Управление рисками в компьютерных технологиях

В каждой организации важно иметь инструмент, который гарантирует правильную оценку рисков, которым подвержены процессы и действия, которые участвуют в компьютерной области; и с помощью процедур управления можно оценить производительность вычислительной среды.

Видя потребность в бизнес-среде для этого типа инструментов и учитывая, что одной из основных причин проблем в вычислительной среде является неадекватное управление компьютерными рисками, эта работа служит поддержкой для правильного управления управление рисками, основанное на следующих аспектах:

• Оценка рисков, присущих компьютерным процессам. Оценка угроз или причин рисков. Элементы управления, используемые для минимизации угроз рискам. Распределение лиц, ответственных за компьютерные процессы. Оценка элементов анализа рисков.,

sisrisinfo

ЧАСТЬ I - УПРАВЛЕНИЕ РИСКАМИ

1. ПРОБЛЕМА - УПРАВЛЕНИЕ РИСКАМИ

Риск - это реальное состояние, при котором существует опасность неблагоприятных условий, состоящая из сочетания экологических обстоятельств, в которых существует вероятность потери.

1.1. КЛАССИФИКАЦИЯ РИСКА

Предприятия могут потерпеть неудачу или понести убытки в результате множества причин. Различия в этих причинах и их последствиях составляют основу для дифференциации рисков, которые можно классифицировать следующим образом:

• ФИНАНСОВЫЕ РИСКИ. Финансовый риск включает в себя отношения между организацией и преимуществом, которое может быть потеряно или повреждено. Таким образом, финансовый риск включает 3 элемента:

1. Организация, которая подвержена убыткам Элементы, составляющие причины финансовых потерь. Опасность, которая может привести к убыткам (угроза риску).

• ДИНАМИЧЕСКИЕ РИСКИ: они являются результатом изменений в экономике, которые возникают из-за двух факторов:

1. Факторы внешней среды; экономика, отрасль, конкуренты и клиенты. Другими факторами, которые могут привести к убыткам, являющимся основой спекулятивного риска, являются решения руководства организации.

• СТАТИЧЕСКИЕ РИСКИ: Эти риски возникают из-за других причин, помимо изменений в экономике, таких как: нечестность или человеческая неудача. ОСОБЕННОСТИ РИСКА: Описывает ситуацию, которая ожидает возможность потери или прибыли. Хорошим примером является рискованная или случайная ситуация. ЧИСТЫЙ РИСК: Обозначает те ситуации, которые приносят только убытки или прибыль, например, вероятность потери при покупке товара (автомобили, дома и т. Д.). Чистые риски могут быть классифицированы следующим образом: Личный риск: Состоит из вероятности потери с учетом следующих опасностей: преждевременная смерть, заболевание и инвалидность. Риск владения: Они охватывают 2 различных типа потери, а именно: прямые потери в результате разрушения. товаров,и косвенные убытки, вызванные последствиями прямых потерь или дополнительных расходов. Риски ответственности: Ваша основная опасность - травмы других людей или повреждение имущества в результате небрежности или небрежности Физические риски: Это, например, чрезмерный шум, недостаточное освещение, воздействие радиации, неадекватные электрические установки Химические риски: К этому классу относятся, например: Воздействие паров растворителей, дыма и газов сгорания. Биологические риски: Грибы и бактерии. Психосоциальные риски: несправедливый экономический доход, однообразие, отсутствие стимулов и мотивации. Эргономические риски: Неудобное рабочее место, вынужденное положение тела, повторяющиеся движения при работе с машинами, переполненность. ОСНОВНОЙ РИСК:Это включает потери, которые являются безличными по происхождению и последствиям. Большинство из них вызваны экономическими, социальными явлениями. Они влияют на часть организации. ОСОБЫЙ РИСК: Это убытки, которые возникают в результате отдельных событий до того, как они возникают из всей группы. Безработица, война, инфляция, землетрясения - все это фундаментальные риски; пожар дома и ограбление банка представляют особый риск.

1.2. БИЗНЕС-РИСКИ, СВЯЗАННЫЕ С КОМПЬЮТЕРАМИ

Основными компьютерными рисками бизнеса являются:

• Риски целостности:Этот тип покрывает все риски, связанные с авторизацией, полнотой и точностью ввода, обработки и отчетности приложений, используемых в организации. Эти риски относятся ко всем аспектам системы поддержки бизнес-процессов и присутствуют во многих местах и ​​многократно во всех частях приложений; однако эти риски проявляются в следующих компонентах системы: пользовательский интерфейс: риски в этой области, как правило, связаны с ограничениями, индивидуальными особенностями организации и ее полномочиями на выполнение бизнес-функций / функций системы; принимая во внимание их потребности в работе и разумное разделение обязанностей.Другие риски в этой области связаны с элементами управления, которые обеспечивают достоверность и полноту информации, введенной в систему. Обработка. Риски в этой области, как правило, связаны с надлежащим балансом детективных и профилактических мер контроля, обеспечивающих завершение обработки информации. Эта область риска также охватывает риски, связанные с точностью и полнотой отчетов, используемых для обобщения результатов и принятия деловых решений. Обработка ошибок. Риски в этой области, как правило, связаны с методами, обеспечивающими надлежащую регистрацию, исправление и точную повторную обработку любой информации об ошибках ввода / обработки (исключений). Интерфейс:Риски в этой области, как правило, связаны с профилактическим и детективным контролем, который обеспечивает правильную обработку и передачу информации приложениями. Управление изменениями. Риски в этой области обычно можно рассматривать как часть инфраструктуры риска и влияние изменений приложения. Эти риски связаны с неадекватным управлением процессами организационных изменений, включая: обязательства и обучение пользователей обработке изменений, а также способы их передачи и реализации. Информация: Риски в этой области обычно можно рассматривать как часть инфраструктуры приложения. Эти риски связаны с неадекватным управлением средствами контроля,включая целостность безопасности обрабатываемой информации и эффективное администрирование систем баз данных и структур данных. Целостность может быть потеряна из-за: ошибок программирования (хорошая информация обрабатывается плохо сконструированными программами), обработки ошибок (неправильно обработанные транзакции) или управления и обработки ошибок (плохое управление обслуживанием системы).Риск отношений. Риск отношений относится к своевременному использованию информации, созданной приложением. Эти риски напрямую связаны с информацией для принятия решений (правильная информация и данные от правильного человека / процесса / системы в нужное время позволяют принимать правильные решения). Риски доступа:Эти риски связаны с несоответствующим доступом к системам, данным и информации. Эти риски включают в себя: риски несоответствующего разделения работы, риски, связанные с целостностью информации из систем баз данных, и риски, связанные с конфиденциальностью информации. Риски доступа могут возникать на следующих уровнях структуры информационной безопасности: Бизнес-процессы. Организационные решения должны отделять несовместимую работу от организации и обеспечивать правильный уровень выполнения функций. Применение: внутреннее применение механизмов безопасности, которое предоставляет пользователям необходимые функции для выполнения их работы. Управление информацией: механизм предоставляет пользователям доступ к информации, относящейся к окружающей среде.Среда обработки. Этими рисками в этой области управляет несоответствующий доступ к среде программ и информации. Сети: в этой области говорится о несоответствующем доступе к сетевой среде и ее обработке. Физический уровень: физическая защита устройств и соответствующий доступ к ним.Риски полезности. Эти риски сосредоточены на трех различных уровнях риска: Риски могут быть связаны с обращением к системам до возникновения проблем. Методы восстановления / восстановления, используемые для минимизации поломок системы. Резервные копии и планы управление чрезвычайными ситуациями при обработке информации. Инфраструктурные риски:Эти риски относятся к тому факту, что в организациях отсутствует эффективная структура технологической информации (аппаратные средства, программное обеспечение, сети, люди и процессы) для адекватной поддержки будущих и настоящих потребностей предприятий при эффективных затратах. Эти риски связаны с технологическими информационными процессами, которые определяют, развивают, поддерживают и управляют средой обработки информации и связанными приложениями (обслуживание клиентов, оплата счетов и т. Д.). Эти риски обычно рассматриваются в контексте следующих ИТ-процессов: Организационное планирование: процессы в этой области обеспечивают определение воздействия, определение и проверку ИТ в бизнесе. Также,Проверьте, существует ли адекватная организация (люди и процессы), чтобы усилия компьютерных технологий были успешными. Определение приложений: процессы в этой области обеспечивают соответствие приложений потребностям пользователей и поддерживают контекст бизнес-процессов. Эти процессы включают в себя: решение купить существующее приложение или разработать клиентские решения. Эти процессы также гарантируют, что любые изменения в приложениях (приобретенных или разработанных) следуют определенному процессу, который подтверждает, что критические процессы / контрольные точки согласованы (все изменения проверяются пользователями до развертывания). Администрирование безопасности: процессы в этой области гарантируют, что организация должным образом направлена ​​на создание,Поддерживать и контролировать внутреннюю систему безопасности, которая имеет административные политики, касающиеся целостности и конфиденциальности информации организации, а также сокращения мошенничества до приемлемых уровней. Сетевые и вычислительные операции: процессы в этой области гарантируют, что информационные системы и сетевые среды работают в безопасной и надежной схеме, а обязанности по обработке информации выполняются определенным, измеренным и контролируемым оперативным персоналом. Они также обеспечивают согласованность и доступность систем для пользователей на удовлетворительном уровне производительности. Администрирование систем баз данных:Процессы в этой области предназначены для обеспечения того, чтобы базы данных, используемые для поддержки критически важных приложений и отчетов, имели согласованность определений, соответствовали требованиям и снижали вероятность избыточности. Информация / бизнес. Процессы в этой области разработаны таким образом, чтобы обеспечить наличие адекватного плана, обеспечивающего доступность информационных технологий для пользователей, когда они в них нуждаются.Общие риски безопасности. Стандарты МЭК 950 предусматривают проектные требования для обеспечения общей безопасности и снижения риска: Риски поражения электрическим током: Высокие уровни напряжения. Пожарная опасность: воспламеняемость материалов. Риски неадекватного уровня электрической энергии. Радиационные риски: шумовые, лазерные и ультразвуковые волны. Механические риски: нестабильность электрических частей.

