Monografia 1

  • December 2019
  • PDF

This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA


Overview

Download & View Monografia 1 as PDF for free.

More details

  • Words: 21,893
  • Pages: 104
METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS EN  PROYECTOS DE TECNOLOGÍA DE INFORMACIÓN 

HÉCTOR VALENCIA VALENCIA 

UNIVERSIDAD EAFIT  DEPARTAMENTO DE CIENCIAS BÁSICAS  MAPFRE  ­  ESPAÑA  MEDELLÍN  Septiembre de 2005

METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS EN  PROYECTOS DE TECNOLOGÍA DE INFORMACIÓN 

HÉCTOR VALENCIA VALENCIA 

Monografía para optar al título de Especialista en Administración de  Riesgos y Seguros. 

Asesor  EULER DE JESÚS MUÑOZ  Administrador de Empresas 

Coordinador  RODRIGO RESTREPO VÉLEZ 

UNIVERSIDAD EAFIT  DEPARTAMENTO DE CIENCIAS BÁSICAS  MAPFRE  ­  ESPAÑA  MEDELLÍN  Septiembre de 2005

" No existe mayor signo de demencia que hacer lo mismo una y otra vez y  esperar resultados diferentes”  Albert Einstein

TABLA DE CONTENIDO  GLOSARIO ......................................................................................................... 7  INTRODUCCIÓN .............................................................................................. 12  1.  OBJETIVOS .............................................................................................. 15  1.1.  1.2. 

OBJETIVO GENERAL ............................................................................... 15  OBJETIVOS ESPECÍFICOS ....................................................................... 15 

2.  BENEFICIOS ............................................................................................. 16  3.  ALCANCE ................................................................................................. 17  4.  APLICACIÓN............................................................................................. 18  5.  FORMULACIÓN DEL PROBLEMA .......................................................... 19  6.  JUSTIFICACIÓN ....................................................................................... 21  7.  MARCO CONCEPTUAL............................................................................ 23  7.1.  7.2. 

LAS BASES DE LA GERENCIA DEL RIESGO CORPORATIVO ......................... 24  EL FUTURO ........................................................................................... 26 

8.  ANTECEDENTES...................................................................................... 32  9.  QUÉ SON LAS EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P............... 35  9.1.  DE AYER A HOY ..................................................................................... 37  9.2.  HACIA EL FUTURO.................................................................................. 38  9.3.  NUEVO ESQUEMA EMPRESARIAL ............................................................. 41  9.4.  ESTRUCTURA ORGANIZACIONAL DE EE.PP.M. EN EL 2005 ....................... 41  9.5.  VISIÓN.................................................................................................. 42  9.6.  MISIÓN ................................................................................................. 43  9.7.  VALORES ORGANIZACIONALES ............................................................... 43  9.8.  ADMINISTRACIÓN ................................................................................... 44  9.9.  PRESUPUESTO ...................................................................................... 44  9.10.  FUNCIÓN SOCIAL ................................................................................... 45  9.11.  GESTIÓN AMBIENTAL ............................................................................. 45  9.12.  NUESTROS COMPROMISOS .................................................................... 46  Manejo integral del ambiente ..................................................................... 46  Mejoramiento continuo de la gestión ambiental ......................................... 47  Partes interesadas ..................................................................................... 48  9.13.  GESTIÓN DE RIESGOS ........................................................................... 48  9.14.  CULTURA EMPRESARIAL ........................................................................ 50  9.15.  GRUPO EMPRESARIAL EE.PP.M.. .......................................................... 51

10. 

QUÉ ES LA DIRECCIÓN INFORMÁTICA CORPORATIVA.................. 52 

10.1.  ESTRUCTURA ........................................................................................ 52  10.2.  UNIDAD PLANEACIÓN INFORMÁTICA ........................................................ 53  10.3.  UNIDAD GESTIÓN INFORMÁTICA .............................................................. 53  10.4.  UNIDAD INGENIERÍA Y TECNOLOGÍA INFORMÁTICA .................................... 53  10.5.  UNIDAD SISTEMAS DE INFORMACIÓN ....................................................... 54  10.6.  UNIDAD OPERACIONES INFORMÁTICA ...................................................... 54  10.7.  PENSAMIENTO ESTRATÉGICO ................................................................. 54  Misión  54  Visión  55  Estrategia................................................................................................... 55  11.  METODOLOGIA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS  EN PROYECTOS DE TECNOLOGÍA DE INFORMACIÓN .............................. 56  11.1.  FASE 0: SENSIBILIZACIÓN ..................................................................... 57  11.2.  FASE 1: PLANEACIÓN DEL PROYECTO.................................................... 61  Confirmación del Alcance .......................................................................... 61  Conformación del Equipo de Trabajo......................................................... 62  11.3.  FASE 2: INICIACIÓN DEL PROYECTO ....................................................... 64  Reunión de Lanzamiento del Proyecto ...................................................... 65  Conocimiento del Negocio ......................................................................... 65  Solicitud de Requerimientos de Información.............................................. 66  Plan de Entrevistas .................................................................................... 66  11.4.  FASE 3: GESTIÓN DEL RIESGO .............................................................. 66  Identificación .............................................................................................. 69  Análisis y valoración .................................................................................. 77  11.4.2.1. Perfil de los riesgos .............................................................. 88  11.4.2.2. Patrones normales de distribución...................................... 88  11.4.3.  Control ......................................................................................... 90  12. 

RECOMENDACIONES .......................................................................... 94 

13. 

CONCLUSIONES .................................................................................. 96 

14. 

BIBLIOGRAFÍA ..................................................................................... 98 

15. 

REFERENCIAS.................................................................................... 101



GLOSARIO  Para  efectos  de  lograr  una  adecuada  interpretación  de  los  conceptos  que  se  manejan  en  los  proyectos  de  tecnología  de  información,  a  continuación  se  definen algunos  de los  principales  términos específicos de  uso  frecuente  en la  metodología para desarrollar este tipo de proyectos.  Información:  Es  el  conjunto  de  datos  que  procesados  e  interpretados  arrojan  un resultado y con base en él se toman decisiones.  Tecnología  de  Información:  Se  define  como  el  conjunto  de  procesos  informáticos,  gente especializada  e infraestructura  tecnológica  necesaria  y  con  un  amplio  grado  de  integración  de  sus  componentes  que  maximizan  la  prestación de los servicios para satisfacer los requerimientos del negocio.  Proyecto:  Un  proyecto  puede  concebirse  como  un  conjunto  de  actividades  interdependientes, diseñadas para viabilizar y  materializar los objetivos de una  organización  en  forma  eficiente.  En  su  esencia  misma  puede  definirse  como:  Una  acción  no  repetitiva,  ni  rutinaria  orientada  hacia  el  logro  de  un  objetivo  específico  y  que  se  ejecuta  con  metas  preestablecidas  de  calidad,  costo  y  tiempo.  Proyecto  de  Tecnología  de  Información:  Lo  componen  un  conjunto  de  actividades interdependientes que se realizan en forma planeada, coordinada y  controlada, donde se integran las personas, los procesos y la tecnología con el  fin de dar una solución automatizada que a través de un sistema de información  resuelva una necesidad planteada por el usuario informático o la organización.  Usuario  Informático:  Persona  que  utiliza  la  infraestructura  informática  para  acceder a la información y con base en ella tomar decisiones.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 



Ambiente  Informático:  Es  la  integración  de  tres  componentes  básicos:  aplicaciones, tecnología y personas.  Infraestructura  Tecnológica:  Son  los  componentes  de  hardware  (servidores,  computadores  de  escritorio,  personales,  enrutadores,  cables  de  red,  entre  otros),  software  (básico,  específico,  corporativo  o  departamental),  bases  de  datos  y  aplicaciones    que  en  forma  conjunta  e  integrada  procesan  datos  y  producen  resultados  que  generan  información  y  con  base  en  ella  se  toman  decisiones.  Contingencia  Informática:  Es  un  suceso  fortuito  que  afecta  el  procesamiento  automatizado  de  la  información  y  suspende  las  actividades  normales  del  negocio.  Amenaza:  Persona,  objeto,  situación  o  evento  natural  del  entorno  (externo  o  interno) que es visto como fuente de peligro, catástrofe o interrupción y pueden  ser  de  origen  natural    tecnológico  y  social.  Ejemplos:  sismos,  inundación,  avalanchas,  incendio,  explosiones,  robo  de  datos,  sabotaje,  ausencia  del  plan  de  contingencias, insuficiente  gestión de  monitoreo,  aplicativos  mal  diseñados,  secuestro, fraude, etc. También se define como un riesgo no evaluado.  Vulnerabilidad: Grado de sensibilidad de un sistema ante un riesgo, medido en  cuanto  al  nivel  de  afectación  posible  poniendo  en  peligro  su  estabilidad.  Situación  creada  por la falta  de  uno  o  varios  controles,  por lo  que la amenaza  pudiera  ocurrir  y  afectar  el  entorno  informático.  Por  ejemplo:  deficiente  control  de  accesos,  administración  deficiente  de  la  infraestructura  informática,  poco  control  de  versiones  de  software,  ausencia  de  entrenamiento  compartido  (respaldo de personas), políticas inexactas e insuficientes, etc.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 



Riesgo:  Definimos  el  riesgo  como  la  probabilidad  de  que  la  amenaza  se  materialice,  debido  a  la  existencia  de  una  o  varias  vulnerabilidades  de  peso  significativo.  El  riesgo  es  difícil  de  medir,  sobretodo,  cuando no  se  cuenta  con  datos  estadísticos  que  lo  respalden  o  avalen,  por  la  tendencia  de  las  organizaciones  a  ocultar  incidentes,  la  localización  geográfica,  las  culturas,  leyes,  criticidad,  situación  país,  etc.  También  se  define  como  una  amenaza  evaluada  en  cuanto  a  su  probabilidad  de  ocurrencia  (Frecuencia)  y  a  la  gravedad de sus consecuencias (Severidad). 

Riesgo Informático: Es un suceso incierto que puede llegar a presentarse en  un  futuro  con  la  probabilidad  de  Generar  Consecuencias  NEGATIVAS  que  afecten el ambiente informático o la información. 

Frecuencia/Probabilidad: Es una medida sobre el porcentaje de ocurrencia de  un evento  expresado en número de ocurrencias o veces que se da un evento.  Ver  también  posibilidad  y  probabilidad.  También  se  define  como  el  número  de  veces que una amenaza deja de serlo para convertirse en realidad, a lo largo de  un determinado periodo de tiempo.  Severidad/Impacto:  Es  la  evaluación  del  efecto  y  consecuencia  del  riesgo.  Generalmente, la exposición al riesgo se mide en aspectos económicos, imagen  de  las  personas  o  empresas,  disminución  de  capacidad  de  respuesta  y  competitividad,  interrupción  de  operaciones,  etc.  Efecto  que  causa  en  la  organización la ocurrencia de un siniestro o contingencia y que normalmente se  ve reflejado en la suspensión de las actividades normales del negocio. También  se define como el económico de la materialización de una amenaza, se requiere  involucrar gastos directos, indirectos y pérdidas consecuenciales.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

10 

Siniestro: Todo evento accidental, súbito e imprevisto (repentino, no planeado),  que normalmente genera consecuencias negativas sobre un sistema.  Control:  Control  es  toda  acción  orientada  a  minimizar  la  frecuencia  de  ocurrencia  de  las  causas  del  riesgo  o  valor  de  las  pérdidas  ocasionadas  por  ellas.  Los  controles  sirven  para asegurar  la consecución de los  objetivos  de la  organización o asegurar el éxito de un sistema y para reducir la exposición de  los  riesgos,  a  niveles  razonables.  Los  objetivos  básicos  de  los  controles  son:  Prevenir las causas del riesgo, detectar la ocurrencia de las causas del riesgo,  retroalimentando el sistema de control interno con medios correctivos.  Administración  de  Riesgos:  Conjunto  de  estrategias  tendientes  a  minimizar  los  riesgos  asociados  al  funcionamiento  de un  sistema,  con  el  fin  de  disminuir  las pérdidas y garantizar su continuidad.  Prevenir  Riesgos:  Estrategia  en  la  administración  de  riesgos  consistente  en  actuar  sobre  las  acciones  y/o  las  condiciones  inseguras,  para  disminuir  la  frecuencia de los siniestros.  Transferir  Riesgos:  Estrategia  en la  administración  de riesgos  consistente  en  controlar  las  consecuencias  económicas  de  los  siniestros,  mediante  la  transferencia parcial o total de las mismas a un tercero.  Seguro:  Es  un  contrato en  virtud  del  cual,  un  ASEGURADOR  se  compromete  mediante el pago de una prima, a pagar a un ASEGURADO o BENEFICIARIO  una indemnización, en caso de ocurrir un siniestro.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

11 

Retener/Asumir Riesgos: Proceso mediante el cual el propietario de un activo  acepta  un  riesgo  de  ciertos  peligros  que  no  han  podido  ser  solucionados  (acabados, minimizados).  Recuperación:  Actividad  final  en  el  proceso  de  respuesta  a  un  siniestro,  consistente  en  restablecer  la  operatividad  de  un  sistema  interrumpido  por  la  presentación del mismo.  Aplicación:  Conjunto  de  programas  que  soportan  un  proceso  en  la  organización.  Aplicación  crítica:  Es  aquella  que  por  ser  esencial,  requiere  ser  procesada  para darle continuidad al negocio. 

Determinar  un  Riesgo:  Identificar  la  exposición  de  un  activo  de  información  que cause consecuencias negativas para su normal disponibilidad. 

Costo:  De  una  actividad,  estos  son  tanto  directos  como  indirectos,  involucran  un  impacto  positivo  o  negativo,  esto  se  refiere  a  dinero,  tiempo,  trabajo,  desorganización,  renombre,  políticas  y  pérdidas  intangibles  como  imagen,  confianza, credibilidad.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

12 

INTRODUCCIÓN 

El  hombre  y  todas  las  actividades  que  desarrolla  son  susceptibles  de  sufrir  eventos que los puedan afectar en forma negativa. 

Desde los comienzos de la computación, los recursos informáticos incluyendo la  información,  han  estado  expuestos  a  una  serie  de  peligros  o  riesgos  que  han  aumentado y evolucionado conforme se globalizan las comunicaciones. 

Proteger  los  activos  más  valiosos  de  la  organización  frente  a  posibles  amenazas  que  ofrece  permanentemente  el  medio,  es  un  gran  desafío.    Este  interés crece aún más cuando la información cobra importancia para sobrevivir  frente a la competencia y  permanecer en el mercado; factores como el uso de  Internet  y  demás  herramientas  que  faciliten  la  comunicación  traen  consigo  innumerables  ventajas,  pero  igualmente  enfrentan  a  la  organización  a  otros  problemas que anteriormente no existían.  La materialización de amenazas que  alteren o destruyan la información, crea la necesidad de diseñar e implementar  otras estrategias que permitan gerenciar y controlar los nuevos tipos de riesgos  que están relacionados con la tecnología de información. 

Con  el  devenir  del  tiempo  el  hombre  ha  pretendido  desarrollar  diferentes  metodologías que le permita, de alguna manera, enfrentar las amenazas: desde  medidas  instintivas  hasta  el  uso  racional  de los  conocimientos  y  tecnologías  a  su alcance en cada momento histórico de la vida.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

13 

La  Administración  de  Riesgos  nace  para  suplir  la  necesidad  del  hombre  de  caracterizar con precisión el riesgo. Esta novel disciplina tiene como principales  actividades  la  identificación,  análisis,  evaluación  y  control  físico,  lógico  y  financiero  óptimos  de  los  riesgos  a  que  están  expuestos  los  recursos  de  la  Entidad (o de los cuales es responsable, al menos en parte). 

Los  riesgos  para  un  sistema  (en  este  caso  EE.PP.M.)  se  clasifican  entre  aquellos  denominados  comúnmente  como  Riesgos  Convencionales  para  los  cuales  la  empresa  cuenta  con  recursos  permanentes  y  suficientes  para  su  manejo  adecuado,  y  los  denominados  Riesgos  Mayores  con  capacidad  suficiente para generar un desajuste significativo al régimen de funcionamiento  de la empresa, amenazando su estabilidad y muchas veces la integridad de sus  funcionarios  o  de  la  comunidad,  poniendo  en  peligro  su  estabilidad  y  subsistencia.  Las  consecuencias  de  un  Riesgo  Mayor  pueden  generar  graves  CRISIS  y  afectar  su  operatividad,  con  un  serio  impacto  sobre  las  personas,  las  instalaciones,  la  economía  del  negocio,  la  imagen  y  buen  nombre  de  la  empresa, la operación, la información o el medio ambiente. 

Se conoce como CRISIS toda situación caracterizada por cambios imprevistos  en  las  variables  críticas  que  regulan  el  funcionamiento  de  un  sistema  y  por  la  pérdida  de  control  sobre  las  mismas,  con  potencial  de  generar  un  impacto  negativo grave al sistema que la sufre. 

Dentro  de  un  adecuado  programa  de  ADMINISTRACION  DE  RIESGOS,  toda  empresa debe contar con herramientas tendientes a proporcionar la estructura  organizacional,  la  metodología  y  los  procedimientos  para  detectar,  evaluar  y  responder a los Riesgos Mayores, de tal forma que se impida que ellos puedan

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

14 

desembocar  en  consecuencias  desastrosas  o  catastróficas,  salvaguardando  la  existencia misma del negocio. 

El presente trabajo tiene como fin definir la metodología de análisis y valoración  de  riesgos  en  proyectos  de  tecnología  de  información  de  una  manera  estructurada  y  modular  (por  fases  o  etapas)  para  que  sirva  como  herramienta  de  apoyo  en  la  gestión  de  estos  proyectos  en  las  Empresas  Públicas  de  Medellín E.S.P. 

En  este  informe  se  describen  las  actividades  y  tareas  que  se  deben  llevar  a  cabo en cada fase de la metodología.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

15 

1.  OBJETIVOS  Con el presente trabajo lo que se pretende lograr son los siguientes: 

OBJETIVO GENERAL  Dotar  a  la  organización  Informática  de  Empresas  Públicas  de  Medellín  E.S.P.  de  una  herramienta  que  le  facilite  identificar,  evaluar,  controlar  y  valorar  los  riesgos  de  los  proyectos  de  tecnología  de  información  que  emprenda  la  corporación,  mejorando  la  gestión  con  el  fin  de  disminuir  el  impacto  de  la  tecnología en los costos, recursos y el tiempo al entrar en producción. 

OBJETIVOS ESPECÍFICOS  Dentro  de  los  objetivos  específicos  que  se  pretenden cubrir con este trabajo  están:

·

Definir la Metodología.

