¡FÁCIL Y SENCILLO!

ANÁLISIS DE RIESGOS EN 6 PASOS

Las herramientas tecnológicas y la información, sin duda, hoy por hoy, son los activos más
significativos en toda organización, y estos deben ser protegidos a toda costa por las
diferentes amenazas que existen en el medio. Para asegurar estos activos debemos partir
por un correcto análisis de riegos, este permitirá precisar propuestas e inactivas para mejorar
la seguridad de la información.

Para poder llevar a cabo un correcto análisis de riesgos en la empresa debemos arrancar con
un PDS (Plan directos de seguridad). Un PDS es una herramienta que permite establecer una
guía para la implantación de las medidas de seguridad asociadas a la reducción de riesgos
hasta unos niveles aceptables a partir de un análisis de la situación inicial. Gracias a un PDS
concederá centrarse en los riesgos relacionados a los elementos, sistemas y procesos
considerados en el alcance del mismo, permitiendo de esta manera aplacar algún tipo de
siniestro en la seguridad de la información.

Dependiendo la metodología que se vaya a utilizar para implantar un PDS se deben

considerar diferentes etapas o fases para saber cómo poder llevarlo a cabo, sin embargo, a
continuación, se detallan 6 fases principales que se adaptan a la mayoría de las metodologías
que se puedan utilizar.

• Fase 1. Definir el alcance. – Es considerado el primer paso para llevar a cabo el

análisis de riesgos, permitiendo precisar el alcance del estudio. Es recomendable que,
en esta fase, el análisis de riesgos cubra la totalidad de la magnitud de las áreas
estratégicas ha mejorar consideradas en el PDS. También en esta fase se puede
delimitar a ciertos procesos, sistemas o departamentos que queremos mejorar gracias
al PDS, por ejemplo, análisis de riesgos sobre los procesos de facturación.

• Fase 2. Identificar los activos. - Este paso viene posteriormente a la definición del
alcance, y trata sobre la identificación de los activos mas relevantes que se relacionan
con el proceso, departamento u objeto de estudio. Una forma rápida y clara de poder
identificar los activos es con el uso de hojas de cálculo o tablas.

• Fase 3. Identificar / Selección de amenazas. – Después de haber realizado la fase 2,

la fase 3 consiste en reconocer las amenazas que están expuestos los activos.
Tenemos que tener en cuenta que, en esta fase, existe un sin número de amenazas,
para lo cual se debe tener un criterio práctico y favorable.

• Fase 4. Identificar vulnerabilidades y salvaguardas. – Esta fase analiza las cualidades

de los activos identificados para reconocer puntos débiles o vulnerabilidades, un claro
ejemplo, serían los usuarios y contraseñas por defecto en los equipos de red y que
estos no hayan sido cambiados. También en esta fase se analizará y documentará las
medidas de seguridad implantadas en la empresa, esto ayudará a reducir los riesgos
de las amenazas.

• Fase 5. Evaluar el riesgo. - Una vez concretado las fases anteriores, en esta fase se
debe tomar en cuenta la información obtenida anteriormente para estar en las
condiciones de poder calcular el riesgo:

o Inventario de activos.
o Conjunto de amenazas a las que está expuesto cada activo.
o Conjunto de vulnerabilidades asociadas a cada activo (si corresponde)
o Conjunto de medidas de seguridad implantadas.
 En este punto se considerará la probabilidad de que la amenaza se materialice y el
impacto que produciría en el negocio, Para evaluar el riesgo se utilizan enfoques
cualitativos y cuantitativos con sus diferentes escalas (Baja, media y alta o 1,2 y 3)

Para el calculo del riesgo, si es que se ha utilizado el enfoque cuantitativo se aplica la

siguiente formula:
RIESGO = PROBABILIDAD X IMPACTO

Si en caso se utiliza el enfoque cualitativo se tomará en cuenta la siguiente tabla:

IMPACTO
Bajo Media Alto
Baja Muy Bajo Bajo Medio
PROBABILIDAD Media Bajo Medio Alto
Alta Medio Alto Muy alto

Nota: cuando se vaya a estimar la probabilidad y el impacto debemos tener presente

las vulnerabilidades y salvaguardas existentes.

Fase 6. Tratar el riesgo. – Posteriormente calculado el riesgo, se toman en cuenta los

riesgos que sobrepasen los límites establecidos en el análisis, si en caso el riesgo
supera el límite de 3 o de medio, establecido anteriormente, de acuerdo a los enfoques
establecidos, se debe 4 estrategias principales:
• Transferir el riesgo a un tercero
• Eliminar
• Asumir
• Implantar

CONCLUSIÓNES

• Con las 6 fases comunes descritas en este artículo se logra ver de forma específica y
de manera sencilla las principales tareas del análisis de riesgos que se deberá llevar
a cabo en la organización ya que son un grupo de fases comunes en la mayoría de
metodologías que se vaya a utilizar.
• La información a ser recabada mediante estas fases debe ser una información precisa
y veraz que sea de gran utilidad para desarrollar el análisis de riegos, ya que
dependerá mucho de este para la correcta ejecución del Plan Director de Seguridad,
el mismo que ayudara a salvaguardar la información de la organización.
• La correcta identificación de riesgos optimiza la reducción de costes mejorando el nivel
de satisfacción de clientes y empleados, permitiendo a la organización un incremento
notable de la productividad al reducir la incertidumbre y los siniestros identificados en
el estudio.

OPINION PERSONAL
Con la tecnología inmersa en los procesos cidianos tanto en el aspecto personal como
organizativo, considero sobre todo en el ámbito empresarial, que como requisito principal
todas las organizaciones deben contemplar un correcto análisis de riesgos para proteger sus
activos. Existen muchas empresas que están emprendiendo y por ley necesitan de la
tecnología para poder llevar a cabo sus objetivos, sin embargo, no están al tanto de las
diversas amenazas que están en el medio esperando cualquier vulnerabilidad para poder
atacar. La materialización de estas amenazas haría que estas empresas retrasen sus
procesos y den mala reputación, permitiendo a otras sacar ventaja. Por eso creo firmemente
que como inicio de partida y antes de poner en marcha cualquier proceso de negocio que
involucre el uso de la tecnología debe estar respaldado por un plan director de seguridad con
sus respectivo y correcto análisis de riesgos.