Análisis de Riesgo

Nivel de Madurez de Seguridad

Para determinar el nivel de madurez, se establece el siguiente esquema:

Un análisis de riesgo es un procedimiento de ayuda a la decisión. Sus resultados

constituyen una guía para que la organización pueda tomar decisiones sobre si es
necesario implantar nuevos mecanismos de seguridad y que controles o procesos de
seguridad serán los más adecuados.
Una vez conocidos los riesgos, la organización puede decidir qué medidas tomas
dependiendo de una serie de factores (costes de la implantación de controles que
reduzcan los riesgos vs. Costes derivados de las consecuencias de la materialización de
estos riesgos):
Mitigar el riesgo: Mediante la implantación y mantenimiento de controles de
seguridad que minimicen estos riesgos y los mantengan a un nivel aceptable (lo
cual implica inversiones económicas).
Asumir: Ciertos riesgos a los que está expuesta la organización ya que las
consecuencias acarrean un coste económico y estratégico menos que el coste que
sería necesario aportar para reducir dichos riesgos.
Transferir: Estos riesgos, bien a un prestador de servicios especializado
mediante un SLA o bien mediante la contratación de una póliza de riesgo
electrónico.
Relación Amenazas-Activos-Vulnerabilidades-Impacto-Riesgo:

Relación Amenazas-Activos-Vulnerabilidades-Impacto-Riesgo-
Salvaguardas
FORMA CUALITATIVA:
Riesgo
• Frecuencia
• Impacto
Salvaguardas
• Preventivos
• Detectives
• Correctivos
Riesgo Residual

Análisis de Riesgo- Impacto

Análisis de Riesgo- Frecuencia

 Severidad: Nivel de Riesgo
IMPACTO
Muy Alto (50) Alto (40) Medio(30) Bajo(20) Muy bajo(10)
FRECUENCIA

Muy Alto Alto Medio Bajo Muy Bajo

Muy Alta (1,0)
50*1,0=50 40*1,0=40 30*1,0=30 20*1,0=20 10*1,0=10

Muy Alto Alto Medio Bajo Muy Bajo

Alta (0,9)
50*0,9=45 40*0,9=36 30*0,9=27 20*0,9=18 10*0,9=9

Alto Medio Medio Bajo Muy Bajo

Medio(0,7)
50*0,7=35 40*0,7=28 30*0,7=21 20*0,7=14 10*0,7=7

Medio Bajo Bajo Muy Bajo Muy Bajo

Baja (20)
50*0,5=25 40*0,5=20 30*0,5=15 20*0,5=10 10*0,4=4

Bajo Bajo Muy Bajo Muy Bajo Muy Bajo

Muy baja (0,3)
50*0,3=15 40*0,3=12 30*0,3=10 20*0,3=6 10*0,2=2

IMPACTO * FRECUENCIA Nivel de Riesgo

40 < Impacto * Frecuencia = 50 Muy Alto

30 < Impacto * Frecuencia = 40 Alto

20 < Impacto * Frecuencia = 30 Medio

10 < Impacto * Frecuencia = 20 Bajo

0 < Impacto * Frecuencia = 10 Muy Bajo

 NIVEL DE RIESGO = f( IMPACTO * FRECUENCIA)
Analizando la tabla de criterio que establece el nivel de riesgo cualitativo en
función de métricas cuantitativas del impacto y la frecuencia, ponderado
especialmente el impacto
(Estimación semicualitativa).

Priorizar Riesgos

Implantar un proceso general de Gestión de Riesgos.

• Establecer el nivel de riesgos aceptable
 Informe de aplicabilidad (SOA)

RESPONSABLE
OPCIONES DEL RESPONSABLE DE
NIVEL DE TRATAMIENTO RIESGO ANÁLISIS DE FECHA DEL
RIESGO TRATAMIENTO LA
RIESGO DEL RIESGO RESIDUAL COSTE/BENEFICIOS LÍMITE SEGUIMIENTO
DEL RIESGO IMPLEMENTACIÓN
DEL RIESGO
 Estrategia gestionar el riesgo.
• Asumir el riesgo no hacer nada
• Controlar implantar uno o varios controles
• Transfiere seguros o proveedores de servicios
Seleccionar controles (catálogo de buenas prácticas ISO 17799 u otros).
Implantar controles.
Verificar controles.

FORMA CUANTITATIVA:
Sujeto a datos y registros históricos.
Basado en lo ocurrido y la frecuencia experimentado.
La determinación de la probabilidad de ocurrencia es basada en datos y no en
apreciaciones de participantes.
El nivel de impacto es cuantificable en términos económicos.
La severidad refleja el valor esperado del impacto, aun que de llegarse a dar no
sería el verdadero impacto.

PROBABILIDAD DE OCURRENCIA
PASOS:
Definición de evento x: riesgo
Determinación de un periodo de estudio.
Revisión de data histórica.
Determinación de probabilidad:
De acuerdo a distribución estadística (Prueba de Kolmogorov)
De forma empírica (frecuencias)
Simulaciones (Método montecarlo)

Forma empírica:

Casos favorables de x
P (ocurrencia evento x) 
Casos Totales

NIVEL DE IMPACTO
Económicamente como se ve afectada la organización.
Costos:
 Tiempo de no funcionamiento.
• Valores que se dejan de percibir por no funcionar.
• Aspectos legales.
  Recuperación
• Compra de equipos
• Alquiler de instalaciones y equipos
• Pago de personal
 Imagen
• Valorización de pérdida de clientes.

SEVERIDAD
Severidad= P(ocurrencia) x Impacto
La severidad reflejaría el valor esperado de la materialización del riesgo. Este valor
sirve para poder priorizar riesgo, mas no representa el impacto a la organización.
Ejemplo: P(ocurrencia)=0.5, Impacto=$800
Severidad=(0.5)x(800) = $400
En el supuesto que se materialice el riesgo el impacto a la organización es de $800.
Bibliografía
• Análisis de Riesgo Operacional, D&A Consultores
• Análisis y gestión de riesgo, Fernando Aparicio
ANEXOS.