tener un buen control de riesgos en el proyecto que se está desarrollado. C O N T R O L D E R I E S G O S
P r e v e n c i ó n
P r o t e c c i ó n
F í s i c o / L ó g i c o
C O N T R O L D E R I E S G O S
F i n a n c i e r o R e t e n e r
T r a n s f e r i r
Control Físico/Lógico: En esta actividad se definen dos alternativas fundamentales para obtener un buen control del riesgo: Prevención: Estudio exhaustivo de las alternativas lógicas conducentes a reducir en la medida de lo posible, los causas que originan la materialización de un riesgo.
Son aquellas medidas tendientes a minimizar las causas que puedan provocar una pérdida teniendo en cuenta los procesos, la gente y la tecnología.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
92
Protección: Conjunto de actividades encaminadas a reducir la severidad del impacto causado por la materialización de un riesgo. Actúan sobre las consecuencias.
Son aquellas medidas tendientes a reducir la severidad de la pérdida, es decir en caso de que ésta suceda, reduzca las consecuencias al mínimo, tendiendo en cuenta los procesos, la gente y la tecnología. Control Financiero: En esta actividad se definen dos alternativas fundamentales la de retener y la de transferir el riesgo: Retener: Consiste en proveer los medios hoy, para el estado de necesidad, que la materialización de un riesgo pueda causar en el futuro. De acuerdo con la capacidad financiera de la organización, se pueden asumir los riesgos que se determinen después de analizar la matriz de riesgos. Se asumen generalmente los riesgos de baja probabilidad de ocurrencia y baja severidad (riesgos no catastróficos). Uno de los mecanismos que se pueden definir en la organización o en el proyecto para tratar los riesgos que se consideren se pueden asumir es el fondo de auto seguro que consiste en reservar el dinero para anticiparse a las consecuencias de una pérdida que se podría generar al materializarse el riesgo asumido y previamente calculado su posible costo. Transferir: Es el traslado del riesgo a una compañía aseguradora mediante el pago de una prima. (Contrato de seguro). Consiste también en la transferencia contractual de los riesgos a los contratistas y subcontratistas de la organización o de los que interviene en el desarrollo del proyecto.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
93
Análisis de resultados: Cualquier proceso requiere de un “feedback” o retroalimentación, para mantenerse en el tiempo y hacerse flexible ante los múltiples y vertiginosos cambios que se viven en las organizaciones y con mayor razón en los proyectos y especialmente en los de tecnología de información. Cuando ocurren cambios en el proyecto, es ciclo básico de identificación, evaluación, análisis y valoración de riesgos se repite. Es importante comprender que incluso el análisis más profundo y completo no puede identificar todos los riesgos y probabilidades correctamente; se requiere un control y una iteración.
“ Los riesgos son dinámicos y deben ser monitoreados permanentemente”
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
94
12. RECOMENDACIONES ·
La metodología aquí definida y documentada se convierte en una herramienta clave para la organización Informática de Empresas Públicas de Medellín E.S.P. porque a través de su utilización y aplicación le facilita identificar, evaluar, controlar y valorar los riesgos de los proyectos de tecnología de información que emprenda la corporación, mejorando la gestión con el fin de disminuir el impacto de la tecnología en los costos, recursos y el tiempo al entrar en producción.
·
La aplicación de esta metodología, deberá realizarse en todas las etapas de los proyectos de tecnología de información haciéndola extensiva a contratistas, subcontratistas y proveedores que la empresa adelante en este campo específico.
·
Es importante oficializar esta metodología y definir los mecanismos que faciliten su utilización, para que la organización Informática de Empresas Públicas de Medellín E.S.P. la aplique en todos los proyectos de tecnología de información que emprenda con el fin de poder diseñar e implementar otras estrategias que permitan gerenciar y controlar los nuevos tipos de riesgos que están relacionados con estos proyectos.
·
El foco del proyecto de tecnología de información debe entonces estar no sólo encaminado a procurar el hardware y el software necesario para resolver las necesidades del proceso de negocio sino que también debe buscar los medios materiales, económicos y humanos para que en el caso de la materialización de un riesgo las pérdidas sean mínimas o incluso se pueda evitar la inviabilidad del proyecto como tal. En este sentido la
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
95
metodología cubre una gama de aspectos éticos, socioculturales, económicos, administrativos y tecnológicos que le permitirán al director o gerente de tecnología informática tener un dominio integral sobre cada aspecto de la ejecución del proyecto garantizando su continuidad y sin por ello descuidar otros aspectos de su operación o administración.
·
Es importante que la alta gerencia tenga una formación sólida en todo este tipo de conceptos, para que no caigan en el error de delegar este tipo de decisiones o proyectos en los técnicos puristas, provocando con ello una desarticulación entre la estrategia del negocio y la tecnología de información.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
96
13. CONCLUSIONES ·
Estamos, sin duda, en la era de la información: Adquirir equipos, obtener servicios y acortar las distancias para estar informados, es una posibilidad tecnológica vuelta obsesión. Esto hace que la información adquiera gran importancia y un valor incalculable, y que por lo tanto haya que tomar todas las medidas necesarias para protegerla. El contar con una metodología que nos ayude a identificar, evaluar, controlar y valorar los riesgos en los proyectos de tecnología de información en la organización es una de las herramientas claves para ayudar a proteger la información que se genera y maneja en este tipo de proyectos, además que facilita la terminación de los mismos según lo planeado.
·
Para definir la metodología de análisis y valoración de riesgos en proyectos de tecnología de información se tuvo en cuenta las tres dimensiones fundamentales que componen una organización informática a nivel mundial: Los procesos; la gente y la tecnología, sin olvidar que la parte más importante es la gente, la que hace que los procesos y la tecnología funcionen.
·
El esfuerzo metodológico desarrollado en este documento, en donde se integraron los conceptos de la administración de riesgos y la gerencia de proyectos, es aplicable a cualquier empresa puesto que la metodología descrita, en sí no tiene restricciones específicas.
·
Lo trascendental en la implementación de la metodología es como cada empresa percibe la ocurrencia y la consecuencia de los riesgos en la ejecución de los proyectos de tecnología que la empresa A, B o C adelanten en este sentido.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
97
·
La gestión del riesgo en los proyectos de tecnología de información ha de ser una preocupación constante en las entidades y a nivel de toda la organización, especialmente de la alta dirección, que no es exclusivamente un problema técnico y de técnicos; pero que será aplicado en forma diferente según la empresa y el momento.
·
La competencia basada en tecnología de información se está volviendo cada día más fuerte y agresiva, y el contar con la metodología de análisis y valoración de riesgos como una herramienta clave de gestión, ayuda a que la organización enfrente este nuevo reto que se plantea en el siglo XXI, el siglo de era de la información, el nuevo poder.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
98
14. BIBLIOGRAFÍA [Mejía, 2001] Rubi Consuelo Mejía Quijano, Diplomatura en Control y Auditoría, TextoGuía, Universidad EAFIT, Medellín, Agosto de 2001, 133 p.
[EE.PP.M. , 1999] Empresas Públicas de Medellín, Administración de Riesgos, Guía de Control Administrativo No. 12, Cartilla Guía, Medellín, Marzo de 1999, 24 p.
[EE.PP.M. , 1999] Empresas Públicas de Medellín, Metodología Análisis de Riesgos y Vulnerabilidad, Unidad de Riesgos y Seguros, Medellín, Marzo de 1999, 37 p.
[EE.PP.M.1, 1999] Empresas Públicas de Medellín, Plan General de Emergencias, Guía de Control Administrativo No. 13, Cartilla Guía, Medellín, Marzo de 1999, 20 p.
[EE.PP.M., 1999] Empresas Públicas de Medellín, Sistema de Control Interno, Equipo de Planeación y Desarrollo del Control, Dirección de Control Interno, Medellín, Julio de 1999, 57 p.
[SUMA , 2000] SUMA Corredores de Seguros S.A., Metodología de Análisis de Riesgos y Vulnerabilidad (AR&V) para el Metro de Medellín, Documento Guía, Medellín, Febrero de 2000, 13 p.
Mauricio Zuluaga Ruiz Director Departamento Administrativo de la Función Pública Bogotá, Administración del Riesgo, Cartilla Guía, Bogotá, Diciembre de 2001, 32 p.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
99
[Rojas, 1996]Francisco Abanal Rojas, Cómo se hace un Plan Estratégico, Modelo de Desarrollo en una Empresa, 1996, 512 p.
Monsalve Suescun Ismael, Eusse Restrepo Iván Darío. Análisis Cuantitativo del Riesgo. Medellín, 2001. 78p. Monografíia de Grado (Especialista en Finanzas, preparación y Evaluación de Proyectos). Universidad de Antioquia. Facultad de Ingeniería.
Gabriel Baca Urbina. Evaluación de Proyectos, Tercera Edición. 339p.
Business Continuity Planning, A Necessity in New ECommerce Era Disaster Recovery Jounal, Agosto 2000.
HewlettPackard Company, 2000.
Cost and Effect: Using Integrated Cost Systems to Drive Profitability and Performance.
Harvard Business School, 1997 Project Management for Mission Critical Systems.
A Handbook for Government Executives Information Technology Resources Board, Abril 2001.
Business Continuity: New risks, new imperatives and a new approach International Business Machines Coporations, 1999.
Computer Crime Costs on the Rise Computerworld, 20 Abril 1998.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
100
MIT Business Continuity Plan Massachusetts Institute of Technology, 1995.
Computer Related Risks International Business Machines Corp, 1990.
Disaster Tolerant Solutions for MissionCritical Computing, White Paper Project Management for Mission Critical Systems A Handbook for Government Executives.
Development Information Systems, A New Paradigm in Software Development: Complexity Begets Complexity – A Vicious Cycle, White Paper
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
101
15. REFERENCIAS Stratus Technologies Corp. http://www.stratus.com
Sungard Corp. http://www.sungard.com
Gartner Group http://www.gartner.com
IDC Corp. http://www.idc.com
Aberdeen Group, Inc. http://www.aberdeen.com
Price WaterHouse Coopers Inc. http://www.pwcglobal.com/
KPMG Inc. http://www.kpmg.com
Project Management Institute http://www.pmi.org
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
HÉCTOR VALENCIA VALENCIA
UNIVERSIDAD EAFIT DEPARTAMENTO DE CIENCIAS BÁSICAS MAPFRE ESPAÑA MEDELLÍN Septiembre de 2005
METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS EN PROYECTOS DE TECNOLOGÍA DE INFORMACIÓN
HÉCTOR VALENCIA VALENCIA
Monografía para optar al título de Especialista en Administración de Riesgos y Seguros.
Asesor EULER DE JESÚS MUÑOZ Administrador de Empresas
Coordinador RODRIGO RESTREPO VÉLEZ
UNIVERSIDAD EAFIT DEPARTAMENTO DE CIENCIAS BÁSICAS MAPFRE ESPAÑA MEDELLÍN Septiembre de 2005
" No existe mayor signo de demencia que hacer lo mismo una y otra vez y esperar resultados diferentes” Albert Einstein
TABLA DE CONTENIDO GLOSARIO ......................................................................................................... 7 INTRODUCCIÓN .............................................................................................. 12 1. OBJETIVOS .............................................................................................. 15 1.1. 1.2.
OBJETIVO GENERAL ............................................................................... 15 OBJETIVOS ESPECÍFICOS ....................................................................... 15
2. BENEFICIOS ............................................................................................. 16 3. ALCANCE ................................................................................................. 17 4. APLICACIÓN............................................................................................. 18 5. FORMULACIÓN DEL PROBLEMA .......................................................... 19 6. JUSTIFICACIÓN ....................................................................................... 21 7. MARCO CONCEPTUAL............................................................................ 23 7.1. 7.2.
LAS BASES DE LA GERENCIA DEL RIESGO CORPORATIVO ......................... 24 EL FUTURO ........................................................................................... 26
8. ANTECEDENTES...................................................................................... 32 9. QUÉ SON LAS EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P............... 35 9.1. DE AYER A HOY ..................................................................................... 37 9.2. HACIA EL FUTURO.................................................................................. 38 9.3. NUEVO ESQUEMA EMPRESARIAL ............................................................. 41 9.4. ESTRUCTURA ORGANIZACIONAL DE EE.PP.M. EN EL 2005 ....................... 41 9.5. VISIÓN.................................................................................................. 42 9.6. MISIÓN ................................................................................................. 43 9.7. VALORES ORGANIZACIONALES ............................................................... 43 9.8. ADMINISTRACIÓN ................................................................................... 44 9.9. PRESUPUESTO ...................................................................................... 44 9.10. FUNCIÓN SOCIAL ................................................................................... 45 9.11. GESTIÓN AMBIENTAL ............................................................................. 45 9.12. NUESTROS COMPROMISOS .................................................................... 46 Manejo integral del ambiente ..................................................................... 46 Mejoramiento continuo de la gestión ambiental ......................................... 47 Partes interesadas ..................................................................................... 48 9.13. GESTIÓN DE RIESGOS ........................................................................... 48 9.14. CULTURA EMPRESARIAL ........................................................................ 50 9.15. GRUPO EMPRESARIAL EE.PP.M.. .......................................................... 51
10.
QUÉ ES LA DIRECCIÓN INFORMÁTICA CORPORATIVA.................. 52
10.1. ESTRUCTURA ........................................................................................ 52 10.2. UNIDAD PLANEACIÓN INFORMÁTICA ........................................................ 53 10.3. UNIDAD GESTIÓN INFORMÁTICA .............................................................. 53 10.4. UNIDAD INGENIERÍA Y TECNOLOGÍA INFORMÁTICA .................................... 53 10.5. UNIDAD SISTEMAS DE INFORMACIÓN ....................................................... 54 10.6. UNIDAD OPERACIONES INFORMÁTICA ...................................................... 54 10.7. PENSAMIENTO ESTRATÉGICO ................................................................. 54 Misión 54 Visión 55 Estrategia................................................................................................... 55 11. METODOLOGIA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS EN PROYECTOS DE TECNOLOGÍA DE INFORMACIÓN .............................. 56 11.1. FASE 0: SENSIBILIZACIÓN ..................................................................... 57 11.2. FASE 1: PLANEACIÓN DEL PROYECTO.................................................... 61 Confirmación del Alcance .......................................................................... 61 Conformación del Equipo de Trabajo......................................................... 62 11.3. FASE 2: INICIACIÓN DEL PROYECTO ....................................................... 64 Reunión de Lanzamiento del Proyecto ...................................................... 65 Conocimiento del Negocio ......................................................................... 65 Solicitud de Requerimientos de Información.............................................. 66 Plan de Entrevistas .................................................................................... 66 11.4. FASE 3: GESTIÓN DEL RIESGO .............................................................. 66 Identificación .............................................................................................. 69 Análisis y valoración .................................................................................. 77 11.4.2.1. Perfil de los riesgos .............................................................. 88 11.4.2.2. Patrones normales de distribución...................................... 88 11.4.3. Control ......................................................................................... 90 12.
RECOMENDACIONES .......................................................................... 94
13.
CONCLUSIONES .................................................................................. 96
14.
BIBLIOGRAFÍA ..................................................................................... 98
15.
