Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas

www.bureauveritasformacion.com

consta de 8 pasos básicos y se basa en el siguiente esquema: Se deben documentar los cálculos y ratios utilizados en cada uno de los pasos que completan la evaluación de riesgos. Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 2 .METODOLOGÍA PROPUESTA POR ISO 28001 PARA LA EVALUACIÓN DE RIESGOS DE LA SEGURIDAD La metodología propuesta por la norma ISO 28001 para la evaluación de riesgos de la seguridad.

Pasos a Seguir para Completar la Evaluación de Riesgos de la Seguridad y el Desarrollo de Contramedidas El proceso de evaluación es continuo: ■ ■ Se debe hacer un seguimiento continuo de la seguridad para asegurarse de que las medidas de seguridad se desempeñan adecuadamente. Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 3 . El proceso de evaluación debe realizarse siempre que sea necesario.

transportes) en la cadena de ■ Causar alteraciones civiles o económicas. 4. Realizar operaciones en la cadena de suministro internacional para facilitar un incidente terrorista (por ejemplo. Usar la cadena de suministro ■ como un medio de hacer ■ contrabando. Terroristas entrando o saliendo del país/economía. sabotaje y/o robo con fines terroristas. cadena de suministro en la que opera. de materializarse. Manipulación. Integridad de la carga. 5. utilizando los medios de transporte como un arma). 3. ISO 28001 propone la definición de escenarios de amenazas a la seguridad. con el propósito de perturbar las operaciones o facilitar actividades ilegales. Introducir y/o tomar control de ■ Daño/destrucción de una meta exterior utilizando el un activo (incluyendo activo o los bienes. La Organización puede establecer tantos escenarios de amenazas como considere necesario. pero se deberían considerar como mínimo los siguientes: Escenarios de Amenazas ■ Ejemplos de Aplicación Daño/destrucción del activo (incluyendo transportes). 1. Hace referencia a cualquier otro escenario que la Organización considere necesario identificar en función de su actividad. Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 4 .Paso 1: Consideración de los Escenarios de Amenazas a la Seguridad Tras la identificación de todas las amenazas a la seguridad. etc. los detectados por la dirección de la cadena de suministro o por el profesional de la seguridad que realiza la evaluación. Conseguir el acceso local o remoto a la la información/documentación de la cadena de suministro. 6. incluyendo los escenarios identificados por las autoridades gubernamentales. podría poner en peligro la seguridad de la cadena de suministro. ■ Tomar rehenes/matar gente. Estos agruparán las amenazas constituyendo elementos comunes para conformar un escenario que. 2. suministro. Otro. de Armas ilegales entrando/saliendo del país/economía. Uso no autorizado. Manipulación información.

En los medios de transporte (camión. Carretera. Almacenaje (incluyendo también almacenaje intermedio durante el transporte). Cambio de un medio de transporte por otro. En la información. barcaza. Aguas marítimas. Cambios debidos. Durante el transporte. por ejemplo. avión. ferrocarril. Durante inspecciones de vehículos.). locales de reparación.Elementos a Considerar Durante la Evaluación Para que la Organización pueda realizar una correcta consideración de escenarios de amenazas a la seguridad. Carga. a averías. Utilización de medios de transporte como arma. Operación normal. Control de Acceso ■ ■ ■ ■ Medios de Transporte ■ ■ ■ ■ ■ ■ ■ Manipulación ■ ■ ■ ■ ■ Transporte de Bienes ■ ■ ■ Detección / Prevención de la Intrusión Aplicada a los Envíos Inspecciones ■ ■ ■ ■ Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 5 . Desconsolidación/consolidación (entrada y salida de la carga del contenedor). Descarga. Fabricación. Aguas interiores. Instalación de sistemas de detección de intrusos.). Talleres de mantenimiento (almacenes. Por aire. Antivirus. ISO 28001 propone que durante la evaluación se consideren los siguientes elementos: ■ En los locales de la Organización en la cadena de suministro. barco. Medios de transporte en reposo o reparación. incluyendo los alrededores de los perímetros definidos. etc. etc. Ferrocarril. Transferencia.

