• Author / Uploaded
• Daniel Silva

Citation preview

ANALISIS DE RIESGOS El análisis de riesgo, también conocido como evaluación de riesgos o PHA por sus siglas en inglés. Process Hazards Analysis, es el estudio de las causas de las posibles amenazas y probables eventos no deseados y los daños y consecuencias que éstas puedan producir. Este tipo de análisis es ampliamente utilizado como herramienta de gestión en estudios financieros y de seguridad para identificar riesgos (métodos cualitativos) y otras para evaluar riesgos (generalmente de naturaleza cuantitativa). El primer paso del análisis es identificar los activos a proteger o evaluar. La evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecidos previamente. La función de la evaluación consiste en ayudar a alcanzar un nivel razonable de consenso en torno a los objetivos en cuestión, y asegurar un nivel mínimo que permita desarrollar indicadores operacionales a partir de los cuales medir y evaluar. Los resultados obtenidos del análisis, van a permitir aplicar alguno de los métodos para el tratamiento de los riesgos, que involucra identificar el conjunto de opciones que existen para tratar los riesgos, evaluarlas, preparar planes para este tratamiento y ejecutarlos. METODOS DE ANALISIS DE RIESGOS Los métodos de análisis de riesgos son técnicas que se emplean para evaluar los riesgos de un proyecto o un proceso. Estos métodos ayudan a tomar decisiones que permiten implementar medidas de prevención para evitar peligros potenciales o reducir su impacto. Es cierto que no existe una única metodología de riesgos. La forma ideal de realizar la gestión es seleccionar y combinar las mejores técnicas según el tipo de negocio o de proyecto. Por eso, a la hora de escoger, hay que tener en cuenta que algunas de estas herramientas son más idóneas para evaluar las causas de un problema, mientras que otras son más adecuadas para valorar las consecuencias. Aquí le presentamos algunos de los métodos de análisis de riesgo más utilizados para que elija el que más le convenga a su organización. WHAT IF El análisis what if (¿qué pasaría si…?) es una herramienta sencilla y fácil de entender para cualquier gestor. Usualmente se utiliza en la primera fase de la gestión cuando apenas se están identificando los riesgos. Después, este método puede complementarse con un análisis más profundo de los riesgos y sus causas a través de otras técnicas adicionales. Esta metodología de administración de riesgos consiste en programar reuniones entre funcionarios o colaboradores que conozcan a fondo el proceso que se analiza. La primera reunión se programa para hacer lluvia de ideas. Se formulan preguntas que ayuden a

visibilizar posibles problemas. De ahí el nombre de what if, pues cada una de esas cuestiones comienza de ese modo:  

¿Qué pasaría si falla la maquinaria? ¿Qué pasaría si hay una interrupción de energía?

En las reuniones posteriores el grupo de expertos encontrará respuestas pertinentes para abordar las preguntas que se formularon, procurando hallar causas, consecuencias y recomendaciones. Justamente esa es una de las principales ventajas del análisis what if, pues permite realizar una revisión exhaustiva de una amplia categoría de riesgos. ANÁLISIS PRELIMINAR DE RIESGOS (APR) Esta metodología de gestión de riesgos también forma parte del análisis inicial. Se utiliza para identificar posibles riesgos cuando el proyecto apenas está comenzando. El primer paso en el análisis preliminar de riesgos es identificar todas las actividades que forman parte de un proyecto o de un proceso, intentando reconocer los posibles problemas que se puedan enfrentar en cada fase. Con esos datos se llena una tabla de registro. En una de las columnas se describen los riesgos que se identificaron, en otra se ubican las posibles causas, en la tercera se listan las consecuencias y en la última se sitúan las categorías de riesgos, combinando la frecuencia y la gravedad del riesgo para crear una clasificación de prioridades. Cuanto más probable sea un riesgo y más graves sus consecuencias, mayor atención debe dársele. Con esos criterios, los riesgos se clasifican en menores, moderados, serios o catastróficos. Para llevar a cabo esa priorización del riesgo, es conveniente utilizar una matriz de riesgo. 5 PORQUÉS El objetivo de esta técnica es llegar a la causa raíz de un problema específico, descartando las respuestas más inmediatas y superficiales. Así como los niños que empiezan a preguntar sobre el porqué de asuntos aleatorios, este método de análisis de riesgo es una indagación que consiste en formular preguntas iterativas sobre un problema determinado. Esta metodología de riesgos debe desarrollarse en grupo. En primer lugar, se plantea el problema. Después, se pasa a la formulación de preguntas. Finalmente, a partir de las respuestas, se encuentra la causa raíz. Contrario a lo que indica el nombre de la técnica, no es necesario que se restrinja el análisis a cinco preguntas. La cantidad de cuestiones estará determinada por la complejidad del problema que se pretende abordar. Ejemplo de 5 porqués: Problema: Los clientes están reclamando porque las entregas no se están haciendo a tiempo. 1. ¿Por qué se están demorando las entregas? Porque la mercancía está retenida en la bodega.

