1.

¿Quién es el responsable del análisis de los riesgos y de la gestión de

los mismos?
Por su parte la Gerencia de la Empresa concentra su atención en la
confianza que el público tenga en su gestión y en el retorno de lo
invertido. Siendo la Gerencia la máxima responsable por la seguridad y
por el buen manejo de todos los riesgos, y la encargada de dar respuesta
a los intereses de todas las partes, es por tanto la más interesada en la
identificación, análisis y reducción de los riesgos.
2. ¿Cómo se lleva a cabo dicho análisis?
Fase 1. Definir el alcance
El primer paso a la hora de llevar a cabo el análisis de riesgos, es
establecer el alcance del estudio. Vamos a considerar que este análisis
de riesgos forma parte del Plan Director de Seguridad. Por lo tanto,
recomendamos que el análisis de riesgos cubra la totalidad del alcance
del PDS, dónde se han seleccionado las áreas estratégicas sobre las que
mejorar la seguridad. Por otra parte, también es posible definir un
alcance más limitado atendiendo a departamentos, procesos o sistemas.
Por ejemplo, análisis de riesgos sobre los procesos del departamento
Administración, análisis de riesgos sobre los procesos de producción y
gestión de almacén o análisis de riesgos sobre los sistemas TIC
relacionados con la página web de la empresa, etc. En este caso práctico
consideramos que el alcance escogido para el análisis de riesgos es “Los
servicios y sistemas del Departamento Informática”.

Fase 2. Identificar los activos

Una vez definido el alcance, debemos identificar los activos más
importantes que guardan relación con el departamento, proceso, o
sistema objeto del estudio. Para mantener un inventario de activos
sencillo puede ser suficiente con hacer uso de una hoja de cálculo o tabla
como la que se muestra a continuación a modo de ejemplo:
Ejemplo de inventario de activos
Fase 3. Identificar / seleccionar las amenazas
Habiendo identificado los principales activos, el siguiente paso consiste
en identificar las amenazas a las que estos están expuestos. Tal y como
imaginamos, el conjunto de amenazas es amplio y diverso por lo que
debemos hacer un esfuerzo en mantener un enfoque práctico y aplicado.
Por ejemplo, si nuestra intención es evaluar el riesgo que corremos
frente a la destrucción de nuestro servidor de ficheros, es conveniente,
considerar las averías del servidor, la posibilidad de daños por agua
(rotura de una cañería) o los daños por fuego, en lugar de plantearnos el
riesgo de que el CPD sea destruido por un meteorito.

A la hora de identificar las amenazas, puede ser útil tomar como punto
de partida el catálogo de amenazas que incluye la metodología MAGERIT
v3.

Fase 4. Identificar vulnerabilidades y salvaguardas

La siguiente fase consiste en estudiar las características de nuestros
activos para identificar puntos débiles o vulnerabilidades. Por ejemplo,
una posible vulnerabilidad puede ser identificar un conjunto de
ordenadores o servidores cuyo sistemas antivirus no están actualizados
o una serie de activos para los que no existe soporte ni mantenimiento
por parte del fabricante. Posteriormente, a la hora de evaluar el riesgo
aplicaremos penalizaciones para reflejar las vulnerabilidades
identificadas.

Imagen riesgos mitigacion escalada

Por otra parte, también analizaremos y documentaremos las medidas de

seguridad implantadas en nuestra organización. Por ejemplo, es posible
que hayamos instalado un sistema SAI (Sistema de Alimentación
Ininterrumpida) o un grupo electrógeno para abastecer de electricidad a
los equipos del CPD. Ambas medidas de seguridad (también conocidas
como salvaguardas) contribuyen a reducir el riesgo de las amenazas
relacionadas con el corte de suministro eléctrico.

Estas consideraciones (vulnerabilidades y salvaguardas) debemos

tenerlas en cuenta cuando vayamos a estimar la probabilidad y el
impacto como veremos en la siguiente fase.

Fase 5. Evaluar el riesgo

Llegado a este punto disponemos de los siguientes elementos:
Inventario de activos.
Conjunto de amenazas a las que está expuesta cada activo.
Conjunto de vulnerabilidades asociadas a cada activo (si corresponde).
Conjunto de medidas de seguridad implantadas
Con esta información, nos encontramos en condiciones de calcular el
riesgo. Para cada par activo-amenaza, estimaremos la probabilidad de
que la amenaza se materialice y el impacto sobre el negocio que esto
produciría. El cálculo de riesgo se puede realizar usando tanto criterios
cuantitativos como cualitativos. Pero para entenderlo mejor, veremos a
modo de ejemplo las tablas para estimar los factores probabilidad e
impacto.