1.3. МЕТОДИКА ПРОЦЕДУРЫ УПРАВЛЕНИЯ РИСКАМИ

• ИЗБЕЖАНИЕ РИСКОВ: Риск избегается, когда он не принят в организации. Эта техника может быть скорее негативной, чем позитивной. Если бы чрезмерное использование риска использовалось, бизнес был бы лишен многих возможностей получения прибыли (например, риск, вкладывая капитал) и, вероятно, не достиг бы своих целей. СНИЖЕНИЕ РИСКА: Риски могут быть уменьшены, например, с помощью: программ безопасности охранники, сигналы тревоги и оценка будущих потерь с учетом рекомендаций экспертов. СОХРАНЕНИЕ РИСКОВ: Это, пожалуй, самый распространенный из способов противостоять рискам, поскольку во многих случаях положительным действием является не передача его или уменьшение его действия. Каждая организация должна решить, какие риски сохраняются или передаются на основе их запаса на непредвиденные расходы,Убыток может стать финансовым бедствием для организации, легко поддерживаемой другой организацией ПОДЕЛИТЬСЯ РИСКАМИ: Когда риски распределяются, вероятность потери передается от человека к группе.

1. РЕШЕНИЯ В УПРАВЛЕНИИ РИСКАМИ

2.1. ОПРЕДЕЛЕНИЕ УПРАВЛЕНИЯ РИСКАМИ

Управление рисками - это научный подход к поведению рисков, предполагающий возможные случайные убытки с разработкой и внедрением процедур, которые сводят к минимуму возникновение убытков или финансовое влияние возможных убытков.

2.2. ИНСТРУМЕНТЫ АДМИНИСТРАЦИИ РИСКА

Основные методы или инструменты, используемые в управлении рисками:

• Контроль риска: метод, предназначенный для минимизации возможных затрат, вызванных рисками, которым подвергается организация, этот метод включает в себя отказ от любого воздействия потери конкретной деятельности и снижение вероятности возможных потерь.

• Финансирование рисков: оно направлено на обеспечение способности знать финансовые ресурсы и потери, которые могут в них возникнуть. Орошение часто передается или удерживается. Когда они сохраняются, они сопровождаются определенным распределением бюджета и могут включать накопление финансового ресурса, чтобы узнать его отклонения. При передаче они покрывают договорные соглашения и передачу определенных видов деятельности на внешний подряд.

2.3 ПРОЦЕСС АДМИНИСТРАЦИИ РИСКА

Процесс состоит из следующих шагов:

• Определите цели: первый шаг в управлении рисками - это принятие точного решения относительно программы управления рисками. Чтобы получить максимальную выгоду от расходов, связанных с управлением рисками, необходим план. В противном случае процесс управления рисками следует рассматривать как серию изолированных проблем, а не как простую проблему, и не существует руководящих принципов, обеспечивающих логическую последовательность процессов организации.

Основная цель управления рисками, как первого закона природы, состоит в том, чтобы гарантировать выживание организации, сводя к минимуму расходы, связанные с рисками. Многие из недостатков в управлении рисками заключаются в отсутствии четких целей.

Цели управления рисками закреплены в «корпоративной политике управления рисками», в которой описаны политики и меры, принятые для ее достижения.

В идеале цели и политика управления рисками должны быть продуктом решений Совета директоров компании.

• Определение рисков. Трудно обобщить информацию о рисках организации, поскольку условия и операции различны, но существуют способы их выявления, среди которых:

• Инструменты идентификации рисков. Наиболее важные инструменты, используемые при идентификации рисков, включают: внутренние записи организации, контрольные списки для страховых полисов, вопросники анализа рисков, потоки процессов, финансовый анализ, проверка операций и собеседования.,

• Комбинированный подход: предпочтительный подход в идентификации риска состоит из комбинированного подхода, в котором все инструменты идентификации риска сделаны, чтобы терпеть проблемы. В двух словах, каждый инструмент может решить часть проблемы, и в совокупности они могут оказать существенную помощь менеджеру по управлению рисками. Риски могут возникать из многих источников, поэтому менеджеру по управлению рисками нужна система быстрого поиска информации, предназначенная для обеспечения потока информации об изменениях в операциях и изменениях во взаимоотношениях с внешними субъектами. Оценка рисков:Как только риски определены, менеджер по рискам должен оценить их. Это включает в себя измерение потенциальной потери и вероятности потери путем классификации порядка приоритетов. Набор критериев может использоваться для установления приоритета, ориентированного на потенциальное финансовое воздействие убытков, например: Критические риски: все риски убытков, при которых величина достигает банкротства. Важные риски: это риски убытков, которые Они не становятся банкротами, но требуют от организации действий для продолжения деятельности Незначительные риски: подверженность убыткам, которые не вызывают большого финансового воздействия. Рассмотрение альтернатив и выбор механизмов лечения риска:Следующим шагом является рассмотрение методов, которые можно использовать для борьбы с рисками. Эти методы включают в себя: избегание рисков, удержание, прозрачность и сокращение. Некоторые из политик управления рисками организации устанавливают критерии, которые должны применяться при выборе методов, описывая правила, с которыми может работать менеджер риска. Реализация решения, оценка и обзоры: этот шаг должен быть включен по двум причинам. Во-первых, процесс управления рисками не является окончательной панацеей, все может измениться, появляются новые риски и исчезают старые риски, программа управления рисками позволяет менеджеру по управлению рисками анализировать решения и обнаруживать ошибки.

2.4 ОТВЕТСТВЕННОСТЬ АДМИНИСТРАТОРА РИСКА

1. Разработка политик управления рисками. Менеджер по рискам помогает организации в определении целей и подготовке политик со старшим руководством. Идентификация рисков: это значительно самая сложная функция управления рисками. Этот процесс требует большой информационной системы, которая будет предупреждать менеджера по рискам о новых рисках убытков. Выбор финансовых альтернатив: на основе финансовой структуры организации менеджер по рискам рекомендует выбрать путь.

1. Обсуждая сферу безопасности: менеджер по рискам должен определить, какие гарантии необходимы, и должен получить наилучшее сочетание объема и стоимости.

1. Контролировать внутреннее администрирование: эта функция включает статистику потерь, руководства по ирригационному управлению, мониторинг обновления и администрирование графика.

1. Управление функциями риска: Эта функция включает в себя: мониторинг страхования и надзор за договорами страхования.

1. Надзор за предотвращением потерь: не будучи экспертами, они должны иметь глобальные знания в области, подверженной потерям.

1. РЕШЕНИЯ В УПРАВЛЕНИИ РИСКАМИ

Основные решения, которые должны быть приняты в управлении рисками:

• Инстинктивные реакции на риск: естественный инстинкт самосохранения, инстинктивная реакция на опасность - это меры контроля, которые можно классифицировать как усвоенное поведение. Они становятся врожденными стандартами поведения и представляют собой личные правила предотвращения потерь. Хорошие и плохие решения в управлении рисками: одна из самых сложных проблем в решениях по управлению рисками - это отличить хорошие решения от плохо, потому что управление рисками включает в себя решения, принимаемые в условиях неопределенности, иногда ошибочно оцениваемые. Оценка должна быть сделана на основе доступной и обновленной информации.

• Анализ затрат и выгод: анализ затрат и выгод пытается измерить вклад, который вносит управление рисками, проверяя, превышают ли его выгоды его стоимость; В настоящее время анализ затрат и выгод может использоваться для оценки любого решения, когда выгоды будут получены в течение расчетного времени. Хотя анализ затрат и выгод является хорошим методом для принятия решений по управлению рисками, природа рисков создает препятствия для их использования, где затраты обычно измеряются, а выгоды не могут быть. Полезность была первоначально введена для объяснения характера функции спроса, то есть полезность или удовлетворение, получаемые из экономической выгоды, не увеличиваются пропорционально увеличению товара,Используя эту технику в качестве основы для принятия решений, появляются последовательные, хотя иногда и неадекватные решения.

• Теория принятия решений: также называемая анализом решений, она может использоваться для определения дополнительных стратегий, когда принятое решение сталкивается с некоторыми альтернативными решениями и неопределенной моделью будущих событий.

Первый шаг аналитика в теории принятия решения с учетом проблемы состоит в том, чтобы перечислить все доступные альтернативы решения; Второй шаг - перечислить все будущие события, которые могут произойти, эти будущие события называются «состояниями природы» проблемы. Решающие ситуации делятся на 3 типа:

1. Принятие решений при определенности: существует одно-единственное «состояние природы», и решение принимается с уверенностью. Принятие решений под угрозой: существует более одного «состояния природы», и возможны все доступные состояния. решений в условиях неопределенности: существует более одного «состояния природы», но ничего не известно о вероятности или выборе возникновения различных состояний.

3.1 ПРАВИЛА АДМИНИСТРАЦИИ РИСКА

Управление рисками рассматривается как особая функциональная область организации, для которой ее принципы и методы были формализованы. В области управления рисками были созданы следующие правила:

• Не рискуйте больше, чем возможно: наиболее важный фактор при определении того, какие риски требуют определенных действий, - это максимальный потенциал убытков, некоторые убытки могут быть потенциально разрушительными буквально за пределами сферы деятельности организации, в то время как другие связаны с меньшими финансовыми последствиями, если максимальный потенциал Потеря угрозы велика, потеря неуправляема или риск должен быть передан.

• Рассмотрим различия: это правило предполагает, что вероятность потери может быть важным фактором при принятии решения о том, что делать с конкретным риском.

