Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas

www.bureauveritasformacion.com

METODOLOGÍA PROPUESTA POR ISO 28001 PARA LA EVALUACIÓN DE RIESGOS DE LA SEGURIDAD La metodología propuesta por la norma ISO 28001 para la evaluación de riesgos de la seguridad. consta de 8 pasos básicos y se basa en el siguiente esquema: Se deben documentar los cálculos y ratios utilizados en cada uno de los pasos que completan la evaluación de riesgos. Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 2 .

Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 3 .Pasos a Seguir para Completar la Evaluación de Riesgos de la Seguridad y el Desarrollo de Contramedidas El proceso de evaluación es continuo: ■ ■ Se debe hacer un seguimiento continuo de la seguridad para asegurarse de que las medidas de seguridad se desempeñan adecuadamente. El proceso de evaluación debe realizarse siempre que sea necesario.

utilizando los medios de transporte como un arma). podría poner en peligro la seguridad de la cadena de suministro. Estos agruparán las amenazas constituyendo elementos comunes para conformar un escenario que. ISO 28001 propone la definición de escenarios de amenazas a la seguridad. 2. con el propósito de perturbar las operaciones o facilitar actividades ilegales. Manipulación. suministro. incluyendo los escenarios identificados por las autoridades gubernamentales. de materializarse. La Organización puede establecer tantos escenarios de amenazas como considere necesario. etc. Terroristas entrando o saliendo del país/economía. Introducir y/o tomar control de ■ Daño/destrucción de una meta exterior utilizando el un activo (incluyendo activo o los bienes. 6. Integridad de la carga. sabotaje y/o robo con fines terroristas. Otro.Paso 1: Consideración de los Escenarios de Amenazas a la Seguridad Tras la identificación de todas las amenazas a la seguridad. cadena de suministro en la que opera. Conseguir el acceso local o remoto a la la información/documentación de la cadena de suministro. 1. Uso no autorizado. 3. transportes) en la cadena de ■ Causar alteraciones civiles o económicas. Manipulación información. 4. ■ Tomar rehenes/matar gente. de Armas ilegales entrando/saliendo del país/economía. Hace referencia a cualquier otro escenario que la Organización considere necesario identificar en función de su actividad. pero se deberían considerar como mínimo los siguientes: Escenarios de Amenazas ■ Ejemplos de Aplicación Daño/destrucción del activo (incluyendo transportes). Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 4 . los detectados por la dirección de la cadena de suministro o por el profesional de la seguridad que realiza la evaluación. Usar la cadena de suministro ■ como un medio de hacer ■ contrabando. Realizar operaciones en la cadena de suministro internacional para facilitar un incidente terrorista (por ejemplo. 5.

Durante el transporte. Utilización de medios de transporte como arma. Antivirus. a averías. En la información. Operación normal. En los medios de transporte (camión. etc. avión. Transferencia. Instalación de sistemas de detección de intrusos. Fabricación. Cambios debidos. Carga. ferrocarril.). locales de reparación. Medios de transporte en reposo o reparación. Talleres de mantenimiento (almacenes.Elementos a Considerar Durante la Evaluación Para que la Organización pueda realizar una correcta consideración de escenarios de amenazas a la seguridad. etc.). Almacenaje (incluyendo también almacenaje intermedio durante el transporte). Ferrocarril. incluyendo los alrededores de los perímetros definidos. por ejemplo. Descarga. Aguas marítimas. Por aire. Cambio de un medio de transporte por otro. Durante inspecciones de vehículos. Control de Acceso ■ ■ ■ ■ Medios de Transporte ■ ■ ■ ■ ■ ■ ■ Manipulación ■ ■ ■ ■ ■ Transporte de Bienes ■ ■ ■ Detección / Prevención de la Intrusión Aplicada a los Envíos Inspecciones ■ ■ ■ ■ Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 5 . barcaza. ISO 28001 propone que durante la evaluación se consideren los siguientes elementos: ■ En los locales de la Organización en la cadena de suministro. Desconsolidación/consolidación (entrada y salida de la carga del contenedor). Aguas interiores. barco. Carretera.

