Análisis de Riesgos
1 Objeto
Este procedimiento tiene como objetivo dar cumplimiento a la normativa aplicable en Sincrolab en cuanto a las actividades, criterios y responsabilidades para la realización del análisis de riesgos y su gestión, y de esta manera se reducen los riesgos a la información y se exponen los sistemas de información.
2 Alcance
Este procedimiento se aplica a todos los sistemas y personal involucrado en la prestación de servicios, así como a todos aquellos que tienen acceso a los primeros.
3 Definiciones
- Grupos de interés
- Todas las personas o áreas involucradas, tanto internas como externas, en el proceso empresarial. Como pueden ser proveedores, clientes y departamentos de {{ $organization }} que puedan verse afectados.
- Activo
- Cualquier bien que tenga valor para la organización, recurso tecnológico, recursos humanos, información principal del {{ $organization }}, entre otros.
- Riesgo
- Estimación del grado de exposición a una amenaza que se materializa en uno o más activos que causan daños o perjuicios a la Organización.
- Análisis de Riesgos:
- Proceso sistemático para estimar la magnitud de los riesgos a los que está expuesta una organización.
- Propietario del riesgo:
- Persona o entidad con responsabilidad y autoridad para gestionar un riesgo.
- Gestión de riesgos
- Selección e implementación de salvaguardas-controles para conocer, prevenir, reducir o controlar los riesgos identificados.
- Disponibilidad:
- El activo debe ser accesible y utilizable por quienes tienen autoridad y permiso para hacerlo.
- Integridad:
- Propiedad de salvaguardar la integridad y exactitud de los activos.
- Confidencialidad:
- La razón correcta por la que la información no se pone a disposición o no se divulga a personas, entidades o procesos no autorizados.
- Amenaza:
- Circunstancia o acto que pueda ocasionar daños a los activos detectados en la empresa.
- Impacto:
- Medida del daño al activo resultante de la materialización de una amenaza.
- Vulnerabilidad:
- Son las debilidades de seguridad de la organización con respecto a una amenaza específica a un activo.
4 Responsabilidades
| Tarea | Responsabilidades | |||||
|---|---|---|---|---|---|---|
| R | A | S | C | I | ||
|
Identificación inicial de los riesgos
|
||||||
|
La elaboración del Análisis de Riesgos.
|
||||||
|
Tratamiento y gestión de cada uno de los riesgos de los que es responsable, siempre tras la aprobación por parte de la Dirección, tanto de los controles a implantar como del riesgo asumido por la Organización
|
||||||
|
La aprobación de la documentación de análisis, gestión y tratamiento de riesgos, bajo el asesoramiento de seguridad del Responsable de Seguridad y/o del Responsable de Sistemas.
|
||||||
5 Desarrollo
5.1 Identificación de los Riegos
El nivel de confidencialidad se determina de acuerdo con los siguientes criterios:
- Valor de la información: según los impactos evaluados durante la evaluación de riesgos.
- Sensibilidad y grado crítico de la información: según el mayor riesgo calculado para cada elemento de información durante la evaluación de riesgos.
- Obligaciones legales y contractuales: según la lista de obligaciones legales, normativas y contractuales y de otra índole.
De la elaboración inicial del análisis de riesgos se obtendrá un documento que se generará en consenso con todos los Responsables de Área/Departamento afectados. La responsabilidad de continuar su elaboración recae en el Responsable de Seguridad de la Organización.
Para intentar minimizar los efectos de un fallo de seguridad, se realiza un análisis de riesgo, término que hace referencia al proceso necesario para dar respuesta a tres preguntas básicas sobre nuestra seguridad:
- ¿Qué queremos proteger?
- ¿Contra quién o qué queremos proteger?
- ¿Cómo queremos protegerlo?
El análisis de riesgos es un enfoque metódico para la determinación de riesgos, teniendo en cuenta que no se han considerado los controles ya desplegados en la Organización para la protección de esos activos. Por tanto, los impactos y riesgos a los que estarían expuestos los activos se medirían si no estuvieran protegidos en absoluto.
A continuación, se identifican los pasos a seguir para realizar el análisis de riesgos en la Organización:
-
Identificación de Activos.
Se identificarán los activos relevantes para la Organización, su interrelación y su valor, en el sentido de los daños que conllevaría su degradación.
-
Clasificación del Activo del Riesgo:
Se clasificarán los activos identificados según la clasificación definida por la Organización (Público, Interno, Confidencial, Altamente Confidencial).
-
Tipo de activo:
Se clasificarán los activos según la siguiente clasificación:
- Software
- Hardware
- Instalaciones
- Personal
- Información
- Servicio
- DAFO
- Partes Interesadas
- Proceso
-
Amenazas:
Se determinarán las diferentes amenazas a las que está expuesto cada activo.
