FASE I. ANALISIS DE RIESGO
El objetivo de un Anilisis de Riesgos es poner de manifiesto aquellas
debilidades actuales que por su situacidnyo su importancia pueden poner en
marcha, antes de lo deseable, el Plan de Recuperacién de Negocio.
El Analisis de Riesgo debe centrarse en los procesos/actividades del negocio
que se han considerado criticos, aunque también puede extenderse a
aquellos que no lo son.
ETE ccc <6ESQUEMA DEL ANALISIS DE RIESGOS.
A
SEcci |gIDENTIFICAR ACTIVOS
* Para cada uno de los procesos criticos de la compafiia es necesario realizar
un inventario de Jopactios involucrados en el proceso. Los activos se
definen como los recursos de una compafiia que son necesarios para la
consecucién de sus objetivos de negocio. Ejemplos de activos de una
compaiiia pueden ser:
* Informacién
+ Equipamiento
* Conocimiento
* Sistemas
Cada activo de la compajifa tendrd unos costes asociados. En algunos casos
estos costes pueden ser cuantificados con un valor econémico (activos
tangibles) como el software o el hardware, y en otros casos es més
complicado cuantificar el activo con valores monetarios (activos intangibles)
tales como el prestigio o la confianza de los clientes.
ECCIIDENTIFICAR AMENAZAS
Una amenaza se define como un evento que puede desencadenar un
incidente en la organizacién, produciendo dafios materiales 0 pérdidas
inmateriales en sus servicios.
Ala hora de analizar los riesgos hay que evaluar las distintas amenazas que
pueden provenir de las mas diversas fuentes. Entre éstas se incluyen los
agresores malintencionados, las amenazas no intencionadas y los desastres
naturales.
La siguiente ilustracion clasifica las distintas amenazas a los sistemas
eee ee cc&
* Dependiendo de la organizacién y el proceso analizado, serén aplicables
distintos tipos de amenazas. Las amenazas tendran una probabilidad de
ocurrencia que dependerd de la existencia de una vulnerabilidad que
pueda ser explotada, para materializarse en un incidente. Por ejemplo una
amenaza del tipo de desastre natural como es un terremoto, tendré una
mayor probabilidad de ocurrencia en una empresa con oficinas en Japon,
donde los terremotos ocurren con mayor frecuencia, que en Espafia. Por
lo tanto, a priori podemos decir que el riesgo de dafio por terremoto en
una compafiia situada en Japon es mayor que el de una compafiia situada
en Espafia.
ee EccEVALUAR VULNERABILIDADES
Las vulnerabilidades son debilidades que pueden ser explotadas
para convertir una amenaza en un riesgo real que puede causar
dafios graves en una compafiia. Las vulnerabilidades en si
mismas no causan dafio alguno, sino que es una condicién o un
conjunto de condiciones que pueden permitir a una amenaza
afectar a un activo.EVALUACION DEL IMPACTO
Los incidentes causan un impacto dentro de la organizacién, que también
deberd tomarse en cuenta a la hora de calcular los riesgos. La valoracién del
impacto puede realizarse de forma cuantitativa, estimando las pérdidas
econdémicas, o de forma cualitativa, asignando un valor dentro de una escala
(alto, medio, bajo).
Por ejemplo, el robo de informacién confidencial de la compafiia puede
causar un impacto alto si ésta cae en malas manos.
En otro caso, podemos estimar las pérdidas econdémicas de equipos tangibles
valorando el coste de reposicién y puesta en marcha.
EVALUACION DEL RIESGO
Riesgo es la posibilidad de que se produzca un impacto determinado en la
organizacion. El riesgo calculado es simplemente un indicador ligado al par de
valores calculados de Fulnerabilidad y el impacto, ambos ligados a su vez de
la relacién entre el activo y la amenaza a la que el riesgo calculado se refiere.
L
I ccc <<PROBABILIDAD DE INCIDENTES= AMENAZA X VULNERABILIDAD
RIESGO= PROBABILIDAD DE INCIDENTS x| IMPACTO
El riesgo suele expresarse en términos cualitativos (Alto, Medio, Bajo). A continuacién
se muestra un ejemplo de una matriz de probabilidad/impacto:
aL
es ecALTO.
cavarisvsoud
MEDIO
80200
MEDIO ALTO
impaeszo
S
Terremoto en cludades situadas fuera de BAIA MEDIO
fallac sismicas
Terremoto en cludades situadas sobre falas
f ALTA | MEDIO
sismicas
Robo de informacién confidencial comparila se
con control de acceso légico
Robo de informacion confidencial comparila aK RO
sin control de acceso légico
Mees ecci <0Una vez que se han evaluado los riesgos, ueda decidir qué hacemos con
ellos. Se pueden tomar diferentes caminos:
* Transferir el riesgo a través de seguros 0 subcontratando la gestién del
riesgo a terceras empresas.
* Aceptar el riesgo (posicionamiento aprobado por la direccién de la
compaiiia).
* Reducir el riesgo con controles que los mitiguen.
+ Eliminar el riesgo (eliminando la causa 0 el foco del riesgo).
S3ECCci | SOa 8 c ° E F s H 1 4 K
Distibuciones Mamell Ltda. Es una empresa lider en Colombia en el suninistro,instalacién y mantenimiento de sistemas de
lectrinicos de seguridad, también produce, distibuye ¢ instala equipo pesado de Seguridad
Diagrama de procesos prestacion del servicio Marnell Security.
» | DIAGRAMA DE PRocESOS | Tabla General de Riesa0s | Riesa01 | Riesao2 | Riesao3 | Rieso4 | RiesaoS | Riesa06eee
c oi « H
Ee
Tabla de Riesgos Internos
Soluciones integrate
IMA DEPROCESOS | Tabla General de Riesaos | Riesoo 1+) rom — ‘aecoencn
ingens | stmt | agies | nine] Nags eee
3
a8 a reer
a
> [ naka be pRocesos | Tabla General ge Reaper | Alege. | Resgo3
risa
espe 4 | Rasp
riesgo | Resgo?mao c nds ete Seog Marti 7
TIME 00 newtiak seo otann femuuas 0410s tasak WTA
iS PERM Fl
slept ieieteeeene [RT oe te
tee Bewanrece (Gel
RPE 5-6
er Ss ee eee
. 3 opmen | tonite | Ambientales | Pr men wont wae aS =