• Не рискуйте много ради небольшого: это правило диктует, что может быть разумная связь между стоимостью передачи рисков и стоимостью, которая накапливается между теми, кто их переносит. Это правило предусматривает два направления: во-первых, риски не могут быть сохранены, когда возможный убыток относительно велик по сравнению с выгодами, полученными в результате удержания.Второй аспект заключается в том, что в некоторых случаях выгода, необходимая для страхования риска, не пропорциональна риск перенесен.

1. ОЦЕНКА И ОБЗОР ПРОБЛЕМ ПРИ УПРАВЛЕНИИ РИСКАМИ

Оценка и анализ важны для процесса управления рисками по двум причинам:

1. Первая причина заключается в том, что все меняется, появляются решения, которые были уместны в прошлом, а старые риски исчезают. Ошибки постоянно появляются, а постоянный анализ дает возможность обнаружить ошибки прошлого.

4.1. ОЦЕНКА И ОБЩИЙ ОБЗОР

Этот этап соответствует административной части контроля управления рисками, целью которого является проверка того, что операции соответствуют запланированным и требуют:

• Стандарты и цели, которые должны быть выполнены. Измерьте выполнение операций с этими стандартами и целями. Предпримите корректирующие действия, когда результаты отличаются от желаемых.

4.2 АУДИТ В АДМИНИСТРАЦИИ РИСКА

Процесс аудита включает в себя следующие этапы:

• Оценка целей и политик управления рисками. Оценка программы управления рисками включает измерение программ со стандартами, а цели программы представляют собой первые логические стандарты. Эта оценка обычно включает анализ финансов организации и ее способности противостоять убыткам. Идентификация и оценка рисков после того, как цели были определены и оценены, следующим шагом является выявление подверженности существующим рискам в организации, это Этап состоит из анализа операций с целью определения различных факторов риска убытков. Оцените решения, связанные с убытками, этот этап включает обзор степени рисков. Оцените меры по управлению рисками, которые были реализованы.Этот шаг оценивает прошлые решения, проверяя, что решение было правильно выполнено. Этот этап включает обзор мер контроля и финансовых потерь. Рекомендовать изменения в пользу программы аудита.

4.2.1. СФЕРА АУДИТОРА АДМИНИСТРАЦИИ РИСКА

Три основные области, которые могут быть проверены:

• Политики управления рисками: этот аспект ориентирован на цели программы, ответственность и полномочия менеджера по управлению рисками и соответствие политик целям. Контроль рисков: специализированный характер предотвращения потерь и контроля за различными типами рисков делает необходимым проведение специализированных аудитов, которые могут включать в себя: Аудит защиты Аудит безопасности Экологический аудит Компьютерный аудит безопасности Контроль потери имущества Аудит Функция безопасности: Эту функцию можно выполнять на двух уровнях: первый - это оценка ее роли во всей программе управления рисками, второй - более подробный обзор программы безопасности, в котором рассматривается ее масштаб с подробным анализом.,

1. ЦЕЛИ АДМИНИСТРАЦИИ РИСКА

Ниже приведены наиболее распространенные цели:

• Обеспечить наилучшее управление ресурсами. Минимизировать издержки бизнеса, вызванные рисками. Защитить сотрудников от вреда. Знать договорные и юридические обязательства. Устранить последующие проблемы.

5.1. КЛАССИФИКАЦИЯ ЦЕЛЕЙ

• ЭКОНОМИЧЕСКИЕ:

Цель состоит в том, чтобы снизить стоимость бизнеса, вызванного рисками, до минимально возможного уровня.

• СНИЖЕНИЕ ТРЕВОГИ:

Относится к заверениям, полученным от использования мер, используемых для управления неприятностями. Когда потенциальные катастрофы не решаются, неопределенность может отвлекать менеджеров от правильного принятия корпоративных решений.

• ПОЛУЧИТЬ СТАБИЛЬНОСТЬ:

Цель стабильности поддерживается эффектом, вызванным большими вариациями, которые могут возникнуть у третьих сторон, и тем, как способствовать уменьшению этих вариаций.

• ПРОДОЛЖАЙТЕ РАЗРАБОТКУ:

Максимизация прибыли не всегда является доминирующей целью в организации. Еще одна корпоративная цель - способность продолжать расти.

• СОЦИАЛЬНАЯ ОТВЕТСТВЕННОСТЬ

Это относится к разнообразию социальных обязательств, которые организация имеет перед своими сотрудниками и перед обществом в целом; Иногда возникают конфликты с целью экономики.

5.2 АДМИНИСТРАЦИОННАЯ ПОЛИТИКА РИСКА

Политика - это общее руководство к действию, это стандартный план организации, который переводит цели в более конкретные руководства. При определении политик управления рисками для конкретной организации принимаются во внимание решения, которые могут быть приняты только руководством организации. При разработке политик управления рисками для принятия решений необходимы некоторые факторы:

• Основные цели программы управления рисками: Основная цель - сохранить операционную эффективность организации. Эта цель включает в себя предотвращение финансовых потерь, вызванных стихийными бедствиями, которые препятствуют основным функциям организации.

• Консолидация программы удержания: когда политика управления рисками устанавливает максимальный уровень удержания (определение рисков или убытков, которые не будут сохранены), существует разумное направление консолидации удержанных убытков, что обеспечивает большую гибкость в принятии контрольных решений.,

1. ИДЕНТИФИКАЦИЯ РИСКА

Прежде чем столкнуться с рисками, кто-то должен их идентифицировать. Эта задача никогда не заканчивается, так как постоянно появляются новые угрозы.

Идентификация рисков является непрерывной и зависит от сети связи внутри организации, генерируя постоянный поток информации о деятельности организации.

6.1. МЕТОДОЛОГИИ ИДЕНТИФИКАЦИИ РИСКА

Методы идентификации рисков были разработаны одновременно специалистами из разных дисциплин, каждая из которых ориентирована на свою специальность. К таким специалистам относятся специалисты по страхованию, специалисты по безопасности, инженеры-технологи, бухгалтеры и инженеры общего профиля.

Методы идентификации риска, как правило, разрабатывались в рамках усилий по предотвращению и контролю потерь:

• Идентификация, основанная на прошлых потерях: до недавнего времени основной методологией идентификации риска было наблюдение за потерями, которые произошли, как правило, идентификация рисков не производится до тех пор, пока потеря не произойдет. Всякий раз, когда возникает риск, принимаются меры, которые, возможно, предотвращают возникновение убытков из одного и того же источника. Страховые компании играли наибольшую роль в разработке методов идентификации рисков, и большинство разработанных ими методов основывались на анализе прошлых убытков; Страховщики также разработали контрольные списки, которые обеспечивают основу для определения риска.

Существует процесс, называемый «Андеррайтинг», который состоит из выбора страховки для конкретного риска и крысы, для которой он будет застрахован. В этом процессе проводятся проверки для сбора информации о рисках; На основе этих проверок могут быть приняты корректирующие меры, на основе этого опыта сформирована наука об идентификации рисков. На основе анализа прошлого опыта можно прогнозировать будущие потери, поскольку потери варьируются в зависимости от причин, которые их окружают. Кроме того, историческая запись о потерях также используется при определении причин прошлых потерь, что служит основой для предотвращения потерь и мер контроля.

• Методы систем безопасности: в 1960-х годах инженеры-военнослужащие Соединенных Штатов разработали подход к идентификации опасностей; Исторически риски были выявлены из опыта после потери. Деятельность, связанная с космической и военной программой, открыла новые рубежи, для которых был необходим новый подход. Наибольший вклад в космическую и военную программу внесла совокупность знаний по предотвращению потерь и контролю, было внедрение ориентированных на безопасность систем. Термин «Системы безопасности» обычно используется для описания совокупности математических и логических методов, которые постоянно применяются для обнаружения и исправления угроз для рисков концептуального состояния продукта,через его детальный дизайн и операции.

Этот процесс включает в себя изучение операционных процедур, изучение процедур и обзоров старшего руководства. Системы, которыми были заняты инженеры, были сложными и требовали нового видения идентификации рисков. Чтобы справиться с этой ситуацией, ученые разработали множество методов, известных как «Системы безопасности» и являющихся частью арсенала риск-менеджера. Некоторые особенности отличают системный подход безопасности от традиционной методологии предотвращения потерь. Основной особенностью является упор на выявление возможных причин аварий до их возникновения.

6.2. ИНСТРУМЕНТЫ ИДЕНТИФИКАЦИИ РИСКА

Термин «Инструменты идентификации риска» включает в себя некоторые стандартные формы и контрольные списки, которые предназначены для облегчения процесса идентификации риска как такового, эти инструменты различаются как документы, которые предоставляют картину рисков. Инструменты предоставляют руководство для организации и интерпретации информации, накопленной с помощью методов идентификации рисков.

• Анкеты для анализа рисков. Ключевым инструментом идентификации рисков являются анкеты. Эти анкеты предназначены для того, чтобы помочь менеджеру по управлению рисками выявлять угрозы с помощью серии вопросов, а в некоторых случаях этот инструмент предназначен для внедрения страхуемых рисков. и не подлежит страхованию. Анкета для анализа рисков предназначена для использования в качестве хранилища для накопленной информации из документов, интервью и проверок. Его цель состоит в том, чтобы направлять человека, пытающегося определить риски, в процессе идентификации в логической и последовательной модели.

• Контрольные списки подверженности рискам. Вторым важным средством определения рисков и одним из наиболее распространенных инструментов анализа рисков являются контрольные списки, которые представляют собой просто список подверженности рискам.

• Контрольные списки политик безопасности: этот инструмент включает в себя каталог различных политик безопасности, которые могут понадобиться конкретному бизнесу. Менеджер по рискам консультируется с политиками, собранными и примененными к фирме.

• Экспертные системы. Экспертная система, используемая в управлении рисками, включает в себя аспекты инструментов, описанных в одном инструменте. Интегрированный характер программы позволяет пользователю генерировать письменные цели и перспективы.