REFERENCIAS.................................................................................... 101
7
GLOSARIO Para efectos de lograr una adecuada interpretación de los conceptos que se manejan en los proyectos de tecnología de información, a continuación se definen algunos de los principales términos específicos de uso frecuente en la metodología para desarrollar este tipo de proyectos. Información: Es el conjunto de datos que procesados e interpretados arrojan un resultado y con base en él se toman decisiones. Tecnología de Información: Se define como el conjunto de procesos informáticos, gente especializada e infraestructura tecnológica necesaria y con un amplio grado de integración de sus componentes que maximizan la prestación de los servicios para satisfacer los requerimientos del negocio. Proyecto: Un proyecto puede concebirse como un conjunto de actividades interdependientes, diseñadas para viabilizar y materializar los objetivos de una organización en forma eficiente. En su esencia misma puede definirse como: Una acción no repetitiva, ni rutinaria orientada hacia el logro de un objetivo específico y que se ejecuta con metas preestablecidas de calidad, costo y tiempo. Proyecto de Tecnología de Información: Lo componen un conjunto de actividades interdependientes que se realizan en forma planeada, coordinada y controlada, donde se integran las personas, los procesos y la tecnología con el fin de dar una solución automatizada que a través de un sistema de información resuelva una necesidad planteada por el usuario informático o la organización. Usuario Informático: Persona que utiliza la infraestructura informática para acceder a la información y con base en ella tomar decisiones.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
8
Ambiente Informático: Es la integración de tres componentes básicos: aplicaciones, tecnología y personas. Infraestructura Tecnológica: Son los componentes de hardware (servidores, computadores de escritorio, personales, enrutadores, cables de red, entre otros), software (básico, específico, corporativo o departamental), bases de datos y aplicaciones que en forma conjunta e integrada procesan datos y producen resultados que generan información y con base en ella se toman decisiones. Contingencia Informática: Es un suceso fortuito que afecta el procesamiento automatizado de la información y suspende las actividades normales del negocio. Amenaza: Persona, objeto, situación o evento natural del entorno (externo o interno) que es visto como fuente de peligro, catástrofe o interrupción y pueden ser de origen natural tecnológico y social. Ejemplos: sismos, inundación, avalanchas, incendio, explosiones, robo de datos, sabotaje, ausencia del plan de contingencias, insuficiente gestión de monitoreo, aplicativos mal diseñados, secuestro, fraude, etc. También se define como un riesgo no evaluado. Vulnerabilidad: Grado de sensibilidad de un sistema ante un riesgo, medido en cuanto al nivel de afectación posible poniendo en peligro su estabilidad. Situación creada por la falta de uno o varios controles, por lo que la amenaza pudiera ocurrir y afectar el entorno informático. Por ejemplo: deficiente control de accesos, administración deficiente de la infraestructura informática, poco control de versiones de software, ausencia de entrenamiento compartido (respaldo de personas), políticas inexactas e insuficientes, etc.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
9
Riesgo: Definimos el riesgo como la probabilidad de que la amenaza se materialice, debido a la existencia de una o varias vulnerabilidades de peso significativo. El riesgo es difícil de medir, sobretodo, cuando no se cuenta con datos estadísticos que lo respalden o avalen, por la tendencia de las organizaciones a ocultar incidentes, la localización geográfica, las culturas, leyes, criticidad, situación país, etc. También se define como una amenaza evaluada en cuanto a su probabilidad de ocurrencia (Frecuencia) y a la gravedad de sus consecuencias (Severidad).
Riesgo Informático: Es un suceso incierto que puede llegar a presentarse en un futuro con la probabilidad de Generar Consecuencias NEGATIVAS que afecten el ambiente informático o la información.
Frecuencia/Probabilidad: Es una medida sobre el porcentaje de ocurrencia de un evento expresado en número de ocurrencias o veces que se da un evento. Ver también posibilidad y probabilidad. También se define como el número de veces que una amenaza deja de serlo para convertirse en realidad, a lo largo de un determinado periodo de tiempo. Severidad/Impacto: Es la evaluación del efecto y consecuencia del riesgo. Generalmente, la exposición al riesgo se mide en aspectos económicos, imagen de las personas o empresas, disminución de capacidad de respuesta y competitividad, interrupción de operaciones, etc. Efecto que causa en la organización la ocurrencia de un siniestro o contingencia y que normalmente se ve reflejado en la suspensión de las actividades normales del negocio. También se define como el económico de la materialización de una amenaza, se requiere involucrar gastos directos, indirectos y pérdidas consecuenciales.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
10
Siniestro: Todo evento accidental, súbito e imprevisto (repentino, no planeado), que normalmente genera consecuencias negativas sobre un sistema. Control: Control es toda acción orientada a minimizar la frecuencia de ocurrencia de las causas del riesgo o valor de las pérdidas ocasionadas por ellas. Los controles sirven para asegurar la consecución de los objetivos de la organización o asegurar el éxito de un sistema y para reducir la exposición de los riesgos, a niveles razonables. Los objetivos básicos de los controles son: Prevenir las causas del riesgo, detectar la ocurrencia de las causas del riesgo, retroalimentando el sistema de control interno con medios correctivos. Administración de Riesgos: Conjunto de estrategias tendientes a minimizar los riesgos asociados al funcionamiento de un sistema, con el fin de disminuir las pérdidas y garantizar su continuidad. Prevenir Riesgos: Estrategia en la administración de riesgos consistente en actuar sobre las acciones y/o las condiciones inseguras, para disminuir la frecuencia de los siniestros. Transferir Riesgos: Estrategia en la administración de riesgos consistente en controlar las consecuencias económicas de los siniestros, mediante la transferencia parcial o total de las mismas a un tercero. Seguro: Es un contrato en virtud del cual, un ASEGURADOR se compromete mediante el pago de una prima, a pagar a un ASEGURADO o BENEFICIARIO una indemnización, en caso de ocurrir un siniestro.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
11
Retener/Asumir Riesgos: Proceso mediante el cual el propietario de un activo acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados, minimizados). Recuperación: Actividad final en el proceso de respuesta a un siniestro, consistente en restablecer la operatividad de un sistema interrumpido por la presentación del mismo. Aplicación: Conjunto de programas que soportan un proceso en la organización. Aplicación crítica: Es aquella que por ser esencial, requiere ser procesada para darle continuidad al negocio.
Determinar un Riesgo: Identificar la exposición de un activo de información que cause consecuencias negativas para su normal disponibilidad.
Costo: De una actividad, estos son tanto directos como indirectos, involucran un impacto positivo o negativo, esto se refiere a dinero, tiempo, trabajo, desorganización, renombre, políticas y pérdidas intangibles como imagen, confianza, credibilidad.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
12
INTRODUCCIÓN
El hombre y todas las actividades que desarrolla son susceptibles de sufrir eventos que los puedan afectar en forma negativa.
Desde los comienzos de la computación, los recursos informáticos incluyendo la información, han estado expuestos a una serie de peligros o riesgos que han aumentado y evolucionado conforme se globalizan las comunicaciones.
Proteger los activos más valiosos de la organización frente a posibles amenazas que ofrece permanentemente el medio, es un gran desafío. Este interés crece aún más cuando la información cobra importancia para sobrevivir frente a la competencia y permanecer en el mercado; factores como el uso de Internet y demás herramientas que faciliten la comunicación traen consigo innumerables ventajas, pero igualmente enfrentan a la organización a otros problemas que anteriormente no existían. La materialización de amenazas que alteren o destruyan la información, crea la necesidad de diseñar e implementar otras estrategias que permitan gerenciar y controlar los nuevos tipos de riesgos que están relacionados con la tecnología de información.
Con el devenir del tiempo el hombre ha pretendido desarrollar diferentes metodologías que le permita, de alguna manera, enfrentar las amenazas: desde medidas instintivas hasta el uso racional de los conocimientos y tecnologías a su alcance en cada momento histórico de la vida.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
13
La Administración de Riesgos nace para suplir la necesidad del hombre de caracterizar con precisión el riesgo. Esta novel disciplina tiene como principales actividades la identificación, análisis, evaluación y control físico, lógico y financiero óptimos de los riesgos a que están expuestos los recursos de la Entidad (o de los cuales es responsable, al menos en parte).
Los riesgos para un sistema (en este caso EE.PP.M.) se clasifican entre aquellos denominados comúnmente como Riesgos Convencionales para los cuales la empresa cuenta con recursos permanentes y suficientes para su manejo adecuado, y los denominados Riesgos Mayores con capacidad suficiente para generar un desajuste significativo al régimen de funcionamiento de la empresa, amenazando su estabilidad y muchas veces la integridad de sus funcionarios o de la comunidad, poniendo en peligro su estabilidad y subsistencia. Las consecuencias de un Riesgo Mayor pueden generar graves CRISIS y afectar su operatividad, con un serio impacto sobre las personas, las instalaciones, la economía del negocio, la imagen y buen nombre de la empresa, la operación, la información o el medio ambiente.
Se conoce como CRISIS toda situación caracterizada por cambios imprevistos en las variables críticas que regulan el funcionamiento de un sistema y por la pérdida de control sobre las mismas, con potencial de generar un impacto negativo grave al sistema que la sufre.
Dentro de un adecuado programa de ADMINISTRACION DE RIESGOS, toda empresa debe contar con herramientas tendientes a proporcionar la estructura organizacional, la metodología y los procedimientos para detectar, evaluar y responder a los Riesgos Mayores, de tal forma que se impida que ellos puedan
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
14
desembocar en consecuencias desastrosas o catastróficas, salvaguardando la existencia misma del negocio.
El presente trabajo tiene como fin definir la metodología de análisis y valoración de riesgos en proyectos de tecnología de información de una manera estructurada y modular (por fases o etapas) para que sirva como herramienta de apoyo en la gestión de estos proyectos en las Empresas Públicas de Medellín E.S.P.
En este informe se describen las actividades y tareas que se deben llevar a cabo en cada fase de la metodología.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
15
1. OBJETIVOS Con el presente trabajo lo que se pretende lograr son los siguientes:
OBJETIVO GENERAL Dotar a la organización Informática de Empresas Públicas de Medellín E.S.P. de una herramienta que le facilite identificar, evaluar, controlar y valorar los riesgos de los proyectos de tecnología de información que emprenda la corporación, mejorando la gestión con el fin de disminuir el impacto de la tecnología en los costos, recursos y el tiempo al entrar en producción.
OBJETIVOS ESPECÍFICOS Dentro de los objetivos específicos que se pretenden cubrir con este trabajo están:
·
Definir la Metodología.
·
Identificar los riesgos asociados a los proyectos de tecnología de Información.
·
Definir el método de evaluación y valoración de riesgos para los proyectos de tecnología de Información.
·
Presentar algunos mecanismos de control de riesgos para los proyectos de tecnología de Información.
·
Documentar la metodología.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
16
2. BENEFICIOS Algunos beneficios a obtener en la identificación, análisis y valoración de riesgos son:
·
La identificación de los riesgos internos y externos asociados al proyecto de tecnología de información permitirá definir acciones que ayuden a minimizar el impacto y la probabilidad de que un evento se materialice.
·
Determinar la probabilidad de materialización de una amenaza a la luz de la situación del país y en el contexto ESPG (Económico, Social, Político y Geográfico en la organización) y que puedan afectar el proyecto.
·
Dimensionar el impacto de los riesgos sobre la organización en términos de exposición a interrupciones y pérdida que puedan poner en riesgo la viabilidad y la continuidad del proyecto o la organización.
·
Localización, clasificación y priorización de los riesgos observados, teniendo en cuenta la globalidad del mapa de riesgos y los objetivos del proyecto de tecnología de Información.
·
Obtener las respectivas matrices de riesgos que servirán para diagnosticar la situación actual y definir las medidas de prevención y protección que permitan llevar a feliz término el proyecto.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
17
3. ALCANCE Definir y documentar la metodología de análisis y valoración de riesgos en proyectos de tecnología de información de una manera estructurada y modular (por fases o etapas) que permita identificar, evaluar, controlar y valorar los riesgos en el área informática y para las Empresas Públicas de Medellín E.S.P.
El trabajo se desarrollará documentado cada una de las fases o etapas que componen la metodología: Fase de identificación, evaluación, control y valoración, incluyendo las actividades que se deben ejecutar en cada fase.
Después de identificar y evaluar las amenazas asociadas a los sistemas y sus componentes, se iniciarán programas de control de riesgos.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
18
4. APLICACIÓN La aplicación de la metodología para el análisis y valoración de riesgos informáticos, deberá realizarse en todas las etapas de los proyectos de tecnología de información haciéndola extensiva a contratistas, subcontratistas y proveedores. Existen en la Entidad dependencias 1 con funciones de alcance corporativo que deben realizar la gestión de riesgos en dos niveles claramente diferenciables: Como gestión interna independiente, y como apoyo corporativo hacia las demás unidades o direcciones. En este último caso, serán las unidades que requieran el apoyo de las partes corporativas, las que soliciten en forma explícita la necesidad de asesoría específica y aplicación de esta metodología.
La metodología podrá ser aplicada en cada Unidad de Núcleo Compartido (UNC), Unidad Estratégica de Negocio (UEN) o Unidad de Servicios Compartidos (USC), es decir, dependiendo de los recursos que posean o estén bajo su responsabilidad.
1
Dirección Informática, Dirección Administrativa, Dirección Gestión Humana, Planeación y Finanzas, Secretaría General, Control Interno
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
19
5. FORMULACIÓN DEL PROBLEMA Independientemente de los esfuerzos que las empresas desarrollen para evitar los siniestros, siempre habrá una posibilidad esperamos que remota de que se presente un evento indeseado.
En muchos casos los recursos disponibles en la empresa serán suficientes para sortear con éxito el imprevisto. Sin embargo, en otros casos, tal como la experiencia lo ha demostrado, un evento puede superar la capacidad de respuesta disponible, y es entonces donde sobrevienen los desastres, algunos con resultados catastróficos.
En el transcurso de los años y con la incursión de nuevas y mejores tecnologías, la utilización de la información y del procesamiento electrónico de datos ha cobrado un papel significativo dentro del desarrollo de las operaciones normales de las organizaciones. Así mismo, se ha convertido en estrategia para lograr una ventaja competitiva y en un apoyo definitivo para la gestión negocio.
Los sistemas de información más que una novedad que adquieren las organizaciones para estar “in”, son elementos fundamentales que han contribuido efectivamente en el desarrollo de las mismas, que a su vez han traído consigo una serie de riesgos, los cuales no existían hasta el momento o eran de difícil detección porque las organizaciones no contaban con los mecanismos o la metodología necesaria para lograrla.
Sin embargo, los beneficios reportados por los sistemas de información no son gratuitos, si bien entraron a manejar el recurso más valioso con que cuentan las organizaciones hoy en día, la información, también crearon en éstas una
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
20
altísima dependencia de los mismos, dejando áreas frágiles y vulnerables y sin las cuales las organizaciones no podrían subsistir.
Estamos, sin duda, en la era de la información: Adquirir equipos, obtener servicios y acortar las distancias para estar informados es una posibilidad tecnológica vuelta obsesión. Esto hace que la información adquiera gran importancia y un valor incalculable, y que por lo tanto haya que tomar todas las medidas necesarias para protegerla.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
21
6. JUSTIFICACIÓN Una de las principales características de Empresas Públicas de Medellín E.S.P. es el mantenerse a la vanguardia en la implementación de nuevas tecnologías de información que le permitan brindar un mejor servicio a sus usuarios, disminuir sus costos operacionales, permitiendo así prestar servicios públicos a tarifas más económicas, basándose en el principio de que toda inversión tecnológica o de negocios debe ser sustentada desde la perspectiva técnica y de negocios.
Esto se logra con el adecuado aseguramiento de los recursos con que cuenta una organización, que es uno de los objetivos de la gestión integral de riesgos, entendida como el conjunto de acciones para enfrentar los riesgos que generan los proyectos de tecnología de información a los cuales están expuestos, originados en amenazas provenientes tanto del interior como del exterior de la empresa; definir y diseñar controles preventivos; tomar medidas de protección, y desarrollar programas de recuperación o planes de contingencia ante la posible ocurrencia de siniestros que puedan afectar la planeación, ejecución, implantación y entrada en producción del proyecto en una organización como las Empresas Públicas de Medellín E.S.P.
La necesidad de tener continuidad en los procesos se fundamenta en que las principales estrategias que hacen que la empresa sea competitiva y tenga diferenciación en el medio en que se mueve, dependan de la tecnología de información. Esta realidad la obliga a mantener una alta disponibilidad en su infraestructura tecnológica y en consecuencia la Dirección de Informática Corporativa ha venido respondiendo al reto, comprometiéndose a incrementar año tras año el índice de disponibilidad de la infraestructura de TI, pero
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
22
reconociendo la falta de metodologías, herramientas y estándares de las mejores prácticas que le permitan identificar, evaluar, valorar y controlar los riesgos de la tecnología de información que le faciliten de la manera más eficiente cumplir con los objetivos de la empresa y a costos razonables.
El contar con una metodología de análisis y valoración de riesgos en proyectos de tecnología de información en la organización, ayuda en forma estructurada a identificar, evaluar, controlar y valorar los riesgos para poder administrarlos y de esta manera poder entrar en producción con los recursos, los costos y el tiempo planeado.
El presente trabajo tiene como fin definir la metodología de análisis y valoración de riesgos en Proyectos de Tecnología de información de una manera estructurada y modular (por fases o etapas) para las Empresas Públicas de Medellín E.S.P.
Por todo lo anterior y siendo la Dirección de Informática Corporativa el Área responsable de adquirir los sistemas de información que apoyen los procesos del negocio, ha considerado muy importante y necesario desarrollar y documentar esta metodología con el propósito de aplicarla en todos los proyectos de tecnología de información que emprenda la corporación y bajo la responsabilidad de esta dirección.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
23
7. MARCO CONCEPTUAL El Hombre y sus actividades han estado, desde sus orígenes, acompañados de riesgos y amenazas. La incertidumbre y la exposición al peligro, han permanecido continuamente ligadas al desarrollo humano y por ende, el instinto de protección ante la eventualidad de sufrir un daño o una pérdida, ha sido también una constante en la vida del hombre.
