El documento presenta una introducción al análisis y gestión de riesgos informáticos en una organización. Primero, identifica varios tipos de riesgos como riesgos de integridad, acceso, utilidad e infraestructura. Luego, describe métodos para analizar y cuantificar los riesgos identificados, incluyendo métodos cualitativos, semi-cuantitativos y cuantitativos como el método Montecarlo.

1. República Bolivariana de Venezuela
Ministerio del Poder Popular para la Educación Universitaria
Ciencia y Tecnología
Universidad Politécnica Territorial Andrés Eloy Blanco
Barquisimeto – Estado Lara
Integrantes:
Yohnneiber Díaz
Jhon Moran
Ángel Serrano
Andrés Meléndez
Verónica Quintero
Gestión de Proyectos Informáticos
Prof. Orlando Guerra
Trayecto 4 – Sección 4301
Introducción

2. El riesgo es una condición del mundo real en el cual hay
una exposición a la adversidad, conformada por una combinación de
circunstancias del entorno, donde hay posibilidad de pérdidas.
Los proyectos pueden fallar o sufrir pérdidas como un resultado de
una variedad de causas, por ello es importante en
toda organización contar con una herramienta, que garantice la
correcta evaluación de los riesgos, a los cuales están sometidos
los procesos y actividades que participan en el área informática;
y por medio de procedimientos de control se pueda evaluar
el desempeño del entorno informático.
Viendo la necesidad de este tipo de herramientas y teniendo en
cuenta que, una de las principales causas de los problemas dentro
del entorno informático, es la inadecuada administración de
riesgos informáticos, este trabajo sirve de apoyo para una
adecuada gestión de la administración de riesgos, tocando los
aspectos referentes a la identificación de riesgos, análisis y
cuantificación, estimación, impacto, cálculo de riesgos, plan de
mitigación, asignación responsable, marco axiológico, tratamiento
de riesgos, Valoraciones del riesgo, determinación de controles,
comparaciones, preparación e implementación de planes para su
tratamiento, y sus procesos para la administración de riesgos.
Identificación de Riesgos

3. La identificación y el establecimiento de medidas para
contrarrestar las posibles amenazas y vulnerabilidades a las que
se enfrenta una organización, se lleva a cabo a través de un plan
de gestión de riesgos informáticos.
Para establecer un sistema de gestión de riesgos informáticos es
necesario en primer lugar identificar todas las posibles
vulnerabilidades de la organización. El ámbito de la empresa u
organización, así como la naturaleza de sus actividades
determinarán qué tipo de riesgos existen y el nivel crítico de
cada uno de ellos. También es interesante establecer el posible
impacto que tendría cada uno de ellos sobre la organización.
La finalidad de esta primera fase es la de identificar todos los
posibles riesgos para, posteriormente, establecer un plan de
gestión de riesgos informáticos, teniendo en cuenta todas las
vulnerabilidades y peligros detectados.
Uno de los aspectos en los que más se va a incidir, es en el de la
seguridad de los archivos digitales de la empresa.
Tengamos en cuenta que, en dichos archivos pueden estar
almacenados datos altamente sensibles, desde datos personales,
hasta datos estratégicos, financieros, patentes y procesos de
trabajo etc.
La estrategia a seguir es establecer un plan de gestión de riesgos
informáticos que debe solventar dos posibles fuentes de riesgo
básicas: la pérdida accidental de datos importantes o el robo de
dichos datos.
Aún en la actualidad muchas empresas no tienen establecidas
medidas efectivas para detectar y eliminar vulnerabilidades, así
como para contrarrestar posibles ataques, algo que es más que
recomendable.
Una vez la organización tenga clara la importancia de establecer
un plan de gestión de riesgos informáticos, podrá delegar este
trabajo a una empresa externa dedicada a este tipo de servicios o
bien encargar tal función a miembros de la propia organización,
que deberán contar con los conocimientos suficientes para
identificar los riesgos y poner en marcha todas las medidas y
protocolos necesarios para evitarlos.
Asimismo, es importante que todos los trabajadores de la empresa
sean conocedores del plan, ya que de ellos depende en gran medida

4. el cumplimiento de las medidas y normativas de carácter interno
que se establezcan.
Ya con esto en claro hablaremos de los tipos de riesgos que pueden
existir para poder identificarlos.
 Riesgos de Integridad: Este tipo abarca todos los riesgos
asociados con la autorización, completitud y exactitud de la
entrada, procesamiento y reportes de las aplicaciones
utilizadas en una organización. Estos riesgos aplican en cada
aspecto de un sistema de soporte de procesamiento de negocio
y están presentes en múltiples lugares, y en múltiples
momentos en todas las partes de las aplicaciones; no obstante
estos riesgos se manifiestan en los siguientes componentes de
un sistema:
 Interface del usuario: Los riesgos en esta área generalmente
se relacionan con las restricciones, sobre las
individualidades de una organización y su autorización de
ejecutar funciones negocio/sistema; teniendo en cuenta sus
necesidades de trabajo y una razonable segregación de
obligaciones. Otros riesgos en esta área se relacionan a
controles que aseguren la validez y completitud de la
información introducida dentro de un sistema.
 Procesamiento: Los riesgos en esta área generalmente se
relacionan con el adecuado balance de los controles
detectivos y preventivos que aseguran que el procesamiento de
la información ha sido completado. Esta área de riesgos
también abarca los riesgos asociados con la exactitud e
integridad de los reportes usados para resumir resultados y
tomar decisiones de negocio.
 Procesamiento de errores: Los riesgos en esta área
generalmente se relacionan con los métodos que aseguren que
cualquier entrada/proceso de información de errores
(Exceptions) sean capturados adecuadamente, corregidos y
reprocesados con exactitud completamente.
 Interface: Los riesgos en esta área generalmente se
relacionan con controles preventivos y detectivos que
aseguran que la información ha sido procesada y transmitida
adecuadamente por las aplicaciones.
 Administración de cambios: Los riesgos en esta área pueden
ser generalmente considerados como parte de la
infraestructura de riesgos y el impacto de los cambios en las
aplicaciones. Estos riesgos están asociados con la

5. administración inadecuada de procesos de cambios
organizaciones que incluyen: Compromisos y entrenamiento de
los usuarios a los cambios de los procesos, y la forma de
comunicarlos e implementarlos.
 Información: Los riesgos en esta área pueden ser generalmente
considerados como parte de la infraestructura de las
aplicaciones. Estos riesgos están asociados con la
administración inadecuada de controles, incluyendo la
integridad de la seguridad de la información procesada y la
administración efectiva de los sistemas de bases de datos y
de estructuras de datos. La integridad puede perderse por:
Errores de programación (buena información es procesada por
programas mal construidos), procesamiento de errores
(transacciones incorrectamente procesadas) o administración y
procesamiento de errores (Administración pobre del
mantenimiento de sistemas).
 Riesgos de relación: Los riesgos de relación se refieren al
uso oportuno de la información creada por una aplicación.
Estos riesgos se relacionan directamente a la información de
toma de decisiones (Información y datos correctos de una
persona/proceso/sistema correcto en el tiempo preciso
permiten tomar decisiones correctas).
 Riesgos de acceso: Estos riesgos se enfocan al inapropiado
acceso a sistemas, datos e información. Estos riesgos
abarcan: Los riesgos de segregación inapropiada de trabajo,
los riesgos asociados con la integridad de la información de
sistemas de bases de datos y los riesgos asociados a la
confidencialidad de la información. Los riesgos de acceso
pueden ocurrir en los siguientes niveles de la estructura de
la seguridad de la información:
 Procesos de negocio: Las decisiones organizacionales deben
separar trabajo incompatible de la organización y proveer el
nivel correcto de ejecución de funciones.
 Aplicación: La aplicación interna de mecanismos de seguridad
que provee a los usuarios las funciones necesarias para
ejecutar su trabajo.
 Administración de la información: El mecanismo provee a los
usuarios acceso a la información específica del entorno.
 Entorno de procesamiento: Estos riesgos en esta área están
manejados por el acceso inapropiado al entorno de programas e
información.