6.3. МЕТОДЫ ИДЕНТИФИКАЦИИ РИСКА

Инструменты идентификации риска описывают структуру, которая интерпретирует информацию, полученную из четырех методов идентификации риска, а именно:

• РУКОВОДСТВО: первый шаг в выявлении рисков заключается в получении выгоды от знания организации и ее деятельности. Менеджер по рискам нуждается в общем понимании преимуществ и функций организации.

• АНАЛИЗ ДОКУМЕНТА: История организации и ее текущие операции хранятся в различных записях. Эти записи представляют собой основной источник информации, необходимой для анализа рисков; Аудитор должен получить внутренние документы, которые содержат информацию о деятельности и истории организации. Основными документами, по которым извлекается соответствующая информация, являются:

1. Отчет о финансовом анализе. Финансовые отчеты могут быть важным источником информации для функции управления рисками; Балансы и отчеты о прибылях и убытках являются основными источниками информации об организации.

Хотя финансовая отчетность является лишь одним аспектом системной записи организации, она представляет собой важный источник информации для идентификации рисков. Например, бухгалтерский баланс организации показывает наличие различных типов активов, которые направляют аудитора на поиск информации о возможных убытках, которым подвержены активы. Одновременно баланс может также указывать, сколько денег или капитала доступно в качестве меры удержания убытков.

1. Блок-схемы: анализ блок-схем операций может предупредить менеджера по рискам о необычных аспектах деятельности фирмы, блок-схему внутренних операций организации - раскрывая тип и последовательность ее действий - рассматривать фирму как процессинговую единицу в поисках обнаружения всех непредвиденных обстоятельств, которые могут прервать ее процессы. Наиболее положительное преимущество использования потоковых диаграмм, вероятно, заставит менеджера по рискам ознакомиться с техническими аспектами деятельности организации.

1. Блок-схемы. Блок-схема показывает подразделения организации, сообщая об их отношениях, блок-схемы также предоставляют идентификатор риска с пониманием характера и масштабов деятельности организации.

1. Существующие политики: Аудитору понадобятся действующие политики для оценки объема идентификации риска и собранной информации.

1. Отчетность о потерях. Другим важным источником информации, который может помочь в выявлении рисков, является отчет организации о своих прошлых потерях; Изучение записей о потерях будет указывать виды потерь, которые были произведены, с учетом степени риска определенных действий или операций.

1. Интервью: еще одним важным источником информации, который может помочь в выявлении рисков, являются интервью с ключевыми сотрудниками организации; некоторая информация не записана в документах или записях, существующих только в умах руководителей и работников. Ниже приводятся некоторые из ключевых людей для интервью: инженеры завода, начальник штаба, администраторы безопасности, сотрудники и руководители.

1. Инспекции: это наиболее используемый инструмент для получения хорошего знания операций. Инспекция является одной из наиболее важных частей процесса разработки обзора, потому что:

• Помогает ознакомить аудитора с организацией Помогает указать возможные степени защиты Помогает выявить возможные потери

6.4. ИНФОРМАЦИОННЫЕ СИСТЕМЫ В АДМИНИСТРАЦИИ РИСКА

Менеджер по рискам нуждается в системе обслуживания с широким спектром информации, которая влияет на риски организации.

Большая часть информации, необходимой для информационных систем управления рисками, в основном существует в организациях в неструктурированной форме. Информация становится более полезной, когда у вас есть информационная система управления рисками - RMIS

Целью RMIS является поддержка процесса принятия решений по анализу рисков путем консолидации аспектов функции управления рисками в базе данных, предоставляя сырье для принятия решений.

6.4.1 СИСТЕМЫ ЗАПИСИ УПРАВЛЕНИЯ РИСКАМИ

Информация о рисках организации является сырьем для принятия решений по проблеме. Отчеты о потерях и статистика являются важными инструментами управления рисками. Основными элементами информации являются:

- Программы стоимости недвижимости

- Список оборудования и свойств

- Запрос страхового предложения

- Политики безопасности и записи

- Отчет о претензиях

- Информация и сравнение прибыли и убытка

6.4.2. СИСТЕМЫ ВНУТРЕННЕЙ СВЯЗИ

Записи информационных систем управления рисками должны создавать информационные каналы, обеспечивающие передачу всей информации, относящейся к функции управления рисками, в отдел аудита, менеджер по рискам должен быть проинформирован о:

- Новое строительство, реконструкция или реконструкция недвижимости компании.

- Внедрение новых программ, продуктов, видов деятельности или операций

- прогресс работников

- Информация о деятельности всей организации.

6,5. РУКОВОДСТВО ПО УПРАВЛЕНИЮ РИСКАМИ

Это центральное хранилище всех корпоративных страховых полисов и всех систем управления рисками. Копии руководства можно распространять среди подразделений корпорации, чтобы сообщить об ожиданиях, которые различные подразделения компании имеют в отношении управления рисками.

1. УПРАВЛЕНИЕ РИСКАМИ

Первобытный человек жил в пещерах, а иногда и на деревьях, чтобы защитить себя от опасных диких животных. Первым практикующим по предотвращению потерь был человек, который залез на дерево, чтобы спастись от саблезубого тигра. История цивилизации - это история противостояния человека силам природы и другим опасностям.

В этой части будет рассмотрена концепция контроля рисков в общем контексте, основанном на общих принципах контроля рисков.

7.1 ОБЩИЕ СВЕДЕНИЯ О РИСКЕ

Контроль над рисками был неотъемлемой частью процесса управления рисками с тех пор, как была разработана концепция управления рисками. Два основных метода контроля риска: избегание рисков и снижение рисков.

• ИЗБЕГАЙТЕ РИСКОВ: Технически, риски избегаются, когда принимаются решения по предотвращению риска до его возникновения. «Избегайте рисков» следует использовать, когда воздействие имеет потенциальную катастрофу, и риск не может быть уменьшен или перенесен. Как правило, эти условия будут существовать в случае, если частота и серьезность риска высоки. Другой потенциал потерь диктует, что риск не может быть сохранен, а другая частота фактически гарантирует, что контроль, возможно, не будет экономически осуществимым.

• ГОСУДАРСТВЕННЫЕ СТАНДАРТЫ: Правила OSHA являются, пожалуй, лучшим примером институциональных стандартов контроля потерь. OSHA был разработан для того, чтобы как можно лучше обеспечить каждому работающему человеку в стране безопасные условия для выполнения своей работы, обеспечивая тем самым сохранение человеческих ресурсов.

7.2 КОНТРОЛЬ И УПРАВЛЕНИЕ РИСКАМИ

В идеале, хорошо продуманная программа контроля и предотвращения потерь должна охватывать следующие области:

- личная безопасность.

- Безопасность товаров.

- Контроль ответственности за потери.

- защита свойств.

- Физическая охрана.

Предотвращение потерь в каждой из этих областей является высокотехнологичной и специализированной функцией, иногда требующей специалистов-специалистов.

7.3. ТЕОРИИ АВАРИЙНЫХ ПРИЧИН

Чтобы понять, почему происходят несчастные случаи, может быть полезно разработать программы для их предотвращения. На сегодняшний день не было разработано ни одной доминирующей общей теории, которая бы знала, как происходят несчастные случаи; вместо этого есть две отдельные теории, каждая из которых имеет объяснительную и предсказуемую ценность:

• ТЕОРИЯ ДОМЕНА ГЕНРИХА:

По словам Генриха, «случайность» - это фактор в последовательности, которая может привести к повреждению, как показано на рисунке № 1, факторы могут быть визуализированы в виде ряда доменных карт, размещенных по краю; когда кто-то падает, цепная реакция завершается.

Каждый из факторов зависит от предшествующего фактора, например, так:

• Повреждение персонала происходит только в результате несчастного случая. Авария в результате личного или механического риска. Персонал и механические риски существуют в результате отказа персонала. Отказы персонала наследуются или приобретаются в их среде. это формирует условия, в которых человек рождается.

В теории предметной области говорится, что когда происходит повреждение, участвуют все пять факторов, и если один из факторов в последовательности удаляется, потери можно предотвратить. По словам Генриха, авария - это любое незапланированное и неконтролируемое событие, в результате которого действие или реакция объекта или человека может привести к причинению вреда или ущерба. После изучения 75 000 несчастных случаев на производстве Генрих пришел к выводу, что 98% всех несчастных случаев можно предвидеть, и, возможно, удастся сократить расходы на несчастные случаи на производстве при той или иной форме контроля потерь, оставшиеся 2% классифицируются как «Божественные деяния».

• ВЫДАЕТСЯ ТЕОРИЯ ЭНЕРГИИ УИЛЬЯМА ХАДДОНА:

Вместо того, чтобы сосредоточиться на человеческом поведении, Хэддон рассматривает несчастные случаи как проблему физической инженерии. Несчастные случаи происходят, когда энергия выходит из-под контроля, создавая большую нагрузку на конструкцию (собственность или человека), чем она может выдержать без вреда. Хэддон предлагает десять стратегий для подавления аварийных условий или увеличения аварийных условий:

1. Во-первых, предотвратить возникновение риска. Уменьшить объем производства риска. Предотвратить выброс рисков, которые существуют в настоящее время. Изменить уровень выбросов от источника рисков. Разделить риск по времени и пространству. Разделить риск и то, что будет защищено с помощью барьера. Изменить. Основные качества риска Обеспечьте защиту тем, что является более устойчивым, чем риск. Проверьте ущерб на основе риска Стабилизируйте, отремонтируйте или восстановите поврежденный объект.

7.4. НАУЧНЫЕ ПОДХОДЫ К КОНТРОЛЮ И ПРОФИЛАКТИКЕ РИСКОВ

Теории Генриха и Хэддона обеспечивают основу для понимания различных подходов к контролю и предотвращению рисков. Усилия по предотвращению потерь и снижению их воздействия предпринимаются практически на каждом этапе человеческой деятельности. Основными подходами являются:

• ИНЖЕНЕРНЫЙ ПОДХОД: Основная предпосылка инженерного подхода заключается в том, что люди мало заботятся о безопасности своего персонала и что человеческая природа неотъемлема для выполнения простых задач. Такой подход должен защищать людей от самих себя.