En un comienzo los peligros que lo rodeaban eran sencillos, al igual que las soluciones para enfrentarlos. Sin embargo, el progreso y la diversificación de actividades humanas, trajeron consigo nuevos y más acentuados problemas y peligros, desconocidos hasta ese momento. Esto, unido a la asignación de valor a los bienes poseídos, acarreó que las amenazas se hayan incrementado significativamente. De aquí la importancia de disminuir racionalmente las fuentes de peligro o riesgo a las que está expuesta el hombre.
El desarrollo empresarial no ha sido ajeno a estos procesos. Aún más, es imposible concebir al empresario sin la convivencia con el riesgo, pues de allí es de donde realmente proviene su beneficio. El entorno en que operan las empresas se ha vuelto más complejo y cada vez más dependen de la tecnología y los sistemas de información. Esto ha traído consigo la necesidad de dar una mayor atención al tratamiento de los riesgos en las organizaciones lo que ha propiciado la aparición del gerente de riesgos, que se ha convertido en pieza fundamental dentro del contexto de la alta gerencia
Todas las organizaciones entrañan riesgos de pérdidas a causa de la materialización de amenazas que tienen su origen en la relación de éstas con el entorno natural, social, económico, político, tecnológico entre otros.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
24
La materialización de cualquier tipo de amenaza puede tener serias y graves consecuencias para las que debemos estar preparados. Existe la probabilidad de que se incrementen los riesgos por factores como el desarrollo industrial, la nueva tecnología, el aumento de riesgos de origen social, el surgimiento de una legislación más estricta, la limitada capacidad de respuesta de algunos organismos de emergencia, entre otros.
En cualquier empresa, los gerentes deben lidiar con el riesgo. Sin embargo, dado que cada departamento dentro de una organización afronta el riesgo de diferente manera, la gerencia de riesgos en muchos casos, se ha convertido en una tarea ad hoc.
La gerencia de riesgos es, sin duda, un componente que va en crecimiento en la vida cotidiana, conforme el mundo de los negocios se expande y se va haciendo más complejo.
Una adecuada gerencia del riesgo no sólo puede significar la diferencia entre la vida y la muerte de una empresa, sino que puede ser una forma innovadora de aumentar el valor de la empresa. Esta disciplina, antes circunscrita a la administración de pólizas de seguro, es ahora de interés para Gerentes Generales, Directores de Control Interno, Informática, Gestión Humana, Tesoreros, y en general, para toda la empresa.
L AS B ASES DE LA GERENCIA DEL RIESGO CORPORATIVO El riesgo y la incertidumbre son fundamentales en la vida profesional y personal. El riesgo es la fuente de oportunidades que pueden convertirse en ganancia, pero a su vez, asoma la posibilidad de la ruina.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
25
Las empresas gastan anualmente millonarias sumas de dinero para afrontar su vulnerabilidad ante los riesgos. Esta enorme cifra lleva a plantearnos:
·
¿Es el riesgo tan importante en sí, como para justificar la cantidad de recursos invertidos por las empresas con el fin de afrontarlos?
·
¿Están optimizando su dinero con estas acciones?.
Debido a que el riesgo y la oportunidad van mano a mano, las empresas suelen afrontar una inmensa variedad de riesgos, saberlos manejar es un asunto delicado.
Manejar el riesgo puede reducir los riesgos de tener problemas financieros y proteger a la empresa ante eventos no anticipados que interrumpan sus planes. Mientras que muchos ejecutivos luchan contra ciertos tipos de riesgos específicos, la gerencia de riesgos debería estar integrada y consolidada para lograr una máxima reducción de riesgos a un mínimo costo. El riesgo no se puede evitar, pero es manejable. Las empresas buscan manejar el riesgo de diversas formas:
a) Evasión de riesgos: cuando se decide no emprender ninguna acción riesgosa. b) Reducción de riesgos: prevenir y controlar los riesgos usando equipos de seguridad, técnicas de prevención y diversificación. c) Transferencia de riesgos: se refiere a asegurar y equilibrar los riesgos, compartiéndolos con terceros, por ejemplo las compañías de seguros. d) Retención de riesgos: absorber ciertos riesgos de un modo costo efectivo.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
26
Es crítico para una empresa coordinar sus esfuerzos en todas las áreas, para poder tomar decisiones sobre manejo de riesgos de forma coherente. Un ejemplo de incoherencia es una compañía que gasta sumas millonarias asegurando sus plantas de producción y equipos contra pérdidas por accidentes; sin embargo, un accidente de este tipo sería menos devastador que un cambio en las tasas de interés, una pérdida de información estratégica o una pérdida de imagen contra el que la empresa no tendría protección alguna.
Se debe desarrollar una cooperación cercana y constante entre aquellos responsables por dirigir las actividades de la empresa, los responsables de conseguir el capital para financiar dichas actividades, y los responsables por cubrir los riesgos que esas actividades generan.
La Gerencia de Riesgo Integrado (GRI) provee la estructura para articular estas relaciones críticas.
EL FUTURO Muchas tendencias en el mundo actúan como catalizadores para el crecimiento de la gerencia de riesgo integrado.
Los accionistas están preocupados por el uso eficiente de sus fondos; los funcionarios públicos buscan el interés de los consumidores; los accionistas y aseguradores, así como las agencias de calificación de riesgo y otros intermediarios financieros, siguen con cautela las habilidades de manejar riesgos de los gerentes.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
27
Los avances en los modelos analíticos que miden el riesgo y la estandarización de las prácticas de gerencia de riesgos también están acelerando el desarrollo del GRI.
Sin embargo, aún existen barreras que deben ser superadas, especialmente la inercia burocrática que hace difícil cruzar las líneas funcionales tradicionales. El alto costo de las transacciones y la integración de los sistemas de información, la complejidad de los productos y la incertidumbre sobre los tratos regulatorios y contables, son todos factores negativos.
Los Estados Unidos han asumido el rol de liderazgo en las soluciones de Transferencia de Riesgo Alternativo (TRA). La perspectiva es alentadora, debido a la creciente importancia de los mercados de capital y la integración de tareas de gerencia de riesgos dentro de las corporaciones. En Europa, el desarrollo en el Reino Unido ha avanzado relativamente, mientras que el mercado permanece en su infancia en el continente. Sin embargo, los ambientes reguladores, de impuestos y contabilidad europeos son favorables para la innovación, y la región debería ver un fuerte crecimiento para las soluciones TRA a término medio. Los desarrollos de las soluciones TRA apenas comienzan a hacerse en Asia y Latinoamérica.
Quedarse de lado ante la evolución de la gerencia de riesgos implica perder oportunidades. La historia ha demostrado que los innovadores pueden obtener ganancias extraordinarias.
El Gerente Corporativo de Riesgos El CEO de la empresa (Gerente General), como responsable máximo del éxito de la empresa, puede ser considerado como el ejecutivo a cargo del riesgo. Un paso importante a dar en el crecimiento de la gerencia de riesgo integrado es la creación del papel de un gerente de
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
28
riesgos. Esto ya está ocurriendo, especialmente en la industria financiera. Este gerente estaría encargado de manejar la identificación y la medición de todos los riesgos afrontados por su empresa, así como del uso eficiente del capital de riesgo.
Este gerente de riesgo debería provenir de la alta gerencia, y debe reportarle directamente al CEO de la empresa; no debería tener ninguna responsabilidad por las ganancias o negocio directo, debe actuar más bien como un auditor o contador en la empresa.
El gerente de riesgos se convertirá en el campeón del GRI como una base para acceder y medir de forma racional la relación entre los riesgos que una compañía afronta y los recursos de capital que tiene a disposición.
Para el caso colombiano, La Gerencia de Riesgos ha cobrado particular interés a comienzos de la década de los 90, a raíz de las medidas encaminadas a la liberación del mercado dentro de la política de apertura económica. El nuevo ambiente de negocios , alejado ya del proteccionismo, ha exigido el uso de técnicas y metodologías de Gerencia de Riesgo, en detrimento del enfoque simplista de trasladar los riesgos a través de contratos de seguros, comúnmente llamado pólizas, manejados por especialistas en la definición de cláusulas y tarifas generales, que poca o ninguna relación guardaban con la realidad.
Frente a este nuevo panorama, los riesgos dejaron de ser un campo exclusivo de unos pocos conocedores de las condiciones específicas de pólizas existentes en el mercado, para involucrar más directamente a los gerentes de las organizaciones en la gestión de éstos.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
29
En el campo de los riesgos y los seguros, como sucede en la informática, el conocimiento profundo de los conceptos y los métodos por parte de los gerentes redunda en grandes beneficios y por eso es cada vez más imperativo.
La gerencia de riesgos como función de liderazgo ejecutivo en el manejo de los riesgos que afectan la actividad empresarial, puede observarse desde los siguientes puntos de vista: Amplio: Desde el punto de vista amplio, se concibe el gerente de riesgo como un empresario responsable que posee y controla totalmente el negocio, es decir administra totalmente los riesgos a que está expuesto. Limitado: En el enfoque limitado, las funciones del Gerente se circunscriben principalmente, a dirigir los riesgos asegurables, mediante la cobertura ofrecida por los seguros. Intermedio: Las funciones del gerente de riesgos ubicado en una posición intermedia, cuya labor va más allá de la mera adquisición de seguros para cubrir los riesgos de la empresa, pretende administrar los riesgos pero no en forma total.
Es tal la importancia que ha alcanzado la figura del gerente de riesgos, que se dice que este funcionario es tan indispensable para la empresa como lo son el jefe de compras, el gerente comercial, el gerente de ventas, pues tiene la responsabilidad de gestionar eficazmente los riesgos que recaen sobre cada uno de los bienes e intereses de la empresa. De este forma, supervisar el desempeño total de una compañía, es responsabilidad y labor del gerente de riesgos.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
30
Entre las muchas responsabilidades del gerente de riesgos podemos resaltar las siguientes:
·
Determinación y evaluación de los riesgos en las diferentes áreas de la organización como: Planeación, Finanzas, Comercial, Procesos, Administrativa, Informática, Gestión Humana, Medio Ambiente, Jurídica, entre otras.
·
Selección de los mecanismos de cobertura para los riesgos propios de la actividad empresarial.
·
Contabilidad del seguro.
·
Administración del autoseguro.
·
Diseño y administración de planes de emergencias, contingencias y atención de desastres.
·
Administración de planes de seguro de grupo y de beneficios para los funcionarios.
·
Atención de reclamaciones.
·
Prevención de pérdidas.
Dado que la principal función del gerente de riesgos es preventiva, él busca eliminar o reducir al mínimo los riesgos de la empresa y cuando éstos ocurran, busca disminuir su impacto en la producción empresarial, y aunque es difícil eliminar totalmente la posibilidad de riesgos en la empresa, se han diseñado programas bastante difundidos a nivel mundial, para realizar una gerencia del riesgo eficaz, entre los que se destacan los siguientes:
·
Mantenimiento de los registros de pérdidas y accidentes con información veraz y actualizada.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
31
·
Generación de programas de inspección y análisis de la seguridad en todas las áreas de la organización.
·
Programas de prevención de accidentes
·
Generación de conciencia de seguridad en todas las instancias de la empresa.
·
Minimización de las pérdidas.
Al inicio de todo proyecto, contar con un análisis y valoración de riesgos de éste, le permite al gerente tener un panorama más claro y la posibilidad de ir reduciendo frecuencia y severidad ante la posible materialización de las amenazas.
Lo que se pretende es proporcionar herramientas a los gerentes para realizar su labor bajo las condiciones de riesgo, sin perder de vista la misión y visión de su organización.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
32
8. ANTECEDENTES EE.PP.M. es la empresa líder en el Sector de la prestación de Servicios Públicos en el país, y sus operaciones incluyen actividades de generación y distribución de energía, tratamiento y suministro de agua potable, servicios de alcantarillado, telecomunicaciones y distribución de gas natural en Antioquia y otras regiones en Colombia.
Sus negocios se relacionan con lo que se han denominado Líneas Vitales, o sea aquellos servicios y actividades indispensables para el funcionamiento y desarrollo y supervivencia de las comunidades.
Debido a la índole de su operación, su actividad no se limita a aquellas que se desarrollan dentro de una instalación particular, sino que físicamente cubre un extenso territorio, con lo que se incrementa considerablemente las amenazas.
La mayoría de sus operaciones presentan una diferencia significativamente crítica con la mayoría de empresas, debido a que la afectación de su operación se refleja en forma inmediata en las actividades de la comunidad. Por el mismo motivo el impacto producido por cualquier evento que afecte sus operaciones se extiende mucho más allá del relacionado con factores económicos y técnicos, pasando al ámbito social y político, con las graves implicaciones que ello representa.
En el negocio de los servicios públicos una de las variables críticas para el éxito del mismo y su permanencia, es la confiabilidad de sus operaciones, de tal forma que garantice su continuidad y la calidad del servicio.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
33
Por las características de su operación (Empresa de Servicios Públicos), es altamente vulnerable a las amenazas sociales, ya sean de origen voluntario, político o comercial (huelgas, atentados, secuestros, extorsiones, restricciones comerciales, fraude, cambios de legislación, etc.), además de presentar amenazas tecnológicas típicas para este tipo de operación (incendios, explosiones, rotura de presas, pérdida de información, contaminación, fallas en procesos, accidentes de transporte, etc.), así como las amenazas naturales propias de las zonas en donde opera (sismos, inundaciones, sequías, etc.).
EE.PP.M. ha desarrollando en las diferentes Unidades Estratégicas de Negocios –UEN, Unidades de Núcleo Corporativo –UNC y Unidades de Servicios Compartidos –USC, programas y planes específicos para el manejo de sus riesgos. Sin embargo, se hace necesario integrar todos estos esfuerzos para que tengan un mismo enfoque y estructura, así como un modelo organizacional para su administración y operación, coherente con la Misión y la Visión de la Empresa.
Con este propósito, se expidió el DECRETO No 648 del 3 de abril de 1995, el cual fue actualizado y reemplazado con el 1029 del 22 de Enero de 1999, por medio del cual se implanta el Sistema Corporativo de Administración de Riesgos, sus políticas, directrices, normas y procedimientos, el cual establece el proceso para la gestión de los riesgos en EE.PP.M., define los lineamientos para hacerlo, y asigna funciones y responsabilidades al respecto.
Con miras al logro del anterior propósito, y en cumplimiento de las funciones a ella asignadas, la Dirección de Informática Corporativa ha considerado muy importante y necesario desarrollar y documentar una metodología con el propósito de aplicarla en todos los proyectos de tecnología de información que
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
34
emprenda la corporación y bajo la responsabilidad de esta dirección, para ser aplicado a las necesidades de la empresa.
Se busca que en cada una de las Gerencias y Direcciones de EE.PP.M. sean capaz de aplicarla, sirviendo de nexo entre los aspectos estratégicos de la alta Gerencia y los aspectos operativos de los proyectos de tecnología de información que están en ejecución. Todo lo anterior adecuado al marco legal y organizacional que rige el funcionamiento de la empresa.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
35
9. QUÉ SON LAS EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. Hasta 1997 Empresas Públicas de Medellín E.S.P. fue una entidad descentralizada del orden municipal, creada en 1955 por el Consejo Administrativo de Medellín. El 6 de agosto de ese año cuatro entidades, adscritas en ese entonces al Honorable Concejo Municipal las de Energía, Acueducto, Alcantarillado y Teléfonos fueron fusionadas en un establecimiento autónomo por determinación del Consejo Administrativo de Medellín, mediante el Acuerdo Número 58.
El 18 de noviembre de 1955 la Alcaldía de Medellín expidió los Estatutos de la organización (Decreto 375), reglamentando así su existencia, la cual quedó confirmada el 25 de noviembre del mismo año con la sanción del Gobernador. Pero fue sólo en enero de 1956 cuando realmente EE.PP.M. inició su vida administrativa. En 1989, el Acuerdo Número 002 incluyó en los Estatutos el manejo y mejoramiento del medio ambiente como parte del objeto social de EE.PP.M. Además reformó el nombre del servicio telefónico por el de telecomunicaciones.
Desde enero de 1998, y en virtud de lo previsto en el Acuerdo 69 de 1997 expedido por el Concejo de Medellín y en aplicación de las previsiones de la Ley 142 de 1994, Empresas Públicas de Medellín E.S.P. fue transformada en una Empresa Industrial y Comercial del Estado. La entidad tiene por objeto la prestación de los servicios públicos domiciliarios de acueducto, alcantarillado, energía, distribución de gas por red y telecomunicaciones.