·

Identificar  los  riesgos  asociados  a  los  proyectos  de  tecnología  de  Información.

·

Definir  el  método  de  evaluación    y  valoración  de  riesgos  para  los  proyectos de tecnología de Información.

·

Presentar algunos  mecanismos de control de riesgos para los proyectos  de tecnología de Información.

·

Documentar la metodología.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

16 

2.  BENEFICIOS  Algunos  beneficios  a  obtener  en  la  identificación,  análisis  y  valoración  de  riesgos son:

·

La identificación de los riesgos internos y externos asociados al proyecto  de  tecnología  de  información  permitirá  definir  acciones  que  ayuden  a  minimizar el impacto y la probabilidad de que un evento se materialice.

·

Determinar la probabilidad de materialización de una amenaza a la luz de  la situación del país y en el contexto ESPG (Económico, Social, Político y  Geográfico en la organización) y que puedan afectar el proyecto.

·

Dimensionar el impacto de los riesgos sobre la organización en términos  de exposición a interrupciones y pérdida que puedan poner en riesgo la  viabilidad y la continuidad del proyecto o la organización.

·

Localización,  clasificación  y  priorización  de  los  riesgos  observados,  teniendo en cuenta la globalidad del mapa de riesgos y los objetivos del  proyecto de tecnología de Información.

·

Obtener  las  respectivas  matrices  de  riesgos  que  servirán  para  diagnosticar  la  situación  actual  y  definir  las  medidas  de  prevención  y  protección que permitan llevar a feliz término el proyecto.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

17 

3.  ALCANCE  Definir  y  documentar  la  metodología  de  análisis  y  valoración  de  riesgos  en  proyectos de tecnología de información de una manera estructurada y modular  (por  fases  o  etapas)  que  permita  identificar,  evaluar,  controlar  y  valorar  los  riesgos en el área informática y para las Empresas Públicas de Medellín E.S.P. 

El  trabajo  se  desarrollará  documentado  cada  una  de  las  fases  o  etapas  que  componen  la  metodología:  Fase  de  identificación,  evaluación,  control  y  valoración, incluyendo las actividades que se deben ejecutar en cada fase. 

Después de identificar y evaluar las amenazas asociadas a los sistemas y sus  componentes, se iniciarán  programas  de control de riesgos.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

18 

4.  APLICACIÓN  La  aplicación  de  la  metodología  para  el  análisis  y  valoración  de  riesgos  informáticos,  deberá  realizarse  en  todas  las  etapas  de  los  proyectos  de  tecnología de información haciéndola extensiva a contratistas, subcontratistas y  proveedores.  Existen en la Entidad dependencias 1  con funciones de alcance corporativo que  deben  realizar  la  gestión  de  riesgos  en  dos  niveles  claramente  diferenciables:  Como gestión interna independiente, y como apoyo corporativo hacia las demás  unidades o direcciones. En este último caso, serán las unidades que requieran  el  apoyo  de  las  partes  corporativas,  las  que  soliciten  en  forma  explícita  la  necesidad de asesoría específica y aplicación de esta metodología. 

La  metodología  podrá  ser  aplicada  en  cada  Unidad  de  Núcleo  Compartido  (UNC),  Unidad  Estratégica  de  Negocio  (UEN)  o  Unidad  de  Servicios  Compartidos (USC), es decir, dependiendo de los recursos que posean o estén  bajo su responsabilidad. 



Dirección  Informática,  Dirección  Administrativa,  Dirección  Gestión  Humana,  Planeación  y  Finanzas,  Secretaría  General, Control Interno

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

19 

5.  FORMULACIÓN DEL PROBLEMA  Independientemente de los esfuerzos que las empresas desarrollen para evitar  los siniestros, siempre habrá una posibilidad ­ esperamos que remota ­ de que  se presente un evento indeseado. 

En muchos casos los recursos disponibles en la empresa serán suficientes para  sortear  con  éxito  el  imprevisto.  Sin  embargo,  en  otros  casos,  tal  como  la  experiencia  lo  ha  demostrado,  un  evento  puede  superar  la  capacidad  de  respuesta disponible, y es entonces donde sobrevienen los desastres, algunos  con resultados catastróficos. 

En  el  transcurso  de  los  años  y  con  la  incursión  de  nuevas  y  mejores  tecnologías, la utilización de la información y del procesamiento electrónico de  datos ha cobrado un papel significativo dentro del desarrollo de las operaciones  normales de las organizaciones. Así mismo, se ha convertido en estrategia para  lograr una ventaja competitiva y en un apoyo definitivo para la gestión negocio. 

Los  sistemas  de  información  más  que  una  novedad  que  adquieren  las  organizaciones  para  estar  “in”,  son  elementos  fundamentales  que  han  contribuido  efectivamente  en  el  desarrollo  de  las  mismas,  que  a  su  vez  han  traído consigo una serie de riesgos, los cuales no existían hasta el momento o  eran  de  difícil  detección  porque  las  organizaciones  no  contaban  con  los  mecanismos o la metodología necesaria para lograrla. 

Sin embargo, los beneficios reportados por los sistemas de información no son  gratuitos, si bien entraron a manejar el recurso más valioso con que cuentan las  organizaciones  hoy  en  día,  la  información,  también  crearon  en  éstas  una

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

20 

altísima dependencia de los mismos, dejando áreas frágiles y vulnerables y sin  las cuales las organizaciones no podrían subsistir. 

Estamos,  sin  duda,  en  la  era  de  la  información:  Adquirir  equipos,  obtener  servicios  y  acortar  las  distancias  para  estar  informados  es  una  posibilidad  tecnológica  vuelta  obsesión.  Esto  hace  que  la  información  adquiera  gran  importancia y un valor incalculable, y que por lo tanto haya que tomar todas las  medidas necesarias para protegerla.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

21 

6.  JUSTIFICACIÓN  Una de las principales características de Empresas Públicas de Medellín E.S.P.  es el mantenerse a la vanguardia en la implementación de nuevas tecnologías  de  información  que  le  permitan  brindar  un  mejor  servicio  a  sus  usuarios,  disminuir sus costos operacionales, permitiendo así prestar servicios públicos a  tarifas  más  económicas,  basándose  en  el  principio  de  que  toda  inversión  tecnológica o  de negocios  debe  ser  sustentada  desde la  perspectiva  técnica  y  de negocios. 

Esto  se logra  con  el adecuado aseguramiento  de los  recursos  con que  cuenta  una organización, que es uno de los objetivos de la gestión  integral de riesgos,  entendida como el conjunto de acciones para enfrentar los riesgos que generan  los  proyectos  de  tecnología  de  información  a  los  cuales  están  expuestos,  originados en amenazas provenientes tanto del interior como del exterior de la  empresa; definir y diseñar controles preventivos; tomar  medidas de protección,  y  desarrollar  programas  de  recuperación  o  planes  de  contingencia  ante  la  posible  ocurrencia  de  siniestros  que  puedan  afectar  la  planeación,  ejecución,  implantación  y  entrada  en  producción  del  proyecto  en  una  organización  como  las Empresas Públicas de Medellín E.S.P. 

La  necesidad  de  tener  continuidad  en los  procesos  se  fundamenta  en  que  las  principales  estrategias  que  hacen  que  la  empresa  sea  competitiva  y  tenga  diferenciación  en  el  medio  en  que  se  mueve,  dependan  de  la  tecnología  de  información.  Esta  realidad  la  obliga  a  mantener  una  alta  disponibilidad  en  su  infraestructura  tecnológica  y  en  consecuencia  la  Dirección  de  Informática  Corporativa  ha  venido  respondiendo  al  reto,  comprometiéndose  a  incrementar  año  tras  año  el  índice  de  disponibilidad  de  la  infraestructura  de  TI,  pero

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

22 

reconociendo  la  falta  de  metodologías,  herramientas  y  estándares  de  las  mejores  prácticas  que  le  permitan  identificar,  evaluar,  valorar  y  controlar  los  riesgos  de  la  tecnología  de  información  que  le  faciliten  de  la  manera  más  eficiente cumplir con los objetivos de la empresa y a costos razonables. 

El contar con una metodología de análisis y valoración de riesgos en proyectos  de tecnología de información en la organización, ayuda en forma estructurada a  identificar,  evaluar,  controlar  y  valorar  los  riesgos  para  poder  administrarlos  y  de  esta  manera  poder  entrar  en  producción  con  los  recursos,  los  costos  y  el  tiempo planeado. 

El presente trabajo tiene como fin definir la metodología de análisis y valoración  de  riesgos  en  Proyectos  de  Tecnología  de  información  de  una  manera  estructurada  y  modular  (por  fases  o  etapas)  para  las  Empresas  Públicas  de  Medellín E.S.P. 

Por  todo  lo  anterior  y  siendo  la  Dirección  de  Informática  Corporativa  el  Área  responsable  de  adquirir  los  sistemas  de  información  que  apoyen  los  procesos  del  negocio,  ha  considerado  muy  importante  y  necesario  desarrollar  y  documentar  esta  metodología  con  el  propósito  de  aplicarla  en  todos  los  proyectos de tecnología de información que emprenda la corporación y bajo la  responsabilidad de esta dirección.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

23 

7.  MARCO CONCEPTUAL  El Hombre y sus actividades han estado, desde sus orígenes, acompañados de  riesgos  y  amenazas.  La  incertidumbre  y  la  exposición  al  peligro,  han  permanecido continuamente ligadas al desarrollo humano y por ende, el instinto  de  protección  ante  la  eventualidad  de  sufrir  un  daño  o  una  pérdida,  ha  sido  también una constante en la vida del hombre. 

En  un  comienzo  los  peligros  que  lo  rodeaban  eran  sencillos,  al  igual  que  las  soluciones  para  enfrentarlos.  Sin  embargo,  el  progreso  y  la  diversificación  de  actividades  humanas,  trajeron  consigo  nuevos  y  más  acentuados  problemas  y  peligros, desconocidos hasta ese momento. Esto, unido a la asignación de valor  a  los  bienes  poseídos,  acarreó  que  las  amenazas  se  hayan  incrementado  significativamente.  De  aquí  la  importancia  de  disminuir  racionalmente  las  fuentes de peligro o riesgo a las que está expuesta el hombre. 

El  desarrollo  empresarial  no  ha  sido  ajeno  a  estos  procesos.  Aún  más,  es  imposible  concebir  al  empresario  sin  la  convivencia  con  el  riesgo,  pues  de  allí  es  de  donde  realmente  proviene  su  beneficio.  El  entorno  en  que  operan  las  empresas  se  ha  vuelto  más  complejo  y  cada  vez  más  dependen  de  la  tecnología  y  los  sistemas  de  información.  Esto  ha  traído  consigo  la  necesidad  de dar una mayor atención al tratamiento de los riesgos en las organizaciones  lo que ha  propiciado la  aparición  del gerente  de  riesgos, que  se  ha  convertido  en pieza fundamental dentro del contexto de la alta gerencia 

Todas  las  organizaciones  entrañan  riesgos  de  pérdidas  a  causa  de  la  materialización de amenazas que tienen su origen en la relación de éstas con el  entorno natural, social, económico, político, tecnológico entre otros.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

24 

La  materialización  de  cualquier  tipo  de  amenaza  puede  tener  serias  y  graves  consecuencias  para las  que  debemos  estar  preparados.  Existe  la  probabilidad  de que se incrementen los riesgos por factores como el desarrollo industrial, la  nueva tecnología, el aumento de riesgos de origen social, el surgimiento de una  legislación  más  estricta,  la  limitada  capacidad  de  respuesta  de  algunos  organismos de emergencia, entre otros. 

En  cualquier  empresa,  los  gerentes  deben  lidiar  con  el  riesgo.  Sin  embargo,  dado  que  cada  departamento  dentro  de  una  organización  afronta  el  riesgo  de  diferente manera, la gerencia de riesgos en muchos casos, se ha convertido en  una tarea ad hoc. 

La gerencia de riesgos es, sin duda, un componente que va en crecimiento en  la  vida  cotidiana,  conforme  el  mundo  de  los  negocios  se  expande  y  se  va  haciendo más complejo. 

Una adecuada gerencia del riesgo no sólo puede significar la diferencia entre la  vida y la muerte de una empresa, sino que puede ser una forma innovadora de  aumentar  el  valor  de  la  empresa.  Esta  disciplina,  antes  circunscrita  a  la  administración  de  pólizas  de  seguro,  es  ahora  de  interés  para  Gerentes  Generales,  Directores  de  Control  Interno,  Informática,  Gestión  Humana,  Tesoreros, y en general, para toda la empresa. 

L AS B ASES DE LA GERENCIA DEL RIESGO CORPORATIVO  El  riesgo  y  la  incertidumbre  son  fundamentales  en  la  vida  profesional  y  personal.  El  riesgo  es  la  fuente  de  oportunidades  que  pueden  convertirse  en  ganancia, pero a su vez, asoma la posibilidad de la ruina.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

25 

Las empresas gastan anualmente millonarias sumas de dinero para afrontar su  vulnerabilidad ante los riesgos. Esta enorme cifra lleva a plantearnos:

·

¿Es  el  riesgo  tan  importante  en  sí,  como  para  justificar  la  cantidad  de  recursos invertidos por las empresas con el fin de afrontarlos?

·

¿Están optimizando su dinero con estas acciones?. 

Debido a que el riesgo y la oportunidad van mano a mano, las empresas suelen  afrontar  una  inmensa  variedad  de  riesgos,  saberlos  manejar  es  un  asunto  delicado. 

Manejar  el  riesgo  puede  reducir  los  riesgos  de  tener  problemas  financieros  y  proteger a la empresa ante eventos no anticipados que interrumpan sus planes.  Mientras  que  muchos  ejecutivos  luchan  contra  ciertos  tipos  de  riesgos  específicos, la  gerencia de  riesgos  debería  estar integrada  y  consolidada para  lograr  una  máxima  reducción  de  riesgos  a  un  mínimo  costo.  El  riesgo  no  se  puede  evitar,  pero  es  manejable.  Las  empresas  buscan  manejar  el  riesgo  de  diversas formas: 

a)  Evasión  de  riesgos:  cuando  se  decide  no  emprender  ninguna  acción  riesgosa.  b)  Reducción de riesgos: prevenir y controlar los riesgos usando equipos  de seguridad, técnicas de prevención y diversificación.  c)  Transferencia de riesgos: se refiere a asegurar y equilibrar los riesgos,  compartiéndolos con terceros, por ejemplo las compañías de seguros.  d)  Retención  de  riesgos:  absorber  ciertos  riesgos  de  un  modo  costo­  efectivo.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

26 

Es  crítico  para  una  empresa  coordinar  sus  esfuerzos  en  todas las  áreas,  para  poder  tomar  decisiones  sobre  manejo  de  riesgos  de  forma  coherente.  Un  ejemplo  de  incoherencia  es  una  compañía  que  gasta  sumas  millonarias  asegurando  sus  plantas  de  producción  y  equipos  contra  pérdidas  por  accidentes; sin embargo, un accidente de este tipo sería menos devastador que  un cambio en las tasas de interés, una pérdida de información estratégica o una  pérdida de imagen  contra el que la empresa no tendría protección alguna. 

Se  debe  desarrollar  una  cooperación  cercana  y  constante  entre  aquellos  responsables  por  dirigir  las  actividades  de  la  empresa,  los  responsables  de  conseguir  el  capital  para  financiar  dichas  actividades,  y  los  responsables  por  cubrir los riesgos que esas actividades generan. 

La Gerencia de Riesgo Integrado (GRI) provee la estructura para articular estas  relaciones críticas. 

EL FUTURO  Muchas tendencias en el mundo actúan como catalizadores para el crecimiento  de la gerencia de riesgo integrado. 

Los  accionistas  están  preocupados  por  el  uso  eficiente  de  sus  fondos;  los  funcionarios  públicos  buscan  el  interés  de  los  consumidores;  los  accionistas  y  aseguradores,  así  como  las  agencias  de  calificación  de  riesgo  y  otros  intermediarios  financieros,  siguen  con  cautela  las  habilidades  de  manejar  riesgos de los gerentes.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

27 

Los avances en los modelos analíticos que miden el riesgo y la estandarización  de las prácticas de gerencia de riesgos también están acelerando el desarrollo  del GRI. 

Sin embargo, aún existen barreras que deben ser superadas, especialmente la  inercia burocrática que hace difícil cruzar las líneas funcionales tradicionales. El  alto costo de las transacciones y la integración de los sistemas de información,  la complejidad de los productos y la incertidumbre sobre los tratos regulatorios y  contables, son todos factores negativos. 

Los  Estados  Unidos  han  asumido  el  rol  de  liderazgo  en  las  soluciones  de  Transferencia  de  Riesgo  Alternativo  (TRA).  La  perspectiva  es  alentadora,  debido a la creciente importancia de los mercados de capital y la integración de  tareas  de  gerencia  de  riesgos  dentro  de  las  corporaciones.  En  Europa,  el  desarrollo  en  el  Reino  Unido  ha  avanzado  relativamente,  mientras  que  el  mercado  permanece  en  su  infancia  en  el  continente.  Sin  embargo,  los  ambientes  reguladores,  de  impuestos  y  contabilidad  europeos  son  favorables  para  la  innovación,  y  la  región  debería  ver  un  fuerte  crecimiento  para  las  soluciones TRA a término medio. Los desarrollos de las soluciones TRA apenas  comienzan a hacerse en Asia y Latinoamérica. 

Quedarse  de  lado  ante  la  evolución  de  la  gerencia  de  riesgos  implica  perder  oportunidades. La historia ha demostrado que los innovadores pueden obtener  ganancias extraordinarias. 

El  Gerente  Corporativo  de  Riesgos  El  CEO  de  la  empresa  (Gerente  General),  como  responsable  máximo  del  éxito  de  la  empresa,  puede  ser  considerado  como el ejecutivo a cargo del riesgo. Un paso importante a dar en el crecimiento  de  la  gerencia  de  riesgo  integrado  es  la  creación  del  papel  de  un  gerente  de

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

28 

riesgos. Esto ya está ocurriendo, especialmente en la industria financiera. Este  gerente  estaría  encargado  de  manejar  la  identificación  y  la  medición  de  todos  los riesgos afrontados por su empresa, así como del uso eficiente del capital de  riesgo. 

Este  gerente  de  riesgo  debería  provenir  de  la  alta  gerencia,  y  debe  reportarle  directamente al CEO de la empresa; no debería tener ninguna responsabilidad  por  las  ganancias  o  negocio  directo,  debe  actuar  más  bien  como  un  auditor  o  contador en la empresa. 