• ПОДХОД К ПОВЕДЕНИЮ ЧЕЛОВЕКА: Этот подход направлен на обучение безопасности и личную мотивацию. Этот подход предполагает, что большинство несчастных случаев происходит из-за незастрахованных событий и что большинство преимуществ в предотвращении потерь может быть достигнуто за счет усилий по изменению поведения людей. Эти усилия включают в себя:

1. Образование: служит для предупреждения о существовании рисков и их последствий, а также предоставляет руководство по безопасному выполнению функций. Организация должна обеспечивать соблюдение законов для мотивации желаемого поведения, правил и положений.

• МЕТОДЫ УПРАВЛЕНИЯ РИСКАМИ: Эти методы включают усилия по предотвращению возникновения убытков и минимизации непредвиденных затрат, и включают в себя:

1. Меры контроля и время применения. Меры контроля классифицируются в соответствии с их применением следующим образом: до аварии, во время аварии и после аварии. (См. Рисунок № 2) Контрольные меры и механизмы: Меры направлены на каждый инструмент или механическое устройство.

	Перед событием	Во время мероприятия	После события
Физическое лицо
машины
Команды

• СПЕЦИАЛИЗИРОВАННЫЕ МЕТОДЫ КОНТРОЛЯ И ПОТЕРЯ: Как было отмечено, методы контроля и предотвращения потерь практически бесконечны, перечисленные выше являются наиболее распространенными, но существуют специализированные методы, которые:

1. Разделение имущества: его цель состоит в том, чтобы ограничить стоимость имущества, которое может быть потеряно в одном случае. Восстановление: Предназначено для защиты имущества от будущих убытков. Реабилитация: На рабочем месте снижает финансовые потери от травм, снижая затраты на компенсацию пострадавшим работникам.. Резервирование: этот метод может помочь предотвратить неблагоприятные последствия несчастных случаев, в результате чего системы предотвращения, совершенствования мер безопасности.

7,5. СИСТЕМЫ БЕЗОПАСНОСТИ

Системы безопасности являются отраслью и развитием системного проектирования, применение инженерного обеспечения необходимо при проектировании и создании сложных систем; это в ответ на возрастающую сложность проблем, которые не могут быть решены с помощью традиционных подходов. Системы безопасности рассматривают процесс, ситуацию, проблему, машину или любую другую сущность как систему.

Ресурсы, которые являются частью организации, включают в себя: материалы, персонал, процедуры, технологии, время и другие факторы. Авария происходит, когда человек или механический компонент не функционирует. Целью систем безопасности является выявление этих отказов, их устранение или минимизация их последствий; и они представляют собой различные методы, предназначенные для анализа и выявления потенциальных сбоев в организациях. Предпосылкой для разработки методологий в системах безопасности является то, что аварии происходят в результате сбоев, и их можно предотвратить, чтобы идентифицировать эти сбои до их возникновения. Первое различие между системами безопасности и традиционными подходами заключается в акценте на выявлении потерь, которые еще не произошли,Вторым отличием является их постоянная вера в принцип случайности, а другим отличием является общий акцент на предотвращение несчастных случаев.

7.5.1. ТЕХНИКА СИСТЕМЫ БЕЗОПАСНОСТИ

• ЭФФЕКТ АНАЛИЗ И РЕЖИМ УГРОЗЫ (HMEA): Попытки выявить потенциальные недостатки в системах с помощью подробного анализа идентификации рисков. Анализ может быть подготовлен на любом уровне сложности - система, подсистема, компонент или детальная часть, как правило, следующим образом:

Нежелательные события, которые могут произойти или желательные события, которые могут потерпеть неудачу	Аппаратное или программное обеспечение, которое может вызвать сбой	Возможны человеческие причины или сбои в работе механизма.	Непосредственный функциональный результат риска	Влияние неисправных системных целей	Первая наблюдаемая индикация или отображение системного механизма	Оценка неисправности	Возможные меры по устранению механизмов риска	Действие, предпринятое для устранения или контроля риска	Ценность всех ресурсов, необходимых для осуществления профилактических мероприятий.
РЕЖИМ РИСКА	МЕХАНИЗМ РИСКА	ПРИЧИНА РИСКА	ЭФФЕКТ РИСКА	Тяжесть риска	ОБНАРУЖЕНИЕ РИСКА	НРАВИТСЯ РИСКА	МЕРЫ, ПРИНЯТЫЕ С РИСКОМ	ПРЕВЕНТИВНАЯ АКЦИЯ	КОНТРОЛЬНЫЕ РЕСУРСЫ

Таблица № 2 Входные столбцы в анализе воздействия и режима угрозы.

• ИЕРАРХИЧЕСКИЙ АНАЛИЗ ОТКАЗА (FTA). Он предназначен для выявления сбоев системы путем анализа причин событий. Обычно он выполняется диаграммой (известной как иерархия сбоев), которая следует отношениям между всеми второстепенными событиями, которые могут вызвать нежелательные крупные события. Логическая схема анализа иерархических сбоев может быть следующей:

FTA обычно анализируется на графике. иерархия сбоев имеет два верхних элемента (1), логическая схема, соединяющая логические подэвенты O и Y, способствующие тому, чтобы увидеть конечное желаемое событие (2) в качестве самих элементов.

Построение дерева начинается сверху с окончательного нежелательного события, дерево постепенно строится путем повторений до ответа на вопрос, который происходит, когда происходит событие? Необходимость или достаточность каждого вспомогательного события в случае следующего события указывается логическим соединителем И или ИЛИ, когда была определена цепочка случайностей и определено значение вспомогательных событий, FTA предоставляет карту для принятия превентивных мер.

7,6. ПЛАН ПРОТИВОПОЖАРНОЙ БЕЗОПАСНОСТИ

Необходимость в продвинутом плане для установления процедур в случае бедствия очевидна. Во время стихийного бедствия нормальные операции и процедуры могут быть прерваны, в основном, план действий в чрезвычайных ситуациях обеспечивает администрирование планов действий, которые следует направлять в случае бедствий или чрезвычайных ситуаций. План действий на случай бедствия должен учитывать:

• ОПРЕДЕЛЕНИЕ ТРЕБОВАНИЙ ДЛЯ БИЗНЕСА: Во время этой начальной части процесса необходимо провести анализ воздействия на бизнес, чтобы определить, каковы требования бизнеса. Многие бизнес-процессы настолько зависят от обработки данных, что больше не могут продолжать работу в случае аварии. Негативное влияние этого сбоя процесса должно быть оценено; то есть потери бизнеса, потери клиентов, денежные затраты и прибыль. Могут также быть нормативные причины, которые требуют, чтобы бизнес-процесс всегда был доступен. Этот анализ покажет, каковы приоритеты в бизнес-процессе и какая временная шкала восстановления необходима для каждого процесса. Точно так же,Авария несет в себе риск того, что организация потеряет отслеживание некоторых бизнес-транзакций, которые были в процессе, когда произошла авария. Анализ воздействия на бизнес должен будет определить, в какой степени такая потеря может быть допущена для каждого бизнес-процесса.

• ПРИОРИТЕТЫ В ОРГАНИЗАЦИИ БЕДСТВИЯ: Это определение приоритетов гарантирует, чтобы избежать путаницы и конфликтов при разработке плана, следующие основные типы приоритетов в порядке их важности: Защита человеческой жизни. Предотвращение или минимизация личного вреда. Предотвращение или минимизация вреда. Потенциал к физическим активам Восстановить нормальные операции как можно быстрее.

• ОПРЕДЕЛЕНИЕ ТРЕБОВАНИЙ ОБРАБОТКИ ДАННЫХ: После того, как бизнес-требования определены, их следует преобразовать в условия обработки данных, чтобы определить, какие процедуры и ресурсы необходимы для поддержки восстановления и обработки. нормальный. Функции, которые будут связаны с анализом бизнес-процессов и определением требований, включают: старшее руководство (информационные технологии, финансы и бизнес). Владельцы бизнес-процессов. Владельцы приложений. Поддержка систем и программирование. Информация. Сеть. Операции в целом.

Для выполнения этого процесса у вас могут возникнуть такие трудности, как:

• Отсутствие сотрудничества между руководителями высшего звена и бизнес-единицами. Отсутствие приоритета при восстановлении после сбоев. Недооценка бизнес-процессов. Отсутствие совести и доброй воли. Отсутствие плана процедур.

