Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1.1 Generalidades
La identificación de riesgos es el proceso para descubrir, reconocer y documentar el riesgo que enfrenta
una organización, y es el segundo proceso que opera dentro del ciclo de vida de la gestión de riesgos. El
proceso de identificación de riesgos se señala en la siguiente figura.
La identificación del riesgo es importante porque solo el riesgo identificado es el que puede evaluarse y
someterse a las respuestas apropiadas. Cuando la organización no logra identificar un riesgo, queda
completamente fuera del proceso de planificación estratégica utilizado por la alta dirección para
promover la creación de valor. El profesional de riesgos debe trabajar en estrecha colaboración con los
propietarios de los procesos de negocio para asegurarse de que tiene una comprensión de las formas en
que opera la organización que es lo suficientemente amplia como para incluir no solo a la organización en
sí, sino también a sus dependencias y suposiciones externas, como la disponibilidad de mano de obra
contratada o entrega de materiales justo a tiempo.
1.2 Elementos del riesgo
La identificación del riesgo requiere la documentación y el análisis de los elementos que componen el
riesgo:
2. Una amenaza para esos activos, que requiere tanto intención (motivación) como capacidad
Cada elemento de riesgo necesita ser considerado tanto individualmente como en conjunto. La
identificación del riesgo depende de la identificación exitosa de los activos, las amenazas a esos activos y
las vulnerabilidades que contienen los activos. Los términos clave para la identificación de amenazas y
vulnerabilidades se enumeran en la siguiente figura, algunos términos fueron vistos en la sección
introductoria del curso y otros serán nuevos.
Análisis de Escaneo de
Vulnerabilidad
vulnerabilidad vulnerabilidad
• Activo: Algo de valor tangible o intangible que vale la pena proteger, incluidas personas,
información, infraestructura, finanzas
• y reputación
• Valor del activo: Lo que la organización u otra parte pagaría para tomar posesión de un activo o
denegar el acceso a él a otros. Los activos normalmente se valoran sobre una base monetaria.
• Impacto: Magnitud de la pérdida resultante de una amenaza que explota una vulnerabilidad.
• Análisis de impacto: Un estudio para priorizar la criticidad de los recursos de información para la
empresa en función de los costos (o consecuencias) de los eventos adversos. En un análisis de
impacto, se identifican las amenazas a los activos y se determinan las posibles pérdidas de negocio
para diferentes períodos de tiempo. Esta evaluación se utiliza para justificar el alcance de las
salvaguardas que se requieren y los plazos de recuperación. Este análisis es la base para establecer
la estrategia de recuperación.
• Evaluación de impacto: Una revisión de las posibles consecuencias de un riesgo.
• Probabilidad: La probabilidad de que algo suceda.
• Amenaza: Cualquier cosa (por ejemplo, objeto, sustancia, humano) que sea capaz de actuar
contra un activo de una manera que pueda resultar en daño.
• Agente de amenazas: Métodos y elementos utilizados para explotar una vulnerabilidad, como
determinación, capacidad, motivo y recursos.
• Análisis de amenazas: Una evaluación del tipo, alcance y naturaleza de los eventos o acciones que
pueden resultar en consecuencias adversas; identificación de las amenazas que existen contra los
activos de la empresa.
• Vector de amenaza: El camino o ruta utilizada por el adversario para acceder al objetivo.
• Vulnerabilidad: Una debilidad en el diseño, implementación, operación o control interno de un
proceso que podría exponer el sistema a amenazas adversas de eventos de amenazas.
• Análisis de vulnerabilidad: Un proceso de identificación y clasificación de vulnerabilidades.
• Escaneo de vulnerabilidades: Un proceso automatizado para identificar proactivamente las
debilidades de seguridad en una red o sistema individual.
Como se muestra en la flujo ilustrado a continuación, los agentes de amenazas usan amenazas para atacar
activos a través de vulnerabilidades. Los agentes de amenazas que carecen de amenazas no representan
un riesgo significativo. Del mismo modo, los activos debidamente protegidos que no son vulnerables a las
amenazas que se emiten no presentan ningún riesgo. Por ejemplo, si se ha escrito un virus para explotar
una vulnerabilidad en un sistema, el virus solo puede tener un impacto si el sistema no se ha parcheado
para eliminar la vulnerabilidad. Una vez que se ha aplicado el parche, el virus no representa una amenaza
para el sistema.