■ ■ Intercambio de información. Órdenes de las autoridades. Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 6 .Empleados Utilización de Socios Comunicación Interna/Externa Manipulación o Procesado de la Información sobre la Carga o las Rutas de Transporte ■ ■ Nivel de competencia. Contratistas. Información Externa ■ ■ ■ Paso 2: Clasificación de las Consecuencias La clasificación de las consecuencias supone decidir el efecto o impacto de un incidente en caso de materializarse alguno de los elementos de los escenarios de amenazas identificados. Prácticas de la industria/sector de actividad. ISO 28001 recomienda la utilización de escalas cualitativas para la clasificación de las consecuencias de cada incidente de seguridad evaluado en la cadena de suministro. suministradores. Integridad. alto. formación y toma de conciencia. Accidentes e incidentes. ■ ■ Legal. Capacidad de primera respuesta y tiempos de respuesta. Si bien se pueden usar sistemas numéricos en el proceso de evaluación. los resultados deben transformarse en términos cualitativos. ■ ■ Protección de datos. proveedores. Situaciones de emergencia. medio o bajo. Aseguramiento de datos. en concreto.

Impacto económico: daños mínimos a un activo. Impacto ambiental: daños a largo plazo en un ecosistema.Asignación de Valor a Partir de un Método Numérico Consecuencia Bajo 2 3 Medio 4 Alto 5 Ratio 1 Ejemplo de Clasificación de las Consecuencias Asignación de Valor Significado ■ Consecuencia Fallecimiento y lesiones: pérdida de vidas a una cierta escala. ■ Fallecimiento y lesiones: pérdida de vidas. infraestructura o Sistema. ■ Impacto ambiental: destrucción completa de múltiples aspectos del ecosistema de una gran área. Medio Consecuencia que sería inaceptable en una situación de probabilidad alta. ■ ■ ■ Bajo Consecuencia que normalmente es aceptable. Alto Consecuencia que sería ■ Impacto económico: daños mayores a un activo inaceptable en todas las y/o infraestructura impidiendo operaciones situaciones salvo en las posteriores. Fallecimiento y lesiones: daños pero no pérdida de vidas. Impacto ambiental: algún daño ambiental. de probabilidad baja. ■ ■ Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 7 . Impacto económico: daños a un activo y/o infraestructura necesitando reparaciones.

está dispuesto a aceptar bajo determinadas condiciones de probabilidad. en primer lugar se debe tener en cuenta la categoría de las medidas de seguridad en la cadena de suministro que ha adoptado la Organización. puede ocasionar la exigencia de tener que desarrollar contramedidas para más escenarios de amenazas a la seguridad de los necesarios. pueden ocasionar que se omitan contramedidas para escenarios de amenazas a la Bajo) seguridad que impliquen consecuencias que la Organización (o el gobierno en el que opera) no pueda tolerar. ■ Valores excesivamente altos en los umbrales de valor. procedimientos de seguridad. La aceptabilidad se puede considerar como un juicio de la cantidad de daño posible que la Organización o gobierno bajo el que opera. Medio. videocámaras. Ejemplo: personal de seguridad. Personas o procedimientos que dificultan o detectan el acceso no autorizado a una meta. Paso 3: Clasificación de la Probabilidad de los Incidentes de Seguridad Para poder realizar la clasificación de incidentes de seguridad potenciales. Las categorías de las medidas de seguridad a considerar deben incluir tanto las físicas como las operacionales. Aspectos a Considerar para la Clasificación de la Probabilidad Físicas ■ ■ ■ Objetos que dificultan o detectan el acceso no autorizado a una meta. etc. para disminuir la probabilidad de ocurrencia de incidentes. Operacionales ■ Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 8 . incluye la posibilidad de un cierto nivel de daño que puede ser no deseable pero sí aceptable. ■ El uso de umbrales de valores excesivamente bajos. Aceptabilidad No es Sinónimo de ■ Una consecuencia considerada como aceptable por la Organización o Aprobación gobierno. perímetros de seguridad. Ejemplo: alarmas.Aspectos a Considerar en la Clasificación de las Consecuencias ■ Asignación de Valores (Alto. etc. planes de emergencias.

