Identificación de los riesgos

En esta primera fase de la metodología se identifican de forma sistemática las posibles causas
concretas de los riesgos empresariales, así como los diversos y posibles efectos que debe se
deben afrontar.
Una correcta identificación de riesgos requiere un conocimiento detallado de la empresa, del
mercado en el que opera, del entorno legal, social, político y cultural que le rodea.
La identificación del riesgo debe ser sistemática y empezar por identificar los objetivos clave de
éxito y amenazas que puedan perturbar el logro de dichos objetivos.
Percepción del Riesgo:
La percepción del riesgo como amenaza es el sistema más utilizado para identificarlo. En este
contexto, gestionar el riesgo significa instalar sistemas de control que minimicen tanto la
probabilidad de que ocurran sucesos negativos como su severidad. Es un enfoque de naturaleza
defensiva, su propósito es asignar recursos para reducir la probabilidad de sufrir impactos
negativos.
Desde la percepción del riesgo como oportunidad, la gestión significa utilizar técnicas que
maximicen los resultados, limitando los posibles perjuicios o costos. El enfoque es de naturaleza
ofensiva.
La gestión del riesgo desde la perspectiva del riesgo como incertidumbre se dirige a minimizar
la desviación entre los resultados que el emprendedor desea obtener y los que realmente
obtiene.
Fuentes para identificar los riesgos.
Fuentes de riesgo son todos aquellos ámbitos de la empresa, internos o externos, que pueden
generar amenazas de pérdidas o impedimentos para alcanzar los objetivos.
Un procedimiento que facilita la identificación de los riesgos es el preguntarse, para cada una
de las fuentes, si existen debilidades o amenazas en cada una de las fuentes.
Algunas de las fuentes pueden ser:
La presión de la competencia, los empleados, los clientes, las nuevas tecnologías, los cambios
del entorno, leyes y regulaciones, la globalización, las operaciones, los proveedores.
La identificación del riesgo debe ser sistemática y debe comenzar por definir los objetivos del
emprendedor, analizar los factores que son clave en su negocio para alcanzar el éxito y revisar
cuales son las debilidades del proyecto y las amenazas a las que se enfrenta.
Otros métodos para identificar los riesgos:
Análisis de procesos: facilitaran la identificación del riesgo operativo.
Brainstorming: un grupo de empleados expone sus ideas o sensaciones de riesgo.
Entrevistas: un especialista en riesgos empresarial prepara entrevistas con diferentes
responsables de la empresa para extraer sus preocupaciones.
Talleres de trabajo: reunión de grupo de empleados para identificar los riesgos y evaluar su
posible impacto en la empresa, dentro de un clima confortable.
Comparación con otras organizaciones: el benchmarking, es la técnica empleada para
compararse con los competidores.
Cuestionarios: enfocados a detectar las preocupaciones del personal empleado sobre riesgos y
amenazas que ellos perciben en su entorno operativo.
Clasificación de riesgos:
El objetivo de la clasificación de riesgos s mostrar los riegos identificados de una forma
estructurada, por ejemplo, en función de su procedencia.
SECTOR: Riesgo de que factores externos e independientes de la gestión del emprendedor
puedan influir directa o indirectamente de manera significativa en el logro de sus objetivos y
estrategias.
OPERATIVOS: Los riesgos operativos están relacionados con la habilidad del emprendedor para
convertir la estrategia elegida en planes concretos, mediante la asignación eficaz de recursos.
TECNOLOGÍA: Mide cual es la exposición del emprendedor a los riesgos tecnológicos derivados
de la necesidad de acometer fuertes inversiones para asegurar la viabilidad de su proyecto
empresarial en un plazo determinado de tiempo o la necesidad de formar a sus empleados en
el uso de la tecnología.
COMPETIDORES: El tamaño, la capacidad financiera y operativa de los agentes de un sector
determinan el grado de rivalidad de este y establecen las reglas de juego que cualquier nuevo
agente tiene que considerar para operar en ese mercado, esto puede suponer riesgos para el
emprendedor.