Agentes de
amenaza
Amenazas
Vulnerabilidades
Riesgo
Activos
El conocimiento de las amenazas y de las motivaciones, estrategia y técnicas de quienes las perpetran es
clave para poder gestionar una amenaza antes de que se convierta en realidad. Una empresa necesita
conocer sus propias debilidades, fortalezas, vulnerabilidades y las brechas en el tejido de seguridad. La
seguridad debe estar entretejida en cada proceso de negocio, cada sistema de TI y todos los
procedimientos operativos. Cualquier brecha en el tejido de seguridad puede explotarse fácilmente.
Cuanto mejor comprenda el profesional de riesgos la mente del atacante o la fuente de la amenaza, más
efectivas serán las actividades de gestión de riesgos para controlar la amenaza.
El panorama de amenazas y vulnerabilidades siempre está cambiando. Las personas se mueven, los
equipos se desgastan, los controles se debilitan, surgen nuevas amenazas y la conciencia de seguridad se
debilita debido a la inacción. El profesional de riesgos debe buscar proactivamente amenazas,
vulnerabilidades y controles a través de evaluaciones, pruebas, observaciones y análisis regulares para
poder identificar el riesgo. Al evaluar el riesgo, es importante considerar todos los tipos de riesgo, incluido
el riesgo relacionado con la tecnología. Este tipo de riesgo puede incluir un agente de amenaza que
intercepte, interrumpa, modifique o fabrique datos en activos de información, así como el riesgo para las
personas y los procedimientos que se utilizan para adquirir, implementar, mantener y desechar esa
tecnología.
La evaluación del riesgo es la medición del riesgo, y se debe evaluar todo el entorno de riesgo. El entorno
de riesgo incluye:
El riesgo a menudo está más influenciado por la falta de capacitación que por la falta de equipo. En muchos
casos, el riesgo está más relacionado con la forma en que se opera el equipo que con la disponibilidad de
las herramientas adecuadas.
1.2.2 Activos
Un activo es algo de valor tangible o intangible que vale la pena proteger. Los ejemplos de activos que se
encuentran comúnmente en las organizaciones incluyen:
• Información
• Reputación
• Marca
• Propiedad intelectual
• Comodidades
• Equipo
• Efectivo e inversiones
• Listas de clientes
• Investigación (y desarrollo)
• Gente
• Proceso de servicio/negocio
Gente
Muchas organizaciones son vulnerables a la pérdida de un empleado clave que puede ser la única persona
con conocimientos en un área determinada o experiencia específica. Desafortunadamente, son comunes
las fallas de la gerencia para identificar a los empleados clave y garantizar que reciban apoyo a través de
programas de incentivos y capacitación cruzada. Ya sea que la pérdida se produzca como resultado de la
jubilación, enfermedad o contratación por parte de otra organización, puede dejar a la organización en
una posición precaria y vulnerable.
Tecnología
La tecnología cambia rápidamente y siempre se están desarrollando nuevas tecnologías. Además de estar
al tanto de las nuevas tecnologías y el riesgo que representan, el profesional de riesgos también debe
considerar el riesgo asociado con la tecnología obsoleta, que a menudo se pasa por alto. Los equipos que
ya no son compatibles o que han superado su tiempo medio entre fallas (MTBF) pueden ser
particularmente vulnerables. La falta de parches y actualizaciones de sistemas y aplicaciones los hace
vulnerables al malware o al uso indebido, y los sistemas más antiguos pueden requerir experiencia que
no está disponible para mantener (aumentando potencialmente la dependencia de personas clave). Los
sistemas más antiguos también pueden carecer de documentación, pueden depender de un proveedor
para su mantenimiento o pueden ser difíciles de respaldar en términos de piezas de repuesto. Cuando los
sistemas están programados para su eliminación, pueden contener datos confidenciales. El profesional
de riesgos debe asegurarse de que existan procedimientos para eliminar dichos datos de forma segura y
que estos procedimientos se sigan. El método de eliminación segura apropiado para un sistema en
particular se basa parcialmente en su forma física y en parte en la sensibilidad de los datos en el
dispositivo; Los métodos comunes de destrucción de datos incluyen la sobrescritura, la desmagnetización
y la destrucción física del equipo. Si los datos pueden ser necesarios más adelante, es posible que la
organización deba conservar una copia del software o incluso un sistema heredado para leerlos. En el caso
de datos encriptados, también se deben almacenar archivos de claves o contraseñas. El hecho de no
eliminar los sistemas retirados de los esquemas de copia de seguridad o de los planes de recuperación
ante desastres o de continuidad del negocio también puede afectar la integridad de esas operaciones.