Por su naturaleza de Empresa Industrial y Comercial del Estado se encuentra sometida a las disposiciones de la ley comercial para el desarrollo de sus
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
36
actividades, lo cual la sitúa, en principio, en igualdad de condiciones con las empresas de servicios públicos domiciliarios. Por el objeto al cual se halla dedicada, está sujeta a las disposiciones de la Ley 142 de 1994 Régimen de los Servicios Públicos Domiciliarios y debe desenvolverse en el ambiente de competencia entre los diferentes prestadores de los servicios, según lo previsto en el mencionado régimen.
Su sede es Medellín, capital del departamento de Antioquia, con una población de 2.000.000 de habitantes. Con sus servicios EEPPM atiende 3.000.000 de habitantes, la mayoría localizados en el Valle de Aburrá, corredor geográfico donde además de Medellín se encuentran los municipios de Bello, Copacabana, Girardota, Barbosa, Itagüí, Envigado, Sabaneta, La Estrella y Caldas.
La seriedad de su gestión, sus niveles de calidad y cobertura y el estricto cumplimiento de sus compromisos financieros le han valido el respaldo de los organismos crediticios nacionales e internacionales.
En ese entonces Medellín tenía unos 500 mil habitantes. Los servicios estaban en manos de empresas independientes, todas de carácter municipal. El servicio de energía contaba con 75.517 suscriptores, la mayoría de ellos residenciales, y una capacidad instalada de 100 mil kilovatios, representados en las centrales de Piedras Blancas y Guadalupe I y II, ésta última motor del desarrollo industrial de la capital Antioqueña.
El servicio de acueducto llegaba apenas a 50506 usuarios que consumían diariamente 115 mil metros cúbicos. La infraestructura, todavía insuficiente, incluía el tanque de Santa Elena (el primero que tuvo la ciudad), la planta de Villa Hermosa (la primera de purificación, aún en funcionamiento) y el embalse de Piedras Blancas.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
37
En materia de telecomunicaciones la aparición de las Empresas Públicas de Medellín E.S.P. marcó el advenimiento de un gran avance administrativo, técnico y operativo. Al cierre de 1955 existían 25.759 suscriptores en telefonía básica, 29.500 líneas y 54 teléfonos públicos.
DE AYER A HOY Cincuenta años después la población se ha quintuplicado. EE.PP.M. trabaja día a día para elevar el nivel de vida no sólo de los habitantes de Medellín, sino de todo el Valle de Aburrá, garantizándoles la prestación de los servicios públicos básicos con los más altos niveles de calidad, oportunidad y eficiencia.
En el marco de una clara y total función social, sus estatutos le asignan, en forma expresa, el objetivo de constituir un factor de bienestar y progreso para la comunidad.
En este tiempo EE.PP.M. ha construido la columna vertebral del sistema hidroeléctrico Antioqueño. Los desarrollos de Guadalupe, la primera y segunda etapa de la central Guatapé, las centrales de Playas, Niquía y La Tasajera, y el avance del proyecto Porce II, encarnan el más grande patrimonio energético de la región. En 1998 entró en operación La Sierra, su primer desarrollo térmico a base de gas.
EE.PP.M. ha asumido también la prestación y distribución gradual del servicio de gas natural en 10 municipios del Valle de Aburrá, labor que inició desde agosto de 1998.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
38
Si de acueducto, se habla, EE.PP.M. entrega el agua de mejor calidad del país, procesada en 11 plantas de potabilización. La Empresa de Aguas cuenta con fuentes de agua y sistemas de captación suficientes para atender la población hasta condiciones de máxima saturación. Dispone del más moderno laboratorio de Colombia para el control del agua, mediante análisis bacteriológicos, físico químicos, instrumentales y de aguas residuales.
En materia de alcantarillado y resueltas las necesidades de agua potable del Medellín Metropolitano, EE.PP.M. orienta ahora sus esfuerzos hacia el saneamiento del río Medellín y para lograr este propósito ha construido y puesto en operación la primera gran planta de aguas residuales, la de San Fernando.
En el área de telecomunicaciones el impulso tecnológico ha sido una constante. Ha brindado aportes importantes en estas cuatro décadas como las centrales digitales, la transmisión por fibra óptica, los sistemas telefónico vía radio, buscapersonas y de transmisión de datos; la Red Digital de Servicios Integrados, RDSI, y la videoconferencia. Toda esta tecnología cuenta con el respaldo de servicios computarizados, como el de información al usuario o 113, el de atención de daños o 114, y los centros de Control, de Operación y Mantenimiento.
HACIA EL FUTURO Empresas Públicas de Medellín E.S.P. sigue preparándose para el futuro. Hacia el 2005, su presupuesto aprobado alcanzará los $4.797.740 millones de pesos.
Esta previsión en el desarrollo de los servicios es el resultado de la planificación y de la visión futurista de muchas generaciones de antioqueños. Gracias a ese
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
39
sentido de planeación, el panorama de los servicios públicos en Medellín y en los demás municipios donde la Empresa presta servicios, se encuentra tan despejado como en el presente y en el pasado. Así lo confirman los planes de desarrollo ya financiados con recursos propios y de la banca multilateral y comercial.
En desarrollo de su Plan de Expansión de Energía, trabaja en Porce II que, en los albores del siglo XXI entregará al país 392 MW; en el proyecto Nechí (750 MW) que será una realidad a partir del 2005, y en la segunda fase de un desarrollo térmico en el Magdalena Medio.
Con su servicio domiciliario de Gas Natural Empresas Públicas de Medellín E.S.P. aspira a cubrir todo el Valle de Aburrá. El desarrollo del plan de masificación se extenderá hasta el año 2005 y demandará la construcción de 89 kilómetros de redes primarias, 24 estaciones reguladoras para los circuitos y 5.600 kilómetros de redes secundarias.
En los albores de un nuevo siglo EE.PP.M. quiere legarle a las generaciones venideras un río Medellín recuperado, más amable y sin olores. A través de su plan de Saneamiento proyecta 406 kilómetros de redes, la puesta en marcha de la planta San Fernando para el tratamiento de aguas residuales, al sur del Valle de Aburrá, y la definición y el diseño de una segunda planta en Bello, al norte del Valle de Aburrá.
Empresas Públicas de Medellín E.S.P. está preparada para afrontar el reto tecnológico de las telecomunicaciones del siglo XXI: con EMCALI constituyó a EMTELCO para la prestación de servicios de valor agregado y telemáticos a nivel nacional e internacional, y con los grupos empresariales Bavaria y
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
40
Sarmiento Angulo conformó a Orbitel S.A. para la prestación de los servicios de Larga Distancia nacional e internacional.
EE.PP.M. adquirió igualmente la empresa Veracruz TV Cable, hoy EPM TELEVISIÓN, para prestar el servicio de televisión por suscripción, así como el 36.88% de las acciones de EMTELSA, la telefónica de Manizales.
Uno de los principales pilares que sostiene la gestión y la credibilidad pública de las Empresas Públicas de Medellín E.S.P. es el rigor conceptual que respalda todos sus actos:
Rigor jurídico, por su respeto a la Constitución, a las leyes de la República y al ordenamiento legal específico que las rigen, en particular sus estatutos orgánicos y de contratación administrativa.
Rigor técnico por la planeación de largo plazo y por los procesos de selección, adquisición, montaje y operación de los recursos tecnológicos más adecuados, que garanticen la prestación de los servicios en forma oportuna, confiable y económica.
Rigor financiero, por su manejo ortodoxo del dinero. La entidad sólo puede ser viable si sus rentas le permiten cubrir los costos de operación, mantenimiento, reposición y expansión de sus sistemas. Al mismo tiempo sólo puede ser eficaz y eficiente si mantiene el equilibrio en el costo de los servicios que cobra a los usuarios y transmite a éstos la señal adecuada para el uso racional de los mismos servicios.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
41
NUEVO ESQUEMA EMPRESARIAL La apertura económica y la consecuente competencia en todos los campos y los nuevos esquemas regulatorios establecidos por la Constitución Política de 1991 y sus desarrollos legales generan un nuevo ambiente para estas organizaciones.
Empresas Públicas de Medellín E.S.P. claramente requiere acomodarse al nuevo esquema para mantener su permanencia y crecimiento en beneficio de la comunidad. Por lo tanto, uno de sus principales procesos de planeación lo constituye el análisis de su esquema empresarial y de sus condiciones estratégicas de desarrollo en el nuevo ambiente institucional.
Empresas Públicas de Medellín E.S.P. es hoy el resultado de las decisiones acertadas que se tomaron hace cincuenta años, como respuesta a las exigencias del momento. Con gran visión, los gestores del ente autónomo crearon una empresa que demostró ser la más apropiada para responder a las necesidades del desarrollo económico y social de la ciudad.
Hoy, los administradores de la organización, los dirigentes y la opinión pública enfrentan una evidencia irrebatible: encarar con éxito las nuevas condiciones políticas, económicas e institucionales del país y del mundo, relacionadas con la prestación de los servicios públicos.
ESTRUCTURA ORGANIZACIONAL DE EE.PP.M. EN EL 2005 Actualmente Las Empresas cuentan con seis mil doscientos setenta (6270) funcionarios distribuidos en las diferentes sedes con que cuenta la entidad.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
42
Cuatro mil cuatrocientos doce (4412) empleados y mil sesenta y tres (1063) contratistas tienen acceso a los diferentes servicios que ofrece la red corporativa de datos.
En la gráfica siguiente se muestra como es la organización y la manera de cómo se administra la gente y los recursos que maneja la empresa.
OR G A N IG R A M A E EP P M G er en c ia G en er al Un id ad d e C o m u n ic ac io n es y R el ac io n es C o r po rat iv as G er en c ia ia d d e P lan eac i ó n Co r p o r ati v a
G er en c i a d e In v ers ió n
Di rec c ió n d e C on tr o l In t er n o
S ec ret ar ía G en eral
G erencia G eneración E nergía
G erenc ia D istribució n E nergía
U n i d a d e s d e N ú c l e o C o r p o r a t i v o
G erencia Telecom unicaciones
G erencia A guas
G erencia Com ercial
U n i d a d e s E s t r a t é g i c a s d e N e g o c i o
Di rec c ió n Fin an c iera
Di r ec c i ó n A d m i n is t rat iv a
D ir ec c i ó n G es ti ó n H u m an a
D ir ec c i ó n In f o rm át i c a Co r p o rrati ati v a
U n i d a d e s d e S e r v i c i o s C o m p a r t i d o s
VISIÓN Ser una empresa líder en Colombia y relevante en América Latina en la prestación integral de servicios públicos domiciliarios y conexos, que a partir del conocimiento de las necesidades de los clientes, les brinde soluciones de valor agregado y un nivel de excelencia que los satisfaga, y de esta manera garantice su lealtad y maximice el valor generado por cada uno de ellos.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
43
MISIÓN Ser una empresa de servicios públicos domiciliarios integrales de clase mundial: Que satisfaga las necesidades de sus clientes con servicios de excelencia.
Que contribuya de esta forma al desarrollo socioeconómico de las áreas donde actúe.
Que genere rendimientos económicos suficientes para atender a su crecimiento y contribuir a la satisfacción de las necesidades de la ciudad de Medellín y su gente.
VALORES ORGANIZACIONALES Los siguientes son los valores que caracterizan y mueven a las Empresas buscando siempre su estabilidad, crecimiento y cumplimiento de su misión, visión y responsabilidad social:
Innovación: Implementación de nuevas alternativas a problemas o situaciones con un fuerte enfoque de mejoramiento. Conocimiento y satisfacción del cliente: habilidad para conocer e indagar sobre las necesidades de cada cliente, logrando que él opte por nuestros servicios después de haber entendido sus necesidades, satisfaciéndolas en tiempo y forma, superando incluso sus expectativas.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
44
Integridad: disposición para actuar con principios éticos, de manera confiable y consecuente con los objetivos empresariales, sin obtener ventajas personales en las decisiones o en los procesos organizacionales. Productividad: capacidad para cumplir los objetivos rentables propuestos haciendo uso óptimo de los recursos disponibles.
A DMINISTRACIÓN La máxima autoridad de EE.PP.M. es la Junta Directiva, conformada por representantes de la Alcaldía de Medellín, el Concejo y las entidades cívicas o de usuarios de los servicios, con presidencia del Alcalde Metropolitano. La representación legal y la administración están a cargo del Gerente General, nombrado por el Alcalde, quien cuenta con el apoyo de ocho Gerencias: Auxiliar, Telecomunicaciones, Aguas, Generación de Energía, Distribución de Energía, Comercial, EPM Consulting y Planeación Corporativa; seis Direcciones: Informática Corporativa, Administrativa, Gestión Humana, Control Interno, Desarrollo Organizacional, Financiera; y la Secretaría General. El Control Fiscal posterior de EE.PP.M. lo ejerce la Contraloría Municipal.
PRESUPUESTO Empresas Públicas de Medellín aprobó para el año 2005 un presupuesto de $4.797.740 millones de pesos.
De esa cifra, el 39% será destinado a inversión, un 18% a funcionamiento, 31% a la operación comercial y otro 12% al servicio de la deuda.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
45
FUNCIÓN SOCIAL Para atender adecuada y oportunamente a las clases menos favorecidas, durante más de 30 años EE.PP.M. ha aportado soluciones concretas al problema de los servicios de Energía, Telefonía Básica, Acueducto y Alcantarillado en las zonas urbanas y semirurales de Medellín y en los demás municipios de su área de influencia, a través de su Programa Habilitación Viviendas, buscando mejorar la calidad de vida de las comunidades, mitigando los impactos generados por las obras y proyectos, participando activamente en el desarrollo comunitario y velando por el cumplimiento de las obligaciones consagradas por ley.
La entidad ha estado presente en Antioquia con la ejecución de obras de amplio contenido social: carreteras, puentes, sedes educativas, culturales y comunitarias; pavimentación de vías, suministro y transporte de materiales y maquinaria; dotación de espacios locativos, creación de fuentes de empleo, obras de explanación, protección y drenaje, prestación de servicios públicos básicos, realización de actividades forestales, labores de veeduría, asesoría e interventoría, entre otras.
GESTIÓN A MBIENTAL Las Empresas Públicas de Medellín E.S.P. desarrollan desde hace más de tres décadas una vasta tarea reforestadora y de protección de los recursos naturales de los cuales se sirve, agua, suelo y bosques, a través del cuidado de cuencas y microcuencas, la ejecución de actividades de reforestación, mantenimiento de bosques naturales alrededor de sus embalses, control de erosión y estudios de recuperación e impactos ambientales, entre otros.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
46
Empresas Públicas de Medellín también hace presencia ecológica en Antioquia con su Plan de Parques como son: La Culebra en el embalse PeñolGuatapé, Los Salados en el corregimiento La Fe del municipio de El Retiro, Piedras Blancas en la represa del mismo nombre entre Medellín y Guarne, y el núcleo Mirador de la Torre en Riogrande II, en el municipio de Don Matías, constituyen verdaderas reservas forestales y, al mismo tiempo, opciones recreativas para la comunidad, llenas de senderos, miradores naturales, agua y mucho paisaje.
Además, EE.PP.M. hizo aportes importantes en tierra y en la construcción de la infraestructura de servicios públicos al Parque de las Aguas, con el cual se abrió un nuevo lugar de esparcimiento para la comunidad.
NUESTROS COMPROMISOS Las Empresas concientes de su responsabilidad social y del desarrollo integral de la ciudad y el departamento, ha adquirido dentro de su gestión, los siguientes compromisos:
MANEJO INTEGRAL DEL AMBIENTE Se entiende el ambiente como el resultado de la interacción dinámica entre el medio natural y el medio social. En este contexto, la gestión ambiental estará relacionada con la prevención y el manejo adecuado de los impactos ambientales no deseables y la potenciación de los impactos positivos causados por los proyectos, obras o actividades propios de cada uno de los negocios en las áreas de influencia.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
47
La gestión ambiental se fundamenta en un enfoque integral y preventivo, en métodos interdisciplinarios y de trabajo en equipo, en mecanismos de comunicación, concertación y participación con todos los actores involucrados en dicha gestión y mediante la responsabilidad individual y colectiva de los trabajadores, proveedores y contratistas con el entorno. Lo anterior, con el propósito de insertar adecuadamente los proyectos y obras en las áreas donde actúa EEPPM, bajo los principios de uso racional de los recursos naturales, de responsabilidad social con la población influenciada y de compromiso con las generaciones futuras. En EE.PP.M. se cumple con la legislación ambiental establecida en la Constitución, las leyes y las normas aplicables al desarrollo de proyectos y obras.
MEJORAMIENTO CONTINUO DE LA GESTIÓN AMBIENTAL Se asume el compromiso de mejoramiento continuo de la gestión ambiental mediante la planeación, implementación, revisión y actualización de los procesos y acciones que interactúan con el ambiente, para integrar y dar coherencia a la gestión realizada por la Organización en su relación con el entorno.
