You are on page 1of 16

Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas

www.bureauveritasformacion.com

consta de 8 pasos básicos y se basa en el siguiente esquema: Se deben documentar los cálculos y ratios utilizados en cada uno de los pasos que completan la evaluación de riesgos. Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 2 .METODOLOGÍA PROPUESTA POR ISO 28001 PARA LA EVALUACIÓN DE RIESGOS DE LA SEGURIDAD La metodología propuesta por la norma ISO 28001 para la evaluación de riesgos de la seguridad.

Pasos a Seguir para Completar la Evaluación de Riesgos de la Seguridad y el Desarrollo de Contramedidas El proceso de evaluación es continuo: ■ ■ Se debe hacer un seguimiento continuo de la seguridad para asegurarse de que las medidas de seguridad se desempeñan adecuadamente. El proceso de evaluación debe realizarse siempre que sea necesario. Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 3 .

Realizar operaciones en la cadena de suministro internacional para facilitar un incidente terrorista (por ejemplo. pero se deberían considerar como mínimo los siguientes: Escenarios de Amenazas ■ Ejemplos de Aplicación Daño/destrucción del activo (incluyendo transportes). Uso no autorizado. sabotaje y/o robo con fines terroristas. Introducir y/o tomar control de ■ Daño/destrucción de una meta exterior utilizando el un activo (incluyendo activo o los bienes. cadena de suministro en la que opera.Paso 1: Consideración de los Escenarios de Amenazas a la Seguridad Tras la identificación de todas las amenazas a la seguridad. Estos agruparán las amenazas constituyendo elementos comunes para conformar un escenario que. podría poner en peligro la seguridad de la cadena de suministro. utilizando los medios de transporte como un arma). 6. de Armas ilegales entrando/saliendo del país/economía. Usar la cadena de suministro ■ como un medio de hacer ■ contrabando. de materializarse. con el propósito de perturbar las operaciones o facilitar actividades ilegales. los detectados por la dirección de la cadena de suministro o por el profesional de la seguridad que realiza la evaluación. 3. 4. ISO 28001 propone la definición de escenarios de amenazas a la seguridad. Manipulación información. 5. Manipulación. Otro. 2. 1. Hace referencia a cualquier otro escenario que la Organización considere necesario identificar en función de su actividad. suministro. La Organización puede establecer tantos escenarios de amenazas como considere necesario. Conseguir el acceso local o remoto a la la información/documentación de la cadena de suministro. transportes) en la cadena de ■ Causar alteraciones civiles o económicas. Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 4 . etc. ■ Tomar rehenes/matar gente. incluyendo los escenarios identificados por las autoridades gubernamentales. Terroristas entrando o saliendo del país/economía. Integridad de la carga.

Ferrocarril. Descarga. Almacenaje (incluyendo también almacenaje intermedio durante el transporte). Utilización de medios de transporte como arma. etc. Por aire. Fabricación.). Aguas marítimas. Cambios debidos. avión. a averías. Carretera. barcaza. incluyendo los alrededores de los perímetros definidos. por ejemplo. locales de reparación. etc. Aguas interiores.). Talleres de mantenimiento (almacenes. Control de Acceso ■ ■ ■ ■ Medios de Transporte ■ ■ ■ ■ ■ ■ ■ Manipulación ■ ■ ■ ■ ■ Transporte de Bienes ■ ■ ■ Detección / Prevención de la Intrusión Aplicada a los Envíos Inspecciones ■ ■ ■ ■ Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 5 . Carga. Durante el transporte. En los medios de transporte (camión. Instalación de sistemas de detección de intrusos. barco. Desconsolidación/consolidación (entrada y salida de la carga del contenedor). Medios de transporte en reposo o reparación. ISO 28001 propone que durante la evaluación se consideren los siguientes elementos: ■ En los locales de la Organización en la cadena de suministro. Transferencia. Operación normal. En la información. Durante inspecciones de vehículos. Cambio de un medio de transporte por otro. ferrocarril. Antivirus.Elementos a Considerar Durante la Evaluación Para que la Organización pueda realizar una correcta consideración de escenarios de amenazas a la seguridad.

