Análisis de Riesgo

Sin duda alguna, si queremos «empezar por el principio» en materia de ciberseguridad en

nuestra empresa, el análisis de riesgos es uno de los trabajos más importantes a la hora
de definir proyectos e iniciativas para la mejora de la seguridad de la información. Si
consideramos que las herramientas tecnológicas y la información que manejamos son de
gran valor para nuestra organización debemos empezar a pensar en poner en práctica
un Plan Director de Seguridad.
El Plan Director de Seguridad (PDS) se puede simplificar como la definición y
priorización de un conjunto de proyectos en materia de seguridad de la información,
dirigido a reducir los riesgos a los que está expuesta la organización hasta unos niveles
aceptables a partir de un análisis de la situación inicial. Llevar a cabo un buen análisis nos
permitirá centrar nuestro foco de atención en los riesgos asociados a los sistemas,
procesos y elementos dentro del alcance del PDS. De esta forma mitigaremos la
posibilidad de tener algún tipo de incidente de ciberseguridad. Por otra parte, también
podemos obtener beneficios si realizamos un análisis de riesgos de forma aislada en lugar
de llevarlo a cabo dentro de un contexto mayor como es el del desarrollo de un PDS.
A continuación veremos de forma sencilla las principales tareas del análisis de riesgos,
aportando recomendaciones prácticas sobre cómo llevarlo a cabo, y considerando algunas
particularidades a tener en cuenta para que aporte el máximo valor al PDS. Cabe señalar
que las fases o etapas que componen un análisis de riesgos dependen de la metodología
escogida. En el caso que nos ocupa, hemos seleccionado un conjunto de fases que son
comunes en la mayor parte de las metodologías para el análisis de riesgos.

Fase 1. Definir el alcance

El primer paso a la hora de llevar a cabo el análisis de riesgos, es establecer el alcance del
estudio. Vamos a considerar que este análisis de riesgos forma parte del Plan Director de
Seguridad. Por lo tanto, recomendamos que el análisis de riesgos cubra la totalidad del
alcance del PDS, dónde se han seleccionado las áreas estratégicas sobre las que mejorar
la seguridad. Por otra parte, también es posible definir un alcance más limitado atendiendo
a departamentos, procesos o sistemas. Por ejemplo, análisis de riesgos sobre los
procesos del departamento Administración, análisis de riesgos sobre los procesos de
producción y gestión de almacén o análisis de riesgos sobre los sistemas TIC relacionados
con la página web de la empresa, etc. En este caso práctico consideramos que el alcance
escogido para el análisis de riesgos es “Los servicios y sistemas del Departamento
Informática”.

Fase 2. Identificar los activos

Una vez definido el alcance, debemos identificar los activos más importantes que guardan
relación con el departamento, proceso, o sistema objeto del estudio. Para mantener un
inventario de activos sencillo puede ser suficiente con hacer uso de una hoja de cálculo o
tabla como la que se muestra a continuación a modo de ejemplo:

Fase 3. Identificar / seleccionar las amenazas

Habiendo identificado los principales activos, el siguiente paso consiste en identificar las
amenazas a las que estos están expuestos. Tal y como imaginamos, el conjunto de
amenazas es amplio y diverso por lo que debemos hacer un esfuerzo en mantener un
enfoque práctico y aplicado. Por ejemplo, si nuestra intención es evaluar el riesgo que
corremos frente a la destrucción de nuestro servidor de ficheros, es conveniente,
considerar las averías del servidor, la posibilidad de daños por agua (rotura de una
cañería) o los daños por fuego, en lugar de plantearnos el riesgo de que sea destruido por
un meteorito.

Fase 4. Identificar vulnerabilidades y salvaguardas

La siguiente fase consiste en estudiar las características de nuestros activos para
identificar puntos débiles o vulnerabilidades. Por ejemplo, una posible vulnerabilidad puede
ser identificar un conjunto de ordenadores o servidores cuyo sistemas antivirus no están
actualizados o una serie de activos para los que no existe soporte ni mantenimiento por
parte del fabricante. Posteriormente, a la hora de evaluar el riesgo aplicaremos
penalizaciones para reflejar las vulnerabilidades identificadas.

Por otra parte, también analizaremos y documentaremos las medidas de seguridad

implantadas en nuestra organización. Por ejemplo, es posible que hayamos instalado un
sistema SAI (Sistema de Alimentación Ininterrumpida) o un grupo electrógeno para
abastecer de electricidad a los equipos del CPD. Ambas medidas de seguridad (también
conocidas como salvaguardas) contribuyen a reducir el riesgo de las amenazas
relacionadas con el corte de suministro eléctrico.
Estas consideraciones (vulnerabilidades y salvaguardas) debemos tenerlas en cuenta
cuando vayamos a estimar la probabilidad y el impacto como veremos en la siguiente fase.