El gerente de riesgos se convertirá en el campeón del GRI como una base para  acceder  y  medir  de  forma  racional  la  relación  entre  los  riesgos  que  una  compañía afronta y los recursos de capital que tiene a disposición. 

Para el caso colombiano, La Gerencia de Riesgos ha cobrado particular interés  a  comienzos  de la  década  de los  90,  a raíz de  las  medidas  encaminadas a la  liberación  del  mercado  dentro  de  la  política  de  apertura  económica.  El  nuevo  ambiente  de  negocios  ,  alejado  ya  del  proteccionismo,  ha  exigido  el  uso  de  técnicas  y  metodologías  de  Gerencia  de  Riesgo,  en  detrimento  del  enfoque  simplista  de  trasladar  los  riesgos  a  través  de  contratos  de  seguros,  comúnmente  llamado  pólizas,  manejados  por  especialistas  en  la  definición  de  cláusulas  y  tarifas  generales,  que  poca  o  ninguna  relación  guardaban  con  la  realidad. 

Frente a este nuevo panorama, los riesgos dejaron de ser un campo exclusivo  de  unos  pocos  conocedores  de  las  condiciones  específicas  de  pólizas  existentes  en  el  mercado,  para  involucrar  más  directamente  a  los  gerentes  de  las organizaciones en la gestión de éstos.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

29 

En  el  campo  de  los  riesgos  y  los  seguros,  como  sucede  en  la  informática,  el  conocimiento  profundo  de  los  conceptos  y  los  métodos  por  parte  de  los  gerentes redunda en grandes beneficios y por eso es cada vez más imperativo. 

La gerencia de riesgos como función de liderazgo ejecutivo en el manejo de los  riesgos  que  afectan  la  actividad  empresarial,  puede  observarse  desde  los  siguientes puntos de vista:  Amplio: Desde el punto de vista amplio, se concibe el gerente de riesgo como  un empresario responsable que posee y controla totalmente el negocio, es decir  administra totalmente los riesgos a que está expuesto.  Limitado:  En  el  enfoque  limitado,  las  funciones  del  Gerente  se  circunscriben  principalmente, a dirigir los riesgos asegurables, mediante la cobertura ofrecida  por los seguros.  Intermedio:  Las  funciones  del  gerente  de  riesgos  ubicado  en  una  posición  intermedia,  cuya  labor  va  más  allá  de  la  mera  adquisición  de  seguros  para  cubrir  los  riesgos  de  la  empresa,  pretende  administrar  los  riesgos  pero  no  en  forma total. 

Es tal la importancia que ha alcanzado la figura del gerente de riesgos,  que se  dice que este funcionario es tan indispensable para la empresa como lo son el  jefe  de  compras,  el  gerente  comercial,  el  gerente  de  ventas,  pues  tiene  la  responsabilidad  de  gestionar  eficazmente  los  riesgos  que  recaen  sobre  cada  uno  de  los  bienes  e  intereses  de  la  empresa.  De  este  forma,  supervisar  el  desempeño  total  de  una  compañía,  es  responsabilidad  y  labor  del  gerente  de  riesgos.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

30 

Entre  las  muchas  responsabilidades  del  gerente  de  riesgos  podemos  resaltar  las siguientes:

·

Determinación  y  evaluación de los riesgos  en  las  diferentes áreas  de la  organización  como:  Planeación,  Finanzas,  Comercial,  Procesos,  Administrativa,  Informática,  Gestión  Humana,  Medio  Ambiente,  Jurídica,  entre otras.

·

Selección de los mecanismos de cobertura para los riesgos propios de la  actividad empresarial.

·

Contabilidad del seguro.

·

Administración del autoseguro.

·

Diseño  y  administración  de  planes  de  emergencias,  contingencias  y  atención de desastres.

·

Administración  de  planes  de  seguro  de  grupo  y  de  beneficios  para  los  funcionarios.

·

Atención de reclamaciones.

·

Prevención de pérdidas. 

Dado  que  la  principal  función  del  gerente  de  riesgos  es  preventiva,  él  busca  eliminar o reducir al mínimo los riesgos de la empresa y cuando éstos ocurran,  busca  disminuir  su  impacto  en  la  producción  empresarial,  y  aunque  es  difícil  eliminar  totalmente  la  posibilidad  de  riesgos  en  la  empresa,  se  han  diseñado  programas  bastante  difundidos  a  nivel  mundial,  para  realizar  una  gerencia  del  riesgo eficaz, entre los que se destacan los siguientes:

·

Mantenimiento de los registros de pérdidas y accidentes con información  veraz y actualizada.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

31 

·

Generación  de  programas  de  inspección  y  análisis  de  la  seguridad  en  todas las áreas de la organización.

·

Programas de prevención de accidentes

·

Generación  de  conciencia  de  seguridad  en  todas  las  instancias  de  la  empresa.

·

Minimización de las pérdidas. 

Al  inicio  de  todo  proyecto,  contar  con  un  análisis  y  valoración  de  riesgos  de  éste,  le  permite  al  gerente  tener  un  panorama  más  claro  y  la  posibilidad  de  ir  reduciendo  frecuencia  y  severidad  ante  la  posible  materialización  de  las  amenazas. 

Lo que se pretende  es proporcionar herramientas a los gerentes para realizar  su labor bajo las condiciones de riesgo, sin perder de vista la misión y visión de  su organización.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

32 

8.  ANTECEDENTES  EE.PP.M.  es  la  empresa  líder  en  el  Sector  de  la  prestación  de  Servicios  Públicos  en  el  país,  y  sus  operaciones  incluyen  actividades  de  generación  y  distribución  de  energía,  tratamiento  y  suministro  de  agua  potable,  servicios  de  alcantarillado,  telecomunicaciones  y  distribución  de  gas  natural  en  Antioquia  y  otras regiones en Colombia. 

Sus  negocios  se  relacionan  con  lo  que  se  han  denominado  Líneas  Vitales,  o  sea  aquellos  servicios  y  actividades  indispensables  para  el  funcionamiento  y  desarrollo y supervivencia de las comunidades. 

Debido a la índole de su operación, su actividad no se limita a aquellas que se  desarrollan  dentro  de  una instalación  particular,  sino  que físicamente  cubre un  extenso territorio, con lo que se incrementa considerablemente las amenazas. 

La  mayoría  de  sus  operaciones  presentan  una  diferencia  significativamente  crítica con la mayoría de empresas, debido a que la afectación de su operación  se refleja en forma inmediata en las actividades de la comunidad. Por el mismo  motivo el impacto producido por cualquier evento que afecte sus operaciones se  extiende  mucho  más  allá  del  relacionado  con  factores  económicos  y  técnicos,  pasando  al  ámbito  social  y  político,  con  las  graves  implicaciones  que  ello  representa. 

En el negocio de los servicios públicos una de las variables críticas para el éxito  del  mismo  y  su  permanencia,  es  la  confiabilidad  de  sus  operaciones,  de  tal  forma que garantice su continuidad y la calidad del servicio.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

33 

Por  las  características  de  su  operación  (Empresa  de  Servicios  Públicos),  es  altamente  vulnerable  a  las  amenazas  sociales,  ya  sean  de  origen  voluntario,  político  o  comercial  (huelgas,  atentados,  secuestros,  extorsiones,  restricciones  comerciales,  fraude,  cambios  de  legislación,  etc.),  además  de  presentar  amenazas  tecnológicas  típicas  para  este  tipo  de  operación  (incendios,  explosiones, rotura de presas, pérdida de información, contaminación, fallas en  procesos,  accidentes  de  transporte,  etc.),  así  como  las  amenazas  naturales  propias de las zonas en donde opera (sismos, inundaciones, sequías, etc.). 

EE.PP.M.  ha  desarrollando  en  las  diferentes  Unidades  Estratégicas  de  Negocios  –UEN­,  Unidades  de  Núcleo  Corporativo  –UNC­  y  Unidades  de  Servicios  Compartidos –USC­,  programas  y planes  específicos  para  el  manejo  de sus riesgos. Sin embargo, se hace necesario integrar todos estos esfuerzos  para  que  tengan  un  mismo  enfoque  y  estructura,  así  como  un  modelo  organizacional para su administración y operación, coherente con la Misión y la  Visión de la Empresa. 

Con este propósito, se expidió el DECRETO No 648 del 3 de abril de 1995, el  cual  fue  actualizado  y  reemplazado  con  el 1029  del 22  de  Enero  de  1999,  por  medio  del  cual  se  implanta  el  Sistema  Corporativo  de  Administración  de  Riesgos, sus políticas, directrices, normas y procedimientos, el cual establece el  proceso  para  la  gestión  de  los  riesgos  en  EE.PP.M.,  define  los  lineamientos  para hacerlo, y asigna funciones y responsabilidades al respecto. 

Con miras al logro del anterior propósito, y en cumplimiento de las funciones a  ella  asignadas,  la  Dirección  de  Informática  Corporativa  ha  considerado  muy  importante  y  necesario  desarrollar  y  documentar  una  metodología  con  el  propósito de aplicarla en todos los proyectos de tecnología de información que

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

34 

emprenda  la  corporación  y  bajo  la  responsabilidad  de  esta  dirección,  para  ser  aplicado a las necesidades de la empresa. 

Se  busca  que  en  cada  una  de las  Gerencias  y  Direcciones  de  EE.PP.M.  sean  capaz de aplicarla, sirviendo de nexo entre los aspectos estratégicos de la alta  Gerencia  y  los  aspectos  operativos  de  los  proyectos  de  tecnología  de  información que están en ejecución. Todo lo anterior adecuado al marco legal y  organizacional que rige el funcionamiento de la empresa.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

35 

9.  QUÉ SON LAS EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P.  Hasta  1997  Empresas  Públicas  de  Medellín  E.S.P.  fue  una  entidad  descentralizada  del  orden  municipal,  creada  en  1955  por  el  Consejo  Administrativo  de  Medellín.  El  6  de  agosto  de  ese  año  cuatro  entidades,  adscritas  en  ese  entonces  al  Honorable  Concejo  Municipal  ­las  de  Energía,  Acueducto, Alcantarillado y Teléfonos­ fueron fusionadas en un establecimiento  autónomo por determinación del Consejo Administrativo de Medellín, mediante  el Acuerdo Número 58. 

El 18 de noviembre de 1955 la Alcaldía de Medellín expidió los Estatutos de la  organización  (Decreto  375),  reglamentando  así  su  existencia,  la  cual  quedó  confirmada el 25 de noviembre del mismo año con la sanción del Gobernador.  Pero  fue  sólo  en  enero  de  1956  cuando  realmente  EE.PP.M.  inició  su  vida  administrativa.  En  1989,  el  Acuerdo  Número  002  incluyó  en  los  Estatutos  el  manejo  y  mejoramiento  del  medio  ambiente  como  parte  del  objeto  social  de  EE.PP.M.  Además  reformó  el  nombre  del  servicio  telefónico  por  el  de  telecomunicaciones. 

Desde  enero  de  1998,  y  en  virtud  de  lo  previsto  en  el  Acuerdo  69  de  1997  expedido  por  el  Concejo  de  Medellín  y  en  aplicación  de  las  previsiones  de  la  Ley  142  de  1994,  Empresas  Públicas  de  Medellín  E.S.P.  fue  transformada  en  una  Empresa  Industrial  y  Comercial  del  Estado.  La  entidad  tiene  por  objeto  la  prestación  de  los  servicios  públicos  domiciliarios  de  acueducto,  alcantarillado,  energía, distribución de gas por red y telecomunicaciones. 

Por  su  naturaleza  de  Empresa  Industrial  y  Comercial  del  Estado  se  encuentra  sometida  a  las  disposiciones  de  la  ley  comercial  para  el  desarrollo  de  sus

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

36 

actividades,  lo  cual  la  sitúa,  en  principio,  en  igualdad  de  condiciones  con  las  empresas  de  servicios  públicos  domiciliarios.  Por  el  objeto  al  cual  se  halla  dedicada, está sujeta a las disposiciones de la Ley 142 de 1994 ­ Régimen de  los  Servicios  Públicos  Domiciliarios­  y  debe  desenvolverse  en  el  ambiente  de  competencia entre los diferentes prestadores de los servicios, según lo previsto  en el mencionado régimen. 

Su sede es Medellín, capital del departamento de Antioquia, con una población  de  2.000.000  de  habitantes.  Con  sus  servicios  EEPPM  atiende  3.000.000  de  habitantes,  la  mayoría  localizados  en  el  Valle  de  Aburrá,  corredor  geográfico  donde además de Medellín se encuentran los municipios de Bello, Copacabana,  Girardota, Barbosa, Itagüí, Envigado, Sabaneta, La Estrella y Caldas. 

La  seriedad  de  su  gestión,  sus  niveles  de  calidad  y  cobertura  y  el  estricto  cumplimiento  de  sus  compromisos  financieros  le  han  valido  el  respaldo  de los  organismos crediticios nacionales e internacionales. 

En ese entonces Medellín tenía unos 500 mil habitantes. Los servicios estaban  en manos de empresas independientes, todas de carácter municipal. El servicio  de energía contaba con 75.517 suscriptores, la mayoría de ellos residenciales, y  una  capacidad  instalada  de  100  mil  kilovatios,  representados  en  las  centrales  de Piedras Blancas y Guadalupe I y II, ésta última motor del desarrollo industrial  de la capital Antioqueña. 

El  servicio  de  acueducto  llegaba  apenas  a  50506  usuarios  que  consumían  diariamente  115  mil  metros  cúbicos.  La  infraestructura,  todavía  insuficiente,  incluía  el  tanque  de  Santa  Elena  (el  primero  que  tuvo  la  ciudad),  la  planta  de  Villa Hermosa (la primera de purificación, aún en funcionamiento) y el embalse  de Piedras Blancas.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

37 

En  materia  de  telecomunicaciones  la  aparición  de  las  Empresas  Públicas  de  Medellín  E.S.P.  marcó  el  advenimiento  de  un  gran  avance  administrativo,  técnico y operativo. Al cierre de 1955 existían 25.759 suscriptores en telefonía  básica, 29.500 líneas y 54 teléfonos públicos. 

DE AYER A HOY  Cincuenta años después la población se ha quintuplicado. EE.PP.M. trabaja día  a día para elevar el nivel de vida no sólo de los habitantes de Medellín, sino de  todo el Valle de Aburrá, garantizándoles la prestación de los servicios públicos  básicos con los más altos niveles de calidad, oportunidad y eficiencia. 

En  el  marco  de  una  clara  y  total  función  social,  sus  estatutos  le  asignan,  en  forma expresa, el objetivo de constituir un factor de bienestar y progreso para la  comunidad. 

En  este  tiempo  EE.PP.M.  ha  construido  la  columna  vertebral  del  sistema  hidroeléctrico Antioqueño. Los desarrollos de Guadalupe, la primera y segunda  etapa de la central Guatapé, las centrales de Playas, Niquía y La Tasajera, y el  avance del proyecto Porce II, encarnan el más grande patrimonio energético de  la región. En 1998 entró en operación La Sierra, su primer desarrollo térmico a  base de gas. 

EE.PP.M.  ha  asumido  también  la  prestación  y  distribución  gradual  del  servicio  de  gas  natural  en  10  municipios  del  Valle  de  Aburrá,  labor  que  inició  desde  agosto de 1998.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

38 

Si de acueducto, se habla, EE.PP.M. entrega el agua de mejor calidad del país,  procesada  en  11  plantas  de  potabilización.  La  Empresa  de  Aguas  cuenta  con  fuentes de agua y sistemas de captación suficientes para atender la población  hasta condiciones de máxima saturación. Dispone del más moderno laboratorio  de Colombia para el control del agua, mediante análisis bacteriológicos, físico­  químicos, instrumentales y de aguas residuales. 

En  materia  de  alcantarillado  y  resueltas  las  necesidades  de  agua  potable  del  Medellín  Metropolitano,  EE.PP.M.  orienta  ahora  sus  esfuerzos  hacia  el  saneamiento del río Medellín y para lograr este propósito ha construido y puesto  en operación la primera gran planta de aguas residuales, la de San Fernando. 

En el área de telecomunicaciones el impulso tecnológico ha sido una constante.  Ha  brindado  aportes  importantes  en  estas  cuatro  décadas  como  las  centrales  digitales,  la  transmisión  por  fibra  óptica,  los  sistemas  telefónico  vía  radio,  buscapersonas  y  de  transmisión  de  datos;  la  Red  Digital  de  Servicios  Integrados,  RDSI,  y  la  videoconferencia.  Toda  esta  tecnología  cuenta  con  el  respaldo de servicios computarizados, como el de información al usuario o 113,  el  de  atención  de  daños  o  114,  y  los  centros  de  Control,  de  Operación  y  Mantenimiento. 

HACIA EL FUTURO  Empresas Públicas de Medellín E.S.P. sigue preparándose para el futuro. Hacia  el 2005, su presupuesto aprobado alcanzará los $4.797.740 millones de pesos. 

Esta previsión en el desarrollo de los servicios es el resultado de la planificación  y de la visión futurista de muchas generaciones de antioqueños. Gracias a ese

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

39 

sentido  de  planeación,  el  panorama  de  los  servicios  públicos  en  Medellín  y  en  los  demás  municipios  donde  la  Empresa  presta  servicios,  se  encuentra  tan  despejado como en el presente y en el pasado. Así lo confirman los planes de  desarrollo  ya  financiados  con  recursos  propios  y  de  la  banca  multilateral  y  comercial. 

En desarrollo de su Plan de Expansión de Energía, trabaja en Porce II que, en  los albores del siglo XXI entregará al país 392 MW; en el proyecto Nechí (750  MW)  que  será  una  realidad  a  partir  del  2005,  y  en  la  segunda  fase  de  un  desarrollo térmico en el Magdalena Medio. 

Con  su  servicio  domiciliario  de  Gas  Natural  Empresas  Públicas  de  Medellín  E.S.P.  aspira  a  cubrir  todo  el  Valle  de  Aburrá.  El  desarrollo  del  plan  de  masificación se extenderá hasta el año 2005 y demandará la construcción de 89  kilómetros  de  redes  primarias,  24  estaciones  reguladoras  para  los  circuitos  y  5.600 kilómetros de redes secundarias. 

En  los  albores  de  un  nuevo  siglo  EE.PP.M.  quiere  legarle  a  las  generaciones  venideras un río Medellín recuperado, más amable y sin olores. A través de su  plan de Saneamiento proyecta 406 kilómetros de redes, la puesta en marcha de  la planta San Fernando para el tratamiento de aguas residuales, al sur del Valle  de Aburrá, y la definición y el diseño de una segunda planta en Bello, al norte  del Valle de Aburrá. 