-
Vulnerabilidades:
Se determinarán las vulnerabilidades a las que está expuesta la Organización para cada uno de los activos identificados y en base a las amenazas detectadas.
-
Propietario del Activo:
Se identificarán los propietarios responsables de cada uno de los activos identificados.
5.2 Análisis del Riesgo
Un riesgo es la posibilidad de un impacto particular sobre un activo, un conjunto de activos o toda la organización.
La metodología utilizada en el análisis de riesgos debe perseguir un objetivo claro: un valor que indique el riesgo asociado a los activos y que nos permita tomar decisiones priorizadas.
El análisis de los riesgos se llevará a cabo de la siguiente manera:
-
CIDAT: se determinará el grado de confidencialidad (C), integridad (I) disponibilidad (D), autenticidad (A) y trazabilidad (T) de cada una de las entradas del análisis de riesgos.
Los criterios para evaluar la Confidencialidad, Integridad y Disponibilidad se establecen según lo establecido en el anexo I "Criterios de Valoración" del presente procedimiento.
-
Impacto: se determinará el valor que determina la extensión del daño que se produce en un activo a partir de la materialización de una amenaza (impacto).
Dicho impacto se calcula sumando los valores establecidos de confidencialidad (C), integridad (I), disponibilidad (D), autenticidad (A) y trazabilidad (T), pudiendo tener un valor desde 5 a 15.
-
Probabilidad (P): Indica la frecuencia o probabilidad de que se materialice una amenaza. Los criterios para evaluar la Probabilidad son:
Criterio Valor Menos de una vez al año 1 Una vez al año 2 Una vez al trimestre 3 Una vez a la semana 4
Los riesgos varían de Bajo (B) a Alto (A) y se calculan en función de la probabilidad de ocurrencia de la amenaza y el impacto.
El valor de riesgo asociado con cada amenaza se calcula multiplicando el valor de impacto (I) por la probabilidad (P) de que ocurra la amenaza.
Nivel de Riesgo = Impacto (I) x Probabilidad (P)
5.3 Nivel del Riesgo
En base a la fórmula descrita anteriormente y para facilitar la interpretación de los datos obtenidos por las técnicas anteriores, se establecerá una escala en la que ubicar cada uno de los riesgos valores.
Los criterios de riesgo aceptable y no aceptable se establecen según la siguiente tabla:
| Nivel de riesgo BAJO: | Valores 1 - 19 |
|---|---|
| Nivel de riesgo MEDIO: | Valores 20-34 |
| Nivel de riesgo ALTO: | Valores ≥35 |
| Riesgo ACEPTABLE: | Riesgo MEDIO o BAJO |
5.4 Control del Riesgo
Una vez evaluado el nivel de riesgo de cada activo se identificará la salvaguarda o control actual que se está aplicando sobre cada uno de los riesgos identificados. Dichas salvaguardas serán las propias identificadas en la declaración de aplicabilidad de la Organización.
5.5 Plan de Tratamiento
Una vez identificados los niveles de riesgos, para todos aquellos que hayan tenido un nivel de riesgo aceptable, no será necesario establecer un plan de tratamiento, a parte del control actual que ya se le esté aplicando.
A todos los riesgos que superen el nivel de riesgo de aceptable, es decir que tengan un nivel de riesgo alto, se les aplicará un plan de tratamiento.
El plan de tratamiento contará, como mínimo, con los siguientes apartados:
- Medidas: acciones previstas por la organización para reducir riesgos.
- Periodicidad: el intervalo de tiempo en el que se rastrearán las medidas adoptadas.
- Plazo de ejecución de la medida: fecha prevista por la organización para la consecución de las medidas implantadas.
- Responsable: responsable de lograr los objetivos marcados por la organización.
No obstante, aun teniendo un nivel de riesgo aceptable, y en función de los controles actuales que se les esté aplicando, la Dirección y/o el Responsable del riesgo, en colaboración con el Responsable de Seguridad, podrán llevar a cabo un plan de tratamiento, si así lo consideran.
En algunos casos, este nivel se reducirá a un nivel por debajo del nivel de riesgo aceptable (niveles de riesgo bajo y medio), y en los casos en que el nivel de riesgo se mantenga por encima del nivel aceptable, tendremos que continuar tratándolos, o simplemente tomar el riesgo.
Este riesgo que continuará eliminándose después de aplicar el plan de tratamiento de riesgos, es lo que llamaremos riesgo residual.