2. ¿Por qué la mercancía está retenida en la bodega? Porque los camiones están tardando en salir. 3. ¿Por qué los camiones están tardando en salir? Porque el trabajador está demorando en cargarlos. 4. ¿Por qué el trabajador demora tanto en cagarlos? Porque una sola persona tiene que cargar muchos camiones al mismo tiempo. 5. ¿Por qué el trabajador tiene que cargar tantos camiones al mismo tiempo? Porque faltan ayudantes en la bodega. Causa del problema: falta de funcionarios en la bodega. FMEA (FAILURE MODE AND EFFECTIVE ANALYSIS) Esta metodología de gestión de riesgos es en realidad una técnica de ingeniería. En principio fue creada por la Nasa, pero después fue adoptada en diferentes campos e industrias. El método FMEA consiste en identificar, clasificar y eliminar las fallas de los proyectos o de los procesos antes de que estas ocurran. El método FMEA empieza identificando las posibles fallas y efectos. Posteriormente, se crea una clasificación de ellos. La puntuación de los riesgos se determina teniendo en cuenta tres criterios: 1. Frecuencia 2. Gravedad 3. Detección Con esos tres puntos se aplica una fórmula que permite establecer cuáles fallas son más o menos graves. Los riesgos más críticos deben ser atendidos primero que los demás. LISTA DE CHEQUEO Esta es una herramienta utilizada para confirmar que las medidas preventivas de los procesos de análisis y riesgo están siendo adoptadas. Consiste en montar una lista con todos los riesgos que se han identificado y sus recomendaciones de prevención correspondientes. Frente a cada ítem se debe llenar una casilla con las tareas que ya fueron hechas y las que no. Las listas de chequeo son un método de análisis de riesgo muy útil porque son fáciles de hacer y de usar. Además, se pueden emplear para cualquier actividad o proceso. Asimismo, facilitan la toma de decisiones. Comience ahora su proceso de gestión. Haga clic abajo y descargue gratis una plantilla para crear una lista de chequeo que le ayudará a gestionar el riesgo operativo. ANALISIS DE RIESGOS EN 6 PASOS Sin duda alguna, si queremos «empezar por el principio» en materia de ciberseguridad en nuestra empresa, el análisis de riesgos es uno de los trabajos más importantes a la hora de definir proyectos e iniciativas para la mejora de la seguridad de la información. Si