• ПРОЕКТИРОВАНИЕ РЕЗЕРВНОГО РЕШЕНИЯ И РЕШЕНИЯ ДЛЯ ВОССТАНОВЛЕНИЯ: На этом этапе описываются общие характеристики и основные элементы предназначенного решения. Этими элементами являются следующие: Область восстановления: этот элемент с самого начала гарантирует, что нет путаницы, зная, что вы пытаетесь восстановить и в течение какого периода. Определение области включает в себя: типы аварий, которые включены или исключены, максимальное время восстановления и текущее состояние информации после ее восстановления. Стратегия тестирования. Этот элемент в общих чертах определяет, как будут проводиться тесты, чтобы определить сложность и стоимость решения. Процессы резервного копирования и восстановления данных. Факторы, влияющие на решения о резервном копировании и восстановлении:Категоризация информации: информация является наиболее важным ресурсом. Другие ресурсы, такие как оборудование, программное обеспечение и физические средства, в конечном итоге заменяемы. Информация является наиболее изменчивым и сложным ресурсом из всех. Есть сценарий аварийного восстановления. Проверьте взаимосвязи между данными. Убедитесь, что транспортировка и хранение данных безопасны. Проверьте различные варианты резервного копирования данных (в данный момент копирует., онлайн-копии и инкрементные копии). Управление и управление альтернативными аварийными сайтами. Физическое и логическое описание параметров восстановления. Выберите подходящие продукты для резервного копирования (ленты, дискеты, резервное копирование на ленту, программное обеспечение для резервного копирования и сетевые утилиты) для дизайна.как оборудование, программное обеспечение и физические средства, в конечном итоге, могут быть заменены. Информация является наиболее изменчивым и сложным ресурсом из всех. Есть сценарий аварийного восстановления. Проверьте взаимосвязи между данными. Убедитесь, что транспортировка и хранение данных безопасны. Проверьте различные варианты резервного копирования данных (в данный момент копирует., онлайн-копии и инкрементные копии). Управление и управление альтернативными аварийными сайтами. Физическое и логическое описание параметров восстановления. Выберите подходящие продукты для резервного копирования (ленты, дискеты, резервное копирование на ленту, программное обеспечение для резервного копирования и сетевые утилиты) для дизайна.как оборудование, программное обеспечение и физические средства, в конечном итоге, могут быть заменены. Информация является наиболее изменчивым и сложным ресурсом из всех. Есть сценарий аварийного восстановления. Проверьте взаимосвязи между данными. Убедитесь, что транспортировка и хранение данных безопасны. Проверьте различные варианты резервного копирования данных (в данный момент копирует., онлайн-копии и инкрементные копии). Управление и управление альтернативными аварийными сайтами. Физическое и логическое описание параметров восстановления. Выберите подходящие продукты для резервного копирования (ленты, дискеты, резервное копирование на ленту, программное обеспечение для резервного копирования и сетевые утилиты) для дизайна.Разработайте сценарий аварийного восстановления. Проверьте взаимосвязи между данными. Убедитесь, что передача и хранение данных безопасны. Проверьте различные параметры резервного копирования данных (копии на данный момент, онлайн-копии и инкрементные копии). Управление и эксплуатация. Дополнительные аварийные сайты Физическое и логическое описание параметров восстановления Выберите продукты для резервного копирования (ленты, дискеты, резервные копии на магнитной ленте, программное обеспечение для резервного копирования и сетевые утилиты), подходящие для проектирования.Разработайте сценарий аварийного восстановления. Проверьте взаимосвязи между данными. Убедитесь, что передача и хранение данных безопасны. Проверьте различные параметры резервного копирования данных (копии на данный момент, онлайн-копии и инкрементные копии). Управление и эксплуатация. Дополнительные аварийные сайты Физическое и логическое описание параметров восстановления Выберите продукты для резервного копирования (ленты, дискеты, резервные копии на магнитной ленте, программное обеспечение для резервного копирования и сетевые утилиты), подходящие для проектирования.Физическое и логическое описание конфигурации восстановления Выберите продукты для резервного копирования (ленты, дискеты, резервное копирование на магнитную ленту, программное обеспечение для резервного копирования и сетевые утилиты), подходящие для данного проекта.Физическое и логическое описание конфигурации восстановления Выберите продукты для резервного копирования (ленты, дискеты, резервное копирование на магнитную ленту, программное обеспечение для резервного копирования и сетевые утилиты), подходящие для данного проекта.

• РЕАЛИЗАЦИЯ РЕШЕНИЯ ДЛЯ РЕЗЕРВНОГО РЕЗЕРВНОГО КОПИРОВАНИЯ И РЕШЕНИЯ: Первоначальный шаг в разработке плана действий на случай бедствия - определение людей, которые будут нести ответственность за создание плана и координацию функций. Обычно люди могут быть частью отдела кадров, управления рисками, отдела безопасности и связей с общественностью. План ликвидации последствий стихийных бедствий не требует создания новой организационной структуры. Существующая структура, временно перенастроенная для аварийной ситуации, может выполнять функции во время аварийной ситуации. На этом этапе решение для восстановления применяется на практике в соответствии с разработанным проектом, охватывающим две основные области: разработка и внедрение технических процедур для поддержки решения для восстановления;К ним относятся: процедуры резервного копирования данных, процедуры хранения, процедуры восстановления данных, процедуры управления компьютером, процедуры управления персоналом. Разработка плана восстановления. План аварийного восстановления состоит из подробного документа, в котором указаны все действия, которые будут предприняты до, во время и после аварии. План восстановления должен включать следующие элементы: Объем восстановления. Процессы выявления бедствий. Идентификация рабочих групп восстановления. Определение задач и обязанностей рабочих групп. Список телефонов и адреса ответственных лиц. Информация о покупках и приобретениях. Схемы сетевых топологий. Конфигурации и резервные копии.Распространение и сопровождение плана. После составления плана аварийного восстановления и внедрения решения для восстановления его необходимо распространить среди людей, которым он нужен. Изменения в вычислительной среде постоянны, и любые радикальные изменения могут сделать план непригодным для использования, среди изменений, которые могут повлиять: появление новых технологий. Изменения в текущей конфигурации оборудования. Изменения в сетевой среде. Организационные изменения.Среди изменений, которые могут повлиять: Появление новых технологий. Изменения в текущей конфигурации оборудования. Изменения в сетевой среде. Организационные изменения.Среди изменений, которые могут повлиять: Появление новых технологий. Изменения в текущей конфигурации оборудования. Изменения в сетевой среде. Организационные изменения.

Поэтому необходимо провести постоянный аудит плана, чтобы определить, были ли обновления или изменения применены к плану.

7.7. СТРУКТУРА КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ

История компьютерной безопасности восходит к моменту появления первых письменных документов. Фактически необходимость в безопасной информации возникла в 2000 году до нашей эры. Египтяне первыми стали использовать специальные иероглифы для кодирования информации, и со временем цивилизации Вавилона, Месопотамии и Греции изобрели способы защиты своей письменной информации. Шифрование информации, которое является основой шифрования, использовалось Юлием Цезарем и на протяжении всей истории в периоды войны, включая гражданские и революционные войны и две мировые войны. Одной из самых известных машин шифрования была немецкая Enigma, используемая немцами для создания зашифрованных сообщений во Второй мировой войне. Со временем,и благодаря усилиям проекта Ultra Соединенных Штатов Америки, среди прочего, способность расшифровывать сообщения, сгенерированные немцами, стала важным успехом для союзников.

En los últimos diez años, la importancia de la seguridad informática se ha puesto de manifiesto por algunas historias. Una de ellas fue la del gusano de Internet, en 1988, que se extendió por decenas de miles de computadores, como resultado de la obra de un hacker llamado Robert Morris. Había un pirata informático en 1995 en Alemania que se introdujo en casi 30 sistemas a partir de un objetivo que se había propuesto a sí mismo de casi 500. Más recientemente, en febrero de 1995, el arresto del pirata informático más buscado, Kevin Nitnick, reveló las actividades criminales que incluían el robo de códigos, de información y de otro tipo de datos secretos durante años. Claramente, la amplia utilización de los sistemas informáticos ha puesto en evidencia la importancia de la seguridad informática. El objetivo principal de la seguridad informática es proteger los recursos informáticos del daño, la alteración, el robo y la pérdida. Esto incluye los equipos, los medios de almacenamiento, el software, los listados de impresora y en general, los datos. Una efectiva estructura de seguridad informática se basa en cuatro técnicas de administración de riesgos, mostradas en el siguiente diagrama:

• Estrategias y políticas: Estrategias de administración para seguridad informática y políticas, estándares, guías o directivos usados para comunicar estas estrategias a la organización.

• Administración de la organización: Procesos que se dirigen hacia políticas profesionales y programas de capacitación, administración de cambios y control, administración de seguridad y otras actividades necesarias.

• Monitorización de eventos: Procesos reactivos que permite a la administración medir correctamente la implementación de políticas e identificar en que momento las políticas necesitan cambios.

• Técnología informática: Es la tecnología necesaria para proveer la apropiada protección y soporte en los distintos procesos involucrados en la organización. La seguridad informática abarca un amplio rango de estrategias y soluciones, tales como: Control de acceso: Una de las líneas de defensa más importantes contra los intrusos indeseados es el control de acceso. Básicamente, el papel del control de acceso es identificar la persona que desea acceder al sistema y a sus datos, y verificar la identidad de dicha persona. La manera habitual de controlar el acceso a un sistema es restringir la entrada a cualquiera que no tenga un nombre de usuario y una contraseña válidos. Las contraseñas son un ejemplo de una forma simple pero efectiva de control de acceso.

El control de acceso es efectivo para mantener a las personas desautorizadas fuera del sistema. Sin embargo, una vez que alguien está dentro, la persona no debería tener acceso libre a todos los programas, archivos e información existente en el sistema. El control de acceso discrecional, a veces abreviado por el acrónimo DAC, se realiza en muchos sistemas, y es una parte importante de cualquier acceso donde el acceso a los archivos y programas se concede en función de la clase de permisos otorgados a un usuario o un perfil de usuarios. Es discrecional en tanto que un administrador puede especificar la clase de acceso que decide dar a otros usuarios del sistema. Esto difiere de otra clase de controles más restrictiva, control de acceso obligatorio (MAC), que proporciona un control mucho más rigido de acceso a la información del sistema.

• Virus informáticos: La prevención y control de los efectos producidos por las diferentes clases de virus y programas destructivos que existen.Planificación y administración del sistema: Planificación, organización y administración de los servicios relacionados con la informática, así como políticas y procedimientos para garantizar la seguridad de los recursos de la organización.Cifrado: La encriptación y la desencriptación de la información manipulada, de forma que sólo las personas autorizadas pueden acceder a ella.Seguridad de la red y de comunicaciones: Controlar problemas de seguridad a través de las redes y los sistemas de telecomunicaciones.Seguridad física: Otro aspecto importante de la seguridad informática es la seguridad física de sus servicios, equipos informáticos y medios de datos reales; para evitar problemas que pueden tener como resultado: Pérdida de la productividad, pérdida de ventaja competitiva y sabotajes intencionados. Algunos de los métodos de prevenir el acceso ilegal a los servicios informáticos incluyen:Claves y contraseñas para permitir el acceso a los equipos.Uso de cerrojos y llaves.Fichas ó tarjetas inteligentes.Dispositivos biométricos (Identificación de huellas dactilares, lectores de huellas de manos, patrones de voz, firma/escritura digital, análisis de pulsaciones y escáner de retina, entre otros).

