ANALISIS DE RIESGOS

El análisis de riesgo, también conocido como evaluación de riesgos o PHA por sus siglas
en inglés. Process Hazards Analysis, es el estudio de las causas de las posibles amenazas y
probables eventos no deseados y los daños y consecuencias que éstas puedan producir.
Este tipo de análisis es ampliamente utilizado como herramienta de gestión en estudios
financieros y de seguridad para identificar riesgos (métodos cualitativos) y otras para
evaluar riesgos (generalmente de naturaleza cuantitativa).
El primer paso del análisis es identificar los activos a proteger o evaluar. La evaluación de
riesgos involucra comparar el nivel de riesgo detectado durante el proceso de análisis con
criterios de riesgo establecidos previamente.
La función de la evaluación consiste en ayudar a alcanzar un nivel razonable de consenso
en torno a los objetivos en cuestión, y asegurar un nivel mínimo que permita desarrollar
indicadores operacionales a partir de los cuales medir y evaluar.
Los resultados obtenidos del análisis, van a permitir aplicar alguno de los métodos para el
tratamiento de los riesgos, que involucra identificar el conjunto de opciones que existen
para tratar los riesgos, evaluarlas, preparar planes para este tratamiento y ejecutarlos.

METODOS DE ANALISIS DE RIESGOS

Los métodos de análisis de riesgos son técnicas que se emplean para evaluar los riesgos de
un proyecto o un proceso. Estos métodos ayudan a tomar decisiones que permiten
implementar medidas de prevención para evitar peligros potenciales o reducir su impacto.
Es cierto que no existe una única metodología de riesgos. La forma ideal de realizar la
gestión es seleccionar y combinar las mejores técnicas según el tipo de negocio o de
proyecto. Por eso, a la hora de escoger, hay que tener en cuenta que algunas de estas
herramientas son más idóneas para evaluar las causas de un problema, mientras que otras
son más adecuadas para valorar las consecuencias.
Aquí le presentamos algunos de los métodos de análisis de riesgo más utilizados para que
elija el que más le convenga a su organización.

WHAT IF
El análisis what if (¿qué pasaría si…?) es una herramienta sencilla y fácil de entender para
cualquier gestor. Usualmente se utiliza en la primera fase de la gestión cuando apenas se
están identificando los riesgos. Después, este método puede complementarse con un
análisis más profundo de los riesgos y sus causas a través de otras técnicas adicionales.
Esta metodología de administración de riesgos consiste en programar reuniones entre
funcionarios o colaboradores que conozcan a fondo el proceso que se analiza. La primera
reunión se programa para hacer lluvia de ideas. Se formulan preguntas que ayuden a
visibilizar posibles problemas. De ahí el nombre de what if, pues cada una de esas
cuestiones comienza de ese modo:

 ¿Qué pasaría si falla la maquinaria?

 ¿Qué pasaría si hay una interrupción de energía?

En las reuniones posteriores el grupo de expertos encontrará respuestas pertinentes para

abordar las preguntas que se formularon, procurando hallar causas, consecuencias y
recomendaciones. Justamente esa es una de las principales ventajas del análisis what if,
pues permite realizar una revisión exhaustiva de una amplia categoría de riesgos.

ANÁLISIS PRELIMINAR DE RIESGOS (APR)

Esta metodología de gestión de riesgos también forma parte del análisis inicial. Se utiliza
para identificar posibles riesgos cuando el proyecto apenas está comenzando.
El primer paso en el análisis preliminar de riesgos es identificar todas las actividades que
forman parte de un proyecto o de un proceso, intentando reconocer los posibles problemas
que se puedan enfrentar en cada fase.
Con esos datos se llena una tabla de registro. En una de las columnas se describen los riesgos
que se identificaron, en otra se ubican las posibles causas, en la tercera se listan las
consecuencias y en la última se sitúan las categorías de riesgos, combinando la frecuencia
y la gravedad del riesgo para crear una clasificación de prioridades.
Cuanto más probable sea un riesgo y más graves sus consecuencias, mayor atención debe
dársele. Con esos criterios, los riesgos se clasifican en menores, moderados, serios o
catastróficos.
Para llevar a cabo esa priorización del riesgo, es conveniente utilizar una matriz de riesgo.