formación y toma de conciencia. suministradores. ■ ■ Intercambio de información. Aseguramiento de datos. Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 6 . ■ ■ Protección de datos. Accidentes e incidentes.Empleados Utilización de Socios Comunicación Interna/Externa Manipulación o Procesado de la Información sobre la Carga o las Rutas de Transporte ■ ■ Nivel de competencia. medio o bajo. ■ ■ Legal. Información Externa ■ ■ ■ Paso 2: Clasificación de las Consecuencias La clasificación de las consecuencias supone decidir el efecto o impacto de un incidente en caso de materializarse alguno de los elementos de los escenarios de amenazas identificados. Contratistas. Integridad. Capacidad de primera respuesta y tiempos de respuesta. proveedores. los resultados deben transformarse en términos cualitativos. ISO 28001 recomienda la utilización de escalas cualitativas para la clasificación de las consecuencias de cada incidente de seguridad evaluado en la cadena de suministro. en concreto. alto. Órdenes de las autoridades. Si bien se pueden usar sistemas numéricos en el proceso de evaluación. Situaciones de emergencia. Prácticas de la industria/sector de actividad.

Impacto ambiental: daños a largo plazo en un ecosistema. Impacto económico: daños mínimos a un activo. de probabilidad baja. ■ Fallecimiento y lesiones: pérdida de vidas. ■ ■ Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 7 . Alto Consecuencia que sería ■ Impacto económico: daños mayores a un activo inaceptable en todas las y/o infraestructura impidiendo operaciones situaciones salvo en las posteriores. Impacto ambiental: algún daño ambiental. Medio Consecuencia que sería inaceptable en una situación de probabilidad alta. infraestructura o Sistema. Impacto económico: daños a un activo y/o infraestructura necesitando reparaciones. ■ Impacto ambiental: destrucción completa de múltiples aspectos del ecosistema de una gran área. Fallecimiento y lesiones: daños pero no pérdida de vidas.Asignación de Valor a Partir de un Método Numérico Consecuencia Bajo 2 3 Medio 4 Alto 5 Ratio 1 Ejemplo de Clasificación de las Consecuencias Asignación de Valor Significado ■ Consecuencia Fallecimiento y lesiones: pérdida de vidas a una cierta escala. ■ ■ ■ Bajo Consecuencia que normalmente es aceptable.

Aspectos a Considerar en la Clasificación de las Consecuencias ■ Asignación de Valores (Alto. pueden ocasionar que se omitan contramedidas para escenarios de amenazas a la Bajo) seguridad que impliquen consecuencias que la Organización (o el gobierno en el que opera) no pueda tolerar. La aceptabilidad se puede considerar como un juicio de la cantidad de daño posible que la Organización o gobierno bajo el que opera. Ejemplo: personal de seguridad. Ejemplo: alarmas. Las categorías de las medidas de seguridad a considerar deben incluir tanto las físicas como las operacionales. etc. Paso 3: Clasificación de la Probabilidad de los Incidentes de Seguridad Para poder realizar la clasificación de incidentes de seguridad potenciales. etc. puede ocasionar la exigencia de tener que desarrollar contramedidas para más escenarios de amenazas a la seguridad de los necesarios. incluye la posibilidad de un cierto nivel de daño que puede ser no deseable pero sí aceptable. Medio. está dispuesto a aceptar bajo determinadas condiciones de probabilidad. en primer lugar se debe tener en cuenta la categoría de las medidas de seguridad en la cadena de suministro que ha adoptado la Organización. Operacionales ■ Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 8 . Aspectos a Considerar para la Clasificación de la Probabilidad Físicas ■ ■ ■ Objetos que dificultan o detectan el acceso no autorizado a una meta. Aceptabilidad No es Sinónimo de ■ Una consecuencia considerada como aceptable por la Organización o Aprobación gobierno. videocámaras. ■ El uso de umbrales de valores excesivamente bajos. perímetros de seguridad. planes de emergencias. para disminuir la probabilidad de ocurrencia de incidentes. ■ Valores excesivamente altos en los umbrales de valor. Personas o procedimientos que dificultan o detectan el acceso no autorizado a una meta. procedimientos de seguridad.