Está afianzada la integralidad técnica económica y ambiental en todos los proyectos y obras y se mantiene el compromiso de que la gestión ambiental debe estar asociada a la innovación, al fomento de la investigación, al desarrollo tecnológico y del talento humano y a la optimización de los recursos en la búsqueda del mejoramiento de la productividad, la eficiencia y la racionalización de los costos ambientales, con el fin de fortalecer la competitividad de las Empresas Públicas de Medellín E.S.P.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
48
PARTES INTERESADAS Reafirmamos que el cliente es nuestra razón de ser, por lo tanto el compromiso con la excelencia en la prestación de los servicios, en la satisfacción de sus necesidades y en la comunicación adecuada, seguirán siendo la base de nuestra relación con éste. La información oportuna, la consulta, la concertación y la participación efectiva fundamentan nuestras relaciones con el Municipio de Medellín, los clientes, los empleados, las comunidades donde actuamos, los proveedores y demás actores involucrados en nuestra gestión ambiental. De esta manera, se afianza la lealtad, el respeto, la confianza y la interacción de mutuo beneficio. Nos comprometemos a divulgar la política ambiental a todos los empleados desarrollando programas y medios que posibiliten su conocimiento y aplicación, como también su disponibilidad para el público en general.
GESTIÓN DE RIESGOS Para garantizar una óptima confiabilidad de los equipos, instalaciones y procesos, EEPPM se ha interesado en mantener un estricto cumplimiento de las normas y prácticas de ingeniería, una adecuada interventoría en la construcción y montaje, y una efectiva administración, operación y mantenimiento de los recursos. Adicionalmente, la Unidad Riesgos y Seguros tiene en ejecución varios programas de Control y Administración de Pérdidas, los cuales comprenden la identificación de peligros, la evaluación y análisis de los riesgos, la elaboración de recomendaciones para minimizar el riesgo, la asesoría y coordinación con las dependencias involucradas en el análisis de la viabilidad técnica y económica de las medidas recomendadas, y el análisis e
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
49
implementación de las alternativas de administración de riesgos más convenientes.
Estos estudios están orientados al análisis de todo tipo de riesgos asociados a las instalaciones en particular (centrales hidroeléctricas, subestaciones, almacenes generales, laboratorios, etc.), incluyendo las pérdidas materiales, humanas, afectación del medio ambiente, responsabilidad civil, si existe.
Mediante el decreto No. 648 del 3 de abril de 1995 de EE.PP.M. las Empresas implantaron un sistema corporativo de administración de riesgos, el cual contempla las políticas, normas y procedimientos a seguir en materia de gestión de riesgos a los cuales deben ser sometidos los bienes, recursos humanos e intereses de las Empresas, además de la comunidad y el medio ambiente que bajo ciertas condiciones podría amenazar o ser amenazada por las operaciones propias de las Empresas.
Dicho decreto fue actualizado y reemplazado mediante el 1029 del 22 de enero de 1999, para adaptarlo a las nuevas condiciones dadas por el proceso de reestructuración interna adelantado en las Empresas.
A partir de este decreto, se dio inicio al proceso de administración de riesgos en cada una de las UENs, UNCs y USCs, denominado Sistema Corporativo de Administración de Riesgos, SCAR.
Mediante éste sistema se pretende desarrollar, estandarizar e implementar la metodología y herramientas para la ejecución de las etapas de identificación, análisis, evaluación, control físico y financiero de los riesgos en cada una de las dependencias de las Empresas Públicas de Medellín.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
50
Para lo anterior se ha contado con la dedicación de numerosos funcionarios adscritos a las diferentes Unidades, quienes han recibido capacitación y entrenamiento en diferentes temas de administración de riesgos, con el objeto de que cada uno se convierta en multiplicador de la cultura de la administración de riesgos en las EE.PP.M.
CULTURA EMPRESARIAL Esa cultura empresarial se manifiesta en un profundo sentido de pertenencia por la entidad, no sólo por parte de sus funcionarios, empleados y trabajadores, sino también por parte de la comunidad, que la quiere, la respeta y cierra filas en torno a ella para defenderla de amenazas externas. Se ha generado así un verdadero círculo virtuoso: la gente apoya a las Empresas Públicas de Medellín E.S.P. porque son eficientes, y ellas son eficientes gracias al respaldo de la gente.
Todo esto se manifiesta en la forma como sus directivas y funcionarios en general manejan los recursos que le son asignados para el cumplimiento de sus funciones y como dentro de su práctica profesional han incluido el manejo del riesgo en el que hacer diario y en los nuevos proyectos que emprende la corporación para mejorar la calidad de vida de su comunidad, razón de ser de la Empresa.
Gracias al apoyo de la gerencia y al compromiso de la gente que ha recibido capacitación y han sido multiplicadores del tema, la cultura de administrar el riesgo se ve cada vez inmersa en los procesos, en las contrataciones y en la adquisición de la tecnología de información bajo esquemas de redundancia, alta disponibilidad y respaldo necesaria para soportar y mantener el servicio 24
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
51
horas 7 días a la semana, que es lo que demanda hoy el cliente y la competencia.
GRUPO EMPRESARIAL EE.PP.M. A continuación se muestran algunas de las empresas en las cuales EE.PP.M. tiene participación económica. Algunas de estas empresas están alineadas dentro de la estrategia de TI junto con EE.PP.M. en la búsqueda de sinergias. Empresa
Participación
Actividad Principal
EPM BOGOTÁ
63.40%
Telecomunicaciones
EMTELSA
36.88%
Telecomunicaciones
ORBITEL
50.00%
Telecomunicaciones – larga distancia
Empresa Telefónica de Pereira
56.14%
Telecomunicaciones
EMTELCO
99.54%
Comunicación de datos
EDATEL
56.00%
Telecomunicaciones
Colombia Móvil
50.00%
Telefonía Móvil PCs
TELEPSA
60.00%
Telecomunicaciones
Aguas de Oriente
56.00%
Aguas
EPM Bogota Aguas
89.58%
Aguas
EADE
63.90%
Energía
CHEC
56.00%
Energía
Energía de Quindío
56.00%
Energía
HET S.A. (BONYIC)
75.00%
Energía
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
52
10. QUÉ ES LA DIRECCIÓN INFORMÁTICA CORPORATIVA Es el área encargada de promover y liderar la planeación y el desarrollo coherente e integrado de la informática en las Empresas, para garantizar una estrategia informática alineada con la visión corporativa.
ESTRUCTURA Actualmente La Dirección de Informática Corporativa cuentan con ciento cincuenta y ocho (158) funcionarios distribuidos en las diferentes áreas que componen dicha Unidad de Servicio Compartido (USC). En la gráfica siguiente se muestra como es la organización:
DIRECCIÓN DE INFORMÁTICA CORPORATIVA
Unidad Planeación Informática
Unidad Gestión Informática
Unidad Sistemas de Información
Unidad de Ingeniería y Tecnología Informática
Unidad Operaciones Informática Informática
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
53
UNIDAD PLANEACIÓN INFORMÁTICA Su función es elaborar y mantener actualizada la estrategia informática, en cuanto a aplicaciones, tecnología y organización, con sus correspondientes planes estratégicos y tácticos, para garantizar un desarrollo integrado de la informática en las Empresas.
UNIDAD GESTIÓN INFORMÁTICA Su función es asesorar y trabajar en equipo con las unidades de la Dirección Informática Corporativa y con las demás gerencias, en la ejecución y el mejoramiento de sus planes, para garantizar la coherencia de la gestión informática de todas las unidades.
Ofrece apoyo en lo referente al mejoramiento de los productos y servicios, medición de la calidad del servicio, asesoría y adquisición de infraestructura informática.
UNIDAD INGENIERÍA Y TECNOLOGÍA INFORMÁTICA Su función es coordinar la Integración de la planeación informática, las necesidades de ingeniería y tecnología y la infraestructura informática para proveer asesoría especializada a toda la organización.
Presta soporte especializado en los temas de seguridad informática, viabilidad técnica para adquisición de tecnología y compatibilidad con la infraestructura que posee EE.PP.M.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
54
UNIDAD SISTEMAS DE INFORMACIÓN Su función es coordinar la adquisición de paquetes de software, el desarrollo, la evolución y mantenimiento de los sistemas de información corporativos tales como OneWorld, Sigma, Siebel, Fénix, Factura, Open, entre otros, para garantizar que éstos apoyen los procesos organizacionales.
UNIDAD OPERACIONES INFORMÁTICA Su función es coordinar la instalación, soporte, operación y mantenimiento de todos los equipos informáticos, servidores, redes y aplicaciones para garantizarle a la corporación la disponibilidad de la infraestructura tecnológica.
PENSAMIENTO ESTRATÉGICO Para entender el papel de la Dirección Informática Corporativa en lo relacionado con la infraestructura de TI, veamos a continuación un resumen de su pensamiento estratégico:
MISIÓN “Crear y prestar servicios de Tecnología de Información que sean convenientes para el desempeño integral del Grupo Empresarial EPM.” Desempeñando los siguientes roles: ·
Direccionador y controlador de TI en Las Empresas.
·
Direccionador estratégico de TI para las empresas filiales.
·
Prestador de servicios de tecnología de iformación.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
55
VISIÓN Ser la mejor opción en la prestación de servicios de Tecnología de Información para el Grupo Empresarial EPM.
ESTRATEGIA ·
Retener y Potenciar el liderazgo en servicios de TI en el Grupo Empresarial.
·
Ser los líderes de la planeación, la evolución y el soporte de los paquetes corporativos.
·
Obtener sinergias en TI entre EE.PP.M. y sus filiales.
·
Apalancar el negocio de IDC y buscar la convergencia del datacenter
·
Mantener las aplicaciones críticas en los niveles de continuidad que requiere el negocio.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
56
11. METODOLOGIA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS EN PROYECTOS DE TECNOLOGÍA DE INFORMACIÓN Es importante en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que participan en un proyecto de tecnología de información; y por medio de una buena gestión se pueda evaluar el desempeño, desarrollo y ejecución del mismo.
Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en cuenta que una de las principales causas de los problemas dentro del entorno informático, es la inadecuada administración de riesgos, este trabajo sirve de apoyo para una adecuada gestión de la administración de riesgos, basándose en los siguientes aspectos:
·
La sensibilización en la administración y gestión de los riesgos.
·
La asignación de responsables a los proyectos de tecnología de información.
·
La evaluación y valoración de los riesgos inherentes a los proyectos de tecnología de información y a los procesos que soporta
·
El análisis de las causas de los riesgos.
·
Los controles utilizados para minimizar los riesgos.
El proceso de administración de riesgo es el conjunto de estrategias tendientes a minimizar los riesgos asociados al funcionamiento de un sistema, con el fin de disminuir las pérdidas y garantizar su estabilidad operativa y financiera en el corto plazo y su continuidad y permanencia en el largo plazo.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
57
El esfuerzo metodológico desarrollado en este documento, en donde se integran los conceptos de la administración de riesgos y la gerencia de proyectos, es aplicable a cualquier empresa puesto que la metodología descrita, en sí no tiene restricciones específicas.
A continuación se describen las fases, actividades y tareas que se deben realizar en las fases que conforman la metodología y son: (0) Sensibilización, (1) Planeación del proyecto, (2). Inicio del proyecto, (3) Análisis y valoración de riesgos.
F A S E S D E L A M E T O D O L O G ÍA P l a n e a c i ó n
In ic i o d e l P r o y e c t o
G e s ti ó n d e l R i e s g o
• C o n f i r m a c i ó n d e l A l c a n c e .
• L a n z a m i e n t o d e l P r o y e c t o .
• Id e n t i f i c a c i ó n .
• L o g ís t i c a d e A d m i n i s t r a c i ó n .
• C o n o c i m i e n t o d e l N e g o c i o .
• C o n f o r m a c i ó n d e l e q u i p o d e t r a b a j o .
• S o l i c i t u d d e r e q u e r i m i e n t o s d e In f o r m a c i ó n
• R e t e n c i ó n .
• P l a n d e e n t r e v i s t a s .
• A n á l i s i s d e R e s u l t a d o s .
• A n á l i s i s y V a l o r a c i ó n . • C o n t r o l .
• T r a n s f e r e n c i a .
S e n s i b i l i z a c i ó n
FASE 0: SENSIBILIZACIÓN Se debe fomentar en la organización y el proyecto la cultura del riesgo. En la medida en que se perciban los riesgos a qué se está expuesto, se estará en capacidad de administrarlos. Esta fase es transversal, es decir, se ejecuta durante el desarrollo de todo el proyecto y se puede decir que de aquí depende en gran parte el éxito del mismo.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
58
Todo integrante juega un papel importantísimo en la Administración de Riesgos, toda vez que al ser parte activa del proceso, consolida una cultura organizacional que garantiza la adecuada protección de los bienes, recursos y procesos de la empresa y asegura un manejo de los riesgos en forma racional, óptima, integral, confiable, altamente participativa y a costo mínimo.
Todo funcionario de las Empresas debe asumir un papel y responsabilidad claramente definida frente a los riesgos.
Con esta actividad lo que se pretende es identificar las características generales de las personas involucradas en el proyecto, así como las percepciones, motivaciones y sugerencias que tiene frente a la administración de los riesgos, reconociendo la conformación e interrelación entre los distintos equipos de trabajo, todo esto para generar las estrategias de sensibilización y comunicación que faciliten la implementación exitosa del proyecto en la entidad y la adecuada gestión del riesgo durante su ejecución.
Para lograr lo anterior se pueden utilizar instrumentos como las entrevistas, las encuestas, la observación del comportamiento frente al riesgo entre otras.
Con los resultados obtenidos después de aplicar dichos instrumentos, se define las estrategias de sensibilización que deben estar enfocada a reforzar el poder, el querer y el saber partiendo del hecho de reconocer que las personas son los artífices del cambio. Asume que el ser humano no es resistente al cambio sino a ser cambiado, por lo tanto el verdadero cambio se da al interior de las personas.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
59
S e n s ib il iza c ió n P u e d a (P o d e r )
Q u i e r a (Q u e r e r )
• R e c u rs o s • P roc ed im ie n to s • E s tán d are s • S is tem a s y H e rra m ie n ta s
• A c titu d • C o n du c ta • C o m p rom is o
S e p a (S a b e r ) • C o m p e te n c ia s T éc n ic a s • C o m p e te n c ia s F u nc io n ale s • C o m p e te n c ia s Interp e rs o n a le s
Está científicamente comprobado, que los adultos tenemos ciertas características en el aprendizaje en la que la transmisión oral o visual de conceptos y conocimientos solo permiten un nivel de efectividad y recordación promedio del 20%, mientras que las vivencias y/o los descubrimientos que realizamos por nosotros mismos se graban en un 80%, facilitando un proceso sistémico y perdurable de aprendizaje y cambio, pero sobre todo de aplicación práctica, útil e inmediata.
En este orden de ideas, las metodologías vivenciales o de outdoortraininng, logran alto impacto, porque aceleran la curva de aprendizaje, apoyado en el objetivo de modificar conductas y comportamientos, generando compromisos y facilitando los procesos de cambio y transformación cultural.
El Outdoortraining es una metodología de formación que se basa en reproducir situaciones empresariales a través de simulaciones y de actividades al aire libre. Es lo que llamamos una metodología vivencial, porque el punto de partida es la experiencia que viven los participantes.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
60
Después de estas situaciones fuera del aula, se analiza de forma conjunta lo sucedido, se exploran las analogías que existen con la realidad de las organizaciones. Posteriormente el aprendizaje se integra a través de la asimilación de modelos conceptuales de psicología y management (kolb, Hertberg, etc.).
El aprendizaje, en definitiva, se produce a través de la vivencia del equipo, del análisis de ésta y de su conceptualización posterior. El último paso del proceso consiste en transferir lo aprendido a la empresa a través de acciones y compromisos concretos.
Tal y como se ha comentado anteriormente buena parte del éxito del proyecto radica en disminuir la ansiedad que generará el proyecto, suministrando los conceptos, procesos, metodologías y herramientas de análisis y valoración de los riesgos, capacitando y entrenando a todos los involucrados y a aquellos que participan de una manera puntual en el desarrollo del proyecto.
Al desarrollar las dimensiones del poder, el querer y el saber, se obtiene un cambio de actitud y comportamiento de las persona frente al tema que se está sensibilizando y para este caso concreto frente a la administración y gestión de riesgos en el proyecto, por que lo interiorizan y hacen parte integral de su trabajo diario.