PROVEEDORES: El papel que jueguen los proveedores en el sector podría generar riesgos para
el emprendedor debido a las variaciones en el precio de las materias primas, a disponer de
variedad en la oferta y durante un periodo de tiempo continuo, así como su grado de
concentración que determinará la forma de pago tradicionalmente aceptada en el sector.
CLIENTES: Los clientes podrían ser un foco de riesgo crucial para el emprendedor puesto que
son los generadores de ingresos, el riesgo puede proceder de cambios en sus gustos y
necesidades, de generar presiones a la baja en los precios o de dilatar el periodo de pago entre
otros, de modo que la propuesta del valor del emprendedor ha de estar siempre orientada al
cliente.
FINANCIERO: El riesgo financiero hace referencia a la incertidumbre asociada a la gestión
efectiva y al control de las finanzas que lleve a cabo el emprendedor, así como a los efectos de
factores externos como la disponibilidad de crédito, tipos de cambio, movimientos de los tipos
de interés, etc.
Refiriéndonos a la ISO 27001.
Las empresas se enfrentan a muchos riesgos e inseguridades procedentes de diferentes focos.
Esto quiere decir que los activos de información de las empresas, uno de sus valores más
importantes, se encuentran ligados o asociados a riesgos y amenazas que explotan una amplia
tipología de vulnerabilidades.
La seguridad de estos activos de información está en función de la correcta gestión de una serie
de factores como: la capacidad, la elaboración de un plan de contingencia frente a los incidentes,
el análisis de riesgos, las competencias, el grado de involucración de la Dirección, las inversiones
en seguridad y el grado de implementación de controles.

2- Las Tecnologías de la Información y las Comunicaciones, son una excelente herramienta de

gestión empresarial, que ayuda positivamente para el desarrollo y viabilidad de las
organizaciones, agregan valor a las actividades operacionales y de gestión empresarial en
general y permite a las empresas obtener ventajas competitivas, permanecer en el mercado y
centrarse en su negocio.
Las tecnologías de información y las comunicaciones son una parte de las tecnologías
emergentes que hacen referencia a la utilización de medios informáticos para almacenar,
procesar y difundir todo tipo de información en las distintas unidades o departamentos de
cualquier organización. Al ser utilizadas eficientemente se pueden obtener ventajas
competitivas, pero es preciso encontrar procedimientos acertados para mantener tales ventajas
como una constante, así como disponer de cursos y recursos alternativos de acción para
adaptarlas a las necesidades del momento, pues las ventajas no siempre son permanentes.
Sin embargo, el implementar un sistema de información no garantiza que ésta obtenga
resultados de manera automática o a largo plazo.
En su implementación intervienen muchos factores, siendo uno de los principales el factor
humano. Es previsible que ante una situación de cambio el personal se muestre renuente a
adoptar los nuevos procedimientos o que los desarrolle plenamente y de acuerdo con los
lineamientos que se establecieron.
Por esta razón es necesario hacer una planeación estratégica tomando en cuenta las
necesidades presentes y futuras de la empresa. Así como una investigación preliminar y estudio
de factibilidad del proyecto que se desea.
Las Tecnologías de la Información y la Comunicación son esenciales para mejorar la
productividad de las empresas, la calidad, el control y facilitar la comunicación, entre otros
beneficios, aunque su aplicación debe llevarse a cabo de forma inteligente.
El hecho de introducir tecnología en los procesos empresariales no es garantía de gozar de sus
ventajas. Para que la implementación de nueva tecnología produzca efectos positivos hay que
cumplir varios requisitos: tener un conocimiento profundo de los procesos de la empresa,
planificar detalladamente las necesidades de tecnología de la información e incorporar los
sistemas tecnológicos paulatinamente, empezando por los más básicos.
Antes de añadir un componente tecnológico, hay que conocer bien la organización y/o empresa.
Ya que el fracaso que pueda existir no es debido al software ni a los sistemas, sino al hecho de
que la gente no tiene suficientes conocimientos sobre su propia empresa o sus procesos
empresariales.