Datos
Muchas organizaciones consideran que los datos son extremadamente valiosos. Las listas de clientes, los
datos financieros, los planes de marketing, los datos de recursos humanos (HR) y la investigación son
algunos ejemplos de activos relacionados con datos que suelen estar protegidos. Los datos pueden ser
confidenciales, críticos o ambos; los datos confidenciales deben protegerse de la divulgación o
modificación, mientras que los datos críticos deben protegerse de la destrucción o pérdida. Los sistemas
que alojan, procesan o transmiten los datos deben garantizar que los datos estén protegidos en todo
momento, en todas sus formas (papel, almacenamiento magnético, almacenamiento óptico, informes,
etc.) y en todas las ubicaciones (almacenamiento, redes, archivadores, archivos). , etc.).
Propiedad intelectual
Las marcas comerciales, los derechos de autor, las patentes, los secretos comerciales y otros elementos
asociados con la reputación y la buena voluntad de la organización, así como la investigación que conduce
a un nuevo producto, son ejemplos de propiedad intelectual. La propiedad intelectual es una clase de
información que se trata con especial cuidado porque puede representar el potencial de ganancias futuras
de la organización. La falta de protección de la propiedad intelectual puede resultar en la pérdida de la
ventaja competitiva. Todos los empleados y socios comerciales deben estar sujetos a acuerdos de
confidencialidad (NDA) y recordarles su responsabilidad de proteger la propiedad intelectual de la
organización y manejarla adecuadamente. Esto puede incluir controles de acceso estrictos, trituración de
documentos, precaución al discutir información en un lugar público y encriptación de datos en medios
portátiles. Los términos clave relacionados con la propiedad intelectual se describen en la siguiente tabla.
Derechos de autor Protección de cualquier trabajo que se capture en una forma tangible (por
ejemplo, trabajos escritos, grabaciones, imágenes, software, música,
escultura, danza, etc.).
Patentes Protección de la investigación y las ideas que condujeron al desarrollo de un
producto nuevo, único y útil para evitar la duplicación no autorizada del
artículo patentado.
Secreto comercial Una fórmula, proceso, diseño, práctica u otra forma de información comercial
secreta que proporciona una ventaja competitiva a la organización que posee
la información.
Procesos de negocios
Los procesos de negocio ineficientes u obsoletos pueden representar un riesgo al hacer que las
organizaciones no sean competitivas. Los procesos de negocio deben ser lo suficientemente flexibles para
adaptarse a los cambios en el mercado o la tecnología.
El cálculo del valor de los activos no es tan sencillo como puede parecer inicialmente. Muchas
organizaciones utilizan un enfoque cuantitativo que asigna un valor monetario, lo que puede ser difícil
cuando el valor influye o impulsa intangibles como la confianza, la moral o la percepción del mercado. Por
ejemplo, si un producto, empresa o región se asocia con mala calidad, negligencia ambiental o actividad
fraudulenta, un producto de alta calidad puede percibirse como deficiente debido a esta percepción del
mercado. Esta percepción negativa puede persistir durante muchos años antes de que la empresa pueda
recuperarse.
Los factores que contribuyen al cálculo del valor de los activos incluyen:
Al calcular el valor de los activos, una técnica es basarlo en el impacto de una pérdida de confidencialidad,
integridad y disponibilidad (CIA). Este enfoque intenta relacionar el impacto con una terminología de fácil
comprensión. Para que esto funcione, los valores para cada nivel deben estar claramente establecidos y
utilizados de la misma manera por todos los departamentos.