Tabla para el cálculo de la probabilidad

Tabla para el cálculo del impacto
Tabla para el cálculo del impacto
analisis de riesgos tabla calculo probabilidad
Cálculo del riesgo
A la hora de calcular el riesgo, si hemos optado por hacer el análisis
cuantitativo, calcularemos multiplicando los factores probabilidad e
impacto:
RIESGO = PROBABILIDAD x IMPACTO.
Si por el contrario hemos optado por el análisis cualitativo, haremos uso
de una matriz de riesgo como la que se muestra a continuación:

Analisis de riesgo tabla cálculo del riesgo

Tal y como indicábamos en el apartado anterior, cuando vayamos a
estimar la probabilidad y el impacto debemos tener en cuenta las
vulnerabilidades y salvaguardas existentes. Por ejemplo, la caída del
servidor principal podría tener un impacto alto para el negocio. Sin
embargo, si existe una solución de alta disponibilidad (Ej. Servidores
redundados), podemos considerar que el impacto será medio ya que
estas medidas de seguridad harán que los procesos de negocio no se
vean gravemente afectados por la caída del servidor. Si por el contrario
hemos identificado vulnerabilidades asociadas al activo, aplicaremos una
penalización a la hora de estimar el impacto. Por ejemplo, si los equipos
de climatización del CPD no han recibido el mantenimiento
recomendado por el fabricante, incrementaremos el impacto de
amenazas como “condiciones ambientales inadecuadas” o
“malfuncionamiento de los equipos debido a altas temperaturas”.

Fase 6. Tratar el riesgo

Una vez calculado el riesgo, debemos tratar aquellos riesgos que superen
un límite que nosotros mismos hayamos establecido. Por ejemplo,
trataremos aquellos riesgos cuyo valor sea superior a “4” o superior a
“Medio” en caso de que hayamos hecho el cálculo en términos
cualitativos. A la hora de tratar el riesgo, existen cuatro estrategias
principales:

Transferir el riesgo a un tercero. Por ejemplo, contratando un seguro que

cubra los daños a terceros ocasionados por fugas de información.
Eliminar el riesgo. Por ejemplo, eliminando un proceso o sistema que
está sujeto a un riesgo elevado. En el caso práctico que hemos expuesto,
podríamos eliminar la wifi de cortesía para dar servicio a los clientes si
no es estrictamente necesario.
Asumir el riesgo, siempre justificadamente. Por ejemplo, el coste de
instalar un grupo electrógeno puede ser demasiado alto y por tanto, la
organización puede optar por asumir.
Implantar medidas para mitigarlo. Por ejemplo, contratando un acceso a
internet de respaldo para poder acceder a los servicios en la nube en
caso de que la línea principal haya caído.
3. ¿Cuáles son las herramientas y metodologías disponibles?
Check-lists. Se trata de una manera simple de identificar los riesgos. ...
SWIFT. ...
Análisis de árbol de fallas. ...
Diagrama causa-efecto. ...
Análisis Modal de Fallos y Efectos (AMFE). ...
Análisis funcional de operatividad (HAZOP). ...
Análisis de capas de protección (LOPA).
4. ¿Cuál es el grado de fiabilidad de las mismas?
Debido a que los objetivos referentes a la fiabilidad de la información y
el cumplimiento de leyes y normas están dentro del control de la
entidad, es esperable que la gestión de riesgos corporativos facilite el
aseguramiento razonable de alcanzar estos objetivos, sin embargo el
logro de objetivos estratégicos y operativos no siempre están dentro de
control en la entidad, ya que se pueden ver afectados por eventos
externos; por tanto, respecto a ellos, la gestión de riesgos corporativos
puede proporcionar un aseguramiento razonable a la gerencia, y el
consejo de administración en su papel de supervisión, dar a conocer de
manera oportuna, el grado de progreso de la entidad hacia el logro de
los objetivos.
5. ¿Qué importancia hay que otorgar a los resultados? ¿Cuál es su coste?
otorgamiento de créditos, compra de activos, pagos máximos, etcétera).
Las medidas de control interno para corregir desviaciones y/o de
carácter preventivo
6. ¿Es necesario subcontratar esta función?
En la actualidad las empresas tienen la opción de subcontratar la función
de seguridad o de mantener su propio personal para este propósito. Esta
tarea le ayudara a desarrollar sus habilidades de Internet en cuanto a
usar el servidor Web para investigar y evaluar los servicios de
subcontratación de seguridad
7. ¿Qué hay que proteger?
Una evaluación integral del riesgo de seguridad de la información
debería permitir a una empresa evaluar sus necesidades y riesgos de
seguridad en el contexto de sus necesidades empresariales y
organizativas.
8. ¿De quién debe uno protegerse?
Básicamente, un riesgo puede causar daños o efectos adversos (a
individuos como daños a la salud o a organizaciones como pérdidas de
propiedades o equipo). "Riesgo" es la probabilidad o probabilidad de
que una persona se vea perjudicada o experimente un efecto adverso
para la salud si se expone a un peligro. También puede aplicarse a
situaciones con pérdida de propiedad o equipo.
10.¿Cuáles son los riesgos realmente enfrentados?
En esta primera fase de la metodología se identifican de forma
sistemática las posibles causas concretas de los riesgos empresariales,
así como los diversos y posibles efectos que debe afrontar el
emprendedor. Una correcta identificación de riesgos requiere un
conocimiento detallado de la empresa, del mercado en el que opera, del
entorno legal, social, político y cultural que le rodea.
La identificación del riesgo debe ser sistemática y empezar por identificar
los objetivos clave de éxito y amenazas que puedan perturbar el logro de
dichos objetivos.
11.¿Son soportables estos riesgos?
el inconsciente tiende a minimizarlo para hacerlo soportable. Por lo
tanto, es necesario establecer y fomentar la representación de estos
 riesgos importantes en los colectivos de trabajo. Existen medios para
lograrlo:

las simulaciones de situaciones,

la realidad virtual,
los relatos de los trabajadores de mayor antigüedad en la empresa,
el intercambio de ideas en torno a los análisis de accidentes
12.¿Cuál es el nivel actual de seguridad de la empresa?
Nivel D1: el sistema entero no es confiable y no cumple con ninguna
especificación de seguridad. No hay protección de hardware ni
autenticación de los usuarios.
13.¿Cuál es el nivel que se desea alcanzar?
Nivel C1: se implementa un acceso de control discrecional y la
identificación y autenticación de los usuarios. Se introduce así la
distinción entre usuarios y administradores de sistema.
Nivel C2: implementa una protección de acceso controlado y requiere
una auditoría del sistema.

14.¿Cuáles son las restricciones efectivas?ç

las restricciones es una metodología que permite identificar aquella actividad
dentro de un proceso de salud que determina la velocidad de toda la
operación.

15. ¿Cuáles los medios disponibles? ¿Cómo aplicarlos?

Soluciones de seguridad
Sistemas de ciberseguridad biométrica. ...
Sistemas de análisis de tráfico de red en tiempo real. ...
Firewalls o cortafuegos. ...
Sistema de prevención de intrusiones IPS. ...
Scanner de vulnerabilidades de aplicaciones Web. ...
Antispam. ...
Redes Virtuales Privadas (VPN) ...
Hacking ético.
Considerando los problemas de seguridad cotidianos de la mayor parte
de las infraestructuras, sabiendo que sobran soluciones de seguridad y
que el mercado de la seguridad se comporta satis-facticiamente, nos
permitimos plantearnos las cuestiones para ser desarrollada de acuerdo
a su criterio profesional:
1. ¿Están adaptadas las soluciones de seguridad a las necesidades?
Las analíticas de vídeo de Grekkom se adaptan a necesidades
concretas de cada empresa para mejorar sus soluciones de
seguridad. Tal es así que Grekkom cuenta con soluciones
específicas para diferentes sectores

2. ¿Están implantadas y gestionadas correctamente?

implantada, gestionada y controlada correctamente para que se
convierta en real su probada y total contribución potencial a la
consecución de los objetivos estratégicos, tácticos y operativos de
la compañía.

3. ¿Pueden aplicarse y adaptarse a un entorno en constante cambio?

 adaptarse a las distintas situaciones que del mismo proceso
emergen. Dentro de estos ajustes siempre se analizan distintas
opciones de respuesta, con el objetivo de seleccionar la más
adecuada; no se basan en una única manera de plantear los
problemas.
4. ¿Pueden atenuar el excesivo poder otorgado a los administradores de
los sistemas?
Factores internos, que dependen directamente de la administración
propia y o capacidad de los ejecutivos de cada empresa
Factores externos, que no dependen de la administración, tales como
inflación, depreciaciones no previstas de la moneda local, desastres
climáticos, etc. aquí aparecen como importante el estado de los
equilibrios básicos macroeconómicos que comprometan la capacidad de
pago de los prestatarios.
5. ¿Cómo pueden afrontar los problemas de seguridad cuyo origen debe
buscarse en la negligencia, la incompetencia, los fallos de diseño, de
implementación o de gestión de las tecnologías y soluciones de
seguridad?
La Seguridad y su gestión de riesgos forman parte de la planificación del
evento dentro de los planes de Seguridad. Estos necesariamente
incluyen los correspondientes de autoprotección, emergencia,
comunicación y otros que se consideren oportunos.