Otro aspecto importante a considerar es que las empresas que tienen una gran capacidad de
beneficiarse de la tecnología son organizaciones que, antes de añadir un componente
tecnológico, describen detalladamente cuál será la repercusión para su empresa.
Las Tecnologías de la Información y la Comunicación han transformado nuestra manera de
trabajar y gestionar recursos, son un elemento clave para hacer que nuestro trabajo sea más
productivo: agilizando las comunicaciones, sustentando el trabajo en equipo, gestionando las
existencias, realizando análisis financieros, y promocionando nuestros productos en el mercado.
El buen uso de estas permite a las empresas producir más cantidad, más rápido, de mejor
calidad, y en menos tiempo y le ayudan a la competitividad.
3- La norma ISO 27001 es una solución de mejora continua en base a la cual puede desarrollarse
un Sistema de Gestión de Seguridad de la Información (SGSI) que permita evaluar todo tipo de
riesgos o amenazas susceptibles de poner en peligro la información de una organización tanto
propia como datos de terceros.
Por otro lado, también permite establecer los controles y estrategias más adecuadas para
eliminar o minimizar dichos peligros.
Como ocurre con todas las normas ISO, la 27001 es un sistema basado en enfoque basado en
el ciclo de mejora continua. Dicho ciclo consiste, en Planificar-Hacer-Verificar-Actuar, por lo que
se le conoce también como ciclo PDCA.
En base a este sistema PDCA, la norma ISO 27001 establece las siguientes fases para elaborar un
SGSI
Análisis y evaluación de riesgos, Implementación de controles, Definición de un plan de
tratamiento de los riesgos o esquema de mejora, Alcance de la gestión, Contexto de
organización, Partes interesadas, Fijación y medición de objetivos, Proceso documental,
Auditorías internas y externas.
El propósito de un sistema de gestión de la seguridad de la información es, por tanto,
garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos,
gestionados y minimizados por la organización de una forma documentada, sistemática y
estructurada.
Un SGSI basado en la norma ISO 27001 se fundamenta principalmente en la identificación y
análisis de las principales amenazas para, a partir de este punto de partida, poder establecer
una evaluación y planificación de dichos riesgos.
Una amenaza se puede definir como cualquier evento que puede afectar los activos de
información y se relaciona, principalmente, con recursos humanos, eventos naturales o fallas
técnicas.
Un correcto proceso de identificación de riesgos implica:
Identificar todos aquellos activos de información que tienen algún valor para la organización,
asociar las amenazas relevantes con los activos identificados, determinar las vulnerabilidades
que puedan ser aprovechadas por dichas amenazas, identificar el impacto que podría suponer
una pérdida de confidencialidad, integridad y disponibilidad para cada activo.
Se debe analizar el impacto en el negocio de un fallo de seguridad que suponga la pérdida de
confidencialidad, integridad o disponibilidad de un activo de información, evaluando de forma
realista la probabilidad de ocurrencia de un fallo de seguridad con relación a las amenazas,
vulnerabilidades e impactos en los activos.
Además de riesgo en sí, es necesario analizar también sus consecuencias potenciales, que son
muchas y de distinta gravedad: desde una simple dispersión de la información a la pérdida o
robo de datos relevantes o confidenciales.
Con el objetivo de que cada riesgo identificado previamente quede cubierto y pueda ser
auditable, la norma ISO 27001 establece en su última versión: ISO/IEC 27001:2013 hasta 113
puntos de control (en la versión anterior del 2005 eran 133).
Los 113 controles están divididos por grandes objetivos:
Políticas de seguridad de la información y Controles operacionales.
Cada empresa, según su parecer, puede añadir más puntos de control si lo considera
conveniente, así como personalizarlos para adaptarlos a su propio Plan de Control Operacional,
pero siempre deben estar alineados a lo que pide la norma.
Una vez realizado el análisis, se debe definir un plan de tratamiento o esquema de mejora, en el
que se tengan en cuenta las distintas consecuencias potenciales de esos riesgos, estableciendo
una criticidad para cada uno de ellos y así poder evaluar con objetividad las diferentes amenazas.