5 PORQUÉS
El objetivo de esta técnica es llegar a la causa raíz de un problema específico, descartando
las respuestas más inmediatas y superficiales. Así como los niños que empiezan a preguntar
sobre el porqué de asuntos aleatorios, este método de análisis de riesgo es una indagación
que consiste en formular preguntas iterativas sobre un problema determinado.
Esta metodología de riesgos debe desarrollarse en grupo. En primer lugar, se plantea el
problema. Después, se pasa a la formulación de preguntas. Finalmente, a partir de las
respuestas, se encuentra la causa raíz.
Contrario a lo que indica el nombre de la técnica, no es necesario que se restrinja el análisis
a cinco preguntas. La cantidad de cuestiones estará determinada por la complejidad del
problema que se pretende abordar.
Ejemplo de 5 porqués:
Problema: Los clientes están reclamando porque las entregas no se están haciendo a
tiempo.

1. ¿Por qué se están demorando las entregas? Porque la mercancía está retenida en la
bodega.
 2. ¿Por qué la mercancía está retenida en la bodega? Porque los camiones están
tardando en salir.
3. ¿Por qué los camiones están tardando en salir? Porque el trabajador está
demorando en cargarlos.
4. ¿Por qué el trabajador demora tanto en cagarlos? Porque una sola persona tiene
que cargar muchos camiones al mismo tiempo.
5. ¿Por qué el trabajador tiene que cargar tantos camiones al mismo tiempo? Porque
faltan ayudantes en la bodega.

Causa del problema: falta de funcionarios en la bodega.

FMEA (FAILURE MODE AND EFFECTIVE ANALYSIS)

Esta metodología de gestión de riesgos es en realidad una técnica de ingeniería. En
principio fue creada por la Nasa, pero después fue adoptada en diferentes campos e
industrias. El método FMEA consiste en identificar, clasificar y eliminar las fallas de los
proyectos o de los procesos antes de que estas ocurran.
El método FMEA empieza identificando las posibles fallas y efectos. Posteriormente, se crea
una clasificación de ellos. La puntuación de los riesgos se determina teniendo en cuenta tres
criterios:
1. Frecuencia
2. Gravedad
3. Detección

Con esos tres puntos se aplica una fórmula que permite establecer cuáles fallas son más o
menos graves. Los riesgos más críticos deben ser atendidos primero que los demás.

LISTA DE CHEQUEO
Esta es una herramienta utilizada para confirmar que las medidas preventivas de los
procesos de análisis y riesgo están siendo adoptadas.
Consiste en montar una lista con todos los riesgos que se han identificado y sus
recomendaciones de prevención correspondientes. Frente a cada ítem se debe llenar una
casilla con las tareas que ya fueron hechas y las que no.
Las listas de chequeo son un método de análisis de riesgo muy útil porque son fáciles de
hacer y de usar. Además, se pueden emplear para cualquier actividad o proceso. Asimismo,
facilitan la toma de decisiones.
Comience ahora su proceso de gestión. Haga clic abajo y descargue gratis una plantilla para
crear una lista de chequeo que le ayudará a gestionar el riesgo operativo.

ANALISIS DE RIESGOS EN 6 PASOS

Sin duda alguna, si queremos «empezar por el principio» en materia de ciberseguridad en