consideramos que las herramientas tecnológicas y la información que manejamos son de gran valor para nuestra organización debemos empezar a pensar en poner en práctica un Plan Director de Seguridad. El Plan Director de Seguridad (PDS) se puede simplificar como la definición y priorización de un conjunto de proyectos en materia de seguridad de la información, dirigido a reducir los riesgos a los que está expuesta la organización hasta unos niveles aceptables a partir de un análisis de la situación inicial. Llevar a cabo un buen análisis nos permitirá centrar nuestro foco de atención en los riesgos asociados a los sistemas, procesos y elementos dentro del alcance del PDS. De esta forma mitigaremos la posibilidad de tener algún tipo de incidente de ciberseguridad. Por otra parte, también podemos obtener beneficios si realizamos un análisis de riesgos de forma aislada en lugar de llevarlo a cabo dentro de un contexto mayor como es el del desarrollo de un PDS. A continuación veremos de forma sencilla las principales tareas del análisis de riesgos, aportando recomendaciones prácticas sobre cómo llevarlo a cabo, y considerando algunas particularidades a tener en cuenta para que aporte el máximo valor al PDS. Cabe señalar que las fases o etapas que componen un análisis de riesgos dependen de la metodología escogida. En el caso que nos ocupa, hemos seleccionado un conjunto de fases que son comunes en la mayor parte de las metodologías para el análisis de riesgos.

Fase 1. Definir el alcance El primer paso a la hora de llevar a cabo el análisis de riesgos, es establecer el alcance del estudio. Vamos a considerar que este análisis de riesgos forma parte del Plan Director de Seguridad. Por lo tanto, recomendamos que el análisis de riesgos cubra la totalidad del alcance del PDS, dónde se han seleccionado las áreas estratégicas sobre las que mejorar la seguridad. Por otra parte, también es posible definir un alcance más limitado atendiendo a departamentos, procesos o sistemas. Por ejemplo, análisis de riesgos sobre los procesos del departamento Administración, análisis de riesgos sobre los procesos de producción y gestión de almacén o análisis de riesgos sobre los sistemas TIC relacionados con la página

web de la empresa, etc. En este caso práctico consideramos que el alcance escogido para el análisis de riesgos es “Los servicios y sistemas del Departamento Informática”. Fase 2. Identificar los activos Una vez definido el alcance, debemos identificar los activos más importantes que guardan relación con el departamento, proceso, o sistema objeto del estudio. Para mantener un inventario de activos sencillo puede ser suficiente con hacer uso de una hoja de cálculo o tabla como la que se muestra a continuación a modo de ejemplo:

Fase 3. Identificar / seleccionar las amenazas Habiendo identificado los principales activos, el siguiente paso consiste en identificar las amenazas a las que estos están expuestos. Tal y como imaginamos, el conjunto de amenazas es amplio y diverso por lo que debemos hacer un esfuerzo en mantener un enfoque práctico y aplicado. Por ejemplo, si nuestra intención es evaluar el riesgo que corremos frente a la destrucción de nuestro servidor de ficheros, es conveniente, considerar las averías del servidor, la posibilidad de daños por agua (rotura de una cañería) o los daños por fuego, en lugar de plantearnos el riesgo de que el CPD sea destruido por un meteorito. A la hora de identificar las amenazas, puede ser útil tomar como punto de partida el catálogo de amenazas que incluye la metodología MAGERIT v3. Fase 4. Identificar vulnerabilidades y salvaguardas La siguiente fase consiste en estudiar las características de nuestros activos para identificar puntos débiles o vulnerabilidades. Por ejemplo, una posible vulnerabilidad puede ser identificar un conjunto de ordenadores o servidores cuyo sistemas antivirus no están actualizados o una serie de activos para los que no existe soporte ni mantenimiento por parte del fabricante. Posteriormente, a la hora de evaluar el riesgo aplicaremos penalizaciones para reflejar las vulnerabilidades identificadas. Por otra parte, también analizaremos y documentaremos las medidas de seguridad implantadas en nuestra organización. Por ejemplo, es posible que hayamos instalado un sistema SAI (Sistema de Alimentación Ininterrumpida) o un grupo electrógeno para abastecer de electricidad a los equipos del CPD. Ambas medidas de seguridad (también

conocidas como salvaguardas) contribuyen a reducir el riesgo de las amenazas relacionadas con el corte de suministro eléctrico. Estas consideraciones (vulnerabilidades y salvaguardas) debemos tenerlas en cuenta cuando vayamos a estimar la probabilidad y el impacto como veremos en la siguiente fase. Fase 5. Evaluar el riesgo Llegado a este punto disponemos de los siguientes elementos:    