Todo lo anterior debe ir acompañado de una compaña de comunicación donde se aprovecharán los medios corporativos existentes y se diseñarán otros que garanticen la cobertura de los públicos identificados. La comunicación será abierta, frecuente, breve, sencilla y durante toda la ejecución del proyecto.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
61
FASE 1: PLANEACIÓN DEL PROYECTO En esta fase se busca definir y confirmar el alcance, entender el ambiente de trabajo donde se desarrollará el proyecto, identificando el responsable así como el equipo que tomará parte en el mismo. En la Fase de planeación del proyecto se busca desarrollar un plan de trabajo acorde con las necesidades planteadas y con los requerimientos del cliente que para este caso pueden ser las UNCs, UENs y USCs.
El siguiente mapa muestra cada una de las actividades que se deben llevar a cabo en esta fase de planeación: P L A N E A C I Ó N
1 . C o n f i r m a c i ó n d e l A l c a n c e
2 . C o n f o r m a c i ó n d e l E q u i p o d e T r a b a j o
3 . E s t a b l e c i m i e n t o d e l a l o g í s t i c a d e a d m i n i s t r a c i ó n
Figura 1: Actividades de la Fase de Planeación del Proyecto
CONFIRMACIÓN DEL A LCANCE El objetivo de esta actividad es que el equipo del proyecto y la organización tengan muy en claro lo que contemplará el proyecto, cuáles procesos, aplicaciones, servidores, instalaciones, bases de datos, etc, estarían incluidas en el estudio. Además, se debe estar muy atento en conservar el alcance, confirmarlo y no permitir que se modifique o cambie. De esto depende en gran parte el éxito del proyecto.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
62
CONFORMACIÓN DEL EQUIPO DE TRABAJO Para realizar este tipo de proyectos es necesario conformar un equipo de trabajo interdisciplinario entre la UEN, o UNC, o USC, la Dirección de Informática Corporativa y con el apoyo puntual de las áreas que se requieran y deban participar en el análisis y valoración de riesgos, utilizando mecanismos de integración, comunicación y coordinación teniendo en cuenta lo siguiente:
·
Conformar el equipo de trabajo con roles y responsabilidades definidas.
·
Conformar el Comité directivo del proyecto con roles y responsabilidades definidas que ayuden a dirimir conflictos, a tomar decisiones y a apoyar el proyecto.
·
Divulgar la metodología utilizada para hacer el análisis y valoración de riesgos en proyectos de tecnología de información a los participantes por parte de la Dirección de Informática Corporativa.
·
Analizar los ajustes y mejoras requeridas en la metodología de acuerdo con los cambios que hayan surgido en los sistemas de información y los ambientes tecnológicos.
·
Recolectar la información necesaria relacionada con las actividades de la metodología teniendo en cuenta los controles que se implementan y buscan mejorar el escenario del riesgo y disminuir su impacto.
·
Aplicar la metodología teniendo en cuenta los ajustes y mejoras que hayan sido requeridas y que fueron el resultado del análisis de la misma.
·
Efectuar reuniones periódicas con los diferentes miembros del equipo de trabajo, para conocer el estado de avance del análisis y valoración.
·
Analizar la información y validar los resultados obtenidos de acuerdo con la metodología aplicada.
·
Estructurar el informe final del análisis y valoración de los riegos.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
63
Este equipo debe estar conformado por el cliente y el proveedor del servicio. La siguiente figura muestra un esquema de cómo debe trabajar un proyecto de esta naturaleza al interior de la organización. E Q U IP O D E T R A B A J O E q u i p o A s e s o r d e l a M e t o d o l o g ía
IN T E G R A C IÓ N
E q u i p o d e l C l i e n t e U N C , U S C , U E N
M e t o d o l o g ía p a r a e l A n á l i s i s y v a l o r a c i ó n d e R i e s g o s e n P T I C O M U N IC A C IÓ N
C O O R D IN A C IÓ N
Á r e a s d e A p o y o d e l r e s t o d e l a O r g a n i z a c i ó n
T R A N S F E R E N C IA D E C O N O C IM IE N T O Figura 2: Esquema de trabajo en el proyecto
11.2.3.
ESTABLECIMIENTO DE LA L OGÍSTICA DE A DMINISTRACIÓN
El propósito es definir cuales son las actividades que van apoyar y controlar la administración del proyecto. Estas actividades dependen de cada empresa, respetando su cultura y manera de ejecutar este tipo de proyectos, algunas de ellas son:
·
Realizar un recorrido por las instalaciones con el equipo de trabajo, aquí se busca conocer el entorno de trabajo, la asignación de una oficina y los recursos necesarios (escritorios, sillas, teléfonos, red, Internet, entre otras) para el normal desarrollo del proyecto.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
64
·
Definir el cronograma (Plan de trabajo) que contenga las actividades, las fechas de inicio y terminación, los responsables de ejecutarlas, los recursos, el presupuesto y los productos o informes que se deben elaborar y entregar.
·
Definir el formato de los informes de avance, presentaciones y actas.
·
Definir reuniones de seguimiento con el equipo del proyecto.
·
Definir las reuniones periódicas de informe de avance o presentaciones con el comité directivo del proyecto y las áreas dueñas para quienes se está realizando el trabajo.
FASE 2: INICIACIÓN DEL PROYECTO Es importante para llevar a cabo de una manera exitosa el proyecto contar con el apoyo de la alta gerencia, por esto es necesario tener una permanente comunicación con la dirección mediante informes de avances y presentaciones que den una idea de cómo va el desarrollo del proyecto.
En esta fase se busca lanzar el proyecto con el fin de que la alta gerencia y las áreas a las cuales se les va a hacer el trabajo lo conozcan, apoyen, participen y se comprometan con ejecución y desarrollo hasta el final.
Después de que los involucrados, tanto áreas usuarias como equipo de proyecto y alta gerencia, lo conocen, se desarrollan las actividades de conocimiento del negocio, solicitud de requerimientos de información y el plan de entrevistas de una manera más ágil y oportuna donde se evidencia claramente si hay apoyo o no al proyecto.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
65
El siguiente mapa muestra cada una de las actividades que se deben llevar a cabo en esta fase de Iniciación:
IN IC IO D E L P R O Y E C TO
4 . R e u n ió n d e la n z a m ie n to d e l p ro y e c to
5 . C o n o c im ie n to d e l N e g o c io
6 . S o lic itu d d e R e q u e rim ie n to s d e in fo rm a c ió n .
7 . P la n d e E n tre vis ta s
Figura 3: Actividades de la Fase de Iniciación del Proyecto
REUNIÓN DE L ANZAMIENTO DEL PROYECTO Preparar una presentación que muestre los beneficios, el plan, los productos y el equipo de trabajo, al grupo gerencial con el fin de confirmar el apoyo y lograr el compromiso de cada una de las áreas dentro del alcance para asegurar el éxito del proyecto.
CONOCIMIENTO DEL NEGOCIO El equipo se debe hacer una idea general del negocio, los procesos en los que se realizará el trabajo, la infraestructura de TI, instalaciones etc.
La mecánica para la realización consta de 2 partes:
·
Solicitud de unos requerimientos de información básica.
·
Presentaciones de los usuarios y dueños de tecnología
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
66
SOLICITUD DE REQUERIMIENTOS DE INFORMACIÓN El equipo de trabajo debe hacer una solicitud a las áreas involucradas en el estudio sobre la información necesaria para realizar el proyecto. Esta solicitud se hace a través de una plantilla que recoja los requerimientos y la información necesarios para conocer el negocio y sobre todo el área objeto del análisis. PLAN DE ENTREVISTAS Se debe elaborar un plan de entrevistas con las personas que conocen los procesos, las aplicaciones y la infraestructura, donde se indique la fecha, hora y lugar de la reunión. Es conveniente que las reuniones no sean muy extensas, máximo de dos (2) horas, ya que se tiende a perder la información suministrada.
FASE 3: GESTIÓN DEL RIESGO Esta fase está destinada a identificar, evaluar, valorar y controlar los riesgos, la frecuencia y severidad con que se pueden presentar y el grado de aceptabilidad que tendría el proyecto o la organización si ocurriera dicho riesgo evaluado.
Para comenzar con el análisis y la valoración se requiere utilizar el mismo lenguaje y que conceptualmente todos estemos de acuerdo para que el análisis sea lo más objetivo posible y para poder lograrlo es necesario retomar algunas definiciones hechas al principio de este documento:
Amenaza: Persona, objeto, situación o evento natural del entorno (externo o interno) que es visto como fuente de peligro, catástrofe o interrupción y pueden ser de origen natural tecnológico y social. Ejemplos: sismos, inundación,
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
67
avalanchas, incendio, explosiones, robo de datos, sabotaje, ausencia del plan de contingencias, insuficiente gestión de monitoreo, aplicativos mal diseñados, secuestro, fraude, etc. También se define como un riesgo no evaluado. Es necesario cuantificarla para poder tomar decisiones (Administración de Riesgos). En síntesis podemos definir que la amenaza es una percepción del algo que puede ocurrir. Riesgo: Definimos el riesgo como la probabilidad de que la amenaza se materialice, debido a la existencia de una o varias vulnerabilidades de peso significativo. El riesgo es difícil de medir, sobretodo, cuando no se cuenta con datos estadísticos que lo respalden o avalen, por la tendencia de las organizaciones a ocultar incidentes, la localización geográfica, las culturas, leyes, criticidad, situación país, etc. También se define como una amenaza evaluada en cuanto a su probabilidad de ocurrencia (Frecuencia) y a la gravedad de sus consecuencias (Severidad). Riesgo Informático: Es un suceso incierto que puede llegar a presentarse en un futuro con la probabilidad de Generar Consecuencias NEGATIVAS que afecten el ambiente informático o la información. Probabilidad/Frecuencia: Es el numero de veces que se da un evento. Ver también posibilidad y probabilidad. También se define como el número de veces que una amenaza deja de serlo para convertirse en realidad, a lo largo de un determinado periodo de tiempo.
Gravedad/Severidad/Impacto: Es la evaluación del efecto y consecuencia del riesgo. Generalmente, la exposición al riesgo se mide en aspectos económicos, imagen de las personas o empresas, disminución de capacidad de respuesta y competitividad, interrupción de operaciones, etc. Efecto que causa en la
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
68
organización la ocurrencia de un siniestro o contingencia y que normalmente se ve reflejado en la suspensión de las actividades normales del negocio. También se define como el económico de la materialización de una amenaza, se requiere involucrar gastos directos, indirectos y pérdidas consecuenciales.
Valor del riesgo: Riesgo = Probabilidad X Gravedad (R = PxG)
Siniestro: Todo evento accidental, súbito e imprevisto (repentino, no planeado), que normalmente genera consecuencias negativas sobre un sistema.
Control: Control es toda acción orientada a minimizar la frecuencia de ocurrencia de las causas del riesgo o valor de las pérdidas ocasionadas por ellas. Los controles sirven para asegurar la consecución de los objetivos de la organización o asegurar el éxito de un sistema y para reducir la exposición de los riesgos, a niveles razonables. Los objetivos básicos de los controles son: Prevenir las causas del riesgo, detectar la ocurrencia de las causas del riesgo, retroalimentando el sistema de control interno con medios correctivos.
Con las anteriores definiciones, esta etapa de análisis y valoración pretende identificar y calificar los riesgos que pueden presentarse alrededor del proyecto de tecnología de información siguiendo una serie de pasos basados en el siguiente mapa que muestra cada una de las actividades que se deben llevar a cabo en esta fase.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
69
G E S T IÓ N D E L R IE S G O
Id e n t i f i c a c i ó n
A n á l i s i s y V a l o r a c i ó n
C o n t r o l F ís i c o
A n á l i s i s d e R e s u l t a d o s
¿ S e a c e p t a e l r i e s g o ?
N O T r a n s f e r e n c i a
S I R e t e n c i ó n
Figura 4: Diagrama de Administración de Riesgos
Cada paso debe realizarse para dos entornos:
·
Procesos Vs. Tecnología de Información: Tomar como referencia los procesos que tienen asociada la tecnología informática.
·
Tecnología de Información Vs. Tecnología Informática, es decir analizar cada recurso de la tecnología informática evaluando el hardware, software, aplicaciones, comunicaciones, red, instalaciones físicas donde se encuentra ubicado o vaya a funcionar el proyecto a implantar.
IDENTIFICACIÓN La identificación de riesgos consiste en determinar qué tipos de riesgos es más probable que afecten al proyecto de tecnología de información y documentar las características de cada uno.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
70
La identificación de riesgos no es un suceso que se produzca en un instante determinado; debe desarrollarse de una manera regular a lo largo de todo el proyecto.
Es difícil generalizar acerca de los riesgos de una organización o de un proyecto porque las condiciones y operaciones son distintas, pero existen formas de identificarlos entre las cuales están:
·
Herramientas de identificación de riesgos: Las más importantes herramientas usadas en la identificación de riesgos incluyen: registros internos de la organización, listas de chequeo, cuestionarios de análisis de riesgos, flujos de procesos, análisis financiero, inspecciones, entrevistas, tormenta de ideas, entre otras.
·
Aproximación de combinación: La aproximación preferida en la identificación de riesgos consiste de una aproximación de combinación, en el cual todas las herramientas de identificación de riesgos están hechas para tolerar problemas. En pocas palabras cada herramienta puede resolver una parte del problema y combinados pueden ser una considerable ayuda al administrador de riesgos. Esto significa que dependiendo de lo que quiera analizar puede utilizar una u otra y combinar el resultado de las que utilizó. Por ejemplo: las entrevistas y los cuestionarios y hacer análisis cruzados de ambos instrumentos, con el fin de disminuir la subjetividad en el análisis.
Para facilitar la identificación de los riesgos en un proyecto de tecnología de información es muy útil apoyarse en el siguiente diagrama:
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
71
R IESG O S
In f lu en c ia s E x t er n as A c t i v i d ad es f u er a d e l alc an c e
PL A NEA CIÓN
EJ EC UC IÓN Y CO NTR OL
Hitos
Res is t en c ia al Cam b io In f l u e n c ias In t e rn as
P lazo s
Pr o b lem a s Ur g en t es
L a g es t ió n d e Ri es g o s es u n a r es p o n s ab il i d ad d e to d o s l o s i n t eg r an t es d el Pr o y e c t o . El a n ál is i s y g es t i ó n d e lo s r ies g o s d el Pr o y ec t o es u n a ac c i ó n c o n t in u a y d in ám ic a.
Figura 5: Identificación de riesgos del proyecto
A continuación se presenta una serie de preguntas y respuestas que sirven como lista de chequeo al momento de hacer la identificación de los riesgos en las diferentes fases del proyecto:
¿Por qué un proyecto de tecnología de información falla? Ver el siguiente diagrama
P l a n e a c i ó n n o e x i s t e o e s i n a d e c u a d a
F a l l a s e n l a E j e c u c i ó n . I m p l a n t a c i ó n m a l c o o r d i n a d a . F a l t a d e F o c o y C o n t r o l
F A L L A • N o s e p r a c ti c ó lo q u e s e p l a n te ó . • N o s e c a p a c i tó a d e c u a d a m e n te . • N o s e c a m b ió la c u ltu r a . • L a s o l u c i ó n e s in a d e c u a d a . • N o s e c u m p li e r o n l o s o b j e t iv o s . • R e tr a s o s y r e p r o c e s o s .
R i e s g o s e s p e c íf i c o s d e l p r o y e c t o
F a l t a d e d e c i s i o n e s o p o r t u n a s .
L a s R e s i s t e n c i a s a l C a m b i o n o f u e r o n i d e n t i f i c a d a s y t r a t a d a s o p o r t u n a m e n t e .
Figura 6: Identificación de riesgos del proyecto
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
72
Puede existir un riesgo en la PLANEACIÓN del proyecto cuando:
·
No existe una clara definición de los objetivos y expectativas para el Proyecto.
·
No se formalizó un Cronograma que establezca los tiempos para las actividades, los plazos, los hitos y productos, y fuera validado por el Equipo y Comité Directivo del proyecto.
·
No se han asignado miembros del Equipo que cumplan los requisitos de competencia, que estén comprometidos y tengan la independencia para generar las soluciones.
·
No se han establecido las responsabilidades y roles de cada miembro del Equipo.
·
No se ha establecido la forma de integración con otros Proyectos, cuáles son los “inputs” y “outputs”, las dependencias, los eventos que deberán ocurrir, responsables, y qué actividades deberán los equipos trabajar coordinadamente.
Puede existir un riesgo en la EJECUCIÓN Y CONTROL del proyecto cuando:
·
Las decisiones no son tomadas oportunamente, causando probables retrasos.
·
No se obtiene el compromiso y apoyo del patrocinador a lo largo de la ejecución y control del proyecto
·
No se ejecuta el plan de capacitación del equipo y de las personas involucradas.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
73
·
El nivel de dedicación de cada miembro del equipo y otras personas involucradas no es adecuada o no cumple la definición del plan.