Fase 5. Evaluar el riesgo

Llegado a este punto disponemos de los siguientes elementos:

 Inventario de activos.
 Conjunto de amenazas a las que está expuesta cada activo.
 Conjunto de vulnerabilidades asociadas a cada activo (si corresponde).
 Conjunto de medidas de seguridad implantadas

Con esta información, nos encontramos en condiciones de calcular el riesgo. Para cada
par activo-amenaza, estimaremos la probabilidad de que la amenaza se materialice y el
impacto sobre el negocio que esto produciría. El cálculo de riesgo se puede realizar
usando tanto criterios cuantitativos como cualitativos. Pero para entenderlo mejor, veremos
a modo de ejemplo las tablas para estimar los factores probabilidad e impacto.
Tabla para el cálculo de la probabilidad

Tabla para el cálculo del impacto

Cálculo del riesgo

A la hora de calcular el riesgo, si hemos optado por hacer el análisis cuantitativo,
calcularemos multiplicando los factores probabilidad e impacto:
RIESGO = PROBABILIDAD x IMPACTO.
Si por el contrario hemos optado por el análisis cualitativo, haremos uso de una matriz de
riesgo como la que se muestra a continuación:
Tal y como indicábamos en el apartado anterior, cuando vayamos a estimar la probabilidad
y el impacto debemos tener en cuenta las vulnerabilidades y salvaguardas existentes. Por
ejemplo, la caída del servidor principal podría tener un impacto alto para el negocio. Sin
embargo, si existe una solución de alta disponibilidad (Ej. Servidores redundados),
podemos considerar que el impacto será medio ya que estas medidas de seguridad harán
que los procesos de negocio no se vean gravemente afectados por la caída del servidor. Si
por el contrario hemos identificado vulnerabilidades asociadas al activo, aplicaremos una
penalización a la hora de estimar el impacto. Por ejemplo, si los equipos de climatización
del CPD no han recibido el mantenimiento recomendado por el fabricante,
incrementaremos el impacto de amenazas como “condiciones ambientales inadecuadas” o
“malfuncionamiento de los equipos debido a altas temperaturas”.

Fase 6. Tratar el riesgo

Una vez calculado el riesgo, debemos tratar aquellos riesgos que superen un límite que
nosotros mismos hayamos establecido. Por ejemplo, trataremos aquellos riesgos cuyo
valor sea superior a “4” o superior a “Medio” en caso de que hayamos hecho el cálculo en
términos cualitativos. A la hora de tratar el riesgo, existen cuatro estrategias principales:

 Transferir el riesgo a un tercero. Por ejemplo, contratando un seguro que cubra

los daños a terceros ocasionados por fugas de información.
 Eliminar el riesgo. Por ejemplo, eliminando un proceso o sistema que está sujeto a
un riesgo elevado. En el caso práctico que hemos expuesto, podríamos eliminar la
wifi de cortesía para dar servicio a los clientes si no es estrictamente necesario.
 Asumir el riesgo, siempre justificadamente. Por ejemplo, el coste de instalar un
grupo electrógeno puede ser demasiado alto y por tanto, la organización puede
optar por asumir.
 Implantar medidas para mitigarlo. Por ejemplo, contratando un acceso a internet
de respaldo para poder acceder a los servicios en la nube en caso de que la línea
principal haya caído.

Por último, cabe señalar que como realizamos este análisis de riesgos en el contexto de
un PDS, las acciones e iniciativas para tratar los riesgos pasarán a formar parte del mismo.
Por lo tanto, deberemos clasificarlas y priorizarlas considerando el resto de proyectos que
forman parte del PDS. Asimismo, tal y como indicábamos en la introducción, llevar a cabo
un análisis de riesgos nos proporciona información de gran valor y contribuye en gran
medida a mejorar la seguridad de nuestra organización.
Proceso de análisis de riesgos informáticos