Empresas  Públicas  de  Medellín  E.S.P.  está  preparada  para  afrontar  el  reto  tecnológico de las telecomunicaciones  del  siglo  XXI:  con  EMCALI  constituyó a  EMTELCO  para  la  prestación  de  servicios  de  valor  agregado  y  telemáticos  a  nivel  nacional  e  internacional,  y  con  los  grupos  empresariales  Bavaria  y

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

40 

Sarmiento Angulo conformó a Orbitel S.A. para la prestación de los servicios de  Larga Distancia nacional e internacional. 

EE.PP.M.  adquirió  igualmente  la  empresa  Veracruz  TV  Cable,  hoy  EPM  TELEVISIÓN, para prestar el servicio de televisión por suscripción, así como el  36.88% de las acciones de EMTELSA, la telefónica de Manizales. 

Uno de los principales pilares que sostiene la gestión y la credibilidad pública de  las  Empresas  Públicas  de  Medellín  E.S.P.  es  el  rigor  conceptual  que  respalda  todos sus actos: 

Rigor jurídico, por su respeto a la Constitución, a las leyes de la República y al  ordenamiento  legal  específico  que  las  rigen,  en  particular  sus  estatutos  orgánicos y de contratación administrativa. 

Rigor técnico por la planeación de largo plazo y por los procesos de selección,  adquisición, montaje y operación de los recursos tecnológicos más adecuados,  que  garanticen  la  prestación  de  los  servicios  en  forma  oportuna,  confiable  y  económica. 

Rigor financiero, por su manejo ortodoxo del dinero. La entidad sólo puede ser  viable si sus rentas le permiten cubrir los costos de operación, mantenimiento,  reposición y expansión de sus sistemas. Al mismo tiempo sólo puede ser eficaz  y eficiente si mantiene el equilibrio en el costo de los servicios que cobra a los  usuarios  y  transmite  a  éstos  la  señal  adecuada  para  el  uso  racional  de  los  mismos servicios.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

41 

NUEVO ESQUEMA EMPRESARIAL  La  apertura  económica  y  la  consecuente  competencia  en  todos  los  campos  y  los  nuevos  esquemas  regulatorios  establecidos  por  la  Constitución  Política  de  1991  y  sus  desarrollos  legales  generan  un  nuevo  ambiente  para  estas  organizaciones. 

Empresas  Públicas  de  Medellín  E.S.P.  claramente  requiere  acomodarse  al  nuevo esquema para mantener su permanencia y crecimiento en beneficio de la  comunidad.  Por  lo  tanto,  uno  de  sus  principales  procesos  de  planeación  lo  constituye  el  análisis  de  su  esquema  empresarial  y  de  sus  condiciones  estratégicas de desarrollo en el nuevo ambiente institucional. 

Empresas  Públicas  de  Medellín  E.S.P.  es  hoy  el  resultado  de  las  decisiones  acertadas  que  se  tomaron  hace  cincuenta  años,  como  respuesta  a  las  exigencias  del  momento.  Con  gran  visión,  los  gestores  del  ente  autónomo  crearon una empresa que demostró ser la más apropiada para responder a las  necesidades del desarrollo económico y social de la ciudad. 

Hoy, los  administradores  de la  organización,  los  dirigentes  y la  opinión  pública  enfrentan  una  evidencia  irrebatible:  encarar  con  éxito  las  nuevas  condiciones  políticas, económicas e institucionales del país y del mundo, relacionadas con la  prestación de los servicios públicos. 

ESTRUCTURA ORGANIZACIONAL DE EE.PP.M. EN EL 2005  Actualmente  Las  Empresas  cuentan  con  seis  mil  doscientos  setenta  (6270)  funcionarios  distribuidos  en  las  diferentes  sedes  con  que  cuenta  la  entidad.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

42 

Cuatro  mil  cuatrocientos  doce  (4412)  empleados  y  mil  sesenta  y  tres  (1063)  contratistas  tienen  acceso  a  los  diferentes  servicios  que  ofrece  la  red  corporativa de datos. 

En  la  gráfica  siguiente  se  muestra  como  es  la  organización  y  la  manera  de  cómo se administra la gente y los recursos que maneja la empresa. 

OR G A N IG R A M A  E EP P M  G er en c ia G en er al Un id ad  d e C o m u n ic ac io n es  y  R el ac io n es  C o r po rat iv as  G er en c ia  ia d d e P lan eac i ó n  Co r p o r ati v a 

G er en c i a d e In v ers ió n 

Di rec c ió n d e C on tr o l In t er n o 

S ec ret ar ía G en eral 

G erencia G eneración  E nergía 

G erenc ia  D istribució n  E nergía 

U n i d a d e s  d e  N ú c l e o  C o r p o r a t i v o 

G erencia  Telecom unicaciones 

G erencia  A guas 

G erencia  Com ercial 

U n i d a d e s  E s t r a t é g i c a s  d e  N e g o c i o 

Di rec c ió n  Fin an c iera 

Di r ec c i ó n  A d m i n is t rat iv a 

D ir ec c i ó n  G es ti ó n  H u m an a 

D ir ec c i ó n  In f o rm át i c a  Co r p o rrati ati v a 

U n i d a d e s  d e  S e r v i c i o s  C o m p a r t i d o s 

VISIÓN  Ser  una  empresa  líder  en  Colombia  y  relevante  en  América  Latina  en    la  prestación    integral  de  servicios  públicos  domiciliarios  y  conexos,  que  a  partir  del  conocimiento  de  las  necesidades  de  los  clientes,  les  brinde  soluciones  de  valor  agregado  y  un  nivel  de  excelencia  que  los  satisfaga,  y  de  esta  manera  garantice su lealtad y maximice el valor generado por cada uno de ellos.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

43 

MISIÓN  Ser una empresa de servicios públicos domiciliarios integrales de clase mundial:  Que satisfaga las necesidades de sus clientes con servicios de excelencia. 

Que contribuya de esta forma al desarrollo socioeconómico de las áreas donde  actúe. 

Que genere rendimientos económicos suficientes para atender a su crecimiento  y  contribuir a la  satisfacción  de las necesidades  de la  ciudad de  Medellín  y  su  gente. 

VALORES ORGANIZACIONALES  Los  siguientes  son  los  valores  que  caracterizan  y  mueven  a  las  Empresas  buscando  siempre  su  estabilidad,  crecimiento  y  cumplimiento  de  su  misión,  visión y responsabilidad social: 

Innovación: Implementación de nuevas alternativas a problemas o situaciones  con un fuerte enfoque de mejoramiento.  Conocimiento  y  satisfacción  del  cliente:  habilidad  para  conocer  e  indagar  sobre  las  necesidades  de  cada  cliente,  logrando  que  él  opte  por  nuestros  servicios  después  de  haber  entendido  sus  necesidades,  satisfaciéndolas  en  tiempo y forma, superando incluso sus expectativas.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

44 

Integridad: disposición para actuar con principios éticos, de manera confiable y  consecuente  con  los  objetivos  empresariales,  sin  obtener  ventajas  personales  en las decisiones o en los procesos organizacionales.  Productividad:  capacidad  para  cumplir  los  objetivos  rentables  propuestos  haciendo uso óptimo de los recursos disponibles. 

A DMINISTRACIÓN  La  máxima  autoridad  de  EE.PP.M.  es  la  Junta  Directiva,  conformada  por  representantes de la Alcaldía de Medellín, el Concejo y las entidades cívicas o  de usuarios de los servicios, con presidencia del Alcalde Metropolitano.  La representación legal y la administración están a cargo del Gerente General,  nombrado  por  el  Alcalde,  quien  cuenta  con  el  apoyo  de  ocho  Gerencias:  Auxiliar,  Telecomunicaciones,  Aguas,  Generación  de  Energía,  Distribución  de  Energía,  Comercial,  EPM  Consulting  y  Planeación  Corporativa;  seis  Direcciones:  Informática  Corporativa,  Administrativa,  Gestión  Humana,  Control  Interno,  Desarrollo  Organizacional,  Financiera;  y  la  Secretaría  General.  El  Control Fiscal posterior de EE.PP.M. lo ejerce la Contraloría Municipal. 

PRESUPUESTO  Empresas  Públicas  de  Medellín  aprobó  para  el  año  2005  un  presupuesto  de  $4.797.740 millones de pesos. 

De esa cifra, el 39% será destinado a inversión, un 18% a funcionamiento, 31%  a la operación comercial y otro 12% al servicio de la deuda.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

45 

FUNCIÓN SOCIAL  Para  atender  adecuada  y  oportunamente  a  las  clases  menos  favorecidas,  durante  más  de  30  años  EE.PP.M.  ha  aportado  soluciones  concretas  al  problema  de  los  servicios  de  Energía,  Telefonía  Básica,  Acueducto  y  Alcantarillado  en  las  zonas  urbanas  y  semirurales  de  Medellín  y  en los  demás  municipios  de  su  área  de  influencia,  a  través  de  su  Programa  Habilitación  Viviendas, buscando mejorar la calidad de vida de las comunidades, mitigando  los impactos generados por las obras y proyectos, participando activamente en  el  desarrollo  comunitario  y  velando  por  el  cumplimiento  de  las  obligaciones  consagradas por ley. 

La entidad ha estado presente en Antioquia con la ejecución de obras de amplio  contenido  social:  carreteras,  puentes,  sedes  educativas,  culturales  y  comunitarias;  pavimentación  de  vías,  suministro  y  transporte  de  materiales  y  maquinaria;  dotación  de  espacios  locativos,  creación  de  fuentes  de  empleo,  obras  de  explanación,  protección  y  drenaje,  prestación  de  servicios  públicos  básicos,  realización  de  actividades  forestales,  labores  de  veeduría,  asesoría  e  interventoría, entre otras. 

GESTIÓN A MBIENTAL  Las Empresas Públicas de Medellín E.S.P. desarrollan desde hace más de tres  décadas  una  vasta  tarea  reforestadora  y  de  protección  de  los  recursos  naturales de los cuales se sirve, agua, suelo y bosques, a través del cuidado de  cuencas  y  microcuencas,  la  ejecución  de  actividades  de  reforestación,  mantenimiento  de  bosques  naturales  alrededor  de  sus  embalses,  control  de  erosión y estudios de recuperación e impactos ambientales, entre otros.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

46 

Empresas Públicas de Medellín también hace presencia ecológica en Antioquia  con  su  Plan  de  Parques  como  son:  La  Culebra  en el  embalse  Peñol­Guatapé,  Los  Salados  en  el  corregimiento  La  Fe  del  municipio  de  El  Retiro,  Piedras  Blancas en la represa del mismo nombre entre Medellín y Guarne, y el núcleo  Mirador de la Torre en Riogrande II, en el municipio de Don Matías, constituyen  verdaderas reservas forestales y, al mismo tiempo, opciones recreativas para la  comunidad, llenas de senderos, miradores naturales, agua y mucho paisaje. 

Además, EE.PP.M. hizo aportes importantes en tierra y en la construcción de la  infraestructura  de  servicios  públicos  al  Parque  de  las  Aguas,  con  el  cual  se  abrió un nuevo lugar de esparcimiento para la comunidad. 

NUESTROS COMPROMISOS  Las Empresas concientes de su responsabilidad social y del desarrollo integral  de  la  ciudad  y  el  departamento,  ha  adquirido  dentro  de  su  gestión,  los  siguientes compromisos: 

MANEJO INTEGRAL DEL AMBIENTE  Se  entiende  el  ambiente  como  el  resultado de  la interacción  dinámica  entre el  medio  natural  y  el  medio  social.  En  este  contexto,  la  gestión  ambiental  estará  relacionada  con  la  prevención  y  el  manejo  adecuado  de  los  impactos  ambientales no deseables y la potenciación de los impactos positivos causados  por los proyectos, obras o actividades propios de cada uno de los negocios en  las áreas de influencia.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

47 

La  gestión  ambiental  se  fundamenta  en  un  enfoque  integral  y  preventivo,  en  métodos  interdisciplinarios  y  de  trabajo  en  equipo,  en  mecanismos  de  comunicación,  concertación  y  participación  con  todos  los  actores  involucrados  en  dicha  gestión  y  mediante  la  responsabilidad  individual  y  colectiva  de  los  trabajadores,  proveedores  y  contratistas  con  el  entorno.  Lo  anterior,  con  el  propósito de insertar adecuadamente los proyectos y obras en las áreas donde  actúa EEPPM, bajo los principios de uso racional de los recursos naturales, de  responsabilidad  social  con  la  población  influenciada  y  de  compromiso  con  las  generaciones futuras.  En  EE.PP.M.  se  cumple  con  la  legislación  ambiental  establecida  en  la  Constitución,  las  leyes  y  las  normas  aplicables  al  desarrollo  de  proyectos  y  obras. 

MEJORAMIENTO CONTINUO DE LA GESTIÓN AMBIENTAL  Se  asume  el  compromiso  de  mejoramiento  continuo  de  la  gestión  ambiental  mediante  la  planeación,  implementación,  revisión  y  actualización  de  los  procesos  y  acciones  que  interactúan  con  el  ambiente,  para  integrar  y  dar  coherencia  a  la  gestión  realizada  por  la  Organización  en  su  relación  con  el  entorno. 

Está  afianzada  la  integralidad  técnica­  económica  y  ambiental  en  todos  los  proyectos  y  obras  y  se  mantiene  el  compromiso  de  que  la  gestión  ambiental  debe  estar  asociada  a  la  innovación,  al  fomento  de  la  investigación,  al  desarrollo tecnológico y del talento humano y a la optimización de los recursos  en  la  búsqueda  del  mejoramiento  de  la  productividad,  la  eficiencia  y  la  racionalización  de  los  costos  ambientales,  con  el  fin  de  fortalecer  la  competitividad de las Empresas Públicas de Medellín E.S.P.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

48 

PARTES INTERESADAS  Reafirmamos que el cliente es nuestra razón de ser, por lo tanto el compromiso  con  la  excelencia  en  la  prestación  de  los  servicios,  en  la  satisfacción  de  sus  necesidades  y  en  la  comunicación  adecuada,  seguirán  siendo  la  base  de  nuestra relación con éste.  La información oportuna, la consulta, la concertación y la participación efectiva  fundamentan  nuestras relaciones con el Municipio de Medellín, los clientes, los  empleados,  las  comunidades  donde  actuamos,  los  proveedores  y  demás  actores involucrados en nuestra gestión ambiental. De esta manera, se afianza  la lealtad, el respeto, la confianza y la interacción de mutuo beneficio.  Nos  comprometemos  a  divulgar  la  política  ambiental  a  todos  los  empleados  desarrollando programas y medios que posibiliten su conocimiento y aplicación,  como también su disponibilidad para el público en general. 

GESTIÓN DE RIESGOS  Para  garantizar  una  óptima  confiabilidad  de  los  equipos,  instalaciones  y  procesos,  EEPPM  se  ha  interesado  en  mantener  un  estricto  cumplimiento  de  las  normas  y  prácticas  de  ingeniería,  una  adecuada  interventoría  en  la  construcción  y  montaje,  y  una  efectiva  administración,  operación  y  mantenimiento  de  los  recursos.  Adicionalmente,  la  Unidad  Riesgos  y  Seguros  tiene  en  ejecución  varios  programas  de  Control  y  Administración  de  Pérdidas,  los cuales comprenden la identificación de peligros, la evaluación y análisis de  los  riesgos,  la  elaboración  de  recomendaciones  para  minimizar  el  riesgo,  la  asesoría y coordinación con las dependencias involucradas en el análisis de la  viabilidad  técnica  y  económica  de  las  medidas  recomendadas,  y  el  análisis  e

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

49 

implementación  de  las  alternativas  de  administración  de  riesgos  más  convenientes. 

Estos estudios están orientados al análisis de todo tipo de riesgos asociados a  las  instalaciones  en  particular  (centrales  hidroeléctricas,  subestaciones,  almacenes  generales,  laboratorios,  etc.),  incluyendo  las  pérdidas  materiales,  humanas, afectación del medio ambiente, responsabilidad civil, si existe. 

Mediante el decreto No. 648 del 3 de abril de 1995 de EE.PP.M. las Empresas  implantaron  un  sistema  corporativo  de  administración  de  riesgos,  el  cual  contempla las políticas, normas y procedimientos a seguir en materia de gestión  de  riesgos  a  los  cuales  deben  ser  sometidos  los  bienes,  recursos  humanos  e  intereses de las Empresas, además de la comunidad y el medio ambiente que  bajo ciertas condiciones podría amenazar o ser amenazada por las operaciones  propias de las Empresas. 

Dicho decreto fue actualizado y reemplazado mediante el 1029 del 22 de enero  de  1999,  para  adaptarlo  a  las  nuevas  condiciones  dadas  por  el  proceso  de  reestructuración interna adelantado en las Empresas. 

A partir de este decreto, se dio inicio al proceso de administración de riesgos en  cada  una  de  las  UENs,  UNCs  y  USCs,  denominado  Sistema  Corporativo  de  Administración de Riesgos, SCAR. 

Mediante  éste  sistema  se  pretende  desarrollar,  estandarizar  e  implementar  la  metodología  y  herramientas  para  la  ejecución  de  las  etapas  de  identificación,  análisis, evaluación, control físico y financiero de los riesgos en cada una de las  dependencias de las Empresas Públicas de Medellín.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

50 

Para  lo  anterior  se  ha  contado  con  la  dedicación  de  numerosos  funcionarios  adscritos  a  las  diferentes  Unidades,  quienes  han  recibido  capacitación  y  entrenamiento  en diferentes  temas  de  administración  de  riesgos,  con  el  objeto  de que cada uno se convierta en multiplicador de la cultura de la administración  de riesgos en las EE.PP.M. 

CULTURA EMPRESARIAL  Esa  cultura  empresarial  se  manifiesta  en  un  profundo  sentido  de  pertenencia  por la entidad, no sólo por parte de sus funcionarios, empleados y trabajadores,  sino también por parte de la comunidad, que la quiere, la respeta y cierra filas  en torno a ella para defenderla de amenazas externas. Se ha generado así un  verdadero círculo virtuoso: la gente apoya a las Empresas Públicas de Medellín  E.S.P.  porque  son  eficientes,  y  ellas  son  eficientes  gracias  al  respaldo  de  la  gente. 

Todo  esto  se  manifiesta  en  la  forma  como  sus  directivas  y  funcionarios  en  general manejan los recursos que le son asignados para el cumplimiento de sus  funciones  y  como  dentro  de  su  práctica  profesional  han incluido  el  manejo  del  riesgo  en  el  que  hacer  diario  y  en  los  nuevos  proyectos  que  emprende  la  corporación para mejorar la calidad de vida de su comunidad, razón de ser de la  Empresa. 