·
No se entregan informes/ productos adecuados, completos y según la periodicidad definida.
·
No se documentan las mejoras y metodologías
·
No se obtiene la adecuada participación y compromiso de los involucrados.
·
No se identifican los problemas reales / potenciales y no se toman las acciones correctivas y preventivas adecuadas.
Puede existir un riesgo en el proyecto debido a una RESISTENCIA AL CAMBIO cuando:
·
Los involucrados no entienden con claridad las razones para los cambios.
·
Existe una incompatibilidad entre los valores actuales y los cambios
·
Los involucrados perciben que sus jefes y otras personas o grupos políticamente importantes en la Organización no apoyan el cambio.
·
Los involucrados creen que los cambios impactarán negativamente la forma en que ellos se relacionan hoy.
·
Existe presión o influencia externa al proyecto.
Para ayudar en el análisis de las amenazas y los riesgos se requiere:
·
Identificar los riesgos internos de los procesos con cada elemento de tecnología informática asociado al proyecto de tecnología de información.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
74
·
Realizar una lista de chequeo de las amenazas internas que puedan presentarse en forma accidental o intencional en la Empresa con relación a la tecnología informática asociado al proyecto de tecnología de información.
·
Identificar los riesgos externos de los procesos por cada elemento de tecnología informática asociado al proyecto de tecnología de información.
·
Realizar un chequeo del entorno en los fenómenos naturales, el ambiente geopolítico, el ambiente tecnológico, el ambiente ecológico y el sistema sociocultural que rodea la Organización para definir las amenazas a las que puede estar expuesto el proyecto de tecnología de información de la Empresa.
Para facilitar la identificación de los riesgos en la infraestructura en un proyecto de tecnología de información es muy útil apoyarse en el siguiente diagrama:
C o m p o n e n t e s d e l a T e c n o l o g í a d e i n f o r m a c i ó n A P L I C A C I O N E S
E N T O R N O
R E D
I N F R A E S T R U C T U R A E N S U C O N J U N T O
U N I X
U S U A R I O S I S T E M A O P E R A T I V O
A L M A C E N A M IE N T O , R E S P A L D O Y R E C U P E R A C I Ó N
M O T O R D E B A S E S D E D A T O S
S E R V I D O R S e g u r i d a d F í s i c a y l ó g i c a
O P E R A D O R
Figura 7: Escenarios donde se identifican riesgos de la Infraestructura de TI.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
75
Una vez identificadas las amenazas y los riesgos se elaboran las siguientes matrices: Elaborar la matriz de eventos con relación a los procesos de la Empresa y la matriz de eventos con relación a la tecnología informática.
La matriz de eventos, denominada escenario de riesgos con relación a los procesos se construye con las amenazas y con los procesos que tiene la tecnología informática. La combinación Proceso – Amenaza (fila, columna) lo denominaremos Evento o escenario de riesgos, tal como se muestra a continuación en la Tabla N° 1.
Tabla Nro 1. Matriz de Eventos o escenarios con relación a Procesos
Procesos / Amenazas
A1
A2
An
P1
P1,A1
P1,A2
P1,An
P2
P2,A1
P2,A2
P2,An
Pn
P1= proceso 1, P2= proceso 2 …… Pn= proceso n A1= amenaza 1, A2= amenaza 2 …… …. An= amenaza n P1,A1 = E1, es el evento 1 de que en el proceso 1 ocurra la amenaza 1.
Estas matrices se elaboran de acuerdo con el criterio experto del responsable del proceso y de la tecnología informática.
A manera de ejemplo, si tenemos los procesos de Administrar Recursos Humanos, Administrar Finanzas, Desarrollar y Mantener Sistemas/Tecnología,
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
76
Administrar Servicios Legales que poseen tecnología informática asociada a sus procesos y las amenazas de: fallas en sistemas de información, fallas en la aplicación (OneWorld), fallas en la red de comunicaciones, entre otros, se elabora la siguiente tabla:
Tabla Nro 2. Ejemplo Matriz de Eventos o escenarios con relación a Procesos Procesos/Amenazas
Administrar Recursos Humanos –P1
Fallas en Sistemas de Información Falta de funcionamiento del Sistema de Información de Nomina – A1
Fallas en ONEWORLD
Fallas en la Red de Comunicaciones
No disponibilidad del Módulo ARA2 No disponibilidad del Switche ATM – A3
Administrar Finanzas –P2
Falta de funcionamiento del Sistema de Información Financiero – A4 Falla en el backup Online de Oneworld A5
Desarrollar y Mantener Sistemas/Tecnología –P3
Administrar Servicio Legales –P4
Falla en el backup Offline de Oneworld –A6 Falta de funcionamiento del Sistema Documental Mercurio –A7
De igual forma se obtiene la matriz de eventos con relación a la tecnología informática, para analizar las posibles amenazas que pueden llegar a sufrir los recursos informáticos, asociándolos con la letra T como se muestra en la Tabla Nro 3:
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
77
Tabla Nro 3. Ejemplo Matriz de Eventos o escenarios con relación a la Tecnología Informática Tecnología Informática / No Funcionamiento Fallas en Sistema Fallas en la Red de Amenazas de Equipos Operativo Comunicaciones Servidor de Desarrollo Problemas de lectura T1 en el disco duro A1 Servidor de Correo T2 Falla en tarjetas de red A2 Switche ATM T3 Switche ATM fuera de Switche ATM fuera servicio A3 de servicio A4 Centro de Cómputo Sede Inundación de equipos Administrativa T4 A5 Centro de Computo Inundación de equipos Alterno T5 –A6
A NÁLISIS Y VALORACIÓN Una vez que los riesgos han sido identificados el administrador de riesgos debe evaluarlos. El paso a seguir es hacer el análisis y la valoración. En esta actividad se tiene como objetivo, una vez definidos los riesgos, la determinación y cálculo de los criterios que, con posterioridad, nos facilitarán la evaluación y valoración del riesgo.
Como procedimiento a seguir se identificarán las variables específicas y se analizarán los factores obtenidos. Los criterios de análisis del riesgo para este caso en particular que usaremos son: Probabilidad o frecuencia, gravedad o impacto y la aceptabilidad del riesgo.
Para poder hacer el análisis y la valoración del riesgo es necesario elaborar las escalas de probabilidad y gravedad en que se pueden presentar las amenazas. Estas dos tablas tienen como finalidad obtener una calificación del riesgo en cuanto a frecuencia o posibilidad de ocurrencia y en cuanto a la consecuencia o gravedad si se llegara a materializar la amenaza.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
78
Ambas escalas son generadas por los responsables del proceso y de la tecnología informática en forma estándar para la empresa o el proyecto, ya que las consecuencias de un determinado evento o amenaza es diferente para cada proyecto. El termino probabilidad se refiere a la posibilidad de ocurrencia (frecuencia) que puede tener el riesgo evaluado, a los valores o niveles de probabilidad se le asigna un valor relativo (cualquiera); generalmente por facilidad de manejo se utilizan valores enteros. Ver ejemplo en la Tabla Nro 4: Tabla Nro 4. Ejemplo para una Escala de Probabilidad Valor
Probabilidad
1
Improbable
2
Remoto
3
Ocasional
4
Moderado
5
Frecuente
6
Constante
Definición Se presenta bajo circunstancias extremas de orden público en el país, de catástrofe o bajo situaciones excepcionales fuera del alcance de la organización o del proyecto. Como paros, huelgas, sabotajes o amenazas de terrorismo. Se presenta por situaciones atribuibles a las personas, y pueden ser causadas por hechos internos de la organización hacia el proyecto como suspenderlo, no apoyarlo, abortarlo, entre otras. El evento se clasifica como norutinario y no es inherente a la tecnología, su frecuencia se asocia con variables externas a la tecnología, los procesos o componentes del proyecto. Se presenta por situaciones atribuibles al descuido o error humano que afectan la ejecución del proyecto. Se presenta con cierta regularidad, y su causa es atribuible a los recursos mínimos del proyecto (Personas, presupuesto, tiempo, tecnología) los cuales son necesarios para su ejecución. Se presenta en el día a día, su origen es atribuible a situaciones normales del proyecto como interrupciones menores de los procesos, los servicios de la tecnología, la desviación de los recursos y otros similares.
IMPROBABLE: Cuando el riesgo evaluado no ha sucedido hasta ahora y es muy difícil que ocurra. REMOTO: Cuando el riesgo evaluado ha sucedido sólo en forma excepcional y se tiene una posibilidad de ocurrencia muy baja.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
79
OCASIONAL: Cuando el riesgo evaluado ha sucedido pocas veces y tiene baja posibilidad de ocurrencia. MODERADO: Si el riesgo sucede en forma esporádica y tiene limitada posibilidad de ocurrencia.
FRECUENTE: Si el riesgo sucede algunas veces y tiene una significativa posibilidad de ocurrencia.
CONSTANTE: Cuando el riesgo evaluado sucede en forma reiterada y tiene alta posibilidad de ocurrencia. El termino gravedad se refiere a la magnitud en términos relativos de las consecuencias que pueden generarse al ocurrir la amenaza evaluada. La tabla de gravedad, debe construirse en forma estándar para la empresa; a continuación se muestra un ejemplo mediante la Tabla Nro 5:
Tabla Nro 5. Ejemplo para una Escala de Gravedad Valor
Gravedad
1
Insignificante: La duración de la interrupción es menor a 1 hora.
2
Marginal: La duración de la interrupción esta entre 1 4
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
80
Valor
Gravedad horas.
5
Grave: La duración de la interrupción esta entre 48 horas.
10
Crítico: La duración de la interrupción esta entre 824 horas.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
81
Valor
Gravedad
20
Desastroso: La duración de la interrupción esta entre 24 36 horas.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
82
Valor
Gravedad
50
Catastrófico: La duración de la interrupción es mayor a 36 horas.
INSIGNIFICANTE: Cuando las consecuencias (impacto) pueden ser consideradas como despreciables porque que no afectan el funcionamiento del proyecto. MARGINAL: Cuando las consecuencias (impacto) se consideran tolerables (moderadas) porque afectan en forma leve al proyecto.
GRAVE: Cuando las consecuencias (impacto) afectan parcialmente el funcionamiento del proyecto, pero no ponen en peligro su ejecución.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
83
CRÍTICO: Se valora la consecuencia (impacto) en términos considerables porque dichas consecuencias afectan parcialmente al proyecto desplazando su ejecución.
DESASTROSO: Las consecuencias afectan totalmente al proyecto, desplazando su ejecución y aumentando los costos del mismo de lo inicialmente presupuestado.
CATASTRÓFICO: Cuando las consecuencias se consideran de gran magnitud porque afectan en forma total el proyecto pudiendo poner en riesgo la estabilidad del mismo e inclusive impidiendo su terminación.
Para la construcción de estas tablas o escalas de probabilidad y gravedad se toma como referencia la experiencia propia del equipo de trabajo y la percepción del mismo.
Podemos hablar con el término riesgo cuando la amenaza se evalúa con las escalas de probabilidad y gravedad. El próximo paso entonces, de esta etapa, es calificar los riesgos multiplicando el valor del riesgo en cuanto a probabilidad por el valor del riesgo en cuanto a gravedad Riesgo = Probabilidad X Gravedad (R = PxG)
Tal como se muestra en la Tabla Nro 6 tomando como referencia el ejemplo de la Tabla Nro 2. Matriz de Eventos o escenarios en cuanto a Procesos:
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
84
Tabla Nro 6. Ejemplo para la Calificación del Riesgo con relación a los procesos. ENTORNO DE PROCESOS Administrar Recursos Humanos con falta de funcionamiento del Sistema de Información P1A1 Administrar Recursos Humanos sin disponibilidad del Módulo AR de OneWorld. P1A2 Administrar Finanzas con falta funcionamiento del Sistema de Información P2A4 Desarrollar y Mantener Sistemas/Tecnología con fallas en el backup Offline de OneWorld. –P3A6
PROBABILIDAD
P GRAVEDAD G RIESGO
Ocasional
3 Catastrófico 50
150
Moderado
4
Crítico
10
40
Ocasional
3
Crítico
10
30
Frecuente
5 Catastrófico 50
250
Riesgo = P X G Donde: P = Probabilidad de ocurrencia (frecuencia) G = Gravedad o intensidad de las consecuencias (impacto)
De igual forma ocurre con el análisis de la tecnología informática, con el siguiente ejemplo de la Tabla Nro 7 tomando como referencia la Tabla Nro 3. Matriz de Eventos con relación a la Tecnología Informática
Tabla Nro 7. Ejemplo para la Calificación del Riesgo con relación a la Tecnología ENTORNO DE TECNOLOGÍA Servidor de desarrollo con problemas de lectura en el disco duro T1A1 Servidor de Correo con falla en las tarjetas de red T2A2 Switche ATM fuera de servicio T3A4 Centro de Cómputo Sede Administrativa con inundación de equipos T4A5
PROBABILIDAD Remoto Moderado Ocasional Remoto
P GRAVEDAD G RIESGO 2
Crítico
10
20
4 Insignificante 1 3 Catastrófico 50
4 150
2
100
Catastrófico 50
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
85
Elaborar la Matriz de Aceptabilidad, que nos permita determinar el nivel de aceptabilidad hacia el riesgo: La Matriz de Aceptabilidad de Riesgos nos determina el nivel de aceptabilidad del evento o escenario (combinación de riesgoproceso, o combinación de riesgotecnología) que pueda suceder en el proyecto. Esta matriz está conformada por cuatro zonas de acuerdo con la escala de probabilidad y de gravedad definida en los pasos anteriores: Zona Aceptable: Donde la probabilidad de ocurrencia del riesgo es muy baja, es decir, un evento o escenario situado en esta región de la matriz, significa que la combinación frecuencia consecuencia no implica una gravedad significativa, por lo que no amerita la inversión de recursos y no requiere acciones adicionales para la gestión sobre el factor de vulnerabilidad considerado, diferentes a las ya aplicadas en el proyecto. Zona Tolerable: Un evento o escenario situado en esta región de la matriz, significa que, aunque deben desarrollarse actividades para la gestión sobre el riesgo en el proyecto, tienen una prioridad de segundo nivel, pudiendo ser a mediano plazo. Zona Inaceptable: Donde la probabilidad de ocurrencia del riesgo es alta, y su consecuencia es considerable, es decir, un evento o escenario situado en esta región de la Matriz, significa que se requiere siempre desarrollar acciones prioritarias a corto plazo para su gestión, debido al alto impacto que tendrían sobre el proyecto.
Zona Inadmisible: Un evento o escenario situado en esta región de la matriz, significa que bajo ninguna circunstancia se deberá mantener un escenario con esa capacidad potencial de afectar la estabilidad del proyecto e inclusive su
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
86
terminación. Por ello estos escenarios requieren una atención de alta prioridad para buscar disminuir en forma inmediata su vulnerabilidad.
Para determinar los límites de cada una de las zonas de aceptabilidad en la matriz, se utilizan los siguientes criterios de valoración:
ZONA
CRITERIO DE ACEPTABILIDAD (% de vulnerabilidad) Hasta el 3.0 Del 3.1 al 5.0 Del 5.1 al 25.0 Más del 25.0
Aceptable Tolerable Inaceptable Inadmisible PROBABILIDAD RELATIVA Constante Frecuente Moderado Ocasional Remoto Improbable
6 5 4 3 2 1
6 (2.0%) 5 (1.6%) 4 (1.3%) 3 (1.0%) 2 (0.6%) 1 (0.3%) 1 Insignificante
12 (4.0%) 30 (10.0%) 60 (20.0%) 120 (40.0%) 300 (100%) 10 (3.3%) 25 (8.3%) 50 (16.5%) 100 (33.0%) 250 (83.0%) 8 (2.6%) 20 (6.6%) 40 (13.3%) 80 (26.0%) 200 (66.0%) 6 (2.0%) 15 (5.0%) 30 (10.0%) 60 (20.0%) 150 (50.0%) 4 (1.3%) 10 (3.3%) 20 (6.6%) 40 (13.3%) 100 (33.0%) 2 (0.6%) 5 (1.6%) 10 (3.3%) 20 (6.6%) 50 (16.5%) 2 5 10 20 50 Marginal Grave Crítico Desastroso Catastrófico
GRAVEDAD RELATIVA
Cada evento o escenario (PnAn), resultante de la matriz de eventos con relación a los procesos y a la tecnología informática, se sitúa dentro de la matriz de aceptabilidad para poder determinar los requerimientos de medidas de control como insumos necesarios para la próxima etapa o fase que es la de Control.