1.2.3 Amenazas
Las amenazas pueden ser externas o internas, intencionales o no intencionales. Pueden ser causados por
eventos naturales o factores políticos, económicos o competitivos. Las amenazas siempre existen y, por
lo general, están más allá del control directo del profesional de riesgos o del propietario de los activos. No
todas las amenazas concebibles deben ser consideradas por todas las organizaciones. Por ejemplo, una
organización que opera en una región con una clasificación sísmica de cero no tiene que documentar la
exposición a volcanes o terremotos. Sin embargo, es importante identificar los distintos tipos de amenazas
que se aplican y que pueden utilizarse para comprometer los sistemas o afectar a la organización.
• Físicas
• Eventos naturales
• Pérdida de servicios esenciales
• Perturbación por radiación
• Compromiso de la información
• Fallas técnicas
• Acciones no autorizadas
• Compromiso de funciones
El profesional de riesgos debe documentar todas las amenazas que puedan aplicarse a los sistemas y
procesos de negocio bajo revisión. Esto requiere el uso de los recursos señalados anteriormente, pero
también debe incluir el examen de la causa de fallas pasadas, informes de auditoría, informes de los
medios, información de los equipos nacionales de respuesta a emergencias informáticas (CERT), datos de
proveedores de seguridad y comunicación con grupos internos.
Auditorías
Finanzas
Compañías de seguros
Vendedores de productos
Publicaciones de gobierno
Evaluaciones y diagnósticos
Usuarios
Recursos humanos
Medios de comunicación
Los empleados son la causa de un número significativo de impactos de negocio, que pueden ser
intencionales y no intencionales. Un empleado descontento puede comprometer intencionalmente los
sistemas o divulgar datos que exponen a la organización a riesgos legales o de reputación. Los empleados
pueden ser convencidos, sobornados o amenazados para revelar secretos de negocio por razones
ideológicas o económicas. Muchos empleados tienen un nivel de acceso a sistemas y datos que supera
con creces los requisitos reales de su trabajo, lo que puede explotarse en un ataque. La solución al
problema de los empleados, por lo tanto, radica al menos en parte en la aplicación de la necesidad de
saber y el privilegio mínimo, pero es una solución imperfecta. Cualquier sistema tiene personas internas
confiables, y uno de ellos que elige violar la confianza es difícil de predecir o prevenir.
El individuo malicioso interno típico es un empleado, contratista u otro socio de negocio actual o anterior
que tiene o tuvo acceso autorizado a la red, el sistema o los datos de una organización e intencionalmente
interceptó (exfiltró), interrumpió, modificó o fabricó datos en los sistemas de información de la
organización. El primer paso para abordar las amenazas al personal es comenzar con el proceso de
contratación y revisar las calificaciones y la actitud de los posibles empleados. Los candidatos de empleo
pueden haber presentado información incorrecta en las solicitudes de empleo y reclamar educación,
certificación o experiencia que en realidad no poseían. En el momento de la contratación, se debe exigir
al empleado que firme un acuerdo de no divulgación y que se le informe sobre la ética y las políticas de la
organización, y puede valer la pena una revisión de las referencias y la realización de verificaciones de
antecedentes cuando lo permita la ley.
A lo largo del empleo, se debe recordar a los empleados las políticas organizacionales y sus
responsabilidades a través de sesiones de concientización y revisiones periódicas de la gerencia. Uno de
los mejores controles basados en empleados es interactuar con los empleados para comprender cualquier
frustración, queja o problema que puedan estar enfrentando y tratar de resolver esos problemas. En
tiempos de huelga, despidos, fusiones, reubicaciones y reorganizaciones, es más probable que un
empleado sea un riesgo. Un empleado que ha sido recientemente degradado o pasado por alto para una
promoción también es un riesgo.
Al final del empleo, un empleado debe devolver todos los activos de la organización, incluidos los carnés
de identificación, el equipo (por ejemplo, computadoras portátiles, teléfonos móviles, tarjetas de acceso,
etc.) y los uniformes para que no pueda usarlos para obtener acceso no autorizado en el futuro. Además,
los sistemas, la red y el acceso a las instalaciones deben eliminarse inmediatamente antes de la partida
del empleado para minimizar la posibilidad de delitos de oportunidad.