Gracias  al  apoyo  de  la  gerencia  y  al  compromiso  de  la  gente  que  ha  recibido  capacitación  y  han  sido  multiplicadores  del  tema,  la  cultura  de  administrar  el  riesgo se ve cada vez  inmersa en los procesos, en las contrataciones y en la  adquisición de la tecnología de información bajo esquemas de redundancia, alta  disponibilidad  y  respaldo  necesaria  para  soportar  y  mantener  el  servicio  24

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

51 

horas  7  días  a  la  semana,  que  es  lo  que  demanda  hoy  el  cliente  y  la  competencia. 

GRUPO EMPRESARIAL EE.PP.M.  A  continuación  se  muestran  algunas  de  las empresas  en  las  cuales  EE.PP.M.  tiene  participación  económica.  Algunas  de  estas  empresas  están  alineadas  dentro de la estrategia de TI junto con EE.PP.M. en la búsqueda de sinergias.  Empresa 

Participación 

Actividad Principal 

EPM­ BOGOTÁ 

63.40% 

Telecomunicaciones 

EMTELSA 

36.88% 

Telecomunicaciones 

ORBITEL 

50.00% 

Telecomunicaciones – larga distancia 

Empresa Telefónica de Pereira 

56.14% 

Telecomunicaciones 

EMTELCO 

99.54% 

Comunicación de datos 

EDATEL 

56.00% 

Telecomunicaciones 

Colombia Móvil 

50.00% 

Telefonía Móvil PCs 

TELEPSA 

60.00% 

Telecomunicaciones 

Aguas de Oriente 

56.00% 

Aguas 

EPM Bogota Aguas 

89.58% 

Aguas 

EADE 

63.90% 

Energía 

CHEC 

56.00% 

Energía 

Energía de Quindío 

56.00% 

Energía 

HET S.A. (BONYIC) 

75.00% 

Energía

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

52 

10.  QUÉ ES LA DIRECCIÓN INFORMÁTICA CORPORATIVA  Es  el  área  encargada  de  promover  y  liderar  la  planeación  y  el  desarrollo  coherente  e  integrado  de  la  informática  en  las  Empresas,  para  garantizar  una  estrategia informática alineada con la visión corporativa. 

ESTRUCTURA  Actualmente  La  Dirección  de  Informática  Corporativa  cuentan  con  ciento  cincuenta  y  ocho  (158)  funcionarios  distribuidos  en  las  diferentes  áreas  que  componen dicha Unidad de Servicio Compartido (USC).  En la gráfica siguiente se muestra como es la organización: 

DIRECCIÓN DE INFORMÁTICA CORPORATIVA 

Unidad Planeación  Informática 

Unidad Gestión  Informática 

Unidad Sistemas de  Información 

Unidad de Ingeniería  y Tecnología  Informática 

Unidad Operaciones  Informática  Informática

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

53 

UNIDAD PLANEACIÓN INFORMÁTICA  Su  función  es  elaborar  y  mantener  actualizada  la  estrategia  informática,  en  cuanto  a  aplicaciones,  tecnología  y  organización,  con  sus  correspondientes  planes  estratégicos  y  tácticos,  para  garantizar  un  desarrollo  integrado  de  la  informática en las Empresas. 

UNIDAD GESTIÓN INFORMÁTICA  Su  función  es  asesorar  y  trabajar  en  equipo  con  las  unidades  de  la  Dirección  Informática  Corporativa  y  con  las  demás  gerencias,  en  la  ejecución  y  el  mejoramiento  de  sus  planes,  para  garantizar  la  coherencia  de  la  gestión  informática de todas las unidades. 

Ofrece  apoyo  en  lo  referente  al  mejoramiento  de  los  productos  y  servicios,  medición  de  la  calidad  del  servicio,  asesoría  y  adquisición  de  infraestructura  informática. 

UNIDAD INGENIERÍA Y TECNOLOGÍA INFORMÁTICA  Su  función  es  coordinar  la  Integración  de  la  planeación  informática,  las  necesidades  de  ingeniería  y  tecnología  y  la  infraestructura  informática  para  proveer asesoría especializada a toda la organización. 

Presta  soporte  especializado  en los  temas  de  seguridad informática,  viabilidad  técnica  para  adquisición  de  tecnología  y  compatibilidad  con  la  infraestructura  que posee EE.PP.M.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

54 

UNIDAD SISTEMAS DE INFORMACIÓN  Su función es coordinar la adquisición de paquetes de software, el desarrollo, la  evolución  y  mantenimiento  de  los  sistemas  de  información  corporativos  tales  como  One­World,  Sigma,  Siebel,  Fénix,  Factura,  Open,  entre  otros,  para  garantizar que éstos apoyen los procesos organizacionales. 

UNIDAD OPERACIONES INFORMÁTICA  Su  función  es  coordinar  la  instalación,  soporte,  operación  y  mantenimiento  de  todos  los  equipos  informáticos,  servidores,  redes  y  aplicaciones  para  garantizarle a la corporación la disponibilidad de la infraestructura tecnológica. 

PENSAMIENTO ESTRATÉGICO  Para entender el papel de la Dirección Informática Corporativa en lo relacionado  con  la  infraestructura  de  TI,  veamos  a  continuación  un  resumen  de  su  pensamiento estratégico: 

MISIÓN  “Crear y prestar servicios de Tecnología de Información que sean convenientes  para  el  desempeño  integral  del  Grupo  Empresarial  EPM.”  Desempeñando  los  siguientes roles: ·

Direccionador y controlador de TI en Las Empresas.

·

Direccionador estratégico de TI para las empresas filiales.

·

Prestador de servicios de tecnología de iformación.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

55 

VISIÓN  Ser la mejor opción en la prestación de servicios de Tecnología de Información  para el Grupo Empresarial EPM. 

ESTRATEGIA ·

Retener  y  Potenciar  el  liderazgo  en  servicios  de  TI  en  el  Grupo  Empresarial.

·

Ser  los  líderes  de  la  planeación,  la  evolución  y  el    soporte  de  los  paquetes corporativos.

·

Obtener sinergias en TI entre EE.PP.M. y sus filiales.

·

Apalancar el negocio de IDC y buscar la convergencia del datacenter

·

Mantener  las  aplicaciones  críticas    en  los  niveles  de  continuidad  que  requiere el negocio.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

56 

11.  METODOLOGIA PARA EL ANÁLISIS Y VALORACIÓN DE  RIESGOS EN PROYECTOS DE TECNOLOGÍA DE  INFORMACIÓN  Es importante en toda organización contar con una herramienta, que garantice  la correcta evaluación de los riesgos, a los cuales están sometidos los procesos  y actividades que participan en un proyecto de tecnología de información; y por  medio  de  una  buena  gestión  se  pueda  evaluar  el  desempeño,  desarrollo  y  ejecución del mismo. 

Viendo la  necesidad  en  el  entorno  empresarial  de  este  tipo  de  herramientas  y  teniendo en cuenta que una de las principales causas de los problemas dentro  del  entorno  informático,  es  la  inadecuada  administración  de  riesgos,  este  trabajo  sirve  de  apoyo  para  una  adecuada  gestión  de  la  administración  de  riesgos, basándose en los siguientes aspectos:

·

La sensibilización en la administración y gestión de los riesgos.

·

La  asignación  de  responsables  a  los  proyectos  de  tecnología  de  información.

·

La  evaluación  y  valoración de los riesgos inherentes  a los proyectos  de  tecnología de información y a los procesos que soporta

·

El análisis de las causas de los riesgos.

·

Los controles utilizados para minimizar los riesgos. 

El proceso de administración de riesgo es el conjunto de estrategias tendientes  a minimizar los riesgos asociados al funcionamiento de un sistema, con el fin de  disminuir  las  pérdidas  y  garantizar  su  estabilidad  operativa  y  financiera  en  el  corto plazo y su continuidad y permanencia en el largo plazo.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

57 

El  esfuerzo  metodológico  desarrollado  en  este  documento,  en  donde  se  integran  los  conceptos  de  la  administración  de  riesgos  y  la  gerencia  de  proyectos, es aplicable a cualquier empresa puesto que la metodología descrita,  en sí no tiene restricciones específicas. 

A  continuación  se  describen  las  fases,  actividades  y  tareas  que  se  deben  realizar  en  las  fases  que  conforman  la  metodología  y  son:  (0)  Sensibilización,  (1) Planeación del proyecto, (2). Inicio del proyecto, (3) Análisis y valoración de  riesgos. 

F A S E S  D E  L A  M E T O D O L O G ÍA  P l a n e a c i ó n 

In ic i o  d e l  P r o y e c t o 

G e s ti ó n  d e l  R i e s g o 

•  C o n f i r m a c i ó n  d e l  A l c a n c e . 

•  L a n z a m i e n t o  d e l  P r o y e c t o . 

•  Id e n t i f i c a c i ó n  . 

•  L o g ís t i c a  d e  A d m i n i s t r a c i ó n . 

•  C o n o c i m i e n t o  d e l  N e g o c i o . 

•  C o n f o r m a c i ó n  d e l  e q u i p o  d e  t r a b a j o . 

•  S o l i c i t u d  d e  r e q u e r i m i e n t o s  d e  In f o r m a c i ó n 

•  R e t e n c i ó n . 

•  P l a n  d e  e n t r e v i s t a s . 

•  A n á l i s i s  d e  R e s u l t a d o s . 

•  A n á l i s i s  y  V a l o r a c i ó n .  •  C o n t r o l . 

•  T r a n s f e r e n c i a . 

S e n s i b i l i z a c i ó n 

FASE 0: SENSIBILIZACIÓN  Se  debe  fomentar  en  la  organización  y  el  proyecto  la  cultura  del  riesgo.  En  la  medida  en  que  se  perciban  los  riesgos  a  qué  se  está  expuesto,  se  estará  en  capacidad  de  administrarlos.  Esta  fase  es  transversal,  es  decir,  se  ejecuta  durante el desarrollo de todo el proyecto y se puede decir que de aquí depende  en gran parte el éxito del mismo.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

58 

Todo integrante juega un papel importantísimo en la Administración de Riesgos,  toda  vez  que  al  ser  parte  activa  del  proceso,  consolida  una  cultura  organizacional que garantiza la adecuada protección de los bienes, recursos y  procesos de la empresa y asegura un manejo de los riesgos en forma racional,  óptima, integral, confiable, altamente participativa y a costo mínimo. 

Todo  funcionario  de  las  Empresas  debe  asumir  un  papel  y  responsabilidad  claramente definida frente a los riesgos. 

Con esta actividad lo que se pretende es identificar las características generales  de  las  personas  involucradas  en  el  proyecto,  así  como  las  percepciones,  motivaciones y sugerencias que tiene frente a la administración de los riesgos,  reconociendo  la  conformación  e  interrelación  entre  los  distintos  equipos  de  trabajo,  todo  esto  para  generar  las  estrategias  de  sensibilización  y  comunicación que faciliten la implementación exitosa del proyecto en la entidad  y la adecuada gestión del riesgo durante su ejecución. 

Para lograr lo anterior se pueden utilizar instrumentos como las entrevistas, las  encuestas, la observación del comportamiento frente al riesgo entre otras. 

Con los resultados obtenidos después de aplicar dichos instrumentos, se define  las estrategias de sensibilización que deben estar enfocada a reforzar el poder,  el querer y el saber partiendo del hecho de reconocer que las personas son los  artífices del cambio. Asume que el ser humano no es resistente al cambio sino  a  ser  cambiado,  por  lo  tanto  el  verdadero  cambio  se  da  al  interior  de  las  personas.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

59 

S e n s ib il iza c ió n  P u e d a  (P o d e r ) 

Q u i e r a  (Q u e r e r ) 

•  R e c u rs o s  •  P roc ed im ie n to s  •  E s tán d are s  •  S is tem a s  y  H e rra m ie n ta s 

•  A c titu d  •  C o n du c ta  •  C o m p rom is o 

S e p a  (S a b e r )  •  C o m p e te n c ia s  T éc n ic a s  •  C o m p e te n c ia s  F u nc io n ale s  •  C o m p e te n c ia s  Interp e rs o n a le s 

Está  científicamente  comprobado,  que  los  adultos  tenemos  ciertas  características  en  el  aprendizaje  en  la  que  la  transmisión  oral  o  visual  de  conceptos y conocimientos solo permiten un nivel de efectividad y recordación  promedio  del  20%,  mientras  que  las  vivencias  y/o  los  descubrimientos  que  realizamos  por  nosotros  mismos  se  graban  en  un  80%,  facilitando  un  proceso  sistémico y perdurable de aprendizaje y cambio, pero sobre todo de aplicación  práctica, útil e inmediata. 

En  este  orden  de  ideas,  las  metodologías  vivenciales  o  de  outdoortraininng,  logran  alto  impacto,  porque  aceleran  la  curva  de  aprendizaje,  apoyado  en  el  objetivo de modificar conductas y comportamientos, generando compromisos y  facilitando los procesos de cambio y transformación cultural. 

El Outdoortraining es una metodología de formación que se basa en reproducir  situaciones  empresariales  a  través  de  simulaciones  y  de  actividades  al  aire  libre.  Es  lo  que  llamamos  una  metodología  vivencial,  porque  el  punto  de  partida es la experiencia que viven los participantes.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

60 

Después  de  estas  situaciones fuera  del  aula,  se  analiza  de  forma  conjunta  lo  sucedido,  se  exploran  las  analogías  que  existen  con  la  realidad  de  las  organizaciones.  Posteriormente  el  aprendizaje  se  integra  a  través  de  la  asimilación  de  modelos  conceptuales  de  psicología  y  management  (kolb,  Hertberg, etc.). 

El aprendizaje, en definitiva, se produce a través de la vivencia del equipo, del  análisis de ésta y de su conceptualización posterior. El último paso del proceso  consiste  en  transferir  lo  aprendido  a  la  empresa  a  través  de  acciones  y  compromisos concretos. 

Tal y como se ha comentado anteriormente buena parte del éxito del proyecto  radica  en  disminuir  la  ansiedad  que  generará  el  proyecto,  suministrando  los  conceptos,  procesos,  metodologías  y  herramientas  de  análisis  y  valoración  de  los riesgos, capacitando y entrenando a todos los involucrados y a aquellos que  participan de una manera puntual en el desarrollo del proyecto. 

Al  desarrollar  las  dimensiones  del  poder,  el  querer  y  el  saber,  se  obtiene  un  cambio de actitud y comportamiento de las persona frente al tema que se está  sensibilizando y para este caso concreto frente a la administración y gestión de  riesgos  en  el  proyecto,  por  que  lo  interiorizan  y  hacen  parte  integral  de  su  trabajo diario. 

Todo lo anterior debe ir acompañado de una compaña de comunicación donde  se  aprovecharán  los  medios  corporativos  existentes  y  se  diseñarán  otros  que  garanticen  la  cobertura  de  los  públicos  identificados.  La  comunicación  será  abierta, frecuente, breve, sencilla y durante toda la ejecución del proyecto.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

61 

FASE 1: PLANEACIÓN DEL PROYECTO  En  esta  fase  se  busca  definir  y  confirmar  el  alcance,  entender  el  ambiente  de  trabajo donde se desarrollará el proyecto, identificando el responsable así como  el equipo que tomará parte en el mismo. En la Fase de planeación del proyecto  se busca desarrollar un plan de trabajo acorde con las necesidades planteadas  y con los requerimientos del cliente que para este caso pueden ser las UNCs,  UENs y USCs. 

El  siguiente  mapa  muestra  cada  una  de las actividades  que  se  deben llevar  a  cabo en esta fase de planeación: P L A N E A C I Ó  N 

1 .   C o n f i r m a c i ó  n   d e l   A l c a n c e 

2 .   C o n f o r m a c i ó  n   d e l   E q u i p o  d e   T r a b a j o 

3 .   E s t a b l e c i m i e n t o   d e   l a  l o g  í s t i c a   d e   a d m i n i s t r a c i ó  n 

Figura 1: Actividades de la Fase de Planeación del Proyecto 

CONFIRMACIÓN DEL A LCANCE  El  objetivo  de  esta  actividad  es  que  el  equipo  del  proyecto  y  la  organización  tengan  muy  en  claro  lo  que  contemplará  el  proyecto,  cuáles  procesos,  aplicaciones,  servidores,  instalaciones,  bases  de  datos,  etc,  estarían  incluidas  en  el  estudio.  Además,  se  debe  estar  muy  atento  en  conservar  el  alcance,  confirmarlo y no permitir que se modifique o cambie. De esto depende en gran  parte el éxito del proyecto.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

62 

CONFORMACIÓN DEL EQUIPO DE TRABAJO  Para  realizar  este  tipo  de  proyectos  es  necesario  conformar  un  equipo  de  trabajo  interdisciplinario  entre  la  UEN,  o  UNC,  o  USC,  la  Dirección  de  Informática Corporativa y con el apoyo puntual de las áreas que se requieran y  deban  participar  en  el  análisis  y  valoración  de  riesgos,  utilizando  mecanismos  de integración, comunicación y coordinación teniendo en cuenta lo siguiente:

·

Conformar el equipo de trabajo con roles y responsabilidades definidas.

·

Conformar el Comité directivo del proyecto con roles y responsabilidades  definidas que ayuden a dirimir conflictos, a tomar decisiones y a apoyar  el proyecto.

·

Divulgar  la  metodología  utilizada  para  hacer  el  análisis  y  valoración  de  riesgos en proyectos de tecnología de información a los participantes por  parte de la Dirección de Informática Corporativa.

·

Analizar los ajustes y  mejoras requeridas en la metodología de acuerdo  con los cambios que hayan surgido en los sistemas de información y los  ambientes tecnológicos.

·

Recolectar la información necesaria relacionada con las actividades de la  metodología  teniendo  en  cuenta  los  controles  que  se  implementan  y  buscan mejorar el escenario del riesgo y disminuir su impacto.

·

Aplicar  la  metodología  teniendo  en  cuenta  los  ajustes  y  mejoras  que  hayan sido requeridas y que fueron el resultado del análisis de la misma.

·

Efectuar reuniones periódicas con los diferentes miembros del equipo de  trabajo, para conocer el estado de avance del análisis y valoración.

·

Analizar la información y validar los resultados obtenidos de acuerdo con  la metodología aplicada.