1. LA ADMINISTRACION DE RIESGOS Y LOS DELITOS

No se sabe exactamente cuanto pierden los negocios a causa de delitos cada año. Se estima que las pérdidas causadas por los efectos negativos de los delitos ascienden a un 2% y 5% de los ingresos en los negocios.

8.1. DELITOS CONTRA LOS NEGOCIOS

Los delitos contra los negocios son clasificados de acuerdo al perpetrador del crimen generalmente así:

• HURTO: Consiste en el apoderamiento o sustracción de un bien ajeno con el ánimo de aprovechase de él, por cualquier acto fuera de la ley ó sin autorización de la persona dueña.

• FRAUDE: Sinónimo de engaño y simulación, que se emplea, para sorprender la buena fe, confianza o ignorancia de la víctima, haciéndole creer lo que no es. Por ejemplo: Un delito cometido cuando alguien falsifica una firma autorizada de cualquier instrumento financiero (un cheque, por ejemplo), incrementando o alterando su valor.

8.2 ASPECTOS DEL CONTROL DE PERDIDAS Y LA DESHONESTIDAD DE LOS EMPLEADOS

• Selección del personal: Una medida estándar para la prevención de pérdidas con respecto a los delitos cometidos por los empleados, es un chequeo a fondo del trabajo individual de las personas. Basado en la presunción de que una persona que ha cometido un delito, vuelva a cometerlo; se verifica el registro criminal de la persona. Sin embargo lo anterior no es el único factor de decisión, pues muchos delitos se cometen por tentación de trabajadores de confianza.

• Controles Internos: El término control interno se refiere a los elementos que son incorporados dentro de la organización, diseñado para prevenir delitos dentro de la empresa. El primer elemento es una clara asignación de responsabilidades, en las cuales personas identificables se les asignan funciones definidas. El segundo elemento divide los deberes de los empleados de manera que separe la ejecución de una función de acuerdo a las políticas dela empresa. El tercer elemento es hacer una pista de auditoría para asegurar un continuo control.

Basándose en lo anterior se diseñan controles internos en:

• Procedimientos de gastos.Procedimientos en ventas.Procedimientos de recepción y envío de activos.Procedimientos de control del manejo del dinero.Auditorías: Después de tener procedimientos de control en el área financiera, un efectivo programa de auditoría ayuda a asegurar que los requerimientos de control sean cumplidos.

Un programa de auditoría es una función importante, a pesar de que la compañía tenga un sistema de control interno excepcional. Esto hace imperativo chequear los sistemas periódicamente para asegurar que éstos actualmente están trabajando adecuadamente.

PARTE II – ELEMENTOS DE GESTION DE RIESGOS EN INFORMATICA

La función de la gestión de riesgos es identificar, estudiar y eliminar las fuentes de los eventos perjudiciales antes de que empiecen a amenazar los procesos informáticos.

La gestión de riesgos se divide generalmente en:

1. ESTIMACION DE RIESGOS

La estimación de riesgos describe cómo estudiar los riesgos dentro de la planeación general del entorno informático y se divide en los siguientes pasos:

• La identificación de riesgos genera una lista de riesgos capaces de afectar el funcionamiento normal del entorno informático. El análisis de riesgos mide su probabilidad de ocurrencia y su impacto en la organización. La asignación de prioridades a los riesgos.

1.1. IDENTIFICACION DE RIESGOS

En este paso se identifican los factores que introducen una amenaza en la planificación del entorno informático. Los principales factores que se ven afectados son:

• Creación de la planificación, que incluye: Planificación excesivamente optimista, planificación con tareas innecesarias, y organización de un entorno informático sin tener en cuenta áreas desconocidas y la envergadura del mismo. La organización y gestión, que incluye: Presupuestos bajos, El ciclo de revisión/decisión de las directivas es mas lento de lo esperado. El entorno de trabajo, que incluye: Mal funcionamiento de las herramientas de desarrollo, espacios de trabajo inadecuados y la curva de aprendizaje de las nuevas tecnologías es mas larga de lo esperado.

• Las decisiones de los usuarios finales, que incluye: Falta de participación de los usuarios finales y la falta de comunicación entre los usuarios y el departamento de informática

• El personal contratado, que incluye: Falta de motivación, falta de trabajo en equipo y trabajos de poca calidad.

• Los procesos, que incluye: La burocracia, falta de control de calidad y la falta de entusiasmo.

1.2. ANALISIS DE RIESGOS

Una vez hayan identificado los riesgos en la planificación, el paso siguiente es analizarlos para determinar su impacto, tomando así las posibles alternativas de solución. La explicación de Análisis de riesgos se extenderá posteriormente.

1.2.1. EXPOSICION A RIESGOS

Una actividad útil y necesaria en el análisis de riesgos es determinar su nivel de e xposición en cada uno de los procesos en que se hayan identificado.

1.2.2 ESTIMACION DE LA PROBABILIDAD DE PERDIDA

Las principales formas de estimar la probabilidad de pérdida son las siguientes:

• Disponer de la persona que está más familiarizada con el entorno informático para que estime la probabilidad de ocurrencia de eventos perjudiciales.

• Usar técnicas Delphi o de consenso en grupo. El método Delphi consiste en reunir a un grupo de expertos para solucionar determinados problemas. Dicho grupo realiza la categorización individual de las amenazas y de los objetos del riesgo.Utilizar la calibración mediante adjetivos , en la cuál las personas involucradas eligen un nivel de riesgo entre (probable, muy probable) y después se convierten a estimaciones cuantitativas.

1.2.3. PRIORIZACION DE RIESGOS

En este paso de la estimación de riesgos, se estiman su prioridad de forma que se tenga forma de centrar el esfuerzo para desarrollar la gestión de riesgos. Cuando se realiza la priorización (elementos de alto riesgo y pequeños riesgos), estos últimos no deben ser de gran preocupación, pues lo verdaderamente crítico se puede dejar en un segundo plano.

1.3 CONTROL DE RIESGOS

Una vez que se hayan identificado los riesgos del entorno informático y analizado su probabilidad de ocurrencia, existen bases para controlarlos que son:

• PlanificaciónResolución de riesgosMonitorización de riesgos

1.3.1. PLANIFICACION DE RIESGOS

Su objetivo, es desarrollar un plan que controle cada uno de los eventos perjudiciales a que se encuentran expuestos las actividades informaticas.

1.3.2. RESOLUCION DE RIESGOS

La resolución de los riesgos está conformado por los métodos que controlan el problema de un diseño de controles inadecuado, los principales son:

1. Evitar el Riesgo: No realizar actividades arriesgadas.Conseguir información acerca del riesgo.Planificar el entorno informático de forma que si ocurre un riesgo, las actividades informáticas sean cumplidas.Eliminar el origen delriesgo, si es posible desde su inicio.Asumir y comunicar el riesgo.

Para ilustrar la forma en que puede controlar algunos de estos riesgos, la tabla No.3 ilustra los métodos de control más comunes:

RIESGO	METODOS DE CONTROL
Cambio de la prestación del servicio	· Uso de técnicas orientadas al cliente. · Diseño para nuevos cambios
Recorte de la calidad	· Dejar tiempo a las actividades de control.
Planificación demasiado optimista	· Utilización de técnicas y herramientas de estimación.
Problemas con el personal contratado	· Pedir referencias personales y laborales. · Contratar y planificar los miembros clave del equipo mucho antes de que comience el proyecto. · Tener buenas relaciones con el personal contratado.

1.3.3 MONITORIZACION DE RIESGOS

La vida en el mundo informático sería más fácil si los riesgos apareciesen después de que hayamos desarrollado planes para tratarlos. Pero los riesgos aparecen y desaparecen dentro del entorno informático, por lo que se necesita una monitorización para comprobar como progresa el control de un riesgo e identificar como aparecen nuevos eventos perjudiciales en las actividades informáticas.

PARTE III – ANALISIS DE RIESGOS

El objetivo general del análisis de riesgos es identificar sus causas potenciales, en la figura No. 4 se aprecia por ejemplo, los principales riesgos que amenazan el entorno informático. Esta identificación se realiza en una determinada área para que se pueda tener información suficiente al respecto, optando así por un adecuado diseño e implantación de mecanismos de control; a fin de minimizar los efectos de eventos no deseados, en los diferentes puntos de análisis.

Además el análisis de riesgos cumple los siguientes objetivos:

• Analizar el tiempo, esfuerzo y recursos disponibles y necesarios para atacar los problemas.Llevar a cabo un minucioso análisis de los riesgos y debilidades.Identificar, definir y revisar los controles de seguridad.Determinar si es necesario incrementar las medidas de seguridad.Cuando se identifican los riesgos, los perímetros de seguridad y los sitios de mayor peligro, se pueden hacer el mantenimiento mas fácilmente.

Antes de realizar el análisis de riesgos hay que tener en cuenta los siguientes aspectos:

• Se debe tener en cuenta las políticas y las necesidades de la organización así como la colaboración con todas las partes que la conforman y que intervienen en los procesos básicos.Debe tenerse en cuenta los nuevos avances tecnológicos y la astucia de intrusos expertos.Tener en cuenta los costos vs. la efectividad del programa que se va a desarrollar de mecanismos de control.El comité o la junta directiva de toda organización debe incluir en sus planes y presupuesto los gastos necesarios para el desarrollo de programas de seguridad, así como tener en cuenta que esta parte es fundamental de todo proceso de desarrollo de la empresa, especificar los niveles de seguridad y las responsabilidades de las personas relacionadas, las cuales son complemento crucial para el buen funcionamiento de todo programa de seguridad.Otro aspecto que se debe tener en cuenta es la sobrecarga adicional que los mecanismos y contramedidas puedan tener sobre el entorno informático, sin olvidar los costos adicionales que se generan por su implementación.