nuestra empresa, el análisis de riesgos es uno de los trabajos más importantes a la hora de
definir proyectos e iniciativas para la mejora de la seguridad de la información. Si
consideramos que las herramientas tecnológicas y la información que manejamos son de
gran valor para nuestra organización debemos empezar a pensar en poner en práctica
un Plan Director de Seguridad.
El Plan Director de Seguridad (PDS) se puede simplificar como la definición y priorización
de un conjunto de proyectos en materia de seguridad de la información, dirigido a reducir
los riesgos a los que está expuesta la organización hasta unos niveles aceptables a partir de
un análisis de la situación inicial. Llevar a cabo un buen análisis nos permitirá centrar nuestro
foco de atención en los riesgos asociados a los sistemas, procesos y elementos dentro del
alcance del PDS. De esta forma mitigaremos la posibilidad de tener algún tipo de incidente
de ciberseguridad. Por otra parte, también podemos obtener beneficios si realizamos un
análisis de riesgos de forma aislada en lugar de llevarlo a cabo dentro de un contexto mayor
como es el del desarrollo de un PDS.
A continuación veremos de forma sencilla las principales tareas del análisis de riesgos,
aportando recomendaciones prácticas sobre cómo llevarlo a cabo, y considerando algunas
particularidades a tener en cuenta para que aporte el máximo valor al PDS. Cabe señalar
que las fases o etapas que componen un análisis de riesgos dependen de la metodología
escogida. En el caso que nos ocupa, hemos seleccionado un conjunto de fases que son
comunes en la mayor parte de las metodologías para el análisis de riesgos.

Fase 1. Definir el alcance

El primer paso a la hora de llevar a cabo el análisis de riesgos, es establecer el alcance del
estudio. Vamos a considerar que este análisis de riesgos forma parte del Plan Director de
Seguridad. Por lo tanto, recomendamos que el análisis de riesgos cubra la totalidad del
alcance del PDS, dónde se han seleccionado las áreas estratégicas sobre las que mejorar la
seguridad. Por otra parte, también es posible definir un alcance más limitado atendiendo a
departamentos, procesos o sistemas. Por ejemplo, análisis de riesgos sobre los procesos del
departamento Administración, análisis de riesgos sobre los procesos de producción y
gestión de almacén o análisis de riesgos sobre los sistemas TIC relacionados con la página
web de la empresa, etc. En este caso práctico consideramos que el alcance escogido para el
análisis de riesgos es “Los servicios y sistemas del Departamento Informática”.

Fase 2. Identificar los activos

Una vez definido el alcance, debemos identificar los activos más importantes que guardan
relación con el departamento, proceso, o sistema objeto del estudio. Para mantener un
inventario de activos sencillo puede ser suficiente con hacer uso de una hoja de cálculo o
tabla como la que se muestra a continuación a modo de ejemplo:

Fase 3. Identificar / seleccionar las amenazas

Habiendo identificado los principales activos, el siguiente paso consiste en identificar las
amenazas a las que estos están expuestos. Tal y como imaginamos, el conjunto de amenazas
es amplio y diverso por lo que debemos hacer un esfuerzo en mantener un enfoque práctico
y aplicado. Por ejemplo, si nuestra intención es evaluar el riesgo que corremos frente a la
destrucción de nuestro servidor de ficheros, es conveniente, considerar las averías del
servidor, la posibilidad de daños por agua (rotura de una cañería) o los daños por fuego, en
lugar de plantearnos el riesgo de que el CPD sea destruido por un meteorito.
A la hora de identificar las amenazas, puede ser útil tomar como punto de partida el
catálogo de amenazas que incluye la metodología MAGERIT v3.

Fase 4. Identificar vulnerabilidades y salvaguardas

La siguiente fase consiste en estudiar las características de nuestros activos para identificar
puntos débiles o vulnerabilidades. Por ejemplo, una posible vulnerabilidad puede ser
identificar un conjunto de ordenadores o servidores cuyo sistemas antivirus no están
actualizados o una serie de activos para los que no existe soporte ni mantenimiento por
parte del fabricante. Posteriormente, a la hora de evaluar el riesgo aplicaremos
penalizaciones para reflejar las vulnerabilidades identificadas.
Por otra parte, también analizaremos y documentaremos las medidas de seguridad
implantadas en nuestra organización. Por ejemplo, es posible que hayamos instalado un
sistema SAI (Sistema de Alimentación Ininterrumpida) o un grupo electrógeno para
abastecer de electricidad a los equipos del CPD. Ambas medidas de seguridad (también
conocidas como salvaguardas) contribuyen a reducir el riesgo de las amenazas relacionadas
con el corte de suministro eléctrico.
Estas consideraciones (vulnerabilidades y salvaguardas) debemos tenerlas en cuenta
cuando vayamos a estimar la probabilidad y el impacto como veremos en la siguiente fase.