Los eventos naturales como inundaciones, tormentas, terremotos o tornados son impredecibles y pueden
ser extremadamente dañinos. El uso de datos gubernamentales y servicios de monitoreo del clima puede
identificar las amenazas asociadas con eventos naturales y permitir que el profesional de riesgos tome las
medidas necesarias para estar preparado.
Una amenaza externa al personal incluye un pirata informático, un ladrón o una amenaza persistente
avanzada (APT) que tiene la habilidad y está decidido a ingresar a los sistemas con fines militares o
económicos. El término APT se refiere a atacantes avanzados y altamente calificados que son
determinados (persistentes) en sus intentos de explotar sistemas y redes. Las mayores habilidades
disponibles para la comunidad de piratas informáticos y la efectividad de las herramientas que poseen
hacen que el riesgo de compromiso sea mucho más significativo. Las APT pueden estar patrocinadas por
gobiernos, el crimen organizado o competidores. La mayoría de las infracciones son el resultado de
objetivos de oportunidad, no de ataques determinados. Como se ve en los informes anuales de Verizon y
otras organizaciones, muchas organizaciones son violadas porque se descubrió que eran objetivos fáciles
y los agentes de amenazas se aprovecharon de sus vulnerabilidades.
La mayoría de las tecnologías se construyen con énfasis en la función y el propósito sin la debida
consideración de las implicaciones de seguridad. Como resultado, la nueva tecnología tiende a ser una
fuente de nuevas vulnerabilidades e incluso puede ser un agente de amenaza dentro de un sistema de
información. El profesional de riesgos debe estar alerta al surgimiento de nuevas tecnologías y prepararse
para su introducción en la organización, particularmente si estas tecnologías prometen ahorros de costos
o ventajas competitivas. Trae tu propio dispositivo (BYOD) es un ejemplo de una revolución en la forma
en que las organizaciones ven los activos tecnológicos, uno cuyo riesgo es evidente pero que ha tentado
a una amplia variedad de organizaciones al prometer reducir en gran medida el costo de la adquisición
inicial de activos de TI. y la velocidad a la que deben actualizarse. Es poco probable que una estrategia de
amenaza que enfatice el rechazo de la nueva tecnología se mantenga mucho más allá del punto en que
algo obtenga el patrocinio ejecutivo.
1.2.4 Vulnerabilidades
Las vulnerabilidades son debilidades, brechas o agujeros en la seguridad que brindan una oportunidad
para una amenaza o crean consecuencias que pueden afectar a la organización.
La publicación especial 800-30 Revisión 1 del Instituto Nacional de Estándares y Tecnología (NIST): Guía
para realizar evaluaciones de riesgos proporciona una lista de vulnerabilidades a considerar, así como
"condiciones predisponentes" que pueden conducir a la aparición rápida o impredecible de nuevas
vulnerabilidades. Muchas vulnerabilidades son condiciones que existen en los sistemas y deben
identificarse para poder abordarlas. El propósito de la identificación de vulnerabilidades es encontrar los
problemas antes de que un adversario los encuentre y los explote, razón por la cual una organización debe
realizar evaluaciones periódicas de vulnerabilidades y pruebas de penetración para identificar, validar y
clasificar sus vulnerabilidades. Donde existen vulnerabilidades, existe un riesgo potencial.
Las vulnerabilidades de la red a menudo están relacionadas con la configuración incorrecta de los equipos,
una arquitectura deficiente o la intercepción del tráfico. La mala configuración es un problema común con
los equipos de red que no están instalados, operados o mantenidos correctamente. Cualquier servicio
abierto es un vector de ataque potencial que puede ser explotado por un atacante, por lo que el equipo
de red debe fortalecerse al deshabilitar cualquier servicio, puerto o protocolo innecesario.
Tradicionalmente, los sistemas en red se han limitado a dispositivos cuyo objetivo principal era
proporcionar potencia informática, ya sea para el procesamiento directo de datos o para regular el flujo
de datos dentro de la red. Sin embargo, a medida que el costo de la tecnología de redes cae en términos
de dólares, energía y tamaño físico, la capacidad de transmitir y recibir datos se está incorporando a un
número creciente de dispositivos cuyos propósitos principales no son de naturaleza regulatoria o de
procesamiento de datos, como electrodomésticos y automóviles. Estos dispositivos crean nuevas
vulnerabilidades para la red. El Internet de las cosas resultante está emergiendo como una gran
oportunidad para aumentar la comodidad y como un gran objetivo nuevo para los agentes de amenazas.