los resultados deben transformarse en términos cualitativos. alto. suministradores. ISO 28001 recomienda la utilización de escalas cualitativas para la clasificación de las consecuencias de cada incidente de seguridad evaluado en la cadena de suministro. proveedores. Capacidad de primera respuesta y tiempos de respuesta. Contratistas. Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 6 . Integridad. ■ ■ Legal. Situaciones de emergencia. medio o bajo. Prácticas de la industria/sector de actividad. formación y toma de conciencia. Si bien se pueden usar sistemas numéricos en el proceso de evaluación. Órdenes de las autoridades. ■ ■ Intercambio de información. Accidentes e incidentes. en concreto. Información Externa ■ ■ ■ Paso 2: Clasificación de las Consecuencias La clasificación de las consecuencias supone decidir el efecto o impacto de un incidente en caso de materializarse alguno de los elementos de los escenarios de amenazas identificados. Aseguramiento de datos.Empleados Utilización de Socios Comunicación Interna/Externa Manipulación o Procesado de la Información sobre la Carga o las Rutas de Transporte ■ ■ Nivel de competencia. ■ ■ Protección de datos.

de probabilidad baja. ■ ■ ■ Bajo Consecuencia que normalmente es aceptable. Alto Consecuencia que sería ■ Impacto económico: daños mayores a un activo inaceptable en todas las y/o infraestructura impidiendo operaciones situaciones salvo en las posteriores. ■ Fallecimiento y lesiones: pérdida de vidas. ■ Impacto ambiental: destrucción completa de múltiples aspectos del ecosistema de una gran área. Impacto ambiental: daños a largo plazo en un ecosistema. Fallecimiento y lesiones: daños pero no pérdida de vidas. Impacto económico: daños a un activo y/o infraestructura necesitando reparaciones.Asignación de Valor a Partir de un Método Numérico Consecuencia Bajo 2 3 Medio 4 Alto 5 Ratio 1 Ejemplo de Clasificación de las Consecuencias Asignación de Valor Significado ■ Consecuencia Fallecimiento y lesiones: pérdida de vidas a una cierta escala. Impacto económico: daños mínimos a un activo. ■ ■ Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 7 . Medio Consecuencia que sería inaceptable en una situación de probabilidad alta. Impacto ambiental: algún daño ambiental. infraestructura o Sistema.

Ejemplo: personal de seguridad. pueden ocasionar que se omitan contramedidas para escenarios de amenazas a la Bajo) seguridad que impliquen consecuencias que la Organización (o el gobierno en el que opera) no pueda tolerar. Paso 3: Clasificación de la Probabilidad de los Incidentes de Seguridad Para poder realizar la clasificación de incidentes de seguridad potenciales. etc. en primer lugar se debe tener en cuenta la categoría de las medidas de seguridad en la cadena de suministro que ha adoptado la Organización. Medio. puede ocasionar la exigencia de tener que desarrollar contramedidas para más escenarios de amenazas a la seguridad de los necesarios. Las categorías de las medidas de seguridad a considerar deben incluir tanto las físicas como las operacionales. Aspectos a Considerar para la Clasificación de la Probabilidad Físicas ■ ■ ■ Objetos que dificultan o detectan el acceso no autorizado a una meta. perímetros de seguridad. está dispuesto a aceptar bajo determinadas condiciones de probabilidad. videocámaras. Aceptabilidad No es Sinónimo de ■ Una consecuencia considerada como aceptable por la Organización o Aprobación gobierno. ■ Valores excesivamente altos en los umbrales de valor. para disminuir la probabilidad de ocurrencia de incidentes. incluye la posibilidad de un cierto nivel de daño que puede ser no deseable pero sí aceptable. planes de emergencias. Personas o procedimientos que dificultan o detectan el acceso no autorizado a una meta. Operacionales ■ Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 8 . etc. procedimientos de seguridad. Ejemplo: alarmas. ■ El uso de umbrales de valores excesivamente bajos. La aceptabilidad se puede considerar como un juicio de la cantidad de daño posible que la Organización o gobierno bajo el que opera.Aspectos a Considerar en la Clasificación de las Consecuencias ■ Asignación de Valores (Alto.