·

Estructurar el informe final del análisis y valoración de los riegos.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

63 

Este equipo debe estar conformado por el cliente y el proveedor del servicio. La  siguiente  figura  muestra  un  esquema  de  cómo  debe  trabajar  un  proyecto  de  esta naturaleza al interior de la organización.  E Q U IP O  D E  T R A B A J O  E q u i p o  A s e s o r  d e  l a  M e t o d o l o g ía 

IN T E G R A C IÓ N 

E q u i p o  d e l  C l i e n t e  U N C , U S C , U E N 

M e t o d o l o g ía  p a r a  e l  A n á l i s i s  y  v a l o r a c i ó n  d e  R i e s g o s  e n  P T I  C O M U N IC A C IÓ N 

C O O R D IN A C IÓ N 

Á r e a s  d e   A p o y o   d e l  r e s t o  d e  l a  O r g a n i z a c i ó n 

T R A N S F E R E N C IA  D E  C O N O C IM IE N T O  Figura 2: Esquema de trabajo en el proyecto 

11.2.3. 

ESTABLECIMIENTO DE LA L OGÍSTICA DE A DMINISTRACIÓN 

El propósito es definir cuales son las actividades que van apoyar y controlar la  administración  del  proyecto.  Estas  actividades  dependen  de  cada  empresa,  respetando su cultura y manera de ejecutar este tipo de proyectos, algunas de  ellas son:

·

Realizar un recorrido por las instalaciones con el equipo de trabajo, aquí  se  busca  conocer  el  entorno  de  trabajo,  la   asignación  de  una  oficina  y  los recursos  necesarios  (escritorios,  sillas,  teléfonos,  red,  Internet,  entre  otras) para el normal desarrollo del proyecto.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

64 

·

Definir el cronograma (Plan de trabajo) que contenga las actividades, las  fechas  de  inicio  y  terminación,  los  responsables  de  ejecutarlas,  los  recursos,  el  presupuesto  y  los  productos  o  informes  que  se  deben  elaborar y entregar.

·

Definir el formato de los informes de avance, presentaciones y actas.

·

Definir reuniones de seguimiento con el equipo del proyecto.

·

Definir  las  reuniones  periódicas de informe  de  avance  o presentaciones  con el comité directivo del proyecto y las áreas dueñas para quienes se  está realizando el trabajo. 

FASE 2: INICIACIÓN DEL PROYECTO  Es importante para llevar a cabo de una manera exitosa el proyecto contar con  el  apoyo  de  la  alta  gerencia,  por  esto  es  necesario  tener  una  permanente  comunicación con la dirección mediante informes de avances y presentaciones  que den una idea de cómo va el desarrollo del proyecto. 

En esta fase se busca lanzar el proyecto con el fin de que la alta gerencia y las  áreas a las cuales se les va a hacer el trabajo lo conozcan, apoyen, participen y  se comprometan con ejecución y desarrollo hasta el final. 

Después  de  que  los  involucrados,  tanto  áreas  usuarias  como  equipo  de  proyecto  y  alta  gerencia,  lo  conocen,  se  desarrollan  las  actividades  de  conocimiento  del  negocio,  solicitud  de requerimientos  de información  y  el  plan  de  entrevistas  de  una  manera  más  ágil  y  oportuna  donde  se  evidencia  claramente si hay apoyo o no al proyecto.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

65 

El  siguiente  mapa  muestra  cada  una  de las actividades  que  se  deben llevar  a  cabo en esta fase de Iniciación: 

IN IC IO  D E L  P R O Y E C TO 

4 . R e u n ió n  d e  la n z a m ie n to  d e l  p ro y e c to 

5 . C o n o c im ie n to  d e l N e g o c io 

6 . S o lic itu d  d e  R e q u e rim ie n to s  d e  in fo rm a c ió n . 

7 . P la n  d e  E n tre vis ta s 

Figura 3: Actividades de la Fase de Iniciación del Proyecto 

REUNIÓN DE L ANZAMIENTO DEL PROYECTO  Preparar una presentación que muestre los beneficios, el plan, los productos y  el equipo de trabajo, al grupo gerencial con el fin de confirmar el apoyo y lograr  el  compromiso  de  cada  una  de  las  áreas  dentro  del  alcance  para  asegurar  el  éxito del proyecto. 

CONOCIMIENTO DEL NEGOCIO  El equipo se debe hacer una idea general del negocio, los procesos en los que  se realizará el trabajo, la infraestructura de TI, instalaciones etc. 

La mecánica para la realización consta de 2 partes:

·

Solicitud de unos requerimientos de información básica.

·

Presentaciones de los usuarios y dueños de tecnología

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

66 

SOLICITUD DE REQUERIMIENTOS DE INFORMACIÓN  El  equipo  de  trabajo  debe  hacer  una  solicitud  a  las  áreas  involucradas  en  el  estudio  sobre la información  necesaria  para realizar  el  proyecto.  Esta  solicitud  se hace a través de una plantilla que recoja los requerimientos y la información  necesarios para conocer el negocio y sobre todo el área objeto del análisis.  PLAN DE ENTREVISTAS  Se  debe  elaborar  un  plan  de  entrevistas  con  las  personas  que  conocen  los  procesos, las aplicaciones y la infraestructura, donde se indique la fecha, hora y  lugar  de la reunión.  Es  conveniente que las reuniones no  sean  muy  extensas,  máximo  de  dos  (2)  horas,  ya  que  se  tiende  a  perder  la  información  suministrada. 

FASE 3: GESTIÓN DEL RIESGO  Esta fase está destinada a identificar, evaluar, valorar y controlar los riesgos, la  frecuencia y severidad con que se pueden presentar y el grado de aceptabilidad  que tendría el proyecto o la organización si ocurriera dicho riesgo evaluado. 

Para  comenzar  con  el  análisis  y  la  valoración  se  requiere  utilizar  el  mismo  lenguaje y que conceptualmente todos estemos de acuerdo para que el análisis  sea lo más objetivo posible y para poder lograrlo es necesario retomar algunas  definiciones hechas al principio de este documento: 

Amenaza:  Persona,  objeto,  situación  o  evento  natural  del  entorno  (externo  o  interno) que es visto como fuente de peligro, catástrofe o interrupción y pueden  ser  de  origen  natural    tecnológico  y  social.  Ejemplos:  sismos,  inundación,

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

67 

avalanchas,  incendio,  explosiones,  robo  de  datos,  sabotaje,  ausencia  del  plan  de  contingencias, insuficiente  gestión de  monitoreo,  aplicativos  mal  diseñados,  secuestro,  fraude,  etc.  También  se  define  como  un  riesgo  no  evaluado.  Es  necesario  cuantificarla  para  poder  tomar  decisiones  (Administración  de  Riesgos).  En  síntesis  podemos  definir  que  la  amenaza  es  una  percepción  del  algo que puede ocurrir.  Riesgo:  Definimos  el  riesgo  como  la  probabilidad  de  que  la  amenaza  se  materialice,  debido  a  la  existencia  de  una  o  varias  vulnerabilidades  de  peso  significativo.  El  riesgo  es  difícil  de  medir,  sobretodo,  cuando no  se  cuenta  con  datos  estadísticos  que  lo  respalden  o  avalen,  por  la  tendencia  de  las  organizaciones  a  ocultar  incidentes,  la  localización  geográfica,  las  culturas,  leyes,  criticidad,  situación  país,  etc.  También  se  define  como  una  amenaza  evaluada  en  cuanto  a  su  probabilidad  de  ocurrencia  (Frecuencia)  y  a  la  gravedad de sus consecuencias (Severidad).  Riesgo Informático: Es un suceso incierto que puede llegar a presentarse en  un  futuro  con  la  probabilidad  de  Generar  Consecuencias  NEGATIVAS  que  afecten el ambiente informático o la información.  Probabilidad/Frecuencia:  Es  el  numero  de  veces  que  se  da  un  evento.  Ver  también posibilidad y probabilidad. También se define como el número de veces  que  una  amenaza  deja  de  serlo  para  convertirse  en  realidad,  a  lo largo  de  un  determinado periodo de tiempo. 

Gravedad/Severidad/Impacto: Es la evaluación del efecto y consecuencia del  riesgo. Generalmente, la exposición al riesgo se mide en aspectos económicos,  imagen de las personas o empresas, disminución de capacidad de respuesta y  competitividad,  interrupción  de  operaciones,  etc.  Efecto  que  causa  en  la

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

68 

organización la ocurrencia de un siniestro o contingencia y que normalmente se  ve reflejado en la suspensión de las actividades normales del negocio. También  se define como el económico de la materialización de una amenaza, se requiere  involucrar gastos directos, indirectos y pérdidas consecuenciales. 

Valor del riesgo: Riesgo = Probabilidad X Gravedad (R = PxG) 

Siniestro: Todo evento accidental, súbito e imprevisto (repentino, no planeado),  que normalmente genera consecuencias negativas sobre un sistema. 

Control:  Control  es  toda  acción  orientada  a  minimizar  la  frecuencia  de  ocurrencia  de  las  causas  del  riesgo  o  valor  de  las  pérdidas  ocasionadas  por  ellas.  Los  controles  sirven  para asegurar  la consecución de los  objetivos  de la  organización o asegurar el éxito de un sistema y para reducir la exposición de  los  riesgos,  a  niveles  razonables.  Los  objetivos  básicos  de  los  controles  son:  Prevenir las causas del riesgo, detectar la ocurrencia de las causas del riesgo,  retroalimentando el sistema de control interno con medios correctivos. 

Con  las  anteriores  definiciones,  esta  etapa  de  análisis  y  valoración  pretende  identificar y calificar los riesgos que pueden presentarse alrededor del proyecto  de  tecnología  de  información  siguiendo  una  serie  de  pasos  basados  en  el  siguiente mapa que muestra cada una de las actividades que se deben llevar a  cabo en esta fase.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

69 

G E S T IÓ N  D E L  R IE S G O 

Id e n t i f i c a c i ó n 

A n á l i s i s   y   V a l o r a c i ó n 

C o n t r o l  F ís i c o 

A n á l i s i s  d e   R e s u l t a d o s 

¿ S e  a c e p t a   e l  r i e s g o ? 

N O  T r a n s f e r e n c i a 

S I  R e t e n c i ó n 

Figura 4: Diagrama de Administración de Riesgos 

Cada paso debe realizarse para dos entornos:

·

Procesos  Vs.  Tecnología  de  Información:  Tomar  como  referencia  los  procesos que tienen asociada la tecnología informática.

·

Tecnología  de  Información  Vs. Tecnología  Informática,  es  decir  analizar  cada  recurso  de  la  tecnología  informática  evaluando  el  hardware,  software,  aplicaciones,  comunicaciones,  red,  instalaciones  físicas  donde  se encuentra ubicado o vaya a funcionar el proyecto a implantar. 

IDENTIFICACIÓN  La identificación de riesgos consiste en determinar qué tipos de riesgos es más  probable que afecten al proyecto de tecnología de información y documentar las  características de cada uno.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

70 

La  identificación  de  riesgos  no  es  un  suceso  que  se  produzca  en  un  instante  determinado;  debe  desarrollarse  de  una  manera  regular  a  lo  largo  de  todo  el  proyecto. 

Es  difícil  generalizar  acerca  de  los  riesgos  de  una  organización  o  de  un  proyecto  porque  las  condiciones  y  operaciones  son  distintas,  pero  existen  formas de identificarlos entre las cuales están:

·

Herramientas  de  identificación  de  riesgos:  Las  más  importantes  herramientas  usadas  en  la  identificación  de  riesgos  incluyen:  registros  internos  de la  organización,  listas  de  chequeo,  cuestionarios  de análisis  de  riesgos,  flujos  de  procesos,  análisis  financiero,  inspecciones,  entrevistas, tormenta de ideas, entre otras.

·

Aproximación  de  combinación:  La  aproximación  preferida  en  la  identificación  de  riesgos  consiste  de  una  aproximación  de  combinación,  en  el  cual  todas  las  herramientas  de  identificación  de  riesgos  están  hechas  para  tolerar  problemas.  En  pocas  palabras  cada  herramienta  puede  resolver  una  parte  del  problema  y  combinados  pueden  ser  una  considerable  ayuda  al  administrador  de  riesgos.  Esto  significa  que  dependiendo  de  lo  que  quiera  analizar  puede  utilizar  una  u  otra  y  combinar el resultado de las que utilizó. Por ejemplo: las entrevistas y los  cuestionarios y hacer análisis cruzados de ambos instrumentos, con el fin  de disminuir la subjetividad en el análisis. 

Para  facilitar  la  identificación  de  los  riesgos  en  un  proyecto  de  tecnología  de  información es muy útil apoyarse en el siguiente diagrama:

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

71 

R IESG O S 

In f lu en c ia s  E x t er n as  A c t i v i d ad es  f u er a d e l alc an c e 

PL A NEA CIÓN 

EJ EC UC IÓN  Y CO NTR OL 

Hitos 

Res is t en c ia al Cam b io  In f l u e n c ias  In t e rn as 

P lazo s 

Pr o b lem a s  Ur g en t es 

L a g es t ió n  d e Ri es g o s  es  u n a r es p o n s ab il i d ad  d e to d o s  l o s  i n t eg r an t es  d el Pr o y e c t o .  El  a n ál is i s  y  g es t i ó n  d e lo s  r ies g o s  d el Pr o y ec t o  es  u n a ac c i ó n  c o n t in u a y  d in ám ic a. 

Figura 5: Identificación de riesgos del proyecto 

A  continuación  se  presenta  una  serie  de  preguntas  y  respuestas  que  sirven  como lista de chequeo al momento de hacer la identificación de los riesgos en  las diferentes fases del proyecto: 

¿Por qué un proyecto de tecnología de información falla?  Ver el siguiente  diagrama 

P l a n e a c i ó n  n o  e x i s t e   o  e s  i n a d e c u a d a 

F a l l a s  e n   l a  E j e c u c i ó n .  I m p l a n t a c i ó n   m a l  c o o r d i n a d a .  F a l t a   d e  F o c o   y  C o n t r o l 

F A L L A  •  N o  s e  p r a c ti c ó  lo   q u e   s e   p l a n te ó .  •  N o  s e  c a p a c i tó  a d e c u a d a m e n te .  •  N o  s e  c a m b ió  la  c u ltu r a .  •  L a   s o l u c i ó n  e s   in a d e c u a d a .  •  N o  s e  c u m p li e r o n  l o s   o b j e t iv o s .  •  R e tr a s o s  y  r e p r o c e s o s . 

R i e s g o s   e s p e c íf i c o s  d e l  p r o y e c t o 

F a l t a   d e  d e c i s i o n e s  o p o r t u n a s . 

L a s   R e s i s t e n c i a s   a l  C a m b i o  n o  f u e r o n  i d e n t i f i c a d a s   y   t r a t a d a s  o p o r t u n a m e n t e . 

Figura 6: Identificación de riesgos del proyecto

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

72 

Puede existir un riesgo en la PLANEACIÓN del proyecto cuando:

·

No  existe  una  clara  definición  de  los  objetivos  y  expectativas  para  el  Proyecto.

·

No  se  formalizó  un  Cronograma  que  establezca  los  tiempos  para  las  actividades,  los  plazos,  los  hitos  y  productos,  y  fuera  validado  por  el  Equipo y Comité Directivo del proyecto.

·

No se han asignado miembros del Equipo que cumplan los requisitos de  competencia, que estén comprometidos y tengan la independencia para  generar las soluciones.

·

No se han establecido las responsabilidades y roles de cada miembro del  Equipo.

·

No se ha establecido la forma de integración con otros Proyectos, cuáles  son los “inputs” y “outputs”,  las dependencias, los eventos que deberán  ocurrir,  responsables,  y  qué  actividades  deberán  los  equipos  trabajar  coordinadamente. 

Puede  existir  un  riesgo  en  la  EJECUCIÓN  Y  CONTROL  del  proyecto  cuando:

·

Las  decisiones  no  son    tomadas  oportunamente,  causando  probables  retrasos.

·

No  se  obtiene  el  compromiso  y  apoyo  del  patrocinador  a  lo  largo  de  la  ejecución y control del proyecto

·

No  se  ejecuta  el  plan  de  capacitación  del  equipo  y  de  las  personas  involucradas.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

73 

·

El  nivel  de  dedicación  de  cada  miembro  del  equipo  y  otras  personas  involucradas no es adecuada o no cumple la definición del plan.

·

No  se  entregan  informes/  productos  adecuados,  completos  y  según  la  periodicidad definida.

·

No se documentan  las mejoras y metodologías

·

No  se  obtiene  la  adecuada    participación  y  compromiso  de  los  involucrados.

·

No  se  identifican  los  problemas  reales  /  potenciales  y  no  se  toman  las  acciones correctivas y preventivas adecuadas. 

Puede  existir  un  riesgo  en  el  proyecto  debido  a  una  RESISTENCIA  AL  CAMBIO cuando:

·

Los  involucrados  no  entienden  con  claridad  las  razones  para  los  cambios.

·

Existe una incompatibilidad entre los valores actuales y los cambios

·

Los  involucrados  perciben  que  sus  jefes  y  otras  personas  o  grupos  políticamente importantes en la Organización no apoyan el cambio.

·

Los  involucrados  creen  que  los  cambios  impactarán  negativamente  la  forma en que ellos se relacionan hoy.

·

Existe presión o influencia externa al proyecto. 

Para ayudar en el análisis de las amenazas y los riesgos se requiere:

·

Identificar  los  riesgos  internos  de  los  procesos  con  cada  elemento  de  tecnología informática asociado al proyecto de tecnología de información.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

74 

·

Realizar  una  lista  de  chequeo  de  las  amenazas  internas  que  puedan  presentarse en forma accidental o intencional en la Empresa con relación  a  la  tecnología  informática  asociado  al  proyecto  de  tecnología  de  información.

·

Identificar  los  riesgos  externos  de  los  procesos  por  cada  elemento  de  tecnología informática asociado al proyecto de tecnología de información.

·

Realizar  un  chequeo  del  entorno  en  los  fenómenos  naturales,  el  ambiente geopolítico, el ambiente tecnológico, el ambiente ecológico y el  sistema  sociocultural  que  rodea  la  Organización  para  definir  las  amenazas a las que puede estar expuesto el proyecto de tecnología de  información de la Empresa. 

Para facilitar la identificación de los riesgos en la infraestructura en un proyecto  de tecnología de información es muy útil apoyarse en el siguiente diagrama: 

C o m p o n e n t e s   d e   l a   T e c n o l o g í a   d e   i n f o r m a c i ó n  A P L I C A C I O N E S 

E N T O R N O 

R E D 

I N F R A E S T R U C T U R A  E N   S U   C O N J U N T O 

U N I X 

U S U A R I O  S I S T E M A  O P E R A T I V O 

A L M A C E N A M IE N T O ,  R E S P A L D O   Y  R E C U P E R A C I Ó N 

M O T O R   D E   B A S E S   D E  D A T O S 

S E R V I D O R  S e g u r i d a d  F í s i c a   y   l ó g i c a 

O P E R A D O R 

Figura 7: Escenarios donde se identifican riesgos de la Infraestructura de TI.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

75 

Una  vez  identificadas  las  amenazas  y  los  riesgos  se  elaboran  las  siguientes  matrices:  Elaborar la matriz de eventos con relación a los procesos de la Empresa y  la matriz de eventos con relación a la tecnología informática. 