Fase 5. Evaluar el riesgo

Llegado a este punto disponemos de los siguientes elementos:

 Inventario de activos.
 Conjunto de amenazas a las que está expuesta cada activo.
 Conjunto de vulnerabilidades asociadas a cada activo (si corresponde).
 Conjunto de medidas de seguridad implantadas

Con esta información, nos encontramos en condiciones de calcular el riesgo. Para cada par
activo-amenaza, estimaremos la probabilidad de que la amenaza se materialice y el impacto
sobre el negocio que esto produciría. El cálculo de riesgo se puede realizar usando tanto
criterios cuantitativos como cualitativos. Pero para entenderlo mejor, veremos a modo
de ejemplo las tablas para estimar los factores probabilidad e impacto.
Tabla para el cálculo de la probabilidad

Tabla para el cálculo del impacto

Cálculo del riesgo

A la hora de calcular el riesgo, si hemos optado por hacer el análisis cuantitativo,
calcularemos multiplicando los factores probabilidad e impacto:
RIESGO = PROBABILIDAD x IMPACTO.
Si por el contrario hemos optado por el análisis cualitativo, haremos uso de una matriz de
riesgo como la que se muestra a continuación:

Tal y como indicábamos en el apartado anterior, cuando vayamos a estimar la probabilidad

y el impacto debemos tener en cuenta las vulnerabilidades y salvaguardas existentes. Por
ejemplo, la caída del servidor principal podría tener un impacto alto para el negocio. Sin
embargo, si existe una solución de alta disponibilidad (Ej. Servidores redundados), podemos
considerar que el impacto será medio ya que estas medidas de seguridad harán que los
procesos de negocio no se vean gravemente afectados por la caída del servidor. Si por el
contrario hemos identificado vulnerabilidades asociadas al activo, aplicaremos una
penalización a la hora de estimar el impacto. Por ejemplo, si los equipos de climatización
del CPD no han recibido el mantenimiento recomendado por el fabricante,
incrementaremos el impacto de amenazas como “condiciones ambientales inadecuadas” o
“malfuncionamiento de los equipos debido a altas temperaturas”.

Fase 6. Tratar el riesgo

Una vez calculado el riesgo, debemos tratar aquellos riesgos que superen un límite que
nosotros mismos hayamos establecido. Por ejemplo, trataremos aquellos riesgos cuyo valor
sea superior a “4” o superior a “Medio” en caso de que hayamos hecho el cálculo en
términos cualitativos. A la hora de tratar el riesgo, existen cuatro estrategias principales:

 Transferir el riesgo a un tercero. Por ejemplo, contratando un seguro que cubra los
daños a terceros ocasionados por fugas de información.
 Eliminar el riesgo. Por ejemplo, eliminando un proceso o sistema que está sujeto a
un riesgo elevado. En el caso práctico que hemos expuesto, podríamos eliminar la
wifi de cortesía para dar servicio a los clientes si no es estrictamente necesario.
 Asumir el riesgo, siempre justificadamente. Por ejemplo, el coste de instalar un
grupo electrógeno puede ser demasiado alto y por tanto, la organización puede
optar por asumir.
  Implantar medidas para mitigarlo. Por ejemplo, contratando un acceso a internet
de respaldo para poder acceder a los servicios en la nube en caso de que la línea
principal haya caído.

Por último, cabe señalar que como realizamos este análisis de riesgos en el contexto de
un PDS, las acciones e iniciativas para tratar los riesgos pasarán a formar parte del mismo.
Por lo tanto, deberemos clasificarlas y priorizarlas considerando el resto de proyectos que
forman parte del PDS. Asimismo, tal y como indicábamos en la introducción, llevar a cabo
un análisis de riesgos nos proporciona información de gran valor y contribuye en gran
medida a mejorar la seguridad de nuestra organización. Dada esta situación, animamos a
nuestros lectores a llevar a cabo este tipo de proyectos ya bien sea de forma aislada o
dentro del contexto de un proyecto mayor como es el caso del Plan Director de Seguridad.