Probabilidad de Ocurrencia de un Incidente de Seguridad ISO 28001 requiere que la probabilidad de que ocurra cada incidente de seguridad se clasifique como alta. Las medidas de seguridad establecidas ofrecen resistencia considerable o elevada a que ocurra el incidente. en anteriores pasos. Considerando la clasificación de las consecuencias y de la probabilidad. o no. considerar contramedidas. es decir. Las medidas de seguridad establecidas ofrecen resistencia moderada a que ocurra el incidente. que proporciona información sobre si se deben considerar. se elabora un diagrama de puntuaciones de incidentes de seguridad. contramedidas para incidentes de seguridad específicos. Alta Media Baja Las medidas de seguridad establecidas ofrecen poca resistencia a que ocurra el incidente. media y baja. Paso 4: Puntuación del Incidente de Seguridad Mediante la asignación de puntuaciones a los incidentes de seguridad. estimadas. la Organización estará en posición de adoptar decisiones sobre si es necesario implementar medidas para disminuir o mitigar el riesgo. Clasificación de la Probabilidad Alta Media Contramedidas Contramedidas o Considerar Cuando Sea Apropiado Documentar Baja Considerar Clasificación de las Consecuencias Alta Contramedidas Media Contramedidas Documentar Baja Considerar Documentar Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 9 .

es decir. pone en peligro la continuidad de las operaciones. tiempo. Tolerar ■ ■ Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 10 . Tratar Ejemplo: retirando los activos potencialmente aludidos del área de riesgos o abandonando las actividades de negocios que crean las debilidades de seguridad. La Organización decide no continuar con la actividad. o la persona encargada de realizar la evaluación determina que es necesario considerar llevar acabo contramedidas. falta de autoridad para imponer contramedidas requeridas u otros factores insalvables. no realizar ningún esfuerzo adicional para tratar el riesgo en cuestión. transferencia física a otros lugares. Puede ser a través de subcontrata. ■ En ciertas circunstancias la Organización puede tener que tolerar el riesgo. éstas deben ir encaminadas a mitigar las consecuencias y/o la probabilidad del incidente de seguridad. Acciones en las que Pueden Derivar las Contramedidas Medidas de la Organización operacionales y/o físicas para reducir el riesgo o la probabilidad. Terminar El riesgo no es asumible.Paso 5: Desarrollo de Contramedidas Si se requiere. Se requiere que la decisión se documente y se revisen periódicamente las actividades y evaluaciones. etc. Ejemplo: contramedidas poco prácticas o inviables. ■ Transferir ■ Transferir el riesgo es la solución mediante la cual un tercero asume la responsabilidad de administrar el riesgo.

Su efectividad debe ser verificada de forma independiente. Aquellos contrarios a las opiniones de grupos de presión. Los que pongan en tela de juicio la política de Gestión de la Seguridad. mediante ejercicios y auditorías. por ejemplo. De esta manera la Organización se asegurará de la disponibilidad de recursos para su correcta ejecución.¿Qué Riesgos No se Pueden Tolerar? ■ ■ ■ ■ Riesgos derivados de requisitos legales o reglamentarios u otros de obligado cumplimiento. éstas necesitan de aprobación previa antes de llevarlas acabo. cuando: Las contramedidas deben ser ejecutadas de manera que supongan una solución práctica. valorará el impacto que puedan tener sobre otras operaciones y logrará contar con el apoyo y aprobación de la Dirección. Aquellos que pudieran exceder algún otro umbral de tolerancia. Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 11 . Paso 7: Evaluación de las Contramedidas Se considera que una contramedida es eficaz y por tanto debe añadirse al informe de evaluación de la seguridad requerido por ISO 28001. Paso 6: Implementación de las Contramedidas Las contramedidas pueden inducir cambios importantes en las prácticas operacionales de la Organización. por ello una vez determinadas que contramedidas son necesarias. de acuerdo con lo establecido por el Sistema de Gestión de la Seguridad para la Cadena de Suministro implantado.