La  matriz  de  eventos,  denominada  escenario  de  riesgos  con  relación  a  los  procesos  se  construye  con  las  amenazas  y  con  los  procesos  que  tiene  la  tecnología  informática.  La  combinación  Proceso  –  Amenaza  (fila,  columna)  lo  denominaremos  Evento  o  escenario  de  riesgos,  tal  como  se  muestra  a  continuación en la Tabla N° 1. 

Tabla Nro 1.  Matriz de Eventos o escenarios con relación a Procesos 

Procesos / Amenazas 

A1 

A2 

An 

P1 

P1,A1 

P1,A2 

P1,An 

P2 

P2,A1 

P2,A2 

P2,An 

Pn 

P1= proceso 1, P2= proceso 2 …… Pn= proceso n  A1= amenaza 1, A2= amenaza 2 …… …. An= amenaza n  P1,A1 = E1, es el evento 1 de que en el proceso 1 ocurra la amenaza 1. 

Estas  matrices  se  elaboran  de  acuerdo  con el  criterio  experto  del  responsable  del proceso y de la tecnología informática. 

A  manera  de  ejemplo,  si  tenemos  los  procesos  de  Administrar  Recursos  Humanos,  Administrar  Finanzas,  Desarrollar  y  Mantener  Sistemas/Tecnología,

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

76 

Administrar  Servicios  Legales  que  poseen  tecnología  informática  asociada  a  sus procesos y las amenazas de: fallas en sistemas de información, fallas en la  aplicación  (OneWorld),  fallas  en  la  red  de  comunicaciones,  entre  otros,  se  elabora la siguiente tabla: 

Tabla Nro 2.  Ejemplo Matriz de Eventos o escenarios con relación a Procesos  Procesos/Amenazas 

Administrar Recursos  Humanos –P1­ 

Fallas en Sistemas de  Información  Falta de funcionamiento  del Sistema de  Información de Nomina –  A1­ 

Fallas en  ONEWORLD 

Fallas en la Red de  Comunicaciones 

No disponibilidad  del Módulo AR­A2­  No disponibilidad  del Switche ATM –  A3­ 

Administrar Finanzas  –P2­ 

Falta de funcionamiento  del Sistema de  Información Financiero –  A4­  Falla en el backup  On­line de  Oneworld ­A5­ 

Desarrollar y  Mantener  Sistemas/Tecnología  –P3­ 

Administrar Servicio  Legales –P4­ 

Falla en el backup  Off­line de  Oneworld –A6­  Falta de funcionamiento  del Sistema Documental  Mercurio –A7­ 

De  igual  forma  se  obtiene  la  matriz  de  eventos  con  relación  a  la  tecnología  informática, para analizar las posibles amenazas que pueden llegar a sufrir los  recursos informáticos, asociándolos con la letra T como se muestra en la Tabla  Nro 3:

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

77 

Tabla  Nro  3.  Ejemplo  Matriz  de  Eventos  o  escenarios  con  relación  a  la  Tecnología Informática  Tecnología Informática /  No Funcionamiento  Fallas en Sistema  Fallas en la Red de  Amenazas  de Equipos  Operativo  Comunicaciones  Servidor de Desarrollo  ­  Problemas de lectura  T1­  en el disco duro  ­A1­  Servidor de Correo  ­T2­  Falla en tarjetas de  red  ­A2­  Switche ATM  ­T3­  Switche ATM fuera de  Switche ATM fuera  servicio  ­A3­  de servicio  ­A4­  Centro de Cómputo Sede  Inundación de equipos  Administrativa  ­T4­  ­A5­  Centro de Computo  Inundación de equipos  Alterno ­T5­  –A6­ 

A NÁLISIS Y VALORACIÓN  Una vez que los riesgos han sido identificados el administrador de riesgos debe  evaluarlos.  El  paso  a  seguir  es  hacer  el  análisis  y  la  valoración.  En  esta  actividad se tiene como objetivo, una vez definidos los riesgos, la determinación  y  cálculo  de  los  criterios  que,  con  posterioridad,  nos  facilitarán la  evaluación  y  valoración del riesgo. 

Como  procedimiento  a  seguir  se  identificarán  las  variables  específicas  y  se  analizarán los  factores  obtenidos.  Los  criterios  de  análisis  del  riesgo para  este  caso  en  particular  que  usaremos  son:  Probabilidad  o  frecuencia,  gravedad  o  impacto y la aceptabilidad del riesgo. 

Para poder hacer el análisis y la valoración del riesgo es necesario elaborar las  escalas de probabilidad y gravedad en que se pueden presentar las amenazas.  Estas  dos  tablas  tienen  como  finalidad  obtener  una  calificación  del  riesgo  en  cuanto a frecuencia o posibilidad de ocurrencia y en cuanto a la consecuencia o  gravedad si se llegara a materializar la amenaza.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

78 

Ambas  escalas  son  generadas  por  los  responsables  del  proceso  y  de  la  tecnología informática en forma estándar para la empresa o el proyecto, ya que  las consecuencias de un determinado evento o amenaza es diferente para cada  proyecto.  El  termino  probabilidad  se  refiere  a  la  posibilidad  de  ocurrencia  (frecuencia)  que puede tener el riesgo evaluado, a los valores o niveles de probabilidad se le  asigna  un  valor  relativo  (cualquiera);  generalmente  por  facilidad  de  manejo  se  utilizan valores enteros. Ver ejemplo en la Tabla Nro 4:  Tabla Nro 4.  Ejemplo para una Escala de Probabilidad  Valor 

Probabilidad 



Improbable 



Remoto 



Ocasional 



Moderado 



Frecuente 



Constante 

Definición  Se presenta bajo circunstancias extremas de orden público en el  país,  de  catástrofe  o  bajo  situaciones  excepcionales  fuera  del  alcance de la organización o del proyecto. Como paros, huelgas,  sabotajes o amenazas de terrorismo.  Se presenta por  situaciones atribuibles a las personas, y pueden  ser  causadas  por  hechos  internos  de  la  organización  hacia  el  proyecto como suspenderlo, no apoyarlo, abortarlo, entre otras.  El  evento  se  clasifica  como  no­rutinario  y  no  es  inherente  a  la  tecnología,  su  frecuencia  se  asocia  con  variables  externas  a  la  tecnología, los procesos o componentes del proyecto.  Se  presenta  por  situaciones  atribuibles  al  descuido  o  error  humano que afectan la ejecución del proyecto.  Se presenta con cierta regularidad, y su causa es atribuible a los  recursos  mínimos  del  proyecto  (Personas,  presupuesto,  tiempo,  tecnología) los cuales son necesarios para su ejecución.  Se presenta en el día a día, su origen es atribuible a situaciones  normales  del  proyecto  como  interrupciones  menores  de  los  procesos,  los  servicios  de  la  tecnología,  la  desviación  de  los  recursos y otros similares. 

IMPROBABLE:  Cuando  el  riesgo  evaluado  no  ha  sucedido  hasta  ahora  y  es  muy difícil que ocurra.  REMOTO: Cuando el riesgo evaluado ha sucedido sólo en forma excepcional y  se tiene una posibilidad de ocurrencia muy baja.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

79 

OCASIONAL: Cuando el riesgo evaluado ha sucedido pocas veces y tiene baja  posibilidad de ocurrencia.  MODERADO:  Si  el  riesgo  sucede  en  forma  esporádica  y  tiene  limitada  posibilidad de ocurrencia. 

FRECUENTE:  Si  el  riesgo  sucede  algunas  veces  y  tiene  una  significativa  posibilidad de ocurrencia. 

CONSTANTE:  Cuando  el  riesgo  evaluado  sucede  en  forma  reiterada  y  tiene  alta posibilidad de ocurrencia.  El  termino  gravedad  se  refiere  a  la  magnitud  en  términos  relativos  de  las  consecuencias que pueden generarse al ocurrir la amenaza evaluada. La tabla  de  gravedad,  debe  construirse  en  forma  estándar  para  la  empresa;  a  continuación se muestra un ejemplo mediante la Tabla Nro 5: 

Tabla Nro 5.  Ejemplo para una Escala de Gravedad  Valor 

Gravedad 



Insignificante: La duración de la  interrupción es  menor  a  1 hora. 



Marginal:  La duración  de  la interrupción  esta  entre  1­  4

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

80 

Valor 

Gravedad  horas. 



Grave:  La duración  de  la interrupción  esta  entre  4­8 horas. 

10 

Crítico:  La duración  de  la interrupción  esta entre 8­24 horas.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

81 

Valor 

Gravedad 

20 

Desastroso:  La duración de la  interrupción esta  entre  24­ 36 horas.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

82 

Valor 

Gravedad 

50 

Catastrófico:  La duración de la  interrupción es  mayor  a  36 horas. 

INSIGNIFICANTE:  Cuando  las  consecuencias  (impacto)  pueden  ser  consideradas como despreciables porque que no afectan el funcionamiento del  proyecto.  MARGINAL:  Cuando  las  consecuencias  (impacto)  se  consideran  tolerables  (moderadas) porque afectan en forma leve al proyecto. 

GRAVE:  Cuando  las  consecuencias  (impacto)  afectan  parcialmente  el  funcionamiento del proyecto, pero no ponen en peligro su ejecución.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

83 

CRÍTICO:  Se  valora  la  consecuencia  (impacto)  en  términos  considerables  porque dichas consecuencias afectan parcialmente al proyecto desplazando su  ejecución. 

DESASTROSO:  Las  consecuencias  afectan  totalmente  al  proyecto,  desplazando  su  ejecución  y  aumentando  los  costos  del  mismo  de  lo  inicialmente presupuestado. 

CATASTRÓFICO: Cuando las consecuencias se consideran de gran magnitud  porque  afectan  en  forma  total  el  proyecto  pudiendo  poner  en  riesgo  la  estabilidad del mismo e inclusive impidiendo su terminación. 

Para la construcción de estas tablas o escalas de probabilidad y gravedad se  toma  como  referencia  la  experiencia  propia  del  equipo  de  trabajo  y  la  percepción del mismo. 

Podemos  hablar  con  el  término  riesgo  cuando  la  amenaza  se  evalúa  con  las  escalas de probabilidad y gravedad. El próximo paso entonces, de esta etapa,  es calificar los riesgos multiplicando el valor del riesgo en cuanto a probabilidad  por el valor del riesgo en cuanto a gravedad  Riesgo = Probabilidad X Gravedad (R = PxG) 

Tal como se muestra en la Tabla Nro 6 tomando como referencia el ejemplo de  la Tabla Nro 2. Matriz de Eventos o escenarios en cuanto a Procesos:

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

84 

Tabla  Nro  6.  Ejemplo  para  la  Calificación  del  Riesgo  con  relación  a  los  procesos.  ENTORNO DE PROCESOS  Administrar  Recursos  Humanos  con  falta  de  funcionamiento  del  Sistema  de  Información  ­P1A1­  Administrar  Recursos  Humanos  sin  disponibilidad  del  Módulo  AR  de  OneWorld. ­P1A2­  Administrar  Finanzas  con  falta  funcionamiento  del  Sistema  de  Información  ­P2A4­  Desarrollar  y  Mantener  Sistemas/Tecnología  con  fallas  en  el  backup Off­line de OneWorld. –P3A6­ 

PROBABILIDAD 

P  GRAVEDAD  G  RIESGO 

Ocasional 

3  Catastrófico  50 

150 

Moderado 



Crítico 

10 

40 

Ocasional 



Crítico 

10 

30 

Frecuente 

5  Catastrófico  50 

250 

Riesgo = P X G  Donde:  P = Probabilidad de ocurrencia (frecuencia)  G = Gravedad o intensidad de las consecuencias (impacto) 

De  igual  forma  ocurre  con  el  análisis  de  la  tecnología  informática,  con  el  siguiente  ejemplo  de  la  Tabla  Nro  7  tomando  como  referencia  la  Tabla  Nro  3.  Matriz de Eventos con relación a la Tecnología Informática 

Tabla  Nro  7.  Ejemplo  para  la  Calificación  del  Riesgo  con  relación  a  la  Tecnología  ENTORNO DE TECNOLOGÍA  Servidor de desarrollo con problemas de  lectura en el disco duro  ­T1A1­  Servidor de Correo con falla en las  tarjetas de red  ­T2A2­  Switche ATM fuera de servicio  ­T3A4­  Centro de Cómputo Sede Administrativa  con inundación de equipos  ­T4A5­ 

PROBABILIDAD  Remoto  Moderado  Ocasional  Remoto 

P  GRAVEDAD  G  RIESGO  2 

Crítico 

10 

20 

4  Insignificante  1  3  Catastrófico  50 

4  150 



100

Catastrófico  50 

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

85 

Elaborar la Matriz de Aceptabilidad, que nos permita determinar el nivel de  aceptabilidad  hacia  el  riesgo:  La  Matriz  de  Aceptabilidad  de  Riesgos  nos  determina  el  nivel  de  aceptabilidad  del  evento  o  escenario  (combinación  de  riesgo­proceso,  o  combinación  de  riesgo­tecnología)  que  pueda  suceder  en  el  proyecto.  Esta  matriz  está  conformada  por  cuatro  zonas  de  acuerdo  con  la  escala  de  probabilidad y de gravedad definida en los pasos anteriores:  Zona Aceptable: Donde la probabilidad de ocurrencia del riesgo es muy baja,  es decir, un evento o escenario situado en esta región de la matriz, significa que  la combinación frecuencia ­ consecuencia no implica una gravedad significativa,  por  lo  que  no  amerita  la  inversión  de  recursos  y  no  requiere  acciones  adicionales  para  la  gestión  sobre  el  factor  de  vulnerabilidad  considerado,  diferentes a las ya aplicadas en el proyecto.  Zona  Tolerable:  Un  evento  o  escenario  situado  en  esta  región  de  la  matriz,  significa  que,  aunque  deben  desarrollarse  actividades  para  la  gestión  sobre  el  riesgo  en  el  proyecto,  tienen  una  prioridad  de  segundo  nivel,  pudiendo  ser  a  mediano plazo.  Zona Inaceptable: Donde la probabilidad de ocurrencia del riesgo es alta, y su  consecuencia es considerable, es decir, un evento o escenario situado en esta  región  de  la  Matriz,  significa  que  se  requiere  siempre  desarrollar  acciones  prioritarias  a  corto  plazo  para  su  gestión,  debido  al  alto  impacto  que  tendrían  sobre el proyecto. 

Zona Inadmisible: Un evento o escenario situado en esta región de la matriz,  significa que bajo ninguna circunstancia se deberá mantener un escenario con  esa  capacidad  potencial  de  afectar  la  estabilidad  del  proyecto  e  inclusive  su

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

86 

terminación. Por ello estos escenarios requieren una atención de alta prioridad  para buscar disminuir en forma inmediata su vulnerabilidad. 

Para  determinar  los  límites  de  cada  una  de  las  zonas  de  aceptabilidad  en  la  matriz, se utilizan los siguientes criterios de valoración: 

ZONA 

CRITERIO DE ACEPTABILIDAD  (% de vulnerabilidad)  Hasta el 3.0  Del 3.1 al 5.0  Del 5.1 al 25.0  Más del 25.0 

Aceptable  Tolerable  Inaceptable  Inadmisible  PROBABILIDAD RELATIVA  Constante  Frecuente  Moderado  Ocasional  Remoto  Improbable 

6  5  4  3  2  1 

6 (2.0%)  5 (1.6%)  4 (1.3%)  3 (1.0%)  2 (0.6%)  1 (0.3%)  1  Insignificante 

12 (4.0%)  30 (10.0%)  60 (20.0%)  120 (40.0%)  300 (100%)  10 (3.3%)  25 (8.3%)  50 (16.5%)  100 (33.0%)  250 (83.0%)  8 (2.6%)  20 (6.6%)  40 (13.3%)  80 (26.0%)  200 (66.0%)  6 (2.0%)  15 (5.0%)  30 (10.0%)  60 (20.0%)  150 (50.0%)  4 (1.3%)  10 (3.3%)  20 (6.6%)  40 (13.3%)  100 (33.0%)  2 (0.6%)  5 (1.6%)  10 (3.3%)  20 (6.6%)  50 (16.5%)  2  5  10  20  50  Marginal  Grave  Crítico  Desastroso  Catastrófico 

GRAVEDAD RELATIVA 

Cada  evento  o  escenario  (PnAn),  resultante  de  la  matriz  de  eventos  con  relación a los procesos y a la tecnología informática, se sitúa dentro de la matriz  de  aceptabilidad  para  poder  determinar  los  requerimientos  de  medidas  de  control  como  insumos  necesarios  para  la  próxima  etapa  o  fase  que  es  la  de  Control. 