6.  Redes: En esta área se refiere al acceso inapropiado al
entorno de red y su procesamiento.
 Nivel físico: Protección física de dispositivos y un
apropiado acceso a ellos.
 Riesgos de utilidad: Estos riesgos se enfocan en tres
diferentes niveles de riesgo:
 Los riesgos pueden ser enfrentados por el direccionamiento de
sistemas antes de que los problemas ocurran.
 Técnicas de recuperación/restauración usadas para minimizar
la ruptura de los sistemas.
 Backups y planes de contingencia controlan desastres en el
procesamiento de la información.
 Riesgos en la infraestructura: Estos riesgos se refieren a
que en las organizaciones no existe una estructura
información tecnológica efectiva (hardware, software, redes,
personas y procesos) para soportar adecuadamente las
necesidades futuras y presentes de los negocios con un costo
eficiente. Estos riesgos están asociados con los procesos de
la información tecnológica que definen, desarrollan,
mantienen y operan un entorno de procesamiento de información
y las aplicaciones asociadas (servicio al cliente, pago de
cuentas, etc.). Estos riesgos son generalmente se consideran
en el contexto de los siguientes procesos informáticos:
 Planeación organizacional: Los proceso en esta área aseguran
la definición del impacto, definición y verificación de la
tecnología informática en el negocio. Además, verifica si
existe una adecuada organización (gente y procesos) asegura
que los esfuerzos de la tecnología informática será exitosa.
 Definición de las aplicaciones: Los procesos en esta área
aseguran que las aplicaciones satisfagan las necesidades del
usuario y soporten el contexto de los procesos de negocio.
Estos procesos abarcan: la determinación de comprar una
aplicación ya existente ó desarrollar soluciones a cliente.
Estos procesos también aseguran que cualquier cambio a las
aplicaciones (compradas o desarrolladas) sigue un proceso
definido que confirma que los puntos críticos de
proceso/control son consistentes (Todos los cambios son
examinados por usuarios antes de la implementación).
 Administración de seguridad: Los procesos en esta área
aseguran que la organización está adecuadamente direccionada
a establecer, mantener y monitorizar un sistema interno de
seguridad, que tenga políticas de administración con respecto

7. a la integridad y confidencialidad de la información de la
organización, y a la reducción de fraudes a niveles
aceptables.
 Operaciones de red y computacionales: Los procesos en esta
área aseguran que los sistemas de información y entornos de
red están operados en un esquema seguro y protegido, y que
las responsabilidades de procesamiento de información son
ejecutados por personal operativo definido, medido y
monitoreado. También aseguran que los sistemas son
consistentes y están disponibles a los usuarios a un nivel de
ejecución satisfactorio.
 Administración de sistemas de bases de datos: Los procesos en
esta área están diseñados para asegurar que las bases de
datos usados para soportar aplicaciones críticas y reportes
tengan consistencia de definición, correspondan con los
requerimientos y reduzcan el potencial de redundancia.
 Información / Negocio: Los proceso en esta área están
diseñados para asegurar que existe un plan adecuado para
asegurar que la tecnología informática estará disponible a
los usuarios cuando ellos la necesitan.
 Riesgos de seguridad general: Los estándar IEC 950
proporcionan los requisitos de diseño para lograr una
seguridad general y que disminuyen el riesgo:
 Riesgos de choque de eléctrico: Niveles altos de voltaje.
 Riesgos de incendio: Inflamabilidad de materiales.
 Riesgos de niveles inadecuados de energía eléctrica.
 Riesgos de radiaciones: Ondas de ruido, de láser y
ultrasónicas.
 Riesgos mecánicos: Inestabilidad de las piezas eléctricas.
Análisis y Cuantificación de Riesgos
Una vez hayan identificado los riesgos en la planificación, el
paso siguiente es analizarlos para determinar su impacto, tomando
así las posibles alternativas de solución.
Ya identificados y clasificados los riesgos, pasamos a realizar el
análisis de los mismos, es decir, se estudian la posibilidad y las
consecuencias de cada factor de riesgo con el fin de establecer el
nivel de riesgo del proyecto.
El análisis de los riesgos determinará cuáles son los factores de
riesgo que potencialmente tendrían un mayor efecto sobre el
proyecto y, por lo tanto, deben ser gestionados.

8. Veamos los Métodos de Análisis de Riesgos
Existen tres tipologías de métodos utilizados para determinar el
nivel de riesgos del negocio. Los métodos pueden ser: Métodos
Cualitativos – Métodos cuantitativos – Métodos semi-cuantitativos.
Métodos Cualitativos: Es el método de análisis de riesgos más
utilizado en la toma de decisiones en proyectos empresariales, los
emprendedores se apoyan en su juicio, experiencia e intuición para
la toma de decisiones.
Se pueden utilizar cuando el nivel de riesgo sea bajo y no
justifica el tiempo y los recursos necesarios para hacer un
análisis completo. O bien porque los datos numéricos son
inadecuados para un análisis más cuantitativo que sirva de base
para un análisis posterior y más detallado del riesgo global del
emprendedor.
Los métodos cualitativos incluyen:
 Brainstorming
 Cuestionario y entrevistas estructuradas
 Evaluación para grupos multidisciplinarios
 Juicio de especialistas y expertos (Técnica Delphi)
Métodos Semi-cuantitativos:
Se utilizan clasificaciones de palabra como alto, medio o bajo, o
descripciones más detalladas de la probabilidad y la consecuencia.
Estas clasificaciones se demuestran en relación con una escala
apropiada para calcular el nivel de riesgo. Se debe poner atención
en la escala utilizada a fin de evitar malos entendidos o malas
interpretaciones de los resultados del cálculo.
Métodos Cuantitativos:
Se consideran métodos cuantitativos a aquellos que permiten
asignar valores de ocurrencia a los diferentes riesgos
identificados, es decir, calcular el nivel de riesgo del proyecto.
Los métodos cuantitativos incluyen:
 Análisis de probabilidad
 Análisis de consecuencias
 Simulación computacional