La experiencia muestra que los riesgos no identificados son lo que comúnmente causan graves problemas a los afectados, por presentarse sin que exista ningún plan concreto para controlarlos y por eso conllevan efectos desastrosos.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
87
Es importante efectuar una evaluación cuidadosa de los riesgos y sus causas, ya que todo resultado erróneo conllevará a un exceso o a una deficiencia de medidas de control físico, lógico o a la toma de decisiones equivocadas en el control financiero. La Matriz de Aceptabilidad del riesgo está determinada por la escala de probabilidad tomada de la Tabla Nro 4 y la escala de gravedad basada en la Tabla Nro 5 con la definición de los valores de aceptable, tolerable, inaceptable e inadmisible como se muestra a continuación en la Tabla Nro. 8: Tabla Nro. 8. Matriz de Aceptabilidad PROBABILIDAD RELATIVA Constante Frecuente Moderado Ocasional Remoto Improbable
6 5 4 3 2 1
Aceptable Aceptable Aceptable Aceptable Aceptable Aceptable 1 Insignificante
Tolerable Inaceptable Inaceptable Inadmisible Inadmisible Tolerable Inaceptable Inaceptable Inadmisible Inadmisible Aceptable Inaceptable Inaceptable Inadmisible Inadmisible Aceptable Tolerable Inaceptable Inaceptable Inadmisible Aceptable Tolerable Inaceptable Inaceptable Inadmisible Aceptable Aceptable Tolerable Inaceptable Inaceptable 2 5 10 20 50 Marginal Grave Crítico Desastroso Catastrófico
GRAVEDAD RELATIVA Continuando con el ejemplo ilustrado en la Tabla Nro. 6, la Matriz de Aceptabilidad para el entorno de procesos se muestra en la Tabla Nro. 9:
Tabla Nro. 9. Matriz de Aceptabilidad para el entorno de Procesos
PROBABILIDAD RELATIVA Constante Frecuente Moderado Ocasional Remoto Improbable
6 5 4 3 2 1
P3A6 P1A2 P2A4
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
P1A1
88
1 2 5 Insignificante Marginal Grave
10 20 50 Crítico Desastroso Catastrófico
GRAVEDAD RELATIVA La Matriz de Aceptabilidad para el entorno de tecnología informática se muestra en la Tabla Nro 10 tomando los valores de la Tabla Nro 7: Tabla Nro 10. Matriz de Aceptabilidad para el entorno de tecnología informática PROBABILIDAD RELATIVA Constante Frecuente Moderado Ocasional Remoto Improbable
6 5 4 3 2 1
T2A2 T1A1 1 2 5 Insignificante Marginal Grave
T3A4 T4A5
10 20 50 Crítico Desastroso Catastrófico
GRAVEDAD RELATIVA CONTROL 11.4.2.1. Perfil de los riesgos El conjunto de todos los eventos o escenarios ubicados en la matriz de aceptabilidad configura el perfil de los riesgos para el proyecto o sistema y que se realiza para el entorno de los procesos y la tecnología informática: Administrar recursos humanos, administrar finanzas, desarrollar y mantener sistemas/tecnología, administrar servicios legales, entre otros.
11.4.2.2. Patrones normales de distribución Los patrones normales de distribución son propios de la actividad particular del proyecto o sistema; por ejemplo, no es lo mismo la distribución típica en un proyecto de obra civil o de infraestructura que en un proyecto de tecnología informática.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
89
A continuación se presentan los patrones de distribución de referencia de los eventos o escenarios. Estos patrones son indicadores de la confiabilidad del estado global de riesgos de un proyecto o sistema. Un sistema con patrones anormales en la distribución de los riesgos presenta una gran incertidumbre sobre los resultados de su manejo. ZONA Aceptable Tolerable Inaceptable Inadmisible TOTAL
DISTRIBUCION DE EVENTOS O ESCENARIOS Mínimo el 60% Máximo el 30% Máximo el 10% Ningún Escenario 100%
11.4.2.3. Cálculo del índice de distribución de eventos o escenarios, IDE Conocida la calificación de aceptabilidad de cada evento o escenario, se suman cuántos de ellos están en cada nivel y se calcula lo que representan porcentualmente del total de escenarios.
Continuando con el ejemplo, el total de escenarios evaluados es de 4 para el entorno de procesos que se muestra en la Tabla Nro 9, tomando los valores de la Tabla Nro 6, de ellos 2 están en el nivel inaceptable y 2 en el nivel de inadmisible; Entonces su distribución sería como se muestra en la siguiente tabla:
Procesos NIVEL Aceptable Tolerable Inaceptable Inadmisible TOTAL
ESCENARIOS 0 0 2 2 4
DISTR. REAL 0% 0% 50% 50% 100%
DISTR. NORMAL Mín. 60% Máx. 30% Máx. 10% 0% 100%
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
90
Para el entorno de tecnología informática, el total de escenarios evaluados es de 4 como se muestra en la Tabla Nro 10 y tomando los valores de la Tabla Nro 7, de ellos 1 está en el nivel aceptable, 1 en el nivel de inaceptable y 2 en el nivel de inadmisible; Entonces su distribución sería como se muestra en la siguiente tabla: Tecnología Informática NIVEL Aceptable Tolerable Inaceptable Inadmisible TOTAL
ESCENARIOS 1 0 1 2 4
DISTR. REAL 25% 0% 25% 50% 100%
DISTR. NORMAL Mín. 60% Máx. 30% Máx. 10% 0% 100%
Nota: La Metodología se aplica bajo los mismos criterios definidos, pero en forma separada para los procesos y para la tecnología informática, como lo ilustra el ejemplo trabajado en este documento
11.4.3. CONTROL Esta fase consiste en identificar y analizar las soluciones disponibles para tratar los riesgos estudiados en las etapas anteriores, con el fin de reducir la frecuencia y severidad de las pérdidas, en caso de que los riesgos identificados se materialicen.
Control es toda acción orientada a minimizar la frecuencia de ocurrencia de las causas del riesgo o valor de las pérdidas ocasionadas por ellas. Los controles sirven para asegurar la consecución de los objetivos de la organización o asegurar el éxito de un sistema y para reducir la exposición de los riesgos, a niveles razonables. Los objetivos básicos de los controles son: Prevenir las causas del riesgo, detectar la ocurrencia de las causas del riesgo,
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
91
retroalimentando el sistema de control interno con medios correctivos para establecer las respectivas medidas de protección y permitiendo así la continuidad de la organización o el proyecto que esté en ejecución.
En gráfico siguiente muestra cuales son las actividades que se deben seguir para tener un buen control de riesgos en el proyecto que se está desarrollado. C O N T R O L D E R I E S G O S
P r e v e n c i ó n
P r o t e c c i ó n
F í s i c o / L ó g i c o
C O N T R O L D E R I E S G O S
F i n a n c i e r o R e t e n e r
T r a n s f e r i r
Control Físico/Lógico: En esta actividad se definen dos alternativas fundamentales para obtener un buen control del riesgo: Prevención: Estudio exhaustivo de las alternativas lógicas conducentes a reducir en la medida de lo posible, los causas que originan la materialización de un riesgo.
Son aquellas medidas tendientes a minimizar las causas que puedan provocar una pérdida teniendo en cuenta los procesos, la gente y la tecnología.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
92
Protección: Conjunto de actividades encaminadas a reducir la severidad del impacto causado por la materialización de un riesgo. Actúan sobre las consecuencias.
Son aquellas medidas tendientes a reducir la severidad de la pérdida, es decir en caso de que ésta suceda, reduzca las consecuencias al mínimo, tendiendo en cuenta los procesos, la gente y la tecnología. Control Financiero: En esta actividad se definen dos alternativas fundamentales la de retener y la de transferir el riesgo: Retener: Consiste en proveer los medios hoy, para el estado de necesidad, que la materialización de un riesgo pueda causar en el futuro. De acuerdo con la capacidad financiera de la organización, se pueden asumir los riesgos que se determinen después de analizar la matriz de riesgos. Se asumen generalmente los riesgos de baja probabilidad de ocurrencia y baja severidad (riesgos no catastróficos). Uno de los mecanismos que se pueden definir en la organización o en el proyecto para tratar los riesgos que se consideren se pueden asumir es el fondo de auto seguro que consiste en reservar el dinero para anticiparse a las consecuencias de una pérdida que se podría generar al materializarse el riesgo asumido y previamente calculado su posible costo. Transferir: Es el traslado del riesgo a una compañía aseguradora mediante el pago de una prima. (Contrato de seguro). Consiste también en la transferencia contractual de los riesgos a los contratistas y subcontratistas de la organización o de los que interviene en el desarrollo del proyecto.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
93
Análisis de resultados: Cualquier proceso requiere de un “feedback” o retroalimentación, para mantenerse en el tiempo y hacerse flexible ante los múltiples y vertiginosos cambios que se viven en las organizaciones y con mayor razón en los proyectos y especialmente en los de tecnología de información. Cuando ocurren cambios en el proyecto, es ciclo básico de identificación, evaluación, análisis y valoración de riesgos se repite. Es importante comprender que incluso el análisis más profundo y completo no puede identificar todos los riesgos y probabilidades correctamente; se requiere un control y una iteración.
“ Los riesgos son dinámicos y deben ser monitoreados permanentemente”
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
94
12. RECOMENDACIONES ·
La metodología aquí definida y documentada se convierte en una herramienta clave para la organización Informática de Empresas Públicas de Medellín E.S.P. porque a través de su utilización y aplicación le facilita identificar, evaluar, controlar y valorar los riesgos de los proyectos de tecnología de información que emprenda la corporación, mejorando la gestión con el fin de disminuir el impacto de la tecnología en los costos, recursos y el tiempo al entrar en producción.
·
La aplicación de esta metodología, deberá realizarse en todas las etapas de los proyectos de tecnología de información haciéndola extensiva a contratistas, subcontratistas y proveedores que la empresa adelante en este campo específico.
·
Es importante oficializar esta metodología y definir los mecanismos que faciliten su utilización, para que la organización Informática de Empresas Públicas de Medellín E.S.P. la aplique en todos los proyectos de tecnología de información que emprenda con el fin de poder diseñar e implementar otras estrategias que permitan gerenciar y controlar los nuevos tipos de riesgos que están relacionados con estos proyectos.
·
El foco del proyecto de tecnología de información debe entonces estar no sólo encaminado a procurar el hardware y el software necesario para resolver las necesidades del proceso de negocio sino que también debe buscar los medios materiales, económicos y humanos para que en el caso de la materialización de un riesgo las pérdidas sean mínimas o incluso se pueda evitar la inviabilidad del proyecto como tal. En este sentido la
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
95
metodología cubre una gama de aspectos éticos, socioculturales, económicos, administrativos y tecnológicos que le permitirán al director o gerente de tecnología informática tener un dominio integral sobre cada aspecto de la ejecución del proyecto garantizando su continuidad y sin por ello descuidar otros aspectos de su operación o administración.
·
Es importante que la alta gerencia tenga una formación sólida en todo este tipo de conceptos, para que no caigan en el error de delegar este tipo de decisiones o proyectos en los técnicos puristas, provocando con ello una desarticulación entre la estrategia del negocio y la tecnología de información.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
96
13. CONCLUSIONES ·
Estamos, sin duda, en la era de la información: Adquirir equipos, obtener servicios y acortar las distancias para estar informados, es una posibilidad tecnológica vuelta obsesión. Esto hace que la información adquiera gran importancia y un valor incalculable, y que por lo tanto haya que tomar todas las medidas necesarias para protegerla. El contar con una metodología que nos ayude a identificar, evaluar, controlar y valorar los riesgos en los proyectos de tecnología de información en la organización es una de las herramientas claves para ayudar a proteger la información que se genera y maneja en este tipo de proyectos, además que facilita la terminación de los mismos según lo planeado.
·
Para definir la metodología de análisis y valoración de riesgos en proyectos de tecnología de información se tuvo en cuenta las tres dimensiones fundamentales que componen una organización informática a nivel mundial: Los procesos; la gente y la tecnología, sin olvidar que la parte más importante es la gente, la que hace que los procesos y la tecnología funcionen.
·
El esfuerzo metodológico desarrollado en este documento, en donde se integraron los conceptos de la administración de riesgos y la gerencia de proyectos, es aplicable a cualquier empresa puesto que la metodología descrita, en sí no tiene restricciones específicas.
·
Lo trascendental en la implementación de la metodología es como cada empresa percibe la ocurrencia y la consecuencia de los riesgos en la ejecución de los proyectos de tecnología que la empresa A, B o C adelanten en este sentido.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
97
·
La gestión del riesgo en los proyectos de tecnología de información ha de ser una preocupación constante en las entidades y a nivel de toda la organización, especialmente de la alta dirección, que no es exclusivamente un problema técnico y de técnicos; pero que será aplicado en forma diferente según la empresa y el momento.
·
La competencia basada en tecnología de información se está volviendo cada día más fuerte y agresiva, y el contar con la metodología de análisis y valoración de riesgos como una herramienta clave de gestión, ayuda a que la organización enfrente este nuevo reto que se plantea en el siglo XXI, el siglo de era de la información, el nuevo poder.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
98
14. BIBLIOGRAFÍA [Mejía, 2001] Rubi Consuelo Mejía Quijano, Diplomatura en Control y Auditoría, TextoGuía, Universidad EAFIT, Medellín, Agosto de 2001, 133 p.
[EE.PP.M. , 1999] Empresas Públicas de Medellín, Administración de Riesgos, Guía de Control Administrativo No. 12, Cartilla Guía, Medellín, Marzo de 1999, 24 p.
[EE.PP.M. , 1999] Empresas Públicas de Medellín, Metodología Análisis de Riesgos y Vulnerabilidad, Unidad de Riesgos y Seguros, Medellín, Marzo de 1999, 37 p.
[EE.PP.M.1, 1999] Empresas Públicas de Medellín, Plan General de Emergencias, Guía de Control Administrativo No. 13, Cartilla Guía, Medellín, Marzo de 1999, 20 p.
[EE.PP.M., 1999] Empresas Públicas de Medellín, Sistema de Control Interno, Equipo de Planeación y Desarrollo del Control, Dirección de Control Interno, Medellín, Julio de 1999, 57 p.
[SUMA , 2000] SUMA Corredores de Seguros S.A., Metodología de Análisis de Riesgos y Vulnerabilidad (AR&V) para el Metro de Medellín, Documento Guía, Medellín, Febrero de 2000, 13 p.
Mauricio Zuluaga Ruiz Director Departamento Administrativo de la Función Pública Bogotá, Administración del Riesgo, Cartilla Guía, Bogotá, Diciembre de 2001, 32 p.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
99
[Rojas, 1996]Francisco Abanal Rojas, Cómo se hace un Plan Estratégico, Modelo de Desarrollo en una Empresa, 1996, 512 p.
Monsalve Suescun Ismael, Eusse Restrepo Iván Darío. Análisis Cuantitativo del Riesgo. Medellín, 2001. 78p. Monografíia de Grado (Especialista en Finanzas, preparación y Evaluación de Proyectos). Universidad de Antioquia. Facultad de Ingeniería.
Gabriel Baca Urbina. Evaluación de Proyectos, Tercera Edición. 339p.
Business Continuity Planning, A Necessity in New ECommerce Era Disaster Recovery Jounal, Agosto 2000.
HewlettPackard Company, 2000.
Cost and Effect: Using Integrated Cost Systems to Drive Profitability and Performance.
Harvard Business School, 1997 Project Management for Mission Critical Systems.
A Handbook for Government Executives Information Technology Resources Board, Abril 2001.
Business Continuity: New risks, new imperatives and a new approach International Business Machines Coporations, 1999.
Computer Crime Costs on the Rise Computerworld, 20 Abril 1998.
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
100
MIT Business Continuity Plan Massachusetts Institute of Technology, 1995.
Computer Related Risks International Business Machines Corp, 1990.
Disaster Tolerant Solutions for MissionCritical Computing, White Paper Project Management for Mission Critical Systems A Handbook for Government Executives.
Development Information Systems, A New Paradigm in Software Development: Complexity Begets Complexity – A Vicious Cycle, White Paper
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
101
15. REFERENCIAS Stratus Technologies Corp. http://www.stratus.com
Sungard Corp. http://www.sungard.com
Gartner Group http://www.gartner.com
IDC Corp. http://www.idc.com
Aberdeen Group, Inc. http://www.aberdeen.com
Price WaterHouse Coopers Inc. http://www.pwcglobal.com/
KPMG Inc. http://www.kpmg.com
Project Management Institute http://www.pmi.org
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Related Documents
Monografia 1
December 2019 1
Monografia
April 2020 43
Monografia
November 2019 59
Monografia
November 2019 64
Monografia
May 2020 39