La experiencia muestra que los riesgos no identificados son lo que comúnmente  causan  graves  problemas  a  los  afectados,  por  presentarse  sin  que  exista  ningún plan concreto para controlarlos y por eso conllevan efectos desastrosos.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

87 

Es importante efectuar una evaluación cuidadosa de los riesgos y sus causas,  ya  que  todo  resultado  erróneo  conllevará  a  un  exceso  o  a  una  deficiencia  de  medidas  de  control  físico,  lógico  o  a  la  toma  de  decisiones  equivocadas  en  el  control financiero.  La  Matriz  de  Aceptabilidad  del  riesgo  está  determinada  por  la  escala  de  probabilidad  tomada  de  la  Tabla  Nro  4  y  la  escala  de  gravedad  basada  en  la  Tabla Nro 5 con la definición de los valores de aceptable, tolerable, inaceptable  e inadmisible como se muestra a continuación en la Tabla Nro. 8:  Tabla Nro. 8. Matriz de Aceptabilidad  PROBABILIDAD RELATIVA  Constante  Frecuente  Moderado  Ocasional  Remoto  Improbable 

6  5  4  3  2  1 

Aceptable  Aceptable  Aceptable  Aceptable  Aceptable  Aceptable  1  Insignificante 

Tolerable  Inaceptable  Inaceptable  Inadmisible  Inadmisible  Tolerable  Inaceptable  Inaceptable  Inadmisible  Inadmisible  Aceptable  Inaceptable  Inaceptable  Inadmisible  Inadmisible  Aceptable  Tolerable  Inaceptable  Inaceptable  Inadmisible  Aceptable  Tolerable  Inaceptable  Inaceptable  Inadmisible  Aceptable  Aceptable  Tolerable  Inaceptable  Inaceptable  2  5  10  20  50  Marginal  Grave  Crítico  Desastroso  Catastrófico 

GRAVEDAD RELATIVA  Continuando  con  el  ejemplo  ilustrado  en  la  Tabla  Nro.  6,  la  Matriz  de  Aceptabilidad para el entorno de procesos se muestra en la Tabla Nro. 9: 

Tabla Nro. 9.  Matriz de Aceptabilidad para el entorno de Procesos 

PROBABILIDAD RELATIVA  Constante  Frecuente  Moderado  Ocasional  Remoto  Improbable 

6  5  4  3  2  1

­P3A6­  ­P1A2­  ­P2A4­ 

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

­P1A1­ 

88 

1  2  5  Insignificante  Marginal  Grave 

10  20  50  Crítico  Desastroso  Catastrófico 

GRAVEDAD RELATIVA  La Matriz de Aceptabilidad para el entorno de tecnología informática se muestra  en la Tabla Nro 10 tomando los valores de la Tabla Nro 7:  Tabla Nro 10. Matriz de Aceptabilidad para el entorno de tecnología informática  PROBABILIDAD RELATIVA  Constante  Frecuente  Moderado  Ocasional  Remoto  Improbable 

6  5  4  3  2  1 

­T2A2­  ­T1A1­  1  2  5  Insignificante  Marginal  Grave 

­T3A4­  ­T4A5­ 

10  20  50  Crítico  Desastroso  Catastrófico 

GRAVEDAD RELATIVA CONTROL  11.4.2.1. Perfil de los riesgos  El  conjunto  de  todos  los  eventos  o  escenarios  ubicados  en  la  matriz  de  aceptabilidad configura el perfil de los riesgos para el proyecto o sistema y que  se  realiza  para  el  entorno  de  los  procesos  y  la  tecnología  informática:  Administrar  recursos  humanos,  administrar  finanzas,  desarrollar  y  mantener  sistemas/tecnología, administrar servicios legales, entre otros. 

11.4.2.2. Patrones normales de distribución  Los patrones normales de distribución son propios de la actividad particular del  proyecto  o  sistema;  por  ejemplo,  no  es  lo  mismo  la  distribución  típica  en  un  proyecto  de  obra  civil  o  de  infraestructura  que  en  un  proyecto  de  tecnología  informática.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

89 

A  continuación  se  presentan  los  patrones  de  distribución  de  referencia  de  los  eventos  o  escenarios.  Estos  patrones  son  indicadores  de  la  confiabilidad  del  estado  global  de  riesgos  de  un  proyecto  o  sistema.  Un  sistema  con  patrones  anormales  en  la  distribución  de  los  riesgos  presenta  una  gran  incertidumbre  sobre los resultados de su manejo.  ZONA  Aceptable  Tolerable  Inaceptable  Inadmisible  TOTAL 

DISTRIBUCION DE EVENTOS O ESCENARIOS  Mínimo el 60%  Máximo el 30%  Máximo el 10%  Ningún Escenario  100% 

11.4.2.3. Cálculo del índice de distribución de eventos o escenarios, IDE  Conocida la calificación de aceptabilidad de cada evento o escenario, se suman  cuántos  de  ellos  están  en  cada  nivel  y  se  calcula  lo  que  representan  porcentualmente del total de escenarios. 

Continuando  con  el  ejemplo,  el  total  de  escenarios  evaluados  es  de  4  para  el  entorno de procesos que se muestra en la Tabla Nro 9, tomando los valores de  la  Tabla  Nro  6,  de  ellos  2  están  en  el  nivel  inaceptable  y  2  en  el  nivel  de  inadmisible;    Entonces  su  distribución  sería  como  se  muestra  en  la  siguiente  tabla: 

Procesos  NIVEL  Aceptable  Tolerable  Inaceptable  Inadmisible  TOTAL 

ESCENARIOS  0  0  2  2  4 

DISTR. REAL  0%  0%  50%  50%  100% 

DISTR. NORMAL  Mín. 60%  Máx. 30%  Máx. 10%  0%  100%

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

90 

Para  el  entorno  de  tecnología  informática,  el total  de  escenarios  evaluados  es  de 4 como se muestra en la Tabla Nro 10 y tomando los valores de la Tabla Nro  7,  de  ellos  1  está  en  el  nivel  aceptable,  1  en  el  nivel  de  inaceptable  y  2  en  el  nivel  de  inadmisible;  Entonces  su  distribución  sería  como  se  muestra  en  la  siguiente tabla:  Tecnología Informática  NIVEL  Aceptable  Tolerable  Inaceptable  Inadmisible  TOTAL 

ESCENARIOS  1  0  1  2  4 

DISTR. REAL  25%  0%  25%  50%  100% 

DISTR. NORMAL  Mín. 60%  Máx. 30%  Máx. 10%  0%  100% 

Nota:  La  Metodología  se  aplica  bajo  los  mismos  criterios  definidos,  pero  en  forma  separada  para  los  procesos  y  para  la  tecnología  informática,  como  lo  ilustra el ejemplo trabajado en este documento 

11.4.3. CONTROL  Esta fase consiste en identificar y analizar las soluciones disponibles para tratar  los  riesgos  estudiados  en  las  etapas  anteriores,  con  el  fin  de  reducir  la  frecuencia y severidad de las pérdidas, en caso de que los riesgos identificados  se materialicen. 

Control es toda acción orientada a minimizar la frecuencia de ocurrencia de las  causas del riesgo o valor de las pérdidas ocasionadas por ellas. Los controles  sirven  para  asegurar  la  consecución  de  los  objetivos  de  la  organización  o  asegurar  el  éxito  de  un  sistema  y  para  reducir  la  exposición  de  los  riesgos,  a  niveles  razonables.  Los  objetivos  básicos  de  los  controles  son:  Prevenir  las  causas  del  riesgo,  detectar  la  ocurrencia  de  las  causas  del  riesgo,

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

91 

retroalimentando  el  sistema  de  control  interno  con  medios  correctivos  para  establecer  las  respectivas  medidas  de  protección  y  permitiendo  así  la  continuidad de la organización o el proyecto que esté en ejecución. 

En  gráfico  siguiente  muestra  cuales  son  las  actividades  que  se  deben  seguir  para tener un buen control de riesgos en el proyecto que se está desarrollado.  C O N T R O L   D E   R I E S G O S 

P r e v e n c i ó n 

P r o t e c c i ó n 

F í s i c o   /   L ó g i c o 

C O N T R O L   D E   R I E S G O S 

F i n a n c i e r o  R e t e n e r 

T r a n s f e r i r 

Control  Físico/Lógico:  En  esta  actividad  se  definen  dos  alternativas  fundamentales para obtener un buen control del riesgo:  Prevención:  Estudio  exhaustivo  de  las  alternativas  lógicas  conducentes  a  reducir en la medida de lo posible, los causas que originan la materialización de  un riesgo. 

Son aquellas medidas tendientes a minimizar las causas que puedan provocar  una pérdida teniendo en cuenta los procesos, la gente y la tecnología.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

92 

Protección:  Conjunto  de  actividades  encaminadas  a  reducir  la  severidad  del  impacto  causado  por  la  materialización  de  un  riesgo.  Actúan  sobre  las  consecuencias. 

Son aquellas medidas tendientes a reducir la severidad de la pérdida, es decir  en  caso  de  que  ésta  suceda,  reduzca las  consecuencias  al  mínimo,  tendiendo  en cuenta los procesos, la gente y la tecnología.  Control  Financiero:  En  esta  actividad  se  definen  dos  alternativas  fundamentales la de retener y la de transferir el riesgo:  Retener: Consiste en proveer los medios hoy, para el estado de necesidad, que  la  materialización  de  un  riesgo  pueda  causar  en  el  futuro.  De  acuerdo  con  la  capacidad  financiera  de  la  organización,  se  pueden  asumir  los  riesgos  que  se  determinen después de analizar la matriz de riesgos.  Se asumen generalmente  los  riesgos  de  baja  probabilidad  de  ocurrencia  y  baja  severidad  (riesgos  no  catastróficos).  Uno  de  los  mecanismos  que  se  pueden  definir  en  la  organización  o  en  el  proyecto para tratar los riesgos que se consideren se pueden asumir es el fondo  de  auto  seguro  que  consiste  en  reservar  el  dinero  para  anticiparse  a  las  consecuencias de una pérdida que se podría generar al materializarse el riesgo  asumido y previamente calculado su posible costo.  Transferir: Es el traslado del riesgo a una compañía aseguradora mediante el  pago de una prima. (Contrato de seguro). Consiste también en la transferencia  contractual de los riesgos a los contratistas y subcontratistas de la organización  o de los que interviene en el desarrollo del proyecto.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

93 

Análisis  de  resultados:  Cualquier  proceso  requiere  de  un  “feedback”  o  retroalimentación,  para  mantenerse  en  el  tiempo  y  hacerse  flexible  ante  los  múltiples  y  vertiginosos  cambios  que  se  viven  en  las  organizaciones  y  con  mayor  razón  en  los  proyectos  y  especialmente  en  los  de  tecnología  de  información.  Cuando  ocurren  cambios  en  el  proyecto,  es  ciclo  básico  de  identificación,  evaluación, análisis y valoración de riesgos se repite. Es importante comprender  que incluso  el  análisis  más  profundo  y  completo  no  puede identificar todos  los  riesgos y probabilidades correctamente; se requiere un control y una iteración. 

“ Los riesgos son dinámicos y deben ser monitoreados permanentemente”

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

94 

12.  RECOMENDACIONES ·

La  metodología  aquí  definida  y  documentada  se  convierte  en  una  herramienta clave para la organización Informática de Empresas Públicas  de Medellín E.S.P. porque a través de su utilización y aplicación le facilita  identificar,  evaluar,  controlar  y  valorar  los  riesgos  de  los  proyectos  de  tecnología  de  información  que  emprenda  la  corporación,  mejorando  la  gestión  con  el  fin  de  disminuir  el  impacto  de  la  tecnología  en  los  costos,  recursos y el tiempo al entrar en producción.

·

La  aplicación de  esta  metodología,  deberá realizarse  en  todas  las  etapas  de  los  proyectos  de  tecnología  de  información  haciéndola  extensiva  a  contratistas,  subcontratistas  y  proveedores  que  la  empresa  adelante  en  este campo específico.

·

Es  importante  oficializar  esta  metodología  y  definir  los  mecanismos  que  faciliten  su  utilización,  para  que  la  organización  Informática  de  Empresas  Públicas  de  Medellín  E.S.P.  la  aplique  en  todos  los  proyectos  de  tecnología  de  información  que  emprenda  con  el  fin  de  poder  diseñar  e  implementar  otras  estrategias  que  permitan  gerenciar  y  controlar  los  nuevos tipos de riesgos que están relacionados con estos proyectos.

·

El foco del proyecto de tecnología de información debe entonces estar no  sólo  encaminado  a  procurar  el  hardware  y  el  software  necesario  para  resolver  las  necesidades  del  proceso  de  negocio  sino  que  también  debe  buscar los medios materiales, económicos y humanos para que en el caso  de la materialización de un riesgo las pérdidas sean mínimas o incluso se  pueda  evitar  la  inviabilidad  del  proyecto  como  tal.  En  este  sentido  la

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

95 

metodología  cubre  una  gama  de  aspectos  éticos,  socioculturales,  económicos,  administrativos  y  tecnológicos  que  le  permitirán  al  director  o  gerente  de  tecnología  informática  tener  un  dominio  integral  sobre  cada  aspecto de la ejecución del proyecto garantizando su continuidad y sin por  ello descuidar otros aspectos de su operación o administración.

·

Es importante que la alta gerencia tenga una formación sólida en todo este  tipo de conceptos, para que no caigan en el error de delegar este tipo de  decisiones  o  proyectos  en los  técnicos  puristas,  provocando  con  ello  una  desarticulación  entre  la  estrategia  del  negocio  y  la  tecnología  de  información.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

96 

13.  CONCLUSIONES ·

Estamos,  sin  duda,  en la  era de la información:  Adquirir equipos,  obtener  servicios y acortar las distancias para estar informados, es una posibilidad  tecnológica  vuelta  obsesión.  Esto  hace  que  la  información  adquiera  gran  importancia  y  un  valor  incalculable,  y  que  por  lo  tanto  haya  que  tomar  todas  las  medidas  necesarias  para  protegerla.  El  contar  con  una  metodología  que  nos  ayude  a  identificar,  evaluar,  controlar  y  valorar  los  riesgos  en  los  proyectos  de  tecnología  de información  en  la  organización  es  una  de  las  herramientas  claves  para  ayudar  a  proteger  la  información  que se genera y  maneja en este tipo de proyectos, además que facilita la  terminación de los mismos según lo planeado.

·

Para  definir  la  metodología  de  análisis  y  valoración  de  riesgos  en  proyectos  de  tecnología  de  información  se  tuvo  en  cuenta  las  tres  dimensiones fundamentales que componen una organización informática a  nivel  mundial:  Los  procesos;  la  gente  y  la  tecnología,  sin  olvidar  que  la  parte  más  importante  es  la  gente,  la  que  hace  que  los  procesos  y  la  tecnología funcionen.

·

El  esfuerzo  metodológico  desarrollado  en  este  documento,  en  donde  se  integraron los  conceptos de la  administración  de  riesgos  y la  gerencia de  proyectos,  es  aplicable  a  cualquier  empresa  puesto  que  la  metodología  descrita, en sí no tiene restricciones específicas.

·

Lo  trascendental  en  la  implementación  de  la  metodología  es  como  cada  empresa  percibe  la  ocurrencia  y  la  consecuencia  de  los  riesgos  en  la  ejecución  de  los  proyectos  de  tecnología  que  la  empresa    A,  B  o  C  adelanten en este sentido.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

97 

·

La gestión del riesgo en los proyectos de tecnología de información ha de  ser  una  preocupación  constante  en  las  entidades  y  a  nivel  de  toda  la  organización,  especialmente  de  la  alta  dirección,  que  no  es  exclusivamente un problema técnico y de técnicos; pero que será aplicado  en forma diferente según la empresa y el momento.

·

La  competencia  basada  en  tecnología  de  información  se  está  volviendo  cada día más fuerte y agresiva, y el contar con la metodología de análisis y  valoración de riesgos como una herramienta clave de gestión, ayuda a que  la organización enfrente este nuevo reto que se plantea en el siglo XXI, el  siglo de era de la información, el nuevo poder.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información

98 

14.  BIBLIOGRAFÍA  [Mejía, 2001] Rubi Consuelo Mejía Quijano,  Diplomatura en Control y Auditoría,  TextoGuía, Universidad EAFIT, Medellín, Agosto de 2001, 133 p. 

[EE.PP.M. , 1999]  Empresas Públicas de Medellín, Administración de Riesgos,  Guía de Control Administrativo No. 12, Cartilla Guía, Medellín, Marzo de 1999,  24 p. 

[EE.PP.M. , 1999]  Empresas  Públicas  de  Medellín,  Metodología  Análisis  de  Riesgos  y  Vulnerabilidad,  Unidad  de  Riesgos  y  Seguros,  Medellín,  Marzo  de  1999, 37 p. 

[EE.PP.M.­1, 1999] Empresas  Públicas  de  Medellín,  Plan  General  de  Emergencias,  Guía  de  Control  Administrativo  No.  13,  Cartilla  Guía,  Medellín,  Marzo de 1999, 20 p. 

[EE.PP.M., 1999]  Empresas Públicas de Medellín, Sistema de Control Interno,  Equipo  de  Planeación  y  Desarrollo  del  Control,  Dirección  de  Control  Interno,  Medellín, Julio de 1999, 57 p. 

[SUMA , 2000] SUMA Corredores de Seguros S.A., Metodología de Análisis de  Riesgos  y  Vulnerabilidad (AR&V)  para el  Metro  de  Medellín,  Documento  Guía,  Medellín, Febrero de 2000, 13 p. 

Mauricio  Zuluaga  Ruiz  Director  Departamento  Administrativo  de  la  Función  Pública Bogotá, Administración del Riesgo, Cartilla Guía, Bogotá, Diciembre de  2001, 32 p.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

99 

[Rojas, 1996]Francisco  Abanal  Rojas,  Cómo  se  hace  un  Plan  Estratégico,  Modelo de Desarrollo en una Empresa, 1996, 512 p. 

Monsalve Suescun Ismael, Eusse Restrepo Iván Darío. Análisis Cuantitativo del  Riesgo.  Medellín,  2001.  78p.  Monografíia  de  Grado  (Especialista  en Finanzas,  preparación y Evaluación de Proyectos). Universidad de Antioquia. Facultad de  Ingeniería. 

Gabriel Baca Urbina. Evaluación de Proyectos, Tercera Edición. 339p. 

Business Continuity Planning, A Necessity in New E­Commerce Era  Disaster Recovery Jounal, Agosto 2000. 

Hewlett­Packard Company, 2000. 

Cost  and  Effect:  Using  Integrated  Cost  Systems  to  Drive  Profitability  and  Performance. 

Harvard Business School, 1997  Project Management for Mission Critical Systems. 

A Handbook for Government Executives  Information Technology Resources Board, Abril 2001. 

Business Continuity: New risks, new imperatives and a new approach  International Business Machines Coporations, 1999. 

Computer Crime Costs on the Rise  Computerworld, 20 Abril 1998.

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

100 

MIT Business Continuity Plan  Massachusetts Institute of Technology, 1995. 

Computer Related Risks  International Business Machines Corp, 1990. 

Disaster Tolerant Solutions for Mission­Critical Computing, White Paper  Project Management for Mission Critical Systems  A Handbook for Government Executives. 

Development Information Systems, A New Paradigm in Software Development:  Complexity Begets Complexity – A Vicious Cycle, White Paper

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

101 

15.  REFERENCIAS  Stratus Technologies Corp.  http://www.stratus.com 

Sungard Corp.  http://www.sungard.com 

Gartner Group  http://www.gartner.com 

IDC Corp.  http://www.idc.com 

Aberdeen Group, Inc.  http://www.aberdeen.com 

Price WaterHouse Coopers Inc.  http://www.pwcglobal.com/ 

KPMG Inc.  http://www.kpmg.com 

Project Management Institute  http://www.pmi.org

Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información 

Related Documents

Monografia 1
December 2019 1
Monografia
April 2020 43
Monografia
November 2019 59
Monografia
November 2019 64
Monografia
May 2020 39
Monografia
November 2019 63