El análisis de riesgos utiliza el método matricial llamado MAPA DE RIESGOS, para identificar la vulnerabilidad de un servicio o negocio a riesgos típicos, El método contiene los siguientes pasos:

• Localización de los procesos en las dependencias que intervienen en la prestación del servicio (Ver figura No. 5).

• Localización de los riesgos críticos y su efecto en los procesos del Negocio. En este paso se determina la vulnerabilidad de una actividad a una amenaza. Para asignar un peso a cada riesgo; se consideran tres categorías de vulnerabilidad (1 baja, 2 media, 3 alta) que se asignarán a cada actividad de acuerdo a su debilidad a una amenaza (causa de riesgo). Por ejemplo, si afirmamos que el riesgo a una Decisión equivocada tiene alto riesgo de vulnerabilidad, entonces tendría alta prioridad dentro de nuestras políticas de seguridad (Ver figura No. 6).

RIESGO	(%) Obtenido	Vulnerabilidad
Decisiones equivocadas	59	ALTA
Fraude	55	MEDIA
Hurto	54	MEDIA

Dentro del entorno informático las amenazas (causas de riesgo) se pueden clasificar así:

• Naturales: Incluyen principalmente los cambios naturales que pueden afectar de una manera u otra el normal desempeño del entorno informático; por ejemplo, la posibilidad de un incendio en el sitio donde se encuentran los concentradores de cableado dado que posiblemente están rodeados de paredes de madera es una amenaza natural.Accidentales: Son las más comunes que existen e incluyen:Errores de los usuarios finales: Por ejemplo, El usuario tiene permisos de administrador y posiblemente sin intención modifica información relevante.Errores de los operadores: Por ejemplo, si un operador tenía un sesión abierta y olvidó salir del sistema; alguien con acceso físico a la máquina en cuestión puede causar estragos.Error administrativo: Por ejemplo, Instalaciones y configuraciones sin contar con mecanismos de seguridad para su protección.Errores de salida: Por ejemplo, Impresoras u otros dispositivos mal configurados.Errores del sistema: Por ejemplo, daños en archivos del sistema operativo.Errores de comunicación: Por ejemplo, permitir la transmisión de información violando la confidencialidad de los datos.Deliberadas: Estas amenazas pueden ser: activas (accesos no autorizados, modificaciones no autorizadas, sabotaje) ó pasivas(son de naturaleza mucho más técnica, como: emanaciones electromagnéticas y/o microondas de interferencia).Localización de los riesgos críticos en las dependencias de la empresa y procesos que intervienen en el negocio (Ver figura No. 7 y figura No. 8).

Proceso / Riesgo	Decisiones equivocadas	Fraude	Hurto
Gestión de centros transaccionales		X	X
Administración de sistemas		X	X
Atención al cliente		X	X
Conciliación de cuentas	X	X	X

Riesgos Vs. Dependencias.	División Financiera	Sistemas	Cartera	Contabilidad
Decisiones equivocadas	X			X
Fraude	X	X	X	X
Hurto	X	X	X	X

• Identificar los controles necesarios: En este paso se precisan los controles, los cuales son mecanismos que ayudan a disminuir el riesgo a niveles mínimos o en algunos casos eliminarlos por completo. Se debe tener en cuenta que dichas medidas tienen tres diferentes capacidades que incluyen: mecanismos de prevención, mecanismos de detección y mecanismos de corrección; y que dentro de un proceso ó negocio funcionan como se describe en la figura No. 9. En este paso se incluye la funcionalidad y utilidad del control, y se identifican las personas responsables de la implantación de los controles.

• Diseñar los controles definitivos: En este paso se tienen los productos necesarios para iniciar el proceso de implantación de los controles utilizados o bien para empezar la construcción de dichos mecanismos.

Los siguientes criterios permiten evaluar en un monto simbólico los mecanismos de control:

• Confidencialidad: Se refiere a la protección de la información principalmente de accesos no autorizados. Información del personal, investigaciones y reportes de desarrollo son algunos de los ejemplos de información que necesita confidencialidad.Integridad: Es el servicio ofrecido por el departamento de informática. Debe ser adecuado, completo y auténtico en el momento de ser procesada, presentada, guardada o transmitida la información.Disponibilidad: Indica la disponibilidad que pueden tener en un determinado momento las actividades informáticas. Esta disponibilidad debe ser inmediata. Resultados del análisis de riesgos: Los resultados del análisis de riesgos, deben dados a conocer oportunamente para que sean incorporados, desde las primeras fases del proceso. Verificar por parte de la auditoría informática, la incorporación oportuna de los controles: La auditoría informática debe conocer el resultado del análisis de riesgos y verificar su implantación oportuna, para asegurar los mejores niveles de calidad, seguridad y efectividad de los procesos informáticos.

GLOSARIO

ERGONOMIA

Disciplina científica que pone las necesidades y capacidades humanas como el foco del diseño de sistemas tecnológicos. Su propósito es asegurar que los humanos y la tecnología trabajan en completa armonía, mantiendo los equipos y las tareas en acuerdo con las características humanas.

RIESGO

Es el valor de las pérdidas a que se exponen las empresas por la ocurrencia de eventos perjudiciales.

AMENAZA

Las amenazas o causas del riesgo, se refieren a los medios o alternativas posibles que generan cada uno de los riesgos.

CONTROL

Control es toda acción orientada a minimizar la frecuencia de ocurrencia de las causas del riesgo o valor de las pérdidas ocasionadas por ellas. Los controles sirven para asegurar la consecución de los objetivos de la organización o asegurar el éxito de un sistema y para reducir la exposición de los riesgos, a niveles razonables. Los objetivos básicos de los controles son: Prevenir las causas del riesgo, detectar la ocurrencia de las causas del riesgo, y retroalimentando el sistema de control interno con medios correctivos.

INHERENTE

Esencial, permanente, que, por su naturaleza, no se puede separar de otra cosa.

ACTIVIDAD

Ente que necesita ser realizado para completar una o varias tareas específicas.

NEGOCIO

Empresa privada o pública que provee productos y servicios, para satisfacer los requerimientos de un cliente determinado.

BIBILIOGRAFIA

• COLOMBIA.Instituto Colombiano de Normas técnicas y certificación (ICONTEC). Sistemas de calidad. Santa Fe de Bogotá D.C.: 1994. 21p. NTC-ISO 9001.COREY Michael y ABBEY Michael, ORACLE Data Warehousing: La seguridad de los datos, primera edición, España: Editorial McGraw Hill, 1997. 313 p. ISBN: 84-481-0998-8.DERRIEN Yann, Técnicas de la Auditoría Informática: La dirección de la misión de la auditoría, México D.F.: Ediciones Alga Omega S.A., 1995. 228 p. ISBN 970-15-0030-X.Equipo de economistas DVE, Curso completo de auditoría: Introducción, Barcelona – España: Editorial De Vecchi, S.A., 1991, 206 p., ISBN: 84-315-0957-0.FARLEY Marc, Guía de LAN TIMES® de seguridad e integridad de datos: Seguridad informática, primera edición, Madrid(España): Editorial Mc Graw-Hill, 1996. 342 p. ISBN: 0-07-882166-5.IBM Education and Training, Internet Security and firewalls concepts – Student Notebook. 1995. Course code IN30.IBM Corporation, S.O.S. en su sistema de computación, primera edición, México: Editorial Prentice-Hall Hispanoamericana, S.A., 1998. 211 p. ISBN: 970-17-0110-0.MC CONNELL STEVE, Desarrollo y gestión de proyectos informáticos: Gestión de riesgos, primera edición, Aravaca(Madrid): Editorial Mc. Graw Hill, 1996. 691 p. ISBN:84-481-1229-6.MENDEZ Carlos E., Metodología-Guía para elaborar diseños de investigación en ciencias económicas, contables y administrativas, segunda edición, Santa Fe de Bogotá: Editorial Mc Graw Hill, 1993. 170 p. ISBN: 958-600-446-5.PINILLA José Dagoberto, Auditoría Informática – Aplicaciones en Producción: Análisis de riesgos, primera edición, Santa Fe de Bogotá: ECOE Ediciones, 1997. 238 p. ISBN: 958-648-139-5.SALLENAVE Jean Paul, Gerencia y Planeación Estratégica: El método Delfi, segunda edición, Colombia: Editorial Norma, 1996. 280 p. ISBN: 958-04-3162-0.SCAROLA Robert, NOVELL Netware, primera edición, Madrid: Editorial Mc Graw Hill, 1992. 294 p. ISBN 84-7615-945-5.SENN James A., Análisis y Diseño de Sistemas de Información, Segunda edición: Editorial Mc Graw Hill.VAUGHAN EMMETT J., Risk Management, Primera edición, Estados Unidos de America: Editorial John Wiley & Sons, 1997. 812 p. ISBN 0-471-10759-X.

Стандарт Международной электронной комиссии (МЭК) - на английском языке, который используется для компьютерной техники и электрооборудования.

Информационные системы управления рисками - на испанском языке, Информационные системы управления рисками

OSHA - Закон о безопасности и гигиене труда - Федеральный стандарт Соединенных Штатов Америки, вступивший в силу Конгрессом, сначала 20 декабря 1970 года и, наконец, 28 апреля 1971 года.

IH. В. Генрих; Инженер по технике безопасности и пионер в области промышленной безопасности.

Доктор Уильям Хэддон-младший, Инженер-технолог, Страховой институт безопасности дорожного движения США

На английском языке инициалы режима опасности и анализа эффектов

На английском языке инициалы анализа дерева отказов

Скачать оригинальный файл