9. El desarrollo de dichas medidas puede ser realizado mediante
diferentes mecanismos, entre los cuales destacamos el Método
Montecarlo, el cual se caracteriza por:
- Amplia visión para mostrar múltiples posibles escenarios
- Sencillez para llevarlo a la práctica
- Computerizable para la realización de simulaciones
Método Montecarlo
Es un método cuantitativo para el desarrollo de análisis de
riesgos. El método fue llamado así en referencia al Principado de
Mónaco, por ser “la capital del juego de azar”. Dicho método busca
representar la realidad a través de un modelo de riesgo
matemático, de forma que asignando valores de manera aleatoria a
las variables de dicho modelo, se obtengan diferentes escenarios y
resultados.
El método Montecarlo se basa en realizar un número lo
suficientemente elevado de iteraciones (asignaciones de valores de
forma aleatoria), de manera que la muestra disponible de
resultados, sea lo suficientemente amplia como para que se
considere representativa de la realidad. Dichas iteraciones se
podrán realizar haciendo uso de un motor informático.
Con los resultados obtenidos de las diferentes iteraciones
realizadas se efectúa un estudio estadístico del que se sacan
conclusiones relevantes respecto al riesgo del proyecto, tales
como, valores medios, máximos y mínimos, desviaciones típicas,
varianzas y probabilidades de ocurrencia de las diferentes
variables determinadas sobre las que medir el riesgo.
Podemos cerrar con que este enfoque emplea dos elementos
fundamentales, la probabilidad de que se produzca un evento y el
impacto que ocasionaría la probable pérdida en caso de que ocurra
el citado evento.
El enfoque cuantitativo de análisis de riesgos consiste en la
obtención de un valor a partir del producto de estos elementos. La
forma de calcularlo, para un evento dado, es realizando la
multiplicación del valor de la pérdida potencial por el valor de
la probabilidad de ocurrencia. De esta manera es prácticamente
concreto y posible valorar los eventos y calcular el riesgo a fin
de tomar las decisiones correspondientes.

10. Son numerosas las organizaciones que han adoptado y aplicado con
éxito el análisis de riesgo cuantitativo. De hecho se recomienda
fuertemente comenzar con un análisis de riesgo cuantitativo y
luego, si el negocio lo amerita, hacer un análisis cualitativo.
Estimación de Riesgos
La estimación de riesgos describe cómo estudiar los riesgos dentro
de la planeación general del entorno informático y se divide en
los siguientes pasos:
La identificación de riesgos genera una lista de riesgos capaces
de afectar el funcionamiento normal del entorno informático.
El análisis de riesgos mide su probabilidad de ocurrencia y su
impacto en la organización.
La asignación de prioridades a los riesgos.
Estimación De La Probabilidad De Perdida
Las principales formas de estimar la probabilidad de pérdida son
las siguientes:
 Disponer de la persona que está más familiarizada con el
entorno informático para que estime la probabilidad de
ocurrencia de eventos perjudiciales.
 Usar técnicas Delphi o de consenso en grupo. El método Delphi
consiste en reunir a un grupo de expertos para solucionar
determinados problemas. Dicho grupo realiza la categorización
individual de las amenazas y de los objetos del riesgo.
 Utilizar la calibración mediante adjetivos, en la cual las
personas involucradas eligen un nivel de riesgo entre
(probable, muy probable) y después se convierten a
estimaciones cuantitativas.
IMPACTO:
Impacto es una herramienta de análisis cualitativo de riesgos que
nos permite establecer prioridades en cuanto a los posibles
riesgos de un proyecto en función tanto de la probabilidad de que
ocurran como de las repercusiones que podrían tener sobre nuestro
proyecto en caso de que ocurrieran.
Como se puede ver en la siguiente ilustración, la matriz se
compone de dos ejes: un eje vertical en donde se establecen los
valores de probabilidad (entre 0 – imposible y 1 – siempre) y un

11. eje horizontal en donde se establecen los valores del impacto del
riesgo sobre los objetivos de nuestro proyecto (en donde 0 implica
que ese riesgo no repercutiría en los objetivos y 1 que
dificultaría en gran medida el cumplimiento de los mismos). Los
valores obtenidos en las diferentes celdas de la matriz son el
resultado de multiplicar la probabilidad de ocurrencia por el
impacto del riesgo, indicando los valores más altos (máximo 1) los
riesgos más críticos del proyecto y los más bajos los menos
relevantes.
Es una herramienta muy útil para la gestión de proyectos ya que
permite priorizar de forma muy visual los riesgos existentes en
nuestros proyectos, identificando de forma clara aquellos sobre
los que es necesario prestar más atención y establecer medidas de
respuesta antes de que estos ocurran para intentar minimizar las
repercusiones que puedan tener. De esta manera, se “ponen sobre la
mesa” los riesgos en los que incurre el proyecto ante todos los
skateholders de forma que cada uno asuma las responsabilidades que
tienen sobre los mismos y se evitan (o por lo menos se minimizan)
los posibles imprevistos que puedan ocurrir.
CALCULO DE RIESGO:
El objetivo de la evaluación de riesgos es identificar y analizar
los factores que puedan afectar negativamente las operaciones. Los
cálculos del riesgo evalúan la probabilidad y las consecuencias de
que ocurra un incidente en particular.

12. El proceso consiste en la evaluación de la vulnerabilidad de un
proyecto en un riesgo determinado. Los datos y la información que
se utilizan para realizar las evaluaciones de riesgos y los
cálculos pueden dar un tiempo al director del proyecto para
ajustar los objetivos o acciones.
También se puede revelar la necesidad de abordar demandas a corto
plazo, tales como un aumento en los recursos de capital, o las
necesidades a largo plazo, tales como la capacitación adicional
para los miembros del equipo del proyecto.
Todas las ideas de negocio pasan por un filtro básico. En los
proyectos se caracteriza de la manera siguiente:
Calculo de Riesgo de un Proyecto
Fórmula para calcular el riesgo o la probabilidad de fracaso de un
proyecto:
Criterios para hacer el cálculo: serán los tres mencionados
previamente. Dependencia de terceros, conocimiento del mercado e
inversión.
Cuantificar el riesgo con los criterios: la clasificación más
negativa recibe un multiplicador de 0.2. Un criterio que considero
de nivel medio o neutral se le aplica un 0.5. En el caso ideal la
cifra sería 0.8.
Haciendo uso de una formula muy sencilla: multiplicamos los 3
factores y restamos el resultado de 1. Para tener un porcentaje lo
multiplicamos otra vez por 100.
Probabilidad de fracaso [%] = (1 – Dependencia de terceros x
Conocimiento del Mercado x Inversión necesaria) x 100
Por ejemplo:
Dependencia de terceros/neutral = 0.5
Conocimiento del mercado/negativo = 0.2
Inversión/ideal = 0.8
Grado de dependencia de terceros: típicamente negativo o neutral.
Este tipo de proyecto tiene como objetivo no depender de muchos
favores o ayuda externa para poder montarlo. En cuantos más pasos
podamos dar nosotros mismos mejor.