Paso 4: Puntuación del Incidente de Seguridad Mediante la asignación de puntuaciones a los incidentes de seguridad. que proporciona información sobre si se deben considerar. o no. en anteriores pasos. Clasificación de la Probabilidad Alta Media Contramedidas Contramedidas o Considerar Cuando Sea Apropiado Documentar Baja Considerar Clasificación de las Consecuencias Alta Contramedidas Media Contramedidas Documentar Baja Considerar Documentar Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 9 . contramedidas para incidentes de seguridad específicos. Las medidas de seguridad establecidas ofrecen resistencia moderada a que ocurra el incidente. la Organización estará en posición de adoptar decisiones sobre si es necesario implementar medidas para disminuir o mitigar el riesgo. estimadas. es decir.Probabilidad de Ocurrencia de un Incidente de Seguridad ISO 28001 requiere que la probabilidad de que ocurra cada incidente de seguridad se clasifique como alta. considerar contramedidas. se elabora un diagrama de puntuaciones de incidentes de seguridad. Considerando la clasificación de las consecuencias y de la probabilidad. Las medidas de seguridad establecidas ofrecen resistencia considerable o elevada a que ocurra el incidente. Alta Media Baja Las medidas de seguridad establecidas ofrecen poca resistencia a que ocurra el incidente. media y baja.

tiempo. ■ Transferir ■ Transferir el riesgo es la solución mediante la cual un tercero asume la responsabilidad de administrar el riesgo. Ejemplo: contramedidas poco prácticas o inviables. Terminar El riesgo no es asumible. es decir. pone en peligro la continuidad de las operaciones. La Organización decide no continuar con la actividad. ■ En ciertas circunstancias la Organización puede tener que tolerar el riesgo. éstas deben ir encaminadas a mitigar las consecuencias y/o la probabilidad del incidente de seguridad.Paso 5: Desarrollo de Contramedidas Si se requiere. Tolerar ■ ■ Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 10 . falta de autoridad para imponer contramedidas requeridas u otros factores insalvables. o la persona encargada de realizar la evaluación determina que es necesario considerar llevar acabo contramedidas. Acciones en las que Pueden Derivar las Contramedidas Medidas de la Organización operacionales y/o físicas para reducir el riesgo o la probabilidad. Tratar Ejemplo: retirando los activos potencialmente aludidos del área de riesgos o abandonando las actividades de negocios que crean las debilidades de seguridad. transferencia física a otros lugares. Se requiere que la decisión se documente y se revisen periódicamente las actividades y evaluaciones. no realizar ningún esfuerzo adicional para tratar el riesgo en cuestión. Puede ser a través de subcontrata. etc.

Aquellos que pudieran exceder algún otro umbral de tolerancia. por ello una vez determinadas que contramedidas son necesarias. Su efectividad debe ser verificada de forma independiente. Aquellos contrarios a las opiniones de grupos de presión. Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 11 . Los que pongan en tela de juicio la política de Gestión de la Seguridad. Paso 6: Implementación de las Contramedidas Las contramedidas pueden inducir cambios importantes en las prácticas operacionales de la Organización. mediante ejercicios y auditorías. valorará el impacto que puedan tener sobre otras operaciones y logrará contar con el apoyo y aprobación de la Dirección. cuando: Las contramedidas deben ser ejecutadas de manera que supongan una solución práctica. Paso 7: Evaluación de las Contramedidas Se considera que una contramedida es eficaz y por tanto debe añadirse al informe de evaluación de la seguridad requerido por ISO 28001.¿Qué Riesgos No se Pueden Tolerar? ■ ■ ■ ■ Riesgos derivados de requisitos legales o reglamentarios u otros de obligado cumplimiento. de acuerdo con lo establecido por el Sistema de Gestión de la Seguridad para la Cadena de Suministro implantado. por ejemplo. De esta manera la Organización se asegurará de la disponibilidad de recursos para su correcta ejecución. éstas necesitan de aprobación previa antes de llevarlas acabo.