demuestran que los atacantes aprenden y buscan nuevas vías y técnicas para amenazar a las cadenas de suministro. hasta que se complete la evaluación para el listado de escenarios de amenazas propuestos. CLASIFICACIÓN DE LAS CONSECUENCIAS Consecuencia Bajo Ratio 1 2 3 4 Alto 5 Medio Asignación de Valor Medio Consecuencia El robo de información confidencial contenida en ordenadores puede suponer un impacto económico importante para la Organización.En la actualidad la repetitividad de actos delictivos. Ejemplo de Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas para un Escenario de Amenazas A continuación se presenta un ejemplo de evaluación de riesgos de la seguridad: 1. ACTIVO: ordenadores. Por ello las contramedidas deben ser constantemente revisadas y auditadas con el fin de mejorarlas. 2. Paso 8: Repetición del Proceso Tras el desarrollo de las contramedidas y valoración de su eficacia para un incidente de seguridad. el proceso continúa con el siguiente escenario de amenazas a la seguridad. por parte de hackers en los ordenadores de la Dirección. Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 12 . ESCENARIO DE AMENAZAS: manipulación de la información. propuesto en el “Paso 1: Consideración de los escenarios de amenazas a la seguridad”. piratería y ataques terroristas. DESCRIPCIÓN DE LA AMENAZA: robo intencionado de información relacionada con la actividad financiera y estrategias de negocio.

4. Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 13 . antivirus actualizados y contraseñas de seguridad para cada ordenador. PUNTUACIÓN DEL INCIDENTE Clasificación de la Probabilidad Alta Media Baja Clasificación de las Consecuencias Alta Media Contramedidas Baja TOLERABILIDAD DEL RIESGO: MODERADA Se necesita la ejecución de contramedidas.3. Pueden ser vulnerables a nuevas técnicas de intrusismo y virus. CLASIFICACIÓN DE LA PROBABILIDAD Consideración de Medidas de Seguridad Físicas La Organización cuenta con un método de detección de intrusos en los ordenadores principales. Probabilidad de Ocurrencia del Incidente Media Las medidas de seguridad establecidas ofrecen resistencia moderada.

DESARROLLO DE CONTRAMEDIDAS Tratamiento del riesgo: ■ Sustitución del sistema de detección de intrusiones LIDS (Linux Intrusion Detection System) por el sistema de seguridad SNORT en todos los ordenadores fijos y portátiles de la Organización. El procedimiento incluirá la eliminación de todas las cuentas de trabajadores que abandonan la compañía incluyendo claves de acceso a los sistemas y direcciones de correo. 7. EVALUACIÓN DE CONTRAMEDIDAS ■ ■ No se detectan incidentes a la seguridad derivados de intrusiones informáticas desde 20XX. Actualización mensual del sistema. Endurecimiento del código ético y creación del nuevo procedimiento de contratación de personal.5. PX-00 donde se fijen claramente los pasos a seguir cuando un empleado abandone la compañía. IMPLEMENTACIÓN DE CONTRAMEDIDAS ■ ■ Aprobado por la alta Dirección (Acta de revisión por la Dirección 20 de Enero de 20XX). Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 14 . ■ ■ 6. Compra de 30 licencias SNORT. Se continúa con las actualizaciones mensuales del sistema.

NOTAS Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas 15 .

ofreciendo el servicio de impartir y gestionar su Formación con las siguientes ventajas: ■ ■ ■ Realizar la formación en el momento en que la empresa lo necesite. Queda prohibida toda reproducción total o parcial de la obra por cualquier medio o procedimiento sin autorización previa. Teléfono: 902 350 077 E-mail: marketing@es.bureauveritasformacion. ver la oferta de formación e inscribir a trabajadores en los Cursos.com www.bureauveritasformacion. En la Plataforma de Formación www. Depósito Legal: AS-1513-2010 Director del Proyecto: Luis Lombardero Dirección Pedagógica: Carmen González Reservados todos los derechos. El contenido de esta obra está protegido por la Ley. Tramitación de la documentación ante la Fundación Tripartita para la subvención de la Formación a cargo del Crédito Anual de la empresa.ÁREAS DE FORMACIÓN CURSOS SUBVENCIONADOS A LAS EMPRESAS Bureau Veritas Formación es Entidad Organizadora de Gestión de las subvenciones a la Formación. Metodología para la Evaluación de Riesgos de la Seguridad y Desarrollo de Contramedidas © Bureau Veritas Formación S.bureauveritasformacion.com .com puede conocer los trámites para agrupar su empresa.A.