en anteriores pasos. estimadas. Paso 4: Puntuación del Incidente de Seguridad Mediante la asignación de puntuaciones a los incidentes de seguridad. media y baja. o no. que proporciona información sobre si se deben considerar. se elabora un diagrama de puntuaciones de incidentes de seguridad. Clasificación de la Probabilidad Alta Media Contramedidas Contramedidas o Considerar Cuando Sea Apropiado Documentar Baja Considerar Clasificación de las Consecuencias Alta Contramedidas Media Contramedidas Documentar Baja Considerar Documentar Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 9 . Las medidas de seguridad establecidas ofrecen resistencia considerable o elevada a que ocurra el incidente. Alta Media Baja Las medidas de seguridad establecidas ofrecen poca resistencia a que ocurra el incidente. la Organización estará en posición de adoptar decisiones sobre si es necesario implementar medidas para disminuir o mitigar el riesgo.Probabilidad de Ocurrencia de un Incidente de Seguridad ISO 28001 requiere que la probabilidad de que ocurra cada incidente de seguridad se clasifique como alta. Las medidas de seguridad establecidas ofrecen resistencia moderada a que ocurra el incidente. considerar contramedidas. Considerando la clasificación de las consecuencias y de la probabilidad. contramedidas para incidentes de seguridad específicos. es decir.

etc. falta de autoridad para imponer contramedidas requeridas u otros factores insalvables. Puede ser a través de subcontrata. Tolerar ■ ■ Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 10 . Acciones en las que Pueden Derivar las Contramedidas Medidas de la Organización operacionales y/o físicas para reducir el riesgo o la probabilidad. Terminar El riesgo no es asumible. o la persona encargada de realizar la evaluación determina que es necesario considerar llevar acabo contramedidas. Se requiere que la decisión se documente y se revisen periódicamente las actividades y evaluaciones. no realizar ningún esfuerzo adicional para tratar el riesgo en cuestión. Tratar Ejemplo: retirando los activos potencialmente aludidos del área de riesgos o abandonando las actividades de negocios que crean las debilidades de seguridad. pone en peligro la continuidad de las operaciones. tiempo. ■ En ciertas circunstancias la Organización puede tener que tolerar el riesgo.Paso 5: Desarrollo de Contramedidas Si se requiere. es decir. ■ Transferir ■ Transferir el riesgo es la solución mediante la cual un tercero asume la responsabilidad de administrar el riesgo. Ejemplo: contramedidas poco prácticas o inviables. La Organización decide no continuar con la actividad. transferencia física a otros lugares. éstas deben ir encaminadas a mitigar las consecuencias y/o la probabilidad del incidente de seguridad.

Aquellos que pudieran exceder algún otro umbral de tolerancia. cuando: Las contramedidas deben ser ejecutadas de manera que supongan una solución práctica. por ello una vez determinadas que contramedidas son necesarias. de acuerdo con lo establecido por el Sistema de Gestión de la Seguridad para la Cadena de Suministro implantado. De esta manera la Organización se asegurará de la disponibilidad de recursos para su correcta ejecución.¿Qué Riesgos No se Pueden Tolerar? ■ ■ ■ ■ Riesgos derivados de requisitos legales o reglamentarios u otros de obligado cumplimiento. Paso 7: Evaluación de las Contramedidas Se considera que una contramedida es eficaz y por tanto debe añadirse al informe de evaluación de la seguridad requerido por ISO 28001. éstas necesitan de aprobación previa antes de llevarlas acabo. Aquellos contrarios a las opiniones de grupos de presión. Los que pongan en tela de juicio la política de Gestión de la Seguridad. Su efectividad debe ser verificada de forma independiente. Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 11 . mediante ejercicios y auditorías. valorará el impacto que puedan tener sobre otras operaciones y logrará contar con el apoyo y aprobación de la Dirección. Paso 6: Implementación de las Contramedidas Las contramedidas pueden inducir cambios importantes en las prácticas operacionales de la Organización. por ejemplo.