13. Nivel de conocimiento del mercado: debería ser neutral o aun mejor
ideal . Está directamente relacionado con el primer punto. El
éxito de un producto depende mucho de conocimiento del sector. Sin
experiencia es complicado desarrollar una oferta que encaje a la
perfección para el público objetivo.
Volumen de inversión: normalmente los proyectos requieren
inversiones importantes para adquirir lo necesario, ya sea
mobiliario, equipos, permisos, maquinas, patentes, etc.
(1 – 0.5 x 0.2 x 0.8) x 100 = 92 %
El riesgo de este proyecto seria de un 92%.
PLAN DE MITIGACIÓN DE RIESGOS:
Se denomina Plan de Mitigación a las estrategias definidas por una
organización, empresa, etc que tratan de reducir la probabilidad
de ocurrencia del riesgo o reducir el impacto que pueda causar.
Es importante entender que el objetivo de mitigación de riesgos es
reducir la exposición al riesgo con la intención de llevarlo a los
límites de los umbrales aceptables para cada organización.
La exposición al riesgo es la función de la probabilidad de
ocurrencia del riesgo y el impacto de este riesgo en el proyecto.
“La estrategia de mitigación está referida a todas las acciones
que se toman por adelantado o acciones proactivas”
La probabilidad de ocurrencia del riesgo y su impacto se
identifica y se calcula en una fase temprana a fin de evitar el
daño previsto en el proyecto.
Esta estrategia de respuesta se documenta en el Registro de
Riesgo.
ASIGNACIÓN DE RESPONSABLES (MATRIZ)
De todas las tareas a la hora de realizar un proyecto la más
importante es identificar y asignar los mejores recursos humanos.
Sin una clara asignación de responsabilidades que permita un
monitoreo efectivo del desempeño, pueden fallar los mecanismos de
responsabilidad y rendición de cuentas dentro del proyecto. Para

14. evitar esto, una de las herramientas que puede utilizar el líder
en la gestión de recursos humanos es la matriz de asignación de
responsabilidades (RACI[i] o MAR). El propósito de la MAR es
ilustrar las conexiones que existen entre el trabajo que debe
realizarse y los miembros del equipo de proyecto, asegurando que
los recursos correctos estén asignados al trabajo correcto.
Importancia de la matriz de asignación de responsabilidades
La creación de una matriz es importante debido a que provee al
líder de proyecto de una herramienta que le permite identificar
los roles, las responsabilidades y los niveles de autoridad para
las actividades específicas del proyecto. De esta manera el líder
y el equipo saben con certeza quién es responsable de cada
actividad y así se evita la duplicidad de funciones o la
existencia de actividades que no tengan un responsable.
Sin una clara definición de roles y responsabilidades el proyecto
se vuelve más propenso a caer en problemas. Cuando la gente conoce
exactamente lo que se espera de ellos, es más fácil para ellos
completar su trabajo en tiempo, dentro del presupuesto asignado y
el nivel de calidad requerido.
¿Cómo se construye la matriz?
Para que el líder de proyecto desarrolle una matriz de asignación
de responsabilidades es necesario que cuente con la información
del alcance del proyecto (EDT[ii]), la estimación de tiempo para
cada actividad (cronograma, Gantt), las acciones de mitigación de
riesgos y conozca los grupos o unidades que participarán en el
proyecto. Una vez que posea toda esta información tendrá que
identificar los roles y funciones que jugarán cada uno de los
miembros del equipo dentro del proyecto de modo que pueda asignar
a cada uno de éstos en la tarea correcta. De esta manera podrá
identificar a los responsables de los resultados del proyecto, a
las persona a quiénes se les debe rendir cuentas, aquellos que son
consultados sobre las actividades de los paquetes de trabajo y
aquellos a quienes debe informarse sobre cualquier cambio o riesgo
en el proyecto.
Figura 1. Desarrollo de una matriz de responsabilidades
Entradas Herramientas y Técnicas Salidas

15. – EDT
– Cronograma
– Riesgos
– Factores
organizacionales
– Identificación
de roles
– Análisis de
funciones y
competencias
– Matriz
de
responsabilidades
La matriz elaborada deberá conectar el organigrama del proyecto
con la EDT, de modo que asegure que todos y cada uno de los
componentes de los paquetes de trabajo sean asignados a alguna
persona dentro del equipo de proyecto.
Componentes
Entre los elementos esenciales que contiene una matriz de
responsabilidades se encuentran:
El código del paquete de trabajo en la EDT.
El nombre del producto o entregable.
El Responsable de acuerdo a su función:
R = Responsable de ejecutar: Es el responsable de llevar a cabo
una tarea determinada. De esta manera, para cada tarea definida en
la EDT existe normalmente un rol responsable de su ejecución.
A = Aprueba: Es la persona que asume la responsabilidad final por
la correcta y completa ejecución de una tarea y recibe
informaciones de los responsables de la ejecución de la misma.
C = Consultado: Es la persona que no está implicada directamente
en la ejecución de la tarea pero que proporciona algún tipo de
insumo para el proceso o es consultado para saber su opinión o
pedirle consejo.
I = Informado: Es la persona que recibe los resultados de una
tarea o se le informa acerca de los avances del proceso.
Es importante mencionar que no es necesario que se asignen para
cada actividad o entregable los 4 diferentes roles, sin embargo el
rol de responsable y aprobador sí son indispensables para
desarrollar una buena matriz de responsabilidad
Proceso de la administración de riesgos

16. El proceso consta de los siguientes pasos:
Determinar los Objetivos: El primer paso en la administración de
riesgos es decidir precisamente el programa de administración de
riesgos. Para obtener el máximo beneficio de los gastos asociados
con la administración de riesgos un plan es necesario. De otro
modo, es ver el proceso de administración de riesgos como una
serie de problemas aislados más bien que un problema sencillo, y
no hay guías para proveer una consistencia lógica en los procesos
de la organización.
El principal objetivo de la administración de riesgos, como
primera ley de la naturaleza, garantizar la supervivencia de la
organización, minimizando los costos asociados con los riesgos.
Muchos de los defectos en la administración de riesgos radican en
la ausencia de objetivos claros.
Los objetivos de la administración de riesgos están formalizados
en una “política corporativa de administración de riesgos”, la
cual describe las políticas y medidas tomadas para su consecución.
Idealmente los objetivos y las políticas de administración de
riesgos deben ser producto de las decisiones de la Junta Directiva
de la compañía.
Identificación de los Riesgos: Es difícil generalizar acerca de
los riesgos de una organización porque las condiciones y
operaciones son distintas, pero existen formas de identificarlos
entre las cuales están:
Herramientas de identificación de riesgos: Las más importantes
herramientas usadas en la identificación de riesgos incluyen:
registros internos de la organización, listas de chequeo para
políticas de seguros, cuestionarios de análisis de riesgos, flujos
de procesos, análisis financiero, inspección de operaciones y
entrevistas.
Aproximación de combinación: La aproximación preferida en la
identificación de riesgos consiste de una aproximación de
combinación, en el cual todas las herramientas de identificación
de riesgos están hechas para tolerar problemas. En pocas palabras
cada herramienta puede resolver una parte del problema y
combinados pueden ser una considerable ayuda al administrador de
riesgos. Los riesgos pueden surgir de muchas fuentes, por lo cual
el administrador de riesgos necesita un sistema de información de
búsqueda rápida, diseñado para proveer el flujo de información

17. acerca de cambios en operaciones y cambios en las relaciones con
las entidades externas.
Evaluación de Riesgos: Una vez que los riesgos han sido
identificados el administrador de riesgos debe evaluarlos. Esto
envuelve la medición del potencial de las pérdidas y la
probabilidad de la pérdida categorizando el orden de las
prioridades. Un conjunto de criterios puede ser usado para
establecer una prioridad, enfocada en el impacto financiero
potencial de las pérdidas, por ejemplo:
Riesgos críticos: Todos las exposiciones a pérdida en las cuales
la magnitud alcanza la bancarrota.
Riesgos importantes: Son exposiciones a pérdidas que no alcanzan
la bancarrota, pero requieren una acción de la organización para
continuar las operaciones.
Riesgos no importantes: Exposiciones a pérdidas que no causan un
gran impacto financiero.
Consideración de alternativas y selección de mecanismos de
tratamiento de riesgos: El próximo paso es considerar las técnicas
que puedan ser usadas para tratar con riesgos. Estas técnicas
incluyen: evitar los riesgos, retención, transparencia y
reducción. Algunas políticas de la administración de riesgos de la
organización establece el criterio a ser aplicada en la elección
de técnicas, haciendo un bosquejo de las reglas con las cuales el
administrador de riesgos, puede operar.
Implementación de la Decisión, Evaluación y Revisiones: Este paso
debe ser incluido por 2 razones. Primero, el proceso de
administración de riesgos no es la panacea definitiva, las cosas
pueden cambiar nuevos riesgos surgen y riesgos viejos desaparecen,
el programa de administración de riesgos permite al administrador
de riesgos revisar decisiones y descubrir errores.

18. Marco axiológico general de:
Identificación de riesgos:
Este proceso es con el cual se determinan los riesgos podrían
llegar a afectar al proyecto, las características de cada uno
de ellos son documentados para posteriormente ser analizados,
este proceso de identificación es de vital importancia además
que conlleva un alto valor en la elaboración de todo proyecto,
ya que de esta forma se desglosan los diversos riesgos tanto como
económicos o legales que puedan afectar la elaboración y
ejecución de proyectos.
Análisis de riesgos:
Una vez identificados los riegos es imprescindible comenzar a
analizar los riesgos identificados, ¿Porque es importante analizar
los riesgos? Es esta etapa que nos permite estudiar cómo puede
ser el desarrollo de cada riesgo, obtener toda la información
necesaria y detallada del cómo pueden estos afectar al proyecto,
además esta etapa nos permite conocer a detalles las
características de cada riesgo.
Evaluación:
Al momento de finalizar el análisis de riesgo, es el momento de
proseguir a evaluar estos, este paso es imprescindible, ya que por
medio de este estudio, observaremos los niveles de probabilidad
de que una amenaza de riesgo pueda materializarse en la comunidad

19. donde se esté realizando el proyecto, en esta etapa realizaremos
los análisis cuantitativos, cualitativos, de probabilidad, además
suele usarse una matriz de riesgo para poder categorizar según su
frecuencia y urgencia, en esta fase debemos evaluar todas las
probabilidades comenzando desde los riesgos que son potenciales
para el proyecto, además de analizar cuáles son los que tienen
menos posibilidades que puedan ocurrir, por con siguiente se debe
clasificar cada riesgo Cada riesgo basados en la probabilidad
de que estos puedan ocurrir esto se puede realizar por medio de
una escala de ranking, seguido de esto debe evaluarse el impacto
de estos riesgos en el proyecto.
Priorización:
En esta fase, una vez realizada la evaluación de riesgos, se procede
a priorizar que riesgo debe ser atendido y solucionado
Tratamiento De Riesgos:
Esta puede considerarse la fase final en donde se procede a resolver
los riesgos que anteriormente se realizó, al finalizar esta etapa se
podría decir que se tiene un proyecto que fue posteriormente analizado
y que fueron mitigado todos los posibles riesgos.
Cada una de estas etapas es de vital importancia para poder proseguir
con la siguiente fase, un error, equivocación, o mala recolección y
análisis de la información puede traer consecuencias considerables al
proyecto, tanto que el trabajo realizado en la administración de
riesgos pueda verse disuelto
Gestión de riesgo
La gestión de riesgo es un aspecto esencial a tratar en una
organización. Es muy necesario saber cómo evaluar el riesgo y como
ejecutar el proceso para la gestión de riesgo.
La valoración de los riesgos reúne los componentes principales del
procedimiento para gestionar el riesgo que está formada por:
 Notificación e informes

20.  Determinación del entorno
 Valoración del riesgo (reúne las actividades de: identificar,
analizar y examinar el riesgo)
 Procedimiento del riesgo
 Control y supervisión
La valoración del riesgo, no debe ser una función apartada, sino
todo lo contrario, debe estar perfectamente integrada con el resto
de elementos del procedimiento para gestionar el riesgo.
Notificación e informes: Para llevar a cabo una valoración del riesgo
con éxito, es imprescindible que los riesgos se notifiquen y se
informen de la forma más eficaz posible con las partes afectadas. La
función de la evaluación de riesgos en el Sistema de Gestión de
Calidad.
Las partes afectadas que participan en el procedimiento para la
gestión de riesgo contribuyen a:
 Establecer un plan para la comunicación
 Determinar el entorno de la forma correcta
 Hacer un compendio de todas las áreas para identificar y
analizar el riesgo
 Tener en cuenta todos los puntos de vista a la hora de valorar
los riesgos
 Debemos comprobar que la identificación de los riesgos se
hace de la forma apropiada
Las partes afectadas deben ayudar a crear relaciones entre el
procedimiento de valoración del riesgo y otras materias de gestión,
entre las que podemos encontrar, la administración de programas y
proyectos, la dirección financiera entre otras.
Determinación del entorno: En este apartado, se delimitan los
criterios para administrar el riesgo y se determinan la profundidad
y el alcance para los procedimientos. También se especifican si los
parámetros son internos o externos a la empresa, así como los riesgos
específicos ocurridos en años anteriores en los que nos basamos para
la evaluación.
En la determinación del entorno, se establecen y se fijan los
objetivos de la valoración del riesgo, los criterios para
determinarlo y el plan para evaluarlo. Dimensiones de la gestión de
riesgos
Si queremos llevar a cabo una evaluación del riesgo determinada, en
la determinación del entorno, debemos definir el contexto de la

21. administración del riesgo, interna y externa, así como el criterio
de clasificación del riesgo:
 El análisis externo trae consigo la comprensión del entorno
de la organización y del sistema, principalmente: factores
político, económico, legal, cultural, a nivel local, nacional
o internacional. En general, todos los factores que afecten
a los objetivos de la organización.
 El análisis interno trae consigo la comprensión de las
habilidades de la empresa, en cuanto a conocimientos y
recursos disponibles, de la información y las decisiones que
tomamos basándonos en esa información, de las normas internas
de la organización, entre otras.
 La determinación del contexto del procedimiento para la
gestión de riesgo implica la delimitación de las
responsabilidades, la determinación del alcance de las
funciones, establecer la amplitud del proyecto, de las
actividades, en términos temporales y geográficos.
 La exposición de las pautas de riesgo implica tomar decisiones
en relación a las posibles consecuencias, en el
establecimiento del nivel de riesgo, en decidir si un riesgo
se acepta y/o se consiente. Para ello las pautas o criterios
pueden basarse en diferentes fuentes, como por ejemplo, las
metas de procedimientos establecidas, las pautas establecidas
en las explicaciones, entre otras.
Valoración del riesgo: La valoración del riesgo es el procedimiento
general para identificar, analizar y valorar el riesgo.
Los riesgos pueden ser evaluados en base a diferentes criterios, es
decir, en función de la organización, de proyectos, por
departamentos, por riesgos determinados, o por funciones
individuales. En función de la situación, es más conveniente utilizar
una herramienta u otra.
Con la valoración del riesgo, obtendremos un conocimiento mayor de
los riesgos, de las causas que los provocan, de las consecuencias
que pueden tener y de la probabilidad de que suceda. Con esto,
podemos tener datos para decidir sobre:
 El llevar a cabo una actividad específica
 Maximización de oportunidades
 Si debemos de considerar el riesgo
 Decidir entre alternativas con distintos riesgos
 Establecer prioridades para afrontar el riesgo

22. Procedimiento del riesgo: Cuando terminamos la valoración del
riesgo, llega el momento de decidir entre diferentes alternativas
para cambiar la probabilidad de que suceda el riesgo, de los efectos
que produzca, y de la implantación de las alternativas.
Una vez realizado esto, debemos llevar a cabo un procedimiento de
reevaluación del nivel actual del riesgo, para conocer su aceptación
en función de los criterios que anteriormente hemos determinado,
para considerar un posible tratamiento posterior.
Control y supervisión: Es imprescindible controlar y revisar el
procedimiento de gestión de riesgo para evitar posibles errores,
también debemos comprobar:
 Que las hipótesis determinadas anteriormente sigan siendo
correctas.
 Que hemos alcanzado las metas establecidas.
 Que las herramientas han sido aplicadas de forma efectiva y
eficaz.
Es importante delimitar la responsabilidad para llevar a cabo el
control y la supervisión.
Valoración del Riesgo
Determina el nivel o grado de exposición de la institución pública
a los impactos del riesgo. Toma como base la calificación y
evaluación de los riesgos, y ayuda a la ponderación de los mismos
con el objetivo de establecer las prioridades para su manejo y
posterior fijación de políticas para su correcta administración.
Al determinar los riegos de acuerdo con su grado de impacto en la
entidad podremos establecer el nivel de prioridad para el tratamiento
de los mismos conforme a su calificación, considerando aquellos que
pueden causar mayor daño a la institución al momento de
materializarse.
En esencia, la valoración podría establecerse en dos etapas:
 Ponderación de Riesgos, como base para la fijación de
prioridades
 Priorización de Riesgos, como base para la fijación de
Políticas
Para la Ponderación de Riesgos se debe considerar a los riesgos en
el entorno institucional donde podrían tener efecto. La evaluación
identifica la Importancia Relativa por Nivel, y la Relevancia
Institucional del Riesgo.

23. La Importancia Relativa por Nivel permite introducir al análisis el
peso relativo del proceso o actividad dentro del contexto operativo.
Si tomamos cualquier proceso, seguramente encontraremos que algunas
actividades son más importantes que otras, en términos de su efecto
sobre el logro de los objetivos establecidos.
En la práctica, lo que el Equipo de Trabajo define es un porcentaje
(%) de peso relativo, siendo que el total debe ser el 100%. Veamos
un ejemplo a nivel de los Procesos:
Cuando se trabaja sobre procesos o subprocesos que suponen gran
cantidad de actividades, la determinación de la Importancia Relativa
puede tornarse compleja y un poco engorrosa. Para estos casos, se
sugiere aplicar algún método matemático que simplifique los
cálculos. A continuación se describe una sencilla metodología de
cálculo, tomando un proceso genérico a modo de ejemplo:

24. En cuanto a la Relevancia Institucional del Riesgo, el mismo implica
entender el efecto institucional del riesgo, considerando el
contexto estratégico, el impacto hacia la ciudadanía y la afectación
de la capacidad de la entidad para cumplir con su Misión y Objetivos.
Por ejemplo, correspondería concluir que, aunque las calificaciones
por probabilidad e impacto de un riesgo de demora y uno de cohecho
pudieran ser iguales, a nivel institucional estos riesgos no son
igualmente relevantes. A efectos prácticos, la Relevancia
Institucional del Riesgo se define en porcentaje (%), y puede
determinarse aplicando la misma metodología explicada para la
Importancia Relativa por Nivel.
Finalmente, la Priorización de los Riesgos implica ordenar los
riesgos combinando su calificación a nivel intrínseco (probabilidad
e impacto) y su ponderación por importancia relativa y relevancia
institucional. Una forma práctica para establecer el orden de
prioridad de los riesgos es la determinación del Peso del Riesgo,
que se define según la siguiente ecuación:
Siendo:
Pr: Peso del Riesgo
Cr: Calificación del Riesgo (probabilidad x impacto)
Irn: Importancia Relativa por Nivel (%)
Ri: Relevancia Institucional (%)
PR = CR x IRN x RI

25. Para finalizar esta etapa, las instituciones públicas pueden definir
criterios de abordaje para decidir cómo enfocar sus esfuerzos en la
gestión de sus riesgos.
Por ejemplo, la entidad podría considerar solo el tratamiento de los
riesgos significativos, tomando aquellos riesgos cuyo peso combinado
constituya el 80% del peso total del riesgo institucional.
Otra forma podría ser establecer un valor “umbral” para el Peso del
Riesgo a partir del cual se considere al riesgo como crítico.
En los ejemplos ya mencionados en esta Guía, una situación intermedia
podría corresponder un riesgo con Calificación 20 (probabilidad
Media: 2 x Impacto Moderado: 10), Importancia Relativa del 50% y
Relevancia Institucional del 50%, lo que daría un Peso de Riesgo
Medio de 50.000. En este caso, podría decirse que todo riesgo con un
Peso mayor a 50.000 será considerado “significativo” y, por lo tanto,
deberá ser gestionado en cuanto a la definición de políticas y la
implementación de acciones de control.
Para permitir la visualización y entendimiento de los riesgos que se
presentan para la institución, facilitando la definición de las
medidas de respuesta o tratamiento de acuerdo con su nivel de
importancia para la institución pública, se construyen los llamados
Mapas de Riesgo, que no son otra cosa que una matriz que identifica
a los riesgos, listados en el orden de prioridad definido.
Determinación de Controles
Los Controles definen las acciones y/o mecanismos necesarios para
prevenir o reducir el impacto de los eventos que ponen en riesgo la
adecuada ejecución de las actividades y tareas requeridas, para el
logro de los objetivos de la institución pública.
Dichas acciones y/o mecanismos permiten prevenir los riesgos,
detectarlos, proteger la institución contra posibles pérdidas y
corregir las desviaciones que se presentan en el desarrollo normal
de las operaciones. Deben ser suficientes, comprensibles, eficaces,
económicas y oportunas.
Conocer la naturaleza de los riesgos su frecuencia y sus
consecuencias, permite establecer la mejor forma de tratarlos, a
través de una acción o mecanismo de Control, de tal forma que las
actividades y el proceso mantengan el curso trazado para alcanzar
los objetivos de la institución.
Los Controles se diseñan en las actividades, dentro de los
procedimientos, y tomando como base los Procesos y Subprocesos
identificados, el Mapa de Riesgos, las Políticas de Riesgos, las
Políticas de Operación y los Procedimientos diseñados. Los Controles
se podrían clasificar en:

26.  CONTROLES PREVENTIVOS. Actúan sobre la causa de los riesgos con
el fin de disminuir su probabilidad de ocurrencia, y constituyen
la primera línea de defensa contra ellos; también actúan para
disminuir la acción de los agentes generadores de los riesgos.
 CONTROLES DETECTIVOS. Se diseñan para descubrir un evento,
irregularidad o un resultado no previsto; alertan sobre la
presencia de los riesgos y permiten tomar medidas inmediatas;
pueden ser manuales o computarizados. Ofrecen la segunda barrera
de seguridad frente a los riesgos, pueden informar y registrar la
ocurrencia de los hechos no deseados, accionar alarmas, bloquear
la operación de un sistema, monitorear, o alertar a los
funcionarios.
 CONTROLES DE PROTECCIÓN. Se aplican para neutralizar los efectos
de los eventos no deseables y el alcance de los daños que pueden
producir con el fin de minimizarlos o eliminarlos.
 CONTROLES CORRECTIVOS. Permiten el restablecimiento de una
actividad, después de ser detectado un evento no deseable,
posibilitando la modificación de las acciones que propiciaron su
ocurrencia. Estos controles se establecen cuando los anteriores
no operan, y permiten mejorar las deficiencias. Son de tipo
administrativo y requieren políticas o procedimientos para su
ejecución
Para dar mayor claridad a esta clasificación, podríamos pensar en
una Línea de Tiempo que muestra las distintas fases del desarrollo
del Riesgo y su transformación en un SUCESO, y así establecer los
distintos tipos de controles:
Controles Existentes
Por lo general, las organizaciones suelen disponer de una serie de
controles que, con mayor o menor éxito, se despliegan en diferentes
procesos de la institución.
Resulta conveniente, entonces, efectuar un análisis que permita
determinar la efectividad de los mismos, a fin de evitar la

27. ocurrencia de los Riesgos identificados y que se suceden en el
desarrollo de las actividades de un proceso.
A partir de los resultados de este análisis se determinará si estos
controles son pertinentes o si resultan ineficaces y, si así fuera,
se podrá establecer la necesidad de realizar ajustes o modificaciones
que permitan establecer acciones adecuadas de Control.
Criterios para establecer controles.
Si existe una identificación de los peligros y valoración de los
riegos en forma detallada es mucho más fácil para las organizaciones
determinar qué criterios necesita para priorizar sus controles, sin
embargo en la práctica de las empresas en este proceso deberían tener
como mínimo los siguientes tres (3) criterios:
- Número de trabajadores expuestos: Importante tenerlo en cuenta
para identificar el alcance del control a implementar.
- Peor consecuencia: Aunque se han identificado los efectos
posibles, se debe tener en cuenta que el control a implementar
evite siempre la peor consecuencia al estar expuesto al riesgo.
Sin embargo las organizaciones podrían establecer nuevos criterios
para establecer controles que estén acordes con su naturaleza y
extensión de la misma.
Una vez completada la valoración de los riesgos, y que se hayan
tenido en cuenta los controles existentes, la organización debería
estar en capacidad de determinar si los controles existentes son
suficientes o necesitan mejorarse, o si se requieren nuevos
controles.
Plan para su Tratamiento
El Plan Director de Seguridad (PDS) se puede simplificar como la
definición y priorización de un conjunto de proyectos en materia
de seguridad de la información, dirigido a reducir los riesgos a
los que está expuesta la organización hasta unos niveles
aceptables a partir de un análisis de la situación inicial. Llevar
a cabo un buen análisis nos permitirá centrar nuestro foco de
atención en los riesgos asociados a los sistemas, procesos y
elementos dentro del alcance del PDS. De esta forma mitigaremos la
posibilidad de tener algún tipo de incidente de ciberseguridad.
Por otra parte, también podemos obtener beneficios si realizamos
un análisis de riesgos de forma aislada en lugar de llevarlo a
cabo dentro de un contexto mayor como es el del desarrollo de un
PDS.

28. A continuación veremos de forma sencilla las principales tareas
del análisis de riesgos, aportando recomendaciones prácticas sobre
cómo llevarlo a cabo, y considerando algunas particularidades a
tener en cuenta para que aporte el máximo valor al PDS. Cabe
señalar que las fases o etapas que componen un análisis de riesgos
dependen de la metodología escogida. En el caso que nos ocupa,
hemos seleccionado un conjunto de fases que son comunes en la
mayor parte de las metodologías para el análisis de riesgos.
Fases análisis riesgos ciberseguridad empresas
Fase 1. Definir el alcance
El primer paso a la hora de llevar a cabo el análisis de riesgos,
es establecer el alcance del estudio. Vamos a considerar que este
análisis de riesgos forma parte del Plan Director de Seguridad.
Por lo tanto, recomendamos que el análisis de riesgos cubra la
totalidad del alcance del PDS, dónde se han seleccionado las áreas
estratégicas sobre las que mejorar la seguridad. Por otra parte,
también es posible definir un alcance más limitado atendiendo a
departamentos, procesos o sistemas. Por ejemplo, análisis de
riesgos sobre los procesos del departamento Administración,
análisis de riesgos sobre los procesos de producción y gestión de
almacén o análisis de riesgos sobre los sistemas TIC relacionados
con la página web de la empresa, etc. En este caso práctico
consideramos que el alcance escogido para el análisis de riesgos
es “Los servicios y sistemas del Departamento Informática”.
Fase 2. Identificar los activos

29. Una vez definido el alcance, debemos identificar los activos más
importantes que guardan relación con el departamento, proceso, o
sistema objeto del estudio. Para mantener un inventario de activos
sencillo puede ser suficiente con hacer uso de una hoja de cálculo
o tabla como la que se muestra a continuación a modo de ejemplo:
Ejemplo de inventario de activos
Fase 3. Identificar / seleccionar las amenazas
Habiendo identificado los principales activos, el siguiente paso
consiste en identificar las amenazas a las que estos están
expuestos. Tal y como imaginamos, el conjunto de amenazas es
amplio y diverso por lo que debemos hacer un esfuerzo en mantener
un enfoque práctico y aplicado. Por ejemplo, si nuestra intención
es evaluar el riesgo que corremos frente a la destrucción de
nuestro servidor de ficheros, es conveniente, considerar las
averías del servidor, la posibilidad de daños por agua (rotura de
una cañería) o los daños por fuego, en lugar de plantearnos el
riesgo de que el CPD sea destruido por un meteorito.
A la hora de identificar las amenazas, puede ser útil tomar como
punto de partida el catálogo de amenazas que incluye la
metodología MAGERIT v3.
Fase 4. Identificar vulnerabilidades y salvaguardas
La siguiente fase consiste en estudiar las características de
nuestros activos para identificar puntos débiles o
vulnerabilidades. Por ejemplo, una posible vulnerabilidad puede
ser identificar un conjunto de ordenadores o servidores cuyo
sistemas antivirus no están actualizados o una serie de activos
para los que no existe soporte ni mantenimiento por parte del
fabricante. Posteriormente, a la hora de evaluar el riesgo

30. aplicaremos penalizaciones para reflejar las vulnerabilidades
identificadas.
Imagen riesgos mitigacion escalada
Por otra parte, también analizaremos y documentaremos las medidas
de seguridad implantadas en nuestra organización. Por ejemplo, es
posible que hayamos instalado un sistema SAI (Sistema de
Alimentación Ininterrumpida) o un grupo electrógeno para abastecer
de electricidad a los equipos del CPD. Ambas medidas de seguridad
(también conocidas como salvaguardas) contribuyen a reducir el
riesgo de las amenazas relacionadas con el corte de suministro
eléctrico.
Estas consideraciones (vulnerabilidades y salvaguardas) debemos
tenerlas en cuenta cuando vayamos a estimar la probabilidad y el
impacto como veremos en la siguiente fase.
Fase 5. Evaluar el riesgo
Llegado a este punto disponemos de los siguientes elementos:
Inventario de activos.
Conjunto de amenazas a las que está expuesta cada activo.
Conjunto de vulnerabilidades asociadas a cada activo (si
corresponde).
Conjunto de medidas de seguridad implantadas
Con esta información, nos encontramos en condiciones de calcular
el riesgo. Para cada par activo-amenaza, estimaremos la
probabilidad de que la amenaza se materialice y el impacto sobre
el negocio que esto produciría. El cálculo de riesgo se puede
realizar usando tanto criterios cuantitativos como cualitativos.
Pero para entenderlo mejor, veremos a modo de ejemplo las tablas
para estimar los factores probabilidad e impacto.

31. Tabla para el cálculo de la probabilidad
Tabla para el cálculo del impacto
Cálculo del riesgo
A la hora de calcular el riesgo, si hemos optado por hacer el
análisis cuantitativo, calcularemos multiplicando los factores
probabilidad e impacto:
RIESGO = PROBABILIDAD x IMPACTO.
Si por el contrario hemos optado por el análisis cualitativo,
haremos uso de una matriz de riesgo como la que se muestra a
continuación:
Análisis de riesgo tabla cálculo del riesgo
Tal y como indicábamos en el apartado anterior, cuando vayamos a
estimar la probabilidad y el impacto debemos tener en cuenta las
vulnerabilidades y salvaguardas existentes. Por ejemplo, la caída
del servidor principal podría tener un impacto alto para el
negocio. Sin embargo, si existe una solución de alta

32. disponibilidad (Ej. Servidores redundados), podemos considerar que
el impacto será medio ya que estas medidas de seguridad harán que
los procesos de negocio no se vean gravemente afectados por la
caída del servidor. Si por el contrario hemos identificado
vulnerabilidades asociadas al activo, aplicaremos una penalización
a la hora de estimar el impacto. Por ejemplo, si los equipos de
climatización del CPD no han recibido el mantenimiento recomendado
por el fabricante, incrementaremos el impacto de amenazas como
“condiciones ambientales inadecuadas” o “malfuncionamiento de los
equipos debido a altas temperaturas”.
Fase 6. Tratar el riesgo
Una vez calculado el riesgo, debemos tratar aquellos riesgos que
superen un límite que nosotros mismos hayamos establecido. Por
ejemplo, trataremos aquellos riesgos cuyo valor sea superior a “4”
o superior a “Medio” en caso de que hayamos hecho el cálculo en
términos cualitativos. A la hora de tratar el riesgo, existen
cuatro estrategias principales:
Transferir el riesgo a un tercero. Por ejemplo, contratando un
seguro que cubra los daños a terceros ocasionados por fugas de
información.
Eliminar el riesgo. Por ejemplo, eliminando un proceso o sistema
que está sujeto a un riesgo elevado. En el caso práctico que hemos
expuesto, podríamos eliminar la wifi de cortesía para dar servicio
a los clientes si no es estrictamente necesario.
Asumir el riesgo, siempre justificadamente. Por ejemplo, el coste
de instalar un grupo electrógeno puede ser demasiado alto y por
tanto, la organización puede optar por asumir.
Implantar medidas para mitigarlo. Por ejemplo, contratando un
acceso a internet de respaldo para poder acceder a los servicios
en la nube en caso de que la línea principal haya caído.
Por último, cabe señalar que como realizamos este análisis de
riesgos en el contexto de un PDS, las acciones e iniciativas para
tratar los riesgos pasarán a formar parte del mismo. Por lo tanto,
deberemos clasificarlas y priorizarlas considerando el resto de
proyectos que forman parte del PDS. Asimismo, tal y como
indicábamos en la introducción, llevar a cabo un análisis de

33. riesgos nos proporciona información de gran valor y contribuye en
gran medida a mejorar la seguridad de nuestra organización. Dada
esta situación, animamos a nuestros lectores a llevar a cabo este
tipo de proyectos ya bien sea de forma aislada o dentro del
contexto de un proyecto mayor como es el caso del Plan Director de
Seguridad.

34. Conclusión
Los riesgos de seguridad de información deben ser considerados en
el contexto del negocio, y las interrelaciones con otras funciones
de negocios, tales como recursos humanos, desarrollo, producción,
operaciones, administración, TI, finanzas, entre otros y los
clientes deben ser identificados para lograr una imagen global y
completa de estos riesgos.
Cada organización tiene una misión. En esta era digital, las
organizaciones que utilizan sistemas tecnológicos para automatizar
sus procesos o información deben de ser conscientes de que la
administración del riesgo informático juega un rol crítico.
La meta principal de la administración del riesgo informático
debería ser “proteger a la organización y su habilidad de manejar
su misión” no solamente la protección de los elementos
informáticos. Además, el proceso no solo debe de ser tratado como
una función técnica generada por los expertos en tecnología que
operan y administran los sistemas, sino como una función esencial
de administración por parte de toda la organización.
Es importante recordar que el riesgo es el impacto negativo en el
ejercicio de la vulnerabilidad, considerando la probabilidad y la
importancia de ocurrencia. Por lo que podemos decir a grandes
rasgos que la administración de riesgos es el proceso de
identificación, evaluación y toma de decisiones para reducir el
riesgo a un nivel aceptable.
El análisis de riesgo informático es un elemento que forma parte
del programa de gestión de continuidad de negocio y que es
necesario identificar si existen controles que ayudan a minimizar
la probabilidad de ocurrencia de la vulnerabilidad (riesgo
controlado), de no existir, la vulnerabilidad será de riesgo no
controlado.