Por lo tanto, el profesional de riesgos debe asegurarse de tener conocimientos sobre las tecnologías
emergentes y sus implicaciones para el uso futuro.
Las aplicaciones también pueden ser vulnerables debido a una arquitectura deficiente. Las aplicaciones
que procesan datos de tarjetas de pago u otra información confidencial o almacenan esos datos en una
ubicación insegura, como una zona desmilitarizada (DMZ), pueden sufrir ataques repetidos o incluso
continuos, lo que aumenta la probabilidad de que un atacante encuentre una vulnerabilidad para
explotar. El profesional de riesgos debe comprender la arquitectura de la red y cuestionar las decisiones
que parecen crear una exposición innecesaria.
1.2.4.3 Servicios esenciales y condiciones ambientales
Los sistemas de información se basan en condiciones ambientales controladas, que incluyen energía
limpia y constante y controles sobre la humedad y la temperatura. El profesional de riesgos debe
asegurarse de que la organización esté preparada para fallas de energía u otras condiciones ambientales
para evitar condiciones que puedan conducir a fallas en el sistema. Tener una fuente de alimentación
ininterrumpida (UPS), generadores de respaldo y protectores contra sobretensiones puede proteger el
equipo contra daños o fallas, pero estos sistemas requieren más que una inversión inicial. Por ejemplo, se
debe validar un UPS para garantizar que tenga la energía adecuada para ejecutar sistemas críticos hasta
que un generador de respaldo pueda funcionar.
1.2.4.5 Procesos
Mantener la integridad operativa a menudo requiere procedimientos que abarcan una variedad de temas,
incluida la gestión de incidentes, la gestión de identidades, el control de cambios, la gestión de parches y
la planificación de proyectos. Estos procesos deben definirse e implementarse de manera consistente en
toda la organización. Sin ellos, o si se implementan al azar, la organización puede correr el riesgo de una
gestión y resultados inconsistentes, falta de gobernanza e informes, y falla en garantizar el cumplimiento
de las regulaciones.
Nube pública
Nube comunitaria
Nube híbrida
•Una composición de 2 o más nubes (privada, comunitaria o pública) que se mantienen como entidades
únicas pero que se conectan para permitir la portabilidad de aplicaciones.
La computación en la nube ofrece muchas ventajas de negocio, pero el profesional de riesgos debe ser
consciente de que la subcontratación del procesamiento de datos no elimina la responsabilidad de la
organización subcontratada de garantizar la protección adecuada de los datos. Además, si bien los centros
de datos más grandes que se establecen para atender a cientos o miles de clientes suelen estar mejor
protegidos que las operaciones independientes, la capacidad de la organización de subcontratación para
ver lo que sucede dentro de la empresa que aloja su centro de datos puede ser muy limitada. Cuando se
considera que los centros de datos en la nube son objetivos grandes, visibles y tentadores para los agentes
de amenazas mejor financiados y con más experiencia, queda claro que la computación en la nube
representa tanto un riesgo como una oportunidad. Las decisiones sobre si aprovechar los servicios en la
nube, qué sistemas se deben transferir y cuáles se pueden retener mejor bajo el control de la organización
deben ser tomadas por la alta gerencia. Para ayudarlos a tomar esta decisión, el profesional de riesgos
debe proporcionar a la alta gerencia la información necesaria para que puedan tener una comprensión
completa del riesgo involucrado.
• Vulnerabilidades de la red
• Controles de acceso físico deficientes (p. ej., edificios, oficinas)
• Aplicaciones inseguras
• Servicios web mal diseñados o implementados
• Interrupción de los servicios públicos (p. ej., energía, telecomunicaciones)
• No confiable cadena de suministro
• Personal no capacitado (HR)
• Procesos ineficientes (p. ej., control de cambios, manejo de incidentes)
• Equipo viejo o con mantenimiento deficiente
• Métodos históricos o basados en evidencia, como la revisión de eventos históricos, tales como:
o Informes de auditoría o incidentes – Medios públicos (p. ej., periódicos, televisión, etc.).
o Informes anuales y comunicados de prensa.