el proceso continúa con el siguiente escenario de amenazas a la seguridad. ACTIVO: ordenadores. Por ello las contramedidas deben ser constantemente revisadas y auditadas con el fin de mejorarlas. Ejemplo de Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas para un Escenario de Amenazas A continuación se presenta un ejemplo de evaluación de riesgos de la seguridad: 1. DESCRIPCIÓN DE LA AMENAZA: robo intencionado de información relacionada con la actividad financiera y estrategias de negocio. 2. Paso 8: Repetición del Proceso Tras el desarrollo de las contramedidas y valoración de su eficacia para un incidente de seguridad.En la actualidad la repetitividad de actos delictivos. ESCENARIO DE AMENAZAS: manipulación de la información. piratería y ataques terroristas. CLASIFICACIÓN DE LAS CONSECUENCIAS Consecuencia Bajo Ratio 1 2 3 4 Alto 5 Medio Asignación de Valor Medio Consecuencia El robo de información confidencial contenida en ordenadores puede suponer un impacto económico importante para la Organización. demuestran que los atacantes aprenden y buscan nuevas vías y técnicas para amenazar a las cadenas de suministro. por parte de hackers en los ordenadores de la Dirección. hasta que se complete la evaluación para el listado de escenarios de amenazas propuestos. Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 12 . propuesto en el “Paso 1: Consideración de los escenarios de amenazas a la seguridad”.

3. 4. Probabilidad de Ocurrencia del Incidente Media Las medidas de seguridad establecidas ofrecen resistencia moderada. PUNTUACIÓN DEL INCIDENTE Clasificación de la Probabilidad Alta Media Baja Clasificación de las Consecuencias Alta Media Contramedidas Baja TOLERABILIDAD DEL RIESGO: MODERADA Se necesita la ejecución de contramedidas. Pueden ser vulnerables a nuevas técnicas de intrusismo y virus. antivirus actualizados y contraseñas de seguridad para cada ordenador. Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 13 . CLASIFICACIÓN DE LA PROBABILIDAD Consideración de Medidas de Seguridad Físicas La Organización cuenta con un método de detección de intrusos en los ordenadores principales.

Endurecimiento del código ético y creación del nuevo procedimiento de contratación de personal. Actualización mensual del sistema. Se continúa con las actualizaciones mensuales del sistema. Compra de 30 licencias SNORT. DESARROLLO DE CONTRAMEDIDAS Tratamiento del riesgo: ■ Sustitución del sistema de detección de intrusiones LIDS (Linux Intrusion Detection System) por el sistema de seguridad SNORT en todos los ordenadores fijos y portátiles de la Organización. ■ ■ 6. El procedimiento incluirá la eliminación de todas las cuentas de trabajadores que abandonan la compañía incluyendo claves de acceso a los sistemas y direcciones de correo. IMPLEMENTACIÓN DE CONTRAMEDIDAS ■ ■ Aprobado por la alta Dirección (Acta de revisión por la Dirección 20 de Enero de 20XX).5. EVALUACIÓN DE CONTRAMEDIDAS ■ ■ No se detectan incidentes a la seguridad derivados de intrusiones informáticas desde 20XX. Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 14 . 7. PX-00 donde se fijen claramente los pasos a seguir cuando un empleado abandone la compañía.

NOTAS Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 15 .

A.com puede conocer los trámites para agrupar su empresa. Depósito Legal: AS-1513-2010 Director del Proyecto: Luis Lombardero Dirección Pedagógica: Carmen González Reservados todos los derechos.bureauveritasformacion. Tramitación de la documentación ante la Fundación Tripartita para la subvención de la Formación a cargo del Crédito Anual de la empresa.bureauveritasformacion.com www. Queda prohibida toda reproducción total o parcial de la obra por cualquier medio o procedimiento sin autorización previa. ofreciendo el servicio de impartir y gestionar su Formación con las siguientes ventajas: ■ ■ ■ Realizar la formación en el momento en que la empresa lo necesite. En la Plataforma de Formación www. Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas © Bureau Veritas Formación S.com . ver la oferta de formación e inscribir a trabajadores en los Cursos. El contenido de esta obra está protegido por la Ley.ÁREAS DE FORMACIÓN CURSOS SUBVENCIONADOS A LAS EMPRESAS Bureau Veritas Formación es Entidad Organizadora de Gestión de las subvenciones a la Formación.bureauveritasformacion. Teléfono: 902 350 077 E-mail: marketing@es.

Sign up to vote on this title
UsefulNot useful