Sin duda alguna, si queremos «empezar por el principio» en materia de ciberseguridad en nuestra empresa, el análisis de riesgos es uno de los trabajos más importantes a la hora de definir proyectos e iniciativas para la mejora de la seguridad de la información. El Plan Director de Seguridad (PDS) se puede simplificar como la definición y priorización de un conjunto de proyectos en materia de seguridad de la información, dirigido a reducir los riesgos a los que está expuesta la organización hasta unos niveles aceptables a partir de un análisis de la situación inicial.
Llevar a cabo un buen análisis nos permitirá centrar nuestro foco de atención en los riesgos asociados a los sistemas, procesos y elementos dentro del alcance del PDS. De esta forma, mitigaremos la posibilidad de tener algún tipo de incidente de ciberseguridad.
¿Qué es el Análisis de Riesgos y por qué es Fundamental?
El análisis de riesgos es el proceso de identificar, evaluar y priorizar las posibles amenazas que pueden afectar a una empresa. Asimismo, llevar a cabo un análisis de riesgos nos proporciona información de gran valor y contribuye en gran medida a mejorar la seguridad de nuestra organización.
A continuación, veremos de forma sencilla las principales tareas del análisis de riesgos, aportando recomendaciones prácticas sobre cómo llevarlo a cabo, y considerando algunas particularidades a tener en cuenta para que aporte el máximo valor al PDS.
Tipos de Análisis de Riesgos
El análisis de riesgos se puede clasificar en diferentes tipos según el enfoque, la profundidad del análisis y sus objetivos:
-
Análisis Cualitativo: Este tipo de análisis se enfoca en identificar y clasificar los riesgos con base en su probabilidad de ocurrencia y su impacto, utilizando descripciones generales (alto, medio, bajo). El análisis cualitativo se basa en percepciones y criterios más subjetivos, como la probabilidad y el impacto del riesgo, usando escalas descriptivas (bajo, medio, alto). En el caso de pequeñas empresas, el análisis cualitativo suele ser más práctico, ya que no requiere grandes recursos ni datos complejos.
-
Análisis Cuantitativo: Este análisis va un paso más allá al usar datos numéricos y modelos matemáticos para medir la probabilidad e impacto de los riesgos. El método cuantitativo utiliza técnicas matemáticas y estadísticas para recopilar información relevante. Con base en esos datos se asigna una valoración numérica a la materialización de un evento. Usualmente el análisis cuantitativo se realiza luego de haber hecho el análisis cualitativo, aunque también es posible hacerlos de manera independiente o incluso simultánea.
Ejemplo: El riesgo de interrupción en la cadena de suministro. Si la probabilidad de retrasos en la entrega de insumos críticos es del 10% anual y el impacto financiero estimado incluye pérdida de producción ($50,000 USD) y multas por incumplimientos ($20,000 USD), el impacto esperado sería de $7,000 USD al año.
-
Análisis Combinado: Combina elementos de ambos enfoques para aprovechar las ventajas de cada uno.
Fases Clave para un Análisis de Riesgos Efectivo
Cabe señalar que las fases o etapas que componen un análisis de riesgos dependen de la metodología escogida. No obstante, se pueden identificar pasos comunes y fundamentales:
Fase 1: Establecer el Alcance del Estudio
El primer paso a la hora de llevar a cabo el análisis de riesgos es establecer el alcance del estudio. Vamos a considerar que este análisis de riesgos forma parte del Plan Director de Seguridad. Por lo tanto, recomendamos que el análisis de riesgos cubra la totalidad del alcance del PDS, donde se han seleccionado las áreas estratégicas sobre las que mejorar la seguridad. Por otra parte, también es posible definir un alcance más limitado atendiendo a departamentos, procesos o sistemas.
Por ejemplo: análisis de riesgos sobre los procesos del departamento de Administración, análisis de riesgos sobre los procesos de producción y gestión de almacén o análisis de riesgos sobre los sistemas TIC relacionados con la página web de la empresa, etc.