Inventario de activos. Conjunto de amenazas a las que está expuesta cada activo. Conjunto de vulnerabilidades asociadas a cada activo (si corresponde). Conjunto de medidas de seguridad implantadas

Con esta información, nos encontramos en condiciones de calcular el riesgo. Para cada par activo-amenaza, estimaremos la probabilidad de que la amenaza se materialice y el impacto sobre el negocio que esto produciría. El cálculo de riesgo se puede realizar usando tanto criterios cuantitativos como cualitativos. Pero para entenderlo mejor, veremos a modo de ejemplo las tablas para estimar los factores probabilidad e impacto. Tabla para el cálculo de la probabilidad

Tabla para el cálculo del impacto

Cálculo del riesgo

A la hora de calcular el riesgo, si hemos optado por hacer el análisis cuantitativo, calcularemos multiplicando los factores probabilidad e impacto: RIESGO = PROBABILIDAD x IMPACTO. Si por el contrario hemos optado por el análisis cualitativo, haremos uso de una matriz de riesgo como la que se muestra a continuación:

Tal y como indicábamos en el apartado anterior, cuando vayamos a estimar la probabilidad y el impacto debemos tener en cuenta las vulnerabilidades y salvaguardas existentes. Por ejemplo, la caída del servidor principal podría tener un impacto alto para el negocio. Sin embargo, si existe una solución de alta disponibilidad (Ej. Servidores redundados), podemos considerar que el impacto será medio ya que estas medidas de seguridad harán que los procesos de negocio no se vean gravemente afectados por la caída del servidor. Si por el contrario hemos identificado vulnerabilidades asociadas al activo, aplicaremos una penalización a la hora de estimar el impacto. Por ejemplo, si los equipos de climatización del CPD no han recibido el mantenimiento recomendado por el fabricante, incrementaremos el impacto de amenazas como “condiciones ambientales inadecuadas” o “malfuncionamiento de los equipos debido a altas temperaturas”. Fase 6. Tratar el riesgo Una vez calculado el riesgo, debemos tratar aquellos riesgos que superen un límite que nosotros mismos hayamos establecido. Por ejemplo, trataremos aquellos riesgos cuyo valor sea superior a “4” o superior a “Medio” en caso de que hayamos hecho el cálculo en términos cualitativos. A la hora de tratar el riesgo, existen cuatro estrategias principales:  



Transferir el riesgo a un tercero. Por ejemplo, contratando un seguro que cubra los daños a terceros ocasionados por fugas de información. Eliminar el riesgo. Por ejemplo, eliminando un proceso o sistema que está sujeto a un riesgo elevado. En el caso práctico que hemos expuesto, podríamos eliminar la wifi de cortesía para dar servicio a los clientes si no es estrictamente necesario. Asumir el riesgo, siempre justificadamente. Por ejemplo, el coste de instalar un grupo electrógeno puede ser demasiado alto y por tanto, la organización puede optar por asumir.



Implantar medidas para mitigarlo. Por ejemplo, contratando un acceso a internet de respaldo para poder acceder a los servicios en la nube en caso de que la línea principal haya caído.

Por último, cabe señalar que como realizamos este análisis de riesgos en el contexto de un PDS, las acciones e iniciativas para tratar los riesgos pasarán a formar parte del mismo. Por lo tanto, deberemos clasificarlas y priorizarlas considerando el resto de proyectos que forman parte del PDS. Asimismo, tal y como indicábamos en la introducción, llevar a cabo un análisis de riesgos nos proporciona información de gran valor y contribuye en gran medida a mejorar la seguridad de nuestra organización. Dada esta situación, animamos a nuestros lectores a llevar a cabo este tipo de proyectos ya bien sea de forma aislada o dentro del contexto de un proyecto mayor como es el caso del Plan Director de Seguridad.