Una empresa puede afrontar el riesgo básicamente de tres formas diferentes: eliminarlo,
mitigarlo o trasladarlo.
En cualquier caso, a la hora de elegir una u otra opción la empresa debe mantener el equilibrio
entre el costo que tiene una actividad de control, la importancia del activo de la información
para los procesos de la empresa y el nivel de criticidad del riesgo.
A cada punto de control se le debe asociar un rango o factor determinado.
La empresa debe decidir qué tipo de rango necesita para cada control con el fin de asegurar la
seguridad de la información, teniendo en cuenta que los controles de carácter preventivo son
más eficaces que los correctivos.
Todos estos controles siguen un ciclo de mejora continua vinculado al plan de tratamiento de
riesgos y asociados a la evaluación de los mismos para el cálculo del riesgo residual, que es el
riesgo bruto mitigado por los controles.
Mediante el proceso de mejora continua es posible comprobar la eficacia de los controles o si
es necesario cambiar de rango o factor de seguridad, realizando las modificaciones que sean
necesarias.
Los controles están incluidos en el anexo A de la norma ISO 27001 y su nivel de detalle y
especificidad los diferencian de los existentes en otras normas, que tienen un carácter más
generalista y transversal.
El concepto de control en esta norma se debe considerar como un conjunto de medidas,
acciones y/o documentos que permiten cubrir o auditar ciertos riesgos.

4- La ISO 27001 es certificable y la ISO 27002 no lo es. La ISO 27002 no es certificable debido a
que no contiene requisitos, es decir, en su contenido no contiene exigencias que toda
organización que quiera certificarla debería cumplir. Esto requisitos si están presentes en la ISO
27001.
La norma ISO 27001. Esta normativa es muy clave dentro del contexto referido ya que, es una
norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos
y de la información, así como de los sistemas que la procesan. Esta toma como base todos los
riesgos a los que se enfrenta una determinada organización en su día a día, teniendo como
objetivo principal establecer, implantar, mantener y mejorar de forma continua la seguridad de
la información de la organización.
En el caso de la ISO 27002, la cual establece una guía de buenas prácticas que determina, desde
la experiencia, una serie de objetivos de control y controles que se integran dentro de todos los
requisitos de la norma ISO 27001 en relación con el tratamiento de los riesgos.
Como mencionábamos anteriormente, ISO 27002 es simplemente una guía de buenas prácticas
de cara a implementar los requisitos de la ISO 27001. De hecho, su contenido es una guía de
implementación de los controles que recoge el anexo A de la ISO 27001. Por tanto, hay que
señalar que ISO 27002 no se implanta. Eso sí, habrá que tener en cuenta que si no se establecen
los controles que se van a implementar (que no tienen por qué ser todos) no habrá buenas
prácticas que llevar a cabo.
En resumidas cuentas, se podría decir que ISO 27001 es el ¿Qué? e ISO 27002 es el ¿Cómo?
Los objetivos de cada una son:
-ISO 27001 indicará que tienes que cumplir con los requisitos “A” y “B” para llevar a cabo el
control de un determinado activo de la información de la organización.
-Por su parte ISO 27002 señalará que debes hacer en la práctica para poder cumplir con los
requerimientos “A” y “B” que indica la ISO 27001 para este punto.
Una vez aclarado esto, se hace más sencillo entender la importancia de la norma ISO 27001
como Sistema de Gestión de Seguridad de la Información. Sin embargo, será igual de importante
el papel que ocupa dentro de todos los requisitos de la norma ISO 27002 como guía de buenas
prácticas para implantar controles y que garantizarán la seguridad de la información gracias a
sus recomendaciones.
No cabe ninguna duda de que sin un buen análisis de las causas que afectan a la seguridad de la
información de una organización, será imposible establecer buenos controles que ayuden a
gestionar los activos a controlar, así como los requisitos para obtener la certificación en ISO
27001.
A la hora de establecer los controles será recomendable comenzar por el contexto, las partes
interesadas para pasar posteriormente a ver el alcance y la definición de los procesos del
negocio, así como los de seguridad de la información.