5.6 Riesgo Residual
El cálculo del riesgo residual se realizará de acuerdo con la metodología expuesta anteriormente, pero teniendo en cuenta que el plan de procesamiento ya está en los activos. Por tanto, se realizará un segundo análisis de riesgo donde se introducirá un nuevo parámetro, el plan de tratamiento, y se estudiará o analizará el impacto que pueda tener para recalcular el nuevo riesgo.
Una vez calculado el riesgo residual, si el nivel de riesgo aún se encuentra por encima del nivel establecido como aceptable, se decidirá una de las siguientes acciones:
Transferir (Transfer): para algunos riesgos, la mejor respuesta puede ser transferirlos. Esto puede hacerse mediante seguros convencionales o apoyando a un tercero para que asuma el riesgo de otra manera.
Tolerar (Tolerate): la capacidad de hacer algo frente a algunos riesgos puede ser limitada, o el costo de tomar cualquier acción puede ser desproporcionado en relación con el beneficio potencial obtenido. Este curso de acción es común para grandes riesgos externos. En estos casos, la respuesta puede ser la tolerancia o asunción del riesgo, pero éste debe ser monitorizado para que los directivos estén preparados para reconsiderarlo si comienza a intensificarse. Deben establecerse niveles de tolerancia que determinen cuánto riesgo puede asumirse en cada nivel y estos deben orientar la toma de decisiones.
Tratar (Treat): con diferencia, la mayoría de los riesgos pertenecerán a esta categoría. El propósito de tomar acciones para reducir la probabilidad de que el riesgo ocurra no es necesariamente eliminarlo, sino contenerlo a un nivel aceptable. El riesgo se transmitirá hacia arriba y hacia abajo en la cadena corporativa. Los riesgos de alto nivel pueden tener que escalarse a un nivel superior de responsabilidad para decidir una acción, mientras que otros riesgos pueden traducirse en actividades diseñadas para mitigarlos. Defina qué criterios darán lugar a que el riesgo sea escalado dentro del sistema de gestión corporativa.
Eliminar (Terminate): terminar el riesgo haciendo las cosas de manera diferente, eliminándolo cuando sea factible hacerlo.
En caso de asumirlo, por razones internas, la Organización tuvo conocimiento y asumió que podría tener un impacto negativo en la Organización.
5.7 Actualización del Análisis de Riesgos
Tras la implementación de los objetivos planteados en el plan de tratamiento de riesgos, y al menos una vez al año, se reevalúan para verificar la efectividad del tratamiento.
Una vez realizada esta reevaluación, la alta Dirección (o el Comité de Seguridad) deberá aprobar tanto la nueva evaluación de riesgos como la aceptación de la misma y el plan de tratamiento correspondiente.
El Responsable de Seguridad informará a la alta Dirección de los resultados de la evaluación de riesgos, así como del estado del plan de tratamiento de riesgos.
5.8 Análisis de las Oportunidades
La metodología empleada para el análisis y evaluación de las Oportunidades queda identificada en el registro Análisis de Riesgos y Oportunidades de Seguridad de la Información”.
Para la identificación de las Oportunidades se llevarán a cabo los siguientes pasos:
- Oportunidades:
Se determinarán las diferentes Oportunidades en Seguridad de la Información que haya identificado la Organización.
- Fortalezas:
Se determinarán las fortalezas que adquiriría la Organización, en base a las oportunidades detectadas.
- Propietario de la Oportunidad:
Se identificarán los propietarios responsables de cada una de las oportunidades identificadas.
Tras la identificación de las Oportunidades, se procederá a una evaluación del Beneficio (B) de ocurrencia de dichos escenarios.
La clasificación se llevará a cabo en base a los siguientes criterios:
| Puntuación | Criterio Beneficio (B) |
|---|---|
| 1 | Bajo: El impacto financiero en la empresa es bajo. Retorno de la inversión (ROI) mayor de 3 años. Impacto bajo en la estrategia o en la operatividad de la empresa. Bajo interés de los afectados. Mejora ambiental poco relevante. |
| 2 | Medio: El impacto financiero en la empresa es moderado. Retorno de la inversión (ROI) mayor de 2 años y menor de 3. Impacto moderado en la estrategia o en la operatividad de la empresa. Moderado interés de los afectados. Mejora ambiental evidente pero no espectacular. |
| 3 | Alto: El impacto financiero en la empresa es importante. Retorno de la inversión (ROI) menor de 2 años. Fuerte impacto en la estrategia o en la operatividad de la empresa. Elevado interés de los afectados. Alta mejora ambiental. |
Tras la determinación del Beneficio, se procederá a la determinación de la Probabilidad (P) de que ocurran dichos escenarios, para cada una de las oportunidades potenciales identificadas. La clasificación se llevará a cabo en base a los siguientes criterios:
| Puntuación | Criterio Probabilidad (P) |
|---|---|
| 1 | Baja: Cierta posibilidad de resultados favorables a medio plazo o que se considera de poca probabilidad de éxito. |
| 2 | Media: Oportunidades alcanzables a medio plazo pero que requieren una gestión cuidadosa y esfuerzos en nuevos métodos o procesos. |
| 3 | Alta: Oportunidad clara que se puede barajar con razonable certeza y conseguir a corto plazo basándose en los procesos de gestión actuales. |
Para las Oportunidades identificadas, y una vez determinada su Beneficio (B) y su Probabilidad (P), se procederá a su priorización. Pare ello se calcula, para cada Oportunidad, su nivel de priorización. Ese nivel se obtiene de la suma de la valoración de las 2 variables identificadas anteriormente:
NPO = Beneficio (B) x Probabilidad (P)
Con el nivel de la Oportunidad lo que se consigue es priorizar la actuación sobre las oportunidades identificadas.