• Enfoques sistemáticos (opinión de expertos) en los que un equipo de riesgo examina y cuestiona un
proceso de negocio de manera sistemática para determinar los posibles puntos de falla, tales como:
o Evaluaciones de vulnerabilidad.
o Revisión de planes de continuidad de negocio y recuperación ante desastres.
o Entrevistas y talleres con gerentes, empleados, clientes, proveedores y auditores.
• Métodos inductivos (análisis teórico), en los que un equipo examina un proceso para determinar el
posible punto de ataque o compromiso, como las pruebas de penetración.
El proceso de identificación de riesgos sirve como entrada para otro aspecto de la gestión de riesgos,
como se ve en el siguiente flujo
Identificar controles
Identificar activos Identificar amenazas
existentes
Todo lo anterior
Identificar Identificar alimenta al Proceso
vulnerabilidades consecuencias de valoración de
riesgo
1.3.1 Entrevistas
La recopilación de información del personal es un método valioso para obtener información sobre el
negocio de quienes están más cerca de los procesos y es más probable que entiendan su funcionamiento
fundamental. Sin embargo, las entrevistas plantean ciertos desafíos de los que el profesional de riesgos
debe ser consciente. Una es que muchas personas quieren ser vistas como participantes esenciales en la
misión de la organización, lo que puede llevar a exagerar su propia importancia y la de sus equipos o
departamentos; otra es que es posible que las personas no entiendan completamente el proceso de
negocio general o las dependencias entre su departamento y otros departamentos. En ciertos casos, como
cuando hay negligencia o irregularidades demostrables, alguien puede proporcionar información
incorrecta intencionalmente.
El profesional de riesgos puede mejorar las probabilidades de que una entrevista produzca información
útil si se adhiere a las siguientes buenas prácticas:
• Designar un período de tiempo específico y no exceder ese tiempo sin mutuo acuerdo.
o Cuando a un gerente se le dice que se necesitará un miembro del personal durante 45
minutos, no debe descubrir que la entrevista duró 90 minutos.
• Conozca tanto como sea posible sobre el proceso de negocio antes de la entrevista, lo que reduce el
tiempo dedicado a las explicaciones generales de las funciones de negocio centrales.
o Obtenga y revise documentación como mapas de procesos, procedimientos operativos
estándar, los resultados de las evaluaciones de impacto y topologías de red antes de la
entrevista.
• Preparar las preguntas y facilitarlas al entrevistado con antelación para que lleve la documentación,
informes o datos de apoyo que sean necesarios.
• Llevar a cabo entrevistas con líderes sénior para garantizar una comprensión completa de la empresa,
incluidos todos los aspectos de cada operación de negocio.
o Los líderes sénior pueden incluir miembros de la junta, administradores, proveedores de
servicios externos críticos, clientes, proveedores y gerentes.
• Aliente a los entrevistados a ser abiertos sobre los desafíos que enfrentan y los riesgos que les
preocupan, así como sobre cualquier posible pérdida de oportunidades o problemas asociados con
sus procesos, sistemas y servicios/productos actuales.
• Evite establecer expectativas incorrectas con respecto a la confidencialidad de las respuestas de la
entrevista.
o Las personas pueden preocuparse por las repercusiones de discutir fallas u oportunidades
perdidas.
o Prometer confidencialidad solo si realmente se mantendrá.
Un detalle importante que se debe obtener durante una entrevista es el nivel de impacto que los
incidentes anteriores han tenido en la organización, incluida la forma en que se manejó el incidente, los
resultados de la revisión posterior al incidente y el análisis de la causa raíz y el estado actual de cualquier
actividad de remediación de incidentes anteriores, incluido si se abordaron y resolvieron las
recomendaciones del incidente anterior. El profesional de riesgos debe ser consciente de que las personas
disponibles para las entrevistas pueden no ser las personas adecuadas para responder a las preguntas
relacionadas con los riesgos. Cuando la programación u otros conflictos impiden el proceso de gestión de
riesgos, es posible que el profesional de riesgos deba recurrir al patrocinador ejecutivo del programa para
facilitar el acceso a las personas adecuadas de manera oportuna.