Guía de evaluación de riesgos de TI

La evaluación de riesgo identifica situaciones que podrían tener un impacto negativo en los procesos críticos, e intenta cuantificar su gravedad y probabilidad.

En la planeación de recuperación de desastres, una vez que se ha completado el análisis de impacto al negocio (BIA), el siguiente paso es realizar una evaluación de riesgo. El BIA ayuda a identificar los procesos de negocios más críticos, y describe el impacto potencial que tendría una interrupción de esos procesos; y una evaluación de riesgo identifica situaciones internas y externas que podrían tener un impacto negativo en los procesos críticos. También intenta cuantificar la potencial gravedad de tales eventos, y la probabilidad de que ocurran.

En esta guía de evaluación de riesgo para tecnologías de la información (TI), orientada a la planeación de recuperación de desastres, podrá aprender cómo empezar con una evaluación de riesgo, cómo prepararla, y cuáles son los peligros naturales y los peligros creados por el hombre, en el proceso de evaluación de riesgos. Lea nuestra guía, y luego descargue nuestra plantilla gratuita de evaluación de riesgos.

Tabla de contenidos: Guía de evaluación de riesgo de TI

Primeros pasos de una evaluación de riesgo

Preparar el análisis de riesgo

Peligros naturales versus peligros creados por el hombre

Agrupación de impactos en una evaluación de riesgo

El proceso de evaluación de riesgo

Primeros pasos de una evaluación de riesgo 

La evaluación de riesgo debe ser capaz de ayudarle a identificar eventos que podrían afectar negativamente a su organización. Eso incluye los daños potenciales que podrían causar tales eventos, la cantidad de tiempo necesaria para recuperar/restaurar las operaciones, y las medidas preventivas o controles que deben mitigar las probabilidades de que esos eventos ocurran. La evaluación de riesgo también le ayudará a determinar qué pasos –si se implementan adecuadamente– podrían reducir la gravedad del evento.

Para comenzar con la evaluación de riesgo, empiece identificando los procesos de negocios más críticos que aparecieron en el análisis de impacto al negocio. Para información de amenazas, hay disponibles muchas fuentes, tales como:

  • Registros de la compañía sobre eventos perjudiciales.

  • Registros de medios locales y nacionales.

  • Bibliotecas locales.

  • Organizaciones de primera respuesta (ante incidentes).

  • Datos históricos del Servicio Meteorológico Nacional.

  • Mapas geológicos.

  • La experiencia de organizaciones de los accionistas clave.

  • La experiencia de proveedores que hacen negocios con la firma.

  • Agencias gubernamentales.

Estas fuentes pueden ayudarle a determinar la probabilidad de que ocurran ciertos eventos, así como la gravedad de los eventos actuales. Por ejemplo, puede ser posible descartar cierto tipo de eventos, como terremotos, si los mapas geológicos indican que la región no está dentro o cerca de una zona de terremotos.

Un excelente documento que puede asistirlo al preparar una evaluación de riesgo viene del Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés). El documento es la Guía para realizar evaluaciones de riesgo, y puede servirle como referencia.

Preparar el análisis de riesgos 

El análisis de riesgos implica la identificación de los mismos, la evaluación de la probabilidad de que el evento ocurra, y la definición de la gravedad de las consecuencias de ese evento. También podría ser útil realizar una evaluación de vulnerabilidad, que ayuda a identificar situaciones en las cuales la organización podría ponerse en mayor riesgo al no llevar a cabo ciertas actividades. Un ejemplo podría ser el riesgo cada vez mayor que existe de ataques de virus si no se utiliza el antivirus más actual. Finalmente, los resultados del análisis de riego se resumen en un informe para la dirección, que incluye actividades recomendadas de mitigación. Podría ser útil buscar vulnerabilidades mientras se realiza el análisis de riesgo.

Una vez que se identifican los riesgos y las vulnerabilidades, se puede considerar cuatro tipos de respuesta defensiva:

  • Medidas de protección: Estas son actividades diseñadas para reducir las posibilidades de que ocurra un evento dañino; un ejemplo son las cámaras de seguridad, para identificar visitantes no autorizados y avisar a las autoridades antes de que puedan causar algún daño.

  • Medidas de mitigación: Estas actividades están diseñadas para minimizar la gravedad de un evento, una vez que ha ocurrido. Dos ejemplos son los supresores de sobretensiones, para reducir el impacto de la caída de un rayo, y los sistemas de energía ininterrumpida, que reducen las posibilidades de que los sistemas críticos dejen de funcionar abruptamente debido a un apagón o a un bajón de voltaje.

  • Actividades de recuperación: Estas actividades sirven para traer de vuelta sistemas e infraestructura dañados, hasta un nivel en el que puedan soportar las operaciones