| Beneficio Bajo | Beneficio Medio | Beneficio Alto | |
|---|---|---|---|
| Probabilidad Alta | Significativo | Destacado | Prioritario |
| Probabilidad Media | Significativo | Destacado | Prioritario |
| Probabilidad Baja | No Significativo | Significativo | Destacado |
5.9 Tratamiento de las Oportunidades
El tratamiento de las Oportunidades identificadas se realizará en base a su beneficio calculado de acuerdo a la siguiente tabla, siempre bajo la aprobación final de la Dirección:
| Nivel del Beneficio | Prioridad | Descripción |
|---|---|---|
| NS - No Significativo | P < 2 Aceptar | Decidir no realizar ninguna acción, en función del análisis y la evaluación realizada. La oportunidad ha de ser continuamente seguida para asegurar que si, en el futuro se volviera factible, se implementan las acciones apropiadas para conseguirla. |
| S - Significativo | P 2-3 Compartir | Compartir con terceros para aumentar la probabilidad de que se produzca. |
| D - Destacado | P 4-5 Mejorar | Aumentar la probabilidad de ocurrencia o la consecuencia de la oportunidad. |
| P - Prioritario | P > 5 Explotar | Obtener beneficio de la oportunidad identificada mediante la implementación de un plan de acción. |
6 Anexos
Anexo I - Criterios de Valoración del Riesgo
Confidencialidad
Confidencialidad: una pérdida de confidencialidad puede derivar en incidencias de seguridad. Debemos valorar el activo en función de la importancia que tiene para la organización una pérdida de confidencialidad sobre el mismo.
| Criterio | Valor |
|---|---|
| Incumplimiento legal | 4 |
| Hacerlo público dañaría la imagen y se sufriría una pérdida de confianza, o afectaría seriamente a las operaciones | 3 |
| Hacerlo público supone una pérdida mínima de imagen | 2 |
| Se puede hacer público | 1 |
Integridad
Integridad: se refiere a la corrección y completitud de los datos (y de los activos). Una pérdida de integridad puede derivar en datos que no son correctos o completos (manipulados intencionadamente). Debemos valorar el activo en cuanto a la importancia que tiene para nosotros su integridad.
| Criterio | Valor |
|---|---|
| No se puede funcionar sin ello | 4 |
| Se produce ralentización de actividades y mal funcionamiento del servicio | 3 |
| Se producen errores leves de funcionamiento del servicio | 2 |
| No afecta al servicio | 1 |
Disponibilidad
Disponibilidad: La indisponibilidad de un activo puede afectar negativamente al negocio provocando que ciertos procesos se vean afectados durante el tiempo que dicho activo se encuentra inoperante. Habrá que considerar el tiempo necesario en sustituir y dejar el activo como estaba antes de la ocurrencia de algún evento que comprometa su seguridad.
| Criterio | Valor |
|---|---|
| No se puede funcionar sin ello | 4 |
| Se puede prescindir por un tiempo limitado | 3 |
| Se puede prescindir porque existen otros medios alternativos para continuar con el servicio/proceso | 2 |
| Se puede prescindir indefinidamente | 1 |
Autenticidad
Autenticidad: La capacidad de identificar o garantizar que el origen y destinatario de la información son quien dicen ser.
| Criterio | Valor |
|---|---|
|
4 |
|
3 |
|
2 |
|
1 |
Trazabilidad
Trazabilidad: La capacidad de rastrear, dificultar e impedir los accesos a la información.
| Criterio | Valor |
|---|---|
|
4 |
|
3 |
|
2 |
|
1 |
7 Formatos
N/A
8 Registros
N/A
9 Documentos Relacionados
N/A
10 Referencias Normativas
- ISO27001:2022 4.3 Determinación del alcance del sistema de gestión de la seguridad de la información.