El análisis de riesgos informáticos es un proceso que comprende la identificación de

activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos
así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los
controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras
o administrativas a una empresa u organización, se tiene la necesidad de poder estimar la
magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicación de
controles. Dichos controles, para que sean efectivos, deben ser implementados en
conjunto formando una arquitectura de seguridad con la finalidad de preservar las
propiedades de confidencialidad, integridad y disponibilidad de los recursos objetos de
riesgo.
Los riesgos de seguridad de información deben ser considerados en el contexto del
negocio, y las interrelaciones con otras funciones de negocios, tales como recursos
humanos, desarrollo, producción, operaciones, administración, TI, finanzas, etcétera y los
clientes deben ser identificados para lograr una imagen global y completa de estos riesgos.
Cada organización tiene una misión. En esta era digital, las organizaciones que utilizan
sistemas tecnológicos para automatizar sus procesos o información deben de ser
conscientes de que la administración del riesgo informático juega un rol crítico.
La meta principal de la administración del riesgo informático debería ser “proteger a la
organización y su habilidad de manejar su misión” no solamente la protección de los
elementos informáticos. Además, el proceso no solo debe de ser tratado como una función
técnica generada por los expertos en tecnología que operan y administran los sistemas,
sino como una función esencial de administración por parte de toda la organización.
Es importante recordar que el riesgo es el impacto negativo en el ejercicio de la
vulnerabilidad, considerando la probabilidad y la importancia de ocurrencia. Por lo que
podemos decir a grandes rasgos que la administración de riesgos es el proceso de
identificación, evaluación y toma de decisiones para reducir el riesgo a un nivel aceptable.
El análisis de riesgo informático es un elemento que forma parte del programa de gestión
de continuidad de negocio (Business Continuity Management)
En el análisis de riesgo informático es necesario identificar si existen controles que ayudan
a minimizar la probabilidad de ocurrencia de la vulnerabilidad (riesgo controlado), de no
existir, la vulnerabilidad será de riesgo no controlado.
Dentro de la evaluación del riesgo es necesario realizar las siguientes acciones: Calcular el
impacto en caso que la amenaza se presente, tanto a nivel de riesgo no controlado como
el riesgo controlado y evaluar el riesgo de tal forma que se pueda priorizar, esto se realiza
de forma cuantitativa (asignando pesos) o de forma cualitativa (matriz de riesgos)
El proceso de análisis de riesgo genera habitualmente un documento al cual se le conoce
como matriz de riesgo. En este documento se muestran los elementos identificados, la
manera en que se relacionan y los cálculos realizados. Este análisis de riesgo es
indispensable para lograr una correcta administración del riesgo. La administración del
riesgo hace referencia a la gestión de los recursos de la organización. Existen diferentes
tipos de riesgos como el riesgo residual y riesgo total así como también el tratamiento del
riesgo, evaluación del riesgo y gestión del riesgo entre otras. La fórmula para determinar el
riesgo total es:
RT (Riesgo Total) = Probabilidad x Impacto Promedio
A partir de esta fórmula determinaremos su tratamiento y después de aplicar los controles
podremos obtener el riesgo residual.
Como se describe en el BS ISO/IEC 27001:2005, la evaluación del riesgo incluye las
siguientes actividades y acciones:

 Identificación de los activos.

 Identificación de los requisitos legales y de negocio que son relevantes para la
identificación de los activos.
 Valoración de los activos identificados, teniendo en cuenta los requisitos legales y de
negocio identificados anteriormente, y el impacto de una pérdida de confidencialidad,
integridad y disponibilidad.
 Identificación de las amenazas y vulnerabilidades importantes para los activos
identificados.
 Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.
 Cálculo del riesgo.
 Evaluación de los riesgos frente a una escala de riesgo preestablecidos.
Después de efectuar el análisis debemos determinar las acciones a tomar respecto a los
riesgos residuales que se identificaron. Las acciones pueden ser:

 Controlar el riesgo.- Fortalecer los controles existentes y/o agregar nuevos controles.
 Eliminar el riesgo.- Eliminar el activo relacionado y con ello se elimina el riesgo.
 Compartir el riesgo.- Mediante acuerdos contractuales parte del riesgo se traspasa a
un tercero.
 Aceptar el riesgo.- Se determina que el nivel de exposición es adecuado y por lo tanto
se acepta.

Elementos de un análisis de riesgo

Cuando se pretende diseñar una técnica para implementar un análisis de riesgo
informático se pueden tomar los siguientes puntos como referencia a seguir:

1. Construir un perfil de las amenazas que esté basado en los activos de la

organización.
2. Identificación de los activos de la organización.
3. Identificar las amenazas de cada uno de los activos listados.
4. Conocer las prácticas actuales de seguridad.
5. Identificar las vulnerabilidades de la organización.Recursos humanos ,Recursos
técnicos,Recursos financieros
6. Identificar los requerimientos de seguridad de la organización.
7. Identificación de las vulnerabilidades dentro de la infraestructura tecnológica.
8. Detección de los componentes claves
9. Desarrollar planes y estrategias de seguridad