Fase 2: Identificar los Activos Críticos
Una vez definido el alcance, debemos identificar los activos más importantes que guardan relación con el departamento, proceso, o sistema objeto del estudio.
Fase 3: Identificar Amenazas
Habiendo identificado los principales activos, el siguiente paso consiste en identificar las amenazas a las que estos están expuestos. Tal y como imaginamos, el conjunto de amenazas es amplio y diverso por lo que debemos hacer un esfuerzo en mantener un enfoque práctico y aplicado.
Fase 4: Identificar Vulnerabilidades y Medidas de Seguridad
La siguiente fase consiste en estudiar las características de nuestros activos para identificar puntos débiles o vulnerabilidades. Por ejemplo, una posible vulnerabilidad puede ser identificar un conjunto de ordenadores o servidores cuyo sistema antivirus no está actualizado o una serie de activos para los que no existe soporte ni mantenimiento por parte del fabricante.
Por otra parte, también analizaremos y documentaremos las medidas de seguridad implantadas en nuestra organización. Por ejemplo, es posible que hayamos instalado un sistema SAI (Sistema de Alimentación Ininterrumpida) o un grupo electrógeno para abastecer de electricidad a los equipos del CPD.
Fase 5: Calcular el Riesgo
Con esta información, nos encontramos en condiciones de calcular el riesgo. Para cada par activo-amenaza, estimaremos la probabilidad de que la amenaza se materialice y el impacto sobre el negocio que esto produciría. El cálculo de riesgo se puede realizar usando tanto criterios cuantitativos como cualitativos.
Tal y como indicábamos en el apartado anterior, cuando vayamos a estimar la probabilidad y el impacto debemos tener en cuenta las vulnerabilidades y salvaguardas existentes. Por ejemplo, la caída del servidor principal podría tener un impacto alto para el negocio. Sin embargo, si existe una solución de alta disponibilidad (Ej. Servidores redundados), podemos considerar que el impacto será medio ya que estas medidas de seguridad harán que los procesos de negocio no se vean gravemente afectados por la caída del servidor. Si por el contrario hemos identificado vulnerabilidades asociadas al activo, aplicaremos una penalización a la hora de estimar el impacto.
Fase 6: Tratar los Riesgos
Una vez calculado el riesgo, debemos tratar aquellos riesgos que superen un límite que nosotros mismos hayamos establecido. Por ejemplo, trataremos aquellos riesgos cuyo valor sea superior a “4” o superior a “Medio” en caso de que hayamos hecho el cálculo en términos cualitativos. Las estrategias de tratamiento de riesgos incluyen:
- Transferir el riesgo a un tercero.
- Eliminar el riesgo, por ejemplo, eliminando un proceso o sistema que está sujeto a un riesgo elevado.
- Asumir el riesgo, siempre justificadamente.
- Implantar medidas para mitigarlo.
Por último, cabe señalar que como realizamos este análisis de riesgos en el contexto de un PDS, las acciones e iniciativas para tratar los riesgos pasarán a formar parte del mismo. Por lo tanto, deberemos clasificarlas y priorizarlas considerando el resto de proyectos que forman parte del PDS.
Métodos para Realizar un Análisis de Riesgos y Vulnerabilidades
Los métodos de análisis de riesgos son herramientas que ayudan a identificar, evaluar y priorizar los riesgos que pueden afectar los objetivos de una organización. Estos métodos permiten entender las amenazas, sus causas y posibles impactos para tomar decisiones más acertadas.
1. Análisis "What if" (¿Qué pasaría si…?)
El análisis What if es un método sencillo y fácil de entender para cualquier gestor, pues no requiere el uso de herramientas complejas y tampoco conocimientos técnicos muy avanzados. Además, ofrece flexibilidad a los equipos de riesgos, pues puede aplicarse en una gran variedad de situaciones. Usualmente se utiliza en la primera fase de la gestión cuando apenas se están identificando los riesgos. Esta metodología de administración de riesgos consiste en programar reuniones entre funcionarios o colaboradores que conozcan a fondo el proceso que se analiza. La primera reunión se programa para hacer lluvia de ideas, en esta se formulan preguntas que ayuden a visibilizar posibles problemas.
2. Análisis Preliminar de Riesgos (APR)
Esta metodología de gestión de riesgos también forma parte del análisis inicial. Se utiliza para identificar posibles riesgos cuando el proyecto apenas está comenzando. El primer paso en el análisis preliminar de riesgos es identificar todas las actividades que forman parte de un proyecto o de un proceso, intentando reconocer los posibles problemas que se puedan enfrentar en cada fase. Con esos datos se llena una tabla de registro. En una de las columnas se describen los riesgos que se identificaron, en otra se ubican las posibles causas, en la tercera se listan las consecuencias y en la última se sitúan las categorías de riesgos, combinando la frecuencia y el impacto del riesgo para crear una clasificación de prioridades. Cuanto más probable sea un riesgo y más graves sus consecuencias, mayor atención debe dársele.
3. Los Cinco Porqués (5 Whys)
El objetivo de este método de análisis de riesgos es llegar a la causa raíz de un problema específico, descartando las respuestas más inmediatas y superficiales. Así como los niños que empiezan a preguntar sobre el porqué de asuntos aleatorios, este método es una indagación que consiste en formular preguntas iterativas sobre un problema determinado. Los cinco porqués debe desarrollarse en grupo. En primer lugar, se plantea el problema. Después, se pasa a la formulación de preguntas. Finalmente, a partir de las respuestas, se encuentra la causa raíz. Contrario a lo que indica el nombre de la técnica, no es necesario que se restrinja el análisis a cinco preguntas. La cantidad de cuestiones estará determinada por la complejidad del problema que se pretende abordar.
Ejemplo de los Cinco Porqués:
- ¿Por qué se están demorando las entregas? Porque la mercancía está retenida en la bodega.
- ¿Por qué la mercancía está retenida en la bodega? Porque los camiones están tardando en salir.
- ¿Por qué los camiones están tardando en salir? Porque el trabajador está demorando en cargarlos.
- ¿Por qué el trabajador demora tanto en cargarlos? Porque una sola persona tiene que cargar muchos camiones al mismo tiempo.
- ¿Por qué el trabajador tiene que cargar tantos camiones al mismo tiempo?
4. Análisis de Modo y Efecto de Falla (FMEA)
Esta metodología de análisis de riesgos es en realidad una técnica de ingeniería. En principio fue creada por la NASA, pero después fue adoptada en diferentes campos e industrias. El FMEA empieza identificando las posibles fallas y efectos. Posteriormente, se crea una clasificación de ellos basada en:
- Frecuencia.
- Gravedad.
- Con esos tres puntos se aplica una fórmula que permite establecer cuáles fallas son más o menos graves.
5. Listas de Chequeo (Checklists)
Consiste en montar una lista con todos los riesgos que se han identificado y sus recomendaciones de prevención correspondientes. Frente a cada ítem se debe llenar una casilla con las tareas que ya fueron hechas y las que no. Las listas de chequeo son un método de análisis de riesgos muy útil porque son fáciles de hacer y de usar. Las listas de chequeo para gestionar el riesgo se emplean en los procesos de auditoría interna.
6. Simulación Monte Carlo
Es un método matemático que emplea estadísticas y probabilidad para analizar la incertidumbre y el impacto de diferentes variables en un sistema. Toma su nombre del famoso casino de Monte Carlo porque utiliza números aleatorios, simulando múltiples escenarios posibles. Se basa en realizar cientos o miles de iteraciones para modelar situaciones complejas con factores inciertos.
7. Análisis DAFO (SWOT)
Es una herramienta cualitativa y estratégica que analiza tanto factores internos como externos para identificar riesgos, oportunidades y áreas de mejora. Las fortalezas y debilidades se refieren a aspectos internos de la organización o proceso, mientras que las oportunidades y amenazas abarcan elementos externos, como tendencias del mercado o regulaciones.
8. Hazard and Operability Study (HAZOP)
O Estudio de peligros y operatividad (HAZOP) es un enfoque altamente estructurado para identificar peligros potenciales y problemas operativos en procesos industriales, especialmente aquellos con múltiples variables como presión, flujo o temperatura.
10. Diagrama Causa-Efecto (Espina de Pescado)
Este método para gestionar el riesgo es conocido como diagrama espina de pescado. Por medio de una lluvia de ideas o sesiones de creatividad, se intenta tener una mejor comprensión de las causas que originan una falla o un problema. Este diagrama te ayudará a ver la relación sistemática entre un resultado fijo y sus causas. El diagrama causa - efecto es una técnica de análisis en la resolución de problemas, para explicar cómo diversos factores que afectan un proceso puede ser clasificados y relacionados de cierta manera. El propósito de este análisis gira en torno al proceso de identificar el origen de un problema y buscar una solución de forma que el problema se trate en su raíz. "Es necesario abordar las causas fundamentales de los problemas y no solo los síntomas.”
11. Cuestionario de Riesgos
El cuestionario consiste en elaborar una serie de preguntas para definir la probabilidad de que sucedan eventos de pérdida. Cada uno de los interrogantes tocan cuestiones que pueden implicar algún riesgo.
13. Análisis Histórico Financiero
A partir del análisis de estados financieros, se evalúan los errores y desaciertos que tuvo una organización en proyectos anteriores. De esta manera se identifican los problemas y las pérdidas que se generaron por una situación de riesgo. Al tener ese panorama se facilita la comprensión del negocio y de sus procesos.
14. Inspección
La inspección se realiza con el fin de supervisar el contexto general de industria o del montaje.
15. Pirani Copilot (Herramienta de IA)
Pirani Copilot es una herramienta avanzada basada en inteligencia artificial que forma parte de nuestro sistema de Gestión de Riesgos Operacionales (ORM). Su objetivo es facilitar la identificación, gestión y priorización de riesgos de manera automatizada, optimizando así todo el proceso. Comienza ahora el proceso de gestión de riesgos de tu empresa.
Inteligencia Artificial. La Revolución en la Gestión de Riesgos Laborales
Matriz de Probabilidad y de Impacto (Matriz de Riesgo)
La matriz de probabilidad y de impacto, también conocida como matriz de riesgo, sirve para identificar, calificar y evaluar los riesgos. Así, los más urgentes se abordan de manera prioritaria. En una tabla de Excel se establece la probabilidad, de 1 a 5, de que un riesgo se concrete. Una matriz de probabilidad y de impacto se utiliza para clasificar los riesgos, sus fuentes y tratamientos. La matriz sirve como medio para facilitar el análisis después de haber identificado los riesgos. A partir de la información documentada en la matriz, se diagnostica la situación de riesgo de una entidad. Una matriz de riesgos se diseña con el método Delphi. En primer lugar, se consulta a un grupo de expertos o especialistas acerca de aspectos relacionados con el contexto interno y externo del proyecto. La matriz se construye colocando los recursos amenazados (componentes) encabezando las filas y las amenazas encabezando las columnas.
Matriz en Excel o Software de Gestión de Riesgo: ¿Qué es mejor?
Esa seguramente sea la pregunta que se hacen muchos gestores de riesgo cuando empiezan a buscar herramientas útiles para automatizar el proceso. La principal ventaja de la matriz de riesgo o control es su facilidad de uso. Puede ser manejada por cualquier miembro de la organización que tenga un conocimiento básico de los criterios. Asimismo, otra gran ventaja de esa herramienta es su capacidad de clasificar y priorizar los riesgos en diferentes niveles. Sin embargo, como vimos, la matriz de riesgos en Excel tiene una gran cantidad de limitaciones, lo que impide tomar decisiones objetivas. Hay ciertas características que un buen software de riesgos debe tener para superar estas limitaciones.