por parte de hackers en los ordenadores de la Dirección. propuesto en el “Paso 1: Consideración de los escenarios de amenazas a la seguridad”. Paso 8: Repetición del Proceso Tras el desarrollo de las contramedidas y valoración de su eficacia para un incidente de seguridad. DESCRIPCIÓN DE LA AMENAZA: robo intencionado de información relacionada con la actividad financiera y estrategias de negocio. el proceso continúa con el siguiente escenario de amenazas a la seguridad. Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 12 . Ejemplo de Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas para un Escenario de Amenazas A continuación se presenta un ejemplo de evaluación de riesgos de la seguridad: 1. hasta que se complete la evaluación para el listado de escenarios de amenazas propuestos. 2. CLASIFICACIÓN DE LAS CONSECUENCIAS Consecuencia Bajo Ratio 1 2 3 4 Alto 5 Medio Asignación de Valor Medio Consecuencia El robo de información confidencial contenida en ordenadores puede suponer un impacto económico importante para la Organización. ESCENARIO DE AMENAZAS: manipulación de la información. ACTIVO: ordenadores. Por ello las contramedidas deben ser constantemente revisadas y auditadas con el fin de mejorarlas. demuestran que los atacantes aprenden y buscan nuevas vías y técnicas para amenazar a las cadenas de suministro. piratería y ataques terroristas.En la actualidad la repetitividad de actos delictivos.

Pueden ser vulnerables a nuevas técnicas de intrusismo y virus. PUNTUACIÓN DEL INCIDENTE Clasificación de la Probabilidad Alta Media Baja Clasificación de las Consecuencias Alta Media Contramedidas Baja TOLERABILIDAD DEL RIESGO: MODERADA Se necesita la ejecución de contramedidas. Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 13 . 4. CLASIFICACIÓN DE LA PROBABILIDAD Consideración de Medidas de Seguridad Físicas La Organización cuenta con un método de detección de intrusos en los ordenadores principales. antivirus actualizados y contraseñas de seguridad para cada ordenador.3. Probabilidad de Ocurrencia del Incidente Media Las medidas de seguridad establecidas ofrecen resistencia moderada.

Se continúa con las actualizaciones mensuales del sistema. ■ ■ 6. PX-00 donde se fijen claramente los pasos a seguir cuando un empleado abandone la compañía. EVALUACIÓN DE CONTRAMEDIDAS ■ ■ No se detectan incidentes a la seguridad derivados de intrusiones informáticas desde 20XX. Actualización mensual del sistema. El procedimiento incluirá la eliminación de todas las cuentas de trabajadores que abandonan la compañía incluyendo claves de acceso a los sistemas y direcciones de correo. Compra de 30 licencias SNORT. Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 14 . DESARROLLO DE CONTRAMEDIDAS Tratamiento del riesgo: ■ Sustitución del sistema de detección de intrusiones LIDS (Linux Intrusion Detection System) por el sistema de seguridad SNORT en todos los ordenadores fijos y portátiles de la Organización. IMPLEMENTACIÓN DE CONTRAMEDIDAS ■ ■ Aprobado por la alta Dirección (Acta de revisión por la Dirección 20 de Enero de 20XX). Endurecimiento del código ético y creación del nuevo procedimiento de contratación de personal. 7.5.

NOTAS Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 15 .

ofreciendo el servicio de impartir y gestionar su Formación con las siguientes ventajas: ■ ■ ■ Realizar la formación en el momento en que la empresa lo necesite. Tramitación de la documentación ante la Fundación Tripartita para la subvención de la Formación a cargo del Crédito Anual de la empresa. Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas © Bureau Veritas Formación S.ÁREAS DE FORMACIÓN CURSOS SUBVENCIONADOS A LAS EMPRESAS Bureau Veritas Formación es Entidad Organizadora de Gestión de las subvenciones a la Formación.bureauveritasformacion.A. Queda prohibida toda reproducción total o parcial de la obra por cualquier medio o procedimiento sin autorización previa.bureauveritasformacion. El contenido de esta obra está protegido por la Ley. Depósito Legal: AS-1513-2010 Director del Proyecto: Luis Lombardero Dirección Pedagógica: Carmen González Reservados todos los derechos.bureauveritasformacion.com puede conocer los trámites para agrupar su empresa. Teléfono: 902 350 077 E-mail: marketing@es. En la Plataforma de Formación www.com . ver la oferta de formación e inscribir a trabajadores en los Cursos.com www.

Sign up to vote on this title
UsefulNot useful