Anlisis de riesgos

Para empezar, debemos tener claro los conceptos bsicos en relacin con el
anlisis de riesgos, uno de ellos es definir riesgo, que es una estimacin del
grado de exposicin de una amenaza sobre uno o ms activos causando daos
o perjuicios a la Organizacin. As es como podemos saber la diferencia entre
un riesgo y una amenaza, ya que el riesgo indica lo que le podra pasar a los
activos si no se protegieran adecuadamente y las amenazas son eventos que
pueden producir daos materiales o inmateriales en los activos. Las amenazas
son cosas que ocurren. Y, de todo lo que puede ocurrir, interesa lo que puede
pasarle a nuestros activos y causar un dao.
Entre las amenazas existen desde las
amenazas naturales (terremotos,
inundaciones, etc.) y desastres industriales o servicios (contaminacin, fallos
elctricos, etc.) ante los cuales el sistema de informacin es vctima, hasta las
amenazas causadas por las personas, bien errores o
bien ataques
intencionados.
Es por ello que existen las polticas de seguridad que son las prcticas,
procedimientos o mecanismos que ayudan a reducir el riesgo. Teniendo
entendido lo anterior podemos definir el anlisis de riesgo como un paso
importante para implementar la seguridad de la informacin. Como su nombre
lo indica, un proceso realizado para detectar los riesgos a los cuales estn
sometidos los activos de una organizacin, es decir, para saber cul es la
probabilidad de que las amenazas se concrete y mitigar ese riesgo con la
implementacin de polticas de seguridad. Gracias a este anlisis de riesgos
conoceremos el impacto econmico de un fallo de seguridad y la probabilidad
realista de que este ocurra.
Algunas fuentes de riesgo e incertidumbre en proyectos en cuestin econmica
son: la inexactitud de los flujos de efectivo del proyecto, el presupuesto, tipo de
negocio y estado futuro de la economa; en cuanto a aspectos humanos
tenemos el manejo del cronograma, suposiciones generales, el entorno del
proyecto y la longitud del periodo de estudio; por otro lado en la parte tangible
tenemos el tipo de planta fsica y el equipo implicado. Es as como podemos
clasificar los riesgos en riesgos tcnicos/de calidad o ejecucin, riesgos de
gestin del proyecto, riesgos de la organizacin y por ltimo los riesgos
externos.
En el anlisis de riesgos atravesamos por cinco etapas, en la primer etapa que
es la planeacin, donde definimos los objetivos del proceso de anlisis de
riesgos, el personal tcnico que recabara la informacin y establecer las
medidas necesarias para cumplir el anlisis, quienes sern los usuarios que
nos proporcionaran esta informacin, los recursos econmicos para la
ejecucin y el tiempo estimado para realizar el anlisis y elaborar las polticas.

Despus de la planeacin vamos a identificar los activos, los activos son los
recursos del sistema de informacin o relacionados con ste, necesarios para
que la Organizacin/Proyecto funcione correctamente y alcance los objetivos
propuestos por su direccin. Quizs la mejor aproximacin para identificar los
activos sea preguntar directamente: Qu activos son fundamentales para que
la organizacin/proyecto consiga sus objetivos?, Hay ms activos que se
tengan que proteger por obligacin?, Hay activos relacionados con los
anteriores?
La Identificacin de las amenazas que acechan a los distintos componentes
pertenecientes o relacionados con el sistema de informacin (conocidos como
activos) es importante y forma la tercera etapa del anlisis de riesgos. La
plantilla que se llena en este etapa debe incluir tipo de amenaza, tipo de
activo, dimensin y descripcin. Las dimensiones se utilizan para valorar las
consecuencias de la materializacin de una amenaza. La valoracin que recibe
un activo en una cierta dimensin es la medida del perjuicio para la
organizacin si el activo se ve daado en dicha dimensin.
Y como penltima etapa tenemos la estimacin del riesgo, tomando en cuenta
la dimensin en la que se ve afectado un activo, podemos describir el riesgo y
el valor que tiene para la organizacin la prdida de un activo. La valoracin
de un riesgo es la escala basada en algunos criterios que evalen
cualitativamente el impacto de un riesgo sobre la organizacin.
Y por ltimo la determinacin de polticas de seguridad en donde se desarrollan
opciones y acciones para mejorar las oportunidades y reducir las amenazas a
los objetivos del proyecto. Lo anterior tiene como objetivo minimizar los
impactos del riesgo en el proyecto y maximizar los resultados de eventos
favorables al proyecto.
Se debe recalcar que es necesario realizar un seguimiento a estas polticas de
seguridad, adems de supervisar los riesgos residuales, identificar nuevos
riesgos, ejecutar planes de respuesta a los riesgos y evaluar su efectividad a lo
largo del ciclo de vida del proyecto. Es un proceso continuo durante todo el
ciclo del proyecto.
Como parte del Sistema de Gestin de Seguridad de la Informacin, es
necesario hacer una adecuada gestin de riesgos que le permita saber cules
son las principales vulnerabilidades de los activos de informacin y cules son
las amenazas que podran explotar las vulnerabilidades. En la medida que la en
un proyecto o empresa tenga clara esta identificacin de riesgos podr
establecer las medidas preventivas y correctivas viables que garanticen
mayores niveles de seguridad en su informacin.
La importancia del anlisis de riesgo, radica en que es una herramienta para
justificar la inversin y orientar los recursos de manera costo-beneficiosa para

la empresa/proyecto. Se exhorta a que en la materia de gestin de proyectos

podamos realizar un correcto anlisis de riesgos y poder implementar las
polticas de seguridad y/o plan de contingencia para lograr nuestros objetivos.