Anlisis de Riesgos.

Objetivo.
En el siguiente captulo tenemos como objetivo analizar los riesgos de
origen deliberado en las instalaciones de la empresa INFOGUA, a fin
definir las necesidades y propuestas de proteccin, que permitan trazar un
plan de seguridad en la instalaciones de la empresa.

8.2 Propuesta a Realizar.

Este estudio parte del compromiso que la empresa INFOGUA, adquiere al
permitirnos realizar nuestro anlisis de riesgos, en un marco de
colaboracin que permita optimizar los recursos destinados a la seguridad
de su emplazamiento y minimizar las potenciales amenazas.
Consideraciones generales.
El estudio se realiza un anlisis de los posibles riesgos en la empresa . Su
realizacin se ha llevado a cabo por personal especializado, obteniendo
informacin, tanto de las circunstancias objetivables del funcionamiento
de las instalaciones, como de la naturaleza e incidencias de los servicios de
seguridad prestado, los riesgos de posibles ataques informticos.

8.3 Sistema de anlisis de riesgos.

Para este estudio se ha utilizado el mtodo ARI(Administracin de Riesgos
Informticos), que analiza los riesgos a partir de la definicin de las
posibles situaciones de riesgo de cada proceso de datos realizado dentro de
la empresa. Estas situaciones se identifican en funcin de los diferentes
horarios funcionales de la empresa, los diferentes procesos a realizar
dentro de la empresa y las diferentes amenazas potenciales (robos, hurtos,
sabotajes).
Cada situacin de riesgo posible se analiza desde tres perspectivas:

El Atractivo para el sujeto actuante

La Vulnerabilidad con las medidas existentes en el momento de la
realizacin del estudio
La Trascendencia para el cliente, en caso de materializarse el
riesgo.

Estos tres valores se califican entre 1 y 3, y se multiplican los valores

correspondientes para obtener el nivel de riesgo de cada una de las
situaciones identificadas.
Tras esta cuantificacin de las situaciones de riesgo posibles, se presentan
los resultados de forma esquemtica y se obtienen conclusiones que, al
menos, son vlidas desde un punto de vista comparativo.
Tiempos considerados
Para la realizacin del estudio se consideran tres tiempos diferenciados en
funcin de la actividad desarrollada en las instalaciones.
Matutino

9:00 AM a 1:00PM.

Vespertino

2:00PM a 6:00PM

T1.Horario de mxima actividad, en la cual desarrollan sus funciones el

personal de turnos normalmente asignado a labores de produccin y
personal con jornada de lunes a viernes, desempeando labores
administrativas y de gestin.
T2.Horario, dentro de la jornada laboral en el cual el nivel de actividad
desciende por tratarse de la hora de almuerzo, disminuyendo la presencia
de personas en numerosas instalaciones.
T3.Horario en el cual la presencia de personal se reduce
considerablemente, nicamente se encuentra presente personal que
desempea tareas de produccin y mantenimiento a turnos. Se trata de un
horario nocturno, con las consiguientes connotaciones, as como de fines
de semana y festivos.

HORARIOS

Das

Hora inicio

Hora fin

Observaciones

T1

LaV

09:00AM

1:00PM

Oficinas

LaV

2:00PM

6:00PM

T2

LaV

1:00PM

2:00PM

Descansos

T3

LaV

6:00PM

09:00AM

Sin Personal

S, D, F

12:00PM

9:00AM

Sin Personal

Amenazas consideradas
Se han considerado las siguientes amenazas potenciales, teniendo en
consideracin tres aspectos fundamentales, la condicin de empresa, la
actividad industrial desarrollada, y el entorno web en el cual se encuentra
enclavada.
Robo
Apropiacin de una cosa mueble contra la voluntad de su dueo, en
ausencia del mismo, con nimo de lucro.
Hurto
Apropiacin de una cosa mueble ajena, en presencia de su dueo pero sin
que lo perciba, con nimo de lucro y sin el empleo de intimidacin o
violencia en las personas, ni fuerza en las cosas.
Atraco
Apropiacin, con nimo de lucro, de una cosa mueble ajena contra la
voluntad de su dueo, empleando normalmente la fuerza en las cosas y,
siempre, violencia o intimidacin con las personas. Esta peculiar amenaza
se centra, de modo especial, en aquellos lugares en los que se opera con
dinero en efectivo, con afluencia de pblico y fcil acceso.
Vandalismo Informtico.
Amenaza de origen antisocial caracterizada por su irracionalidad y cuyo
objeto es causar dao o la destruccin total o parcial del patrimonio de la
empresa. Generalmente, se trata de conductas llevadas a robo de
informacin o romper el sistema que la empresa tiene para un fin de lucro.

Amenazas

Robos(R)

Hurtos(H)

Atracos(A)

Vandalismo Informtico(V)V

Escenarios considerados
Para un adecuado Anlisis de Riesgos, se han definido escenarios
concretos que permitan un exhaustivo y pormenorizado estudio de la
totalidad de las instalaciones, esta sectorizacin nos facilita de igual forma
la localizacin de la zona evaluada.

ESCENARIOS
Recepcin
Oficina
Software

Desarrollo

RCP
de
ODS

Recepcin Ventas

RCV

Oficina Soporte Tcnico

OST

Oficina Gerencia

OFG

Lneas Elctricas de A.T.

LAT

Lneas de Datos y Telefona

LDT

Criterios de evaluacin
Situaciones de riesgo
Las situaciones de riesgo resultan del anlisis conjunto de amenazas,
horarios y escenarios de una instalacin.

S1=(r1, t1, e1)

S1= robo, noche de da laborable, caja fuerte direccin.

S2= hurto, horario laborable, oficinas.
S3= Vandalismo Informtico, Da y Noche, Sistemas.

Nivel de riesgo
Cada situacin de riesgo (s) puede ser valorada en funcin de su nivel de
riesgo (NR), calculado en funcin de dos parmetros, la probabilidad y la
trascendencia:

La probabilidad de que ocurra esa situacin

La trascendencia que conlleva ese riesgo en caso de materializarse.

Probabilidad de las situaciones de riesgo

La probabilidad de que una situacin o un riesgos se materialice se
calcula, a su vez, en funcin de dos valores, el atractivo y la
vulnerabilidad.

El atractivo que supone para el sujeto actuante

La vulnerabilidad especfica de ese escenario

P = A x V aplicable a cada situacin de riesgo

Trascendencia de las situaciones de riesgo

La trascendencia, de una situacin estima la importancia que tiene, para
los procesos realizado, la materializacin de dicho riesgo.
Calculo del atractivo

El atractivo (A) de una situacin de riesgo (s) se puede estimar entre:

1 = Bajo nivel
2 = Nivel medio
3 = Nivel alto
Se debe evaluar desde la perspectiva del sujeto actuante terico,
atendiendo a los siguientes parmetros:

Percepcin del riesgo de no xito por parte del agresor.

Eficacia prevista con la agresin (econmica, disfuncionalidad
conseguida, importancia de las personas agredidas, etc.)
Entorno social y poltico
Necesidad de conocimientos o herramientas especficos para llevar a
cabo la agresin informtica.

Clculo de la vulnerabilidad
La vulnerabilidad (V) de una situacin de riesgos (s) se puede estimar
entre:
1 = Bajo nivel
2 = Nivel medio
3 = Nivel alto
La vulnerabilidad debe ser evaluada desde las circunstancias del escenario
de cada situacin de riesgo atendiendo a:

La posibilidad de actuar sin ser observado ni detectado

El tiempo necesario de actuacin

Clculo de la trascendencia.
La trascendencia (T) de una situacin de riesgo (s) se puede estimar entre:
1 = Baja
2 = Media

3 = Alta
La trascendencia se debe evaluar desde la perspectiva de la empresa,
atendiendo a:

Dao econmico.
Dao moral.
Capacidad de sustitucin del bien.
Capacidad de reparacin.
Dao a la imagen.
Extensin del dao.
Robo de Informacin.

ANLISIS DE RIESGOS
Situaciones de Riesgo
A continuacin se exponen las situaciones de Riesgo consideradas:
s.de
riesgo

tiempos

amenazas

escenarios

S1

T1

RCP

S1

T1

RCV

S2

T1

RCP

S2

T1

RCV

S2

T2

RCP

S2

T2

RCV

S3

T3

ODS

S3

T3

OST

S3

T3

OST

Evaluaciones de las Situaciones de Riesgo

Siguiendo la metodologa expuesta se han evaluado las situaciones de
riesgo, teniendo en cuenta su Atractivo (de 1 a 3), su Vulnerabilidad (de 1
a 3) y su Trascendencia (de 1 a 3), cuyo producto en cada una de las
situaciones arroja una evaluacin del Nivel de Riesgo (NR) aplicable. El
resultado se puede observar en la tabla siguiente:

Situaciones Tiempos Amenazas Escenarios Atractivo Vulnerabilidad. Trascender. NR

S1

T1

RCP

S1

T1

RCV

S2

T1

RCP

12

S2

T1

RCV

12

S2

T2

RCP

S2

T2

RCV

18

S3

T3

ODS

12

S3

T3

OST

S3

T3

OFT

Considerando los riesgos en conjunto, sin tener en cuenta el tipo de

amenaza, se puede observar que la evolucin del riesgo, segn los
diferentes escenarios y los tiempos es el siguiente:

RIESGOS POR ESCENARIO Y TIEMPO

18
16
14
12
T1

10
8

T2

6
T3

4
2
0
RCP

RCV

ODS

OST

OFT

Riesgo de Robo
El Riesgo de Robo, como se ve en el grfico, es bastante importante,
especialmente en el escenario RCV y en el horario T1. (Oficinas)
Riesgo de Robo
20
15

T1

10

T2
T3

5
0
E1

E2

E3

Riesgo de Hurto
El riesgo de Hurto es tambin muy importante en RCP as como en RCV, y
en el horario T1.

18
16
14
12
T1

10
8

T2

6
T3

4
2
0
1

Riesgo de Vandalismo Informtico

El riesgo de Vandalismo Informtico Se debe destacar los valores que
obtiene en el escenario ODS, OST, OFT en el horario T3.

12
10
8
T1

6
T2

4
T3

2
0
ODS

OST

OFT

Conclusiones del anlisis de riesgos

El presente estudio permite obtener una visin pormenorizada de la
situacin de los riesgos que afectan a la empresa. Como conclusin del
mismo es muy importante destacar las situaciones de riesgo
correspondientes a ventas, con la instalacin de las cmaras de seguridad
los riesgos se minimizan pero siempre esta la probabilidad de que se
materialicen las amenazas. Llama tambin la atencin, por su alta
vulnerabilidad las situaciones del desarrollo de software as como de las
oficinas de gerencia y soporte tcnico que deben ser tenidas en cuenta,
finalmente se debe resaltar la utilidad de este documento como base de
trabajos posteriores encaminados al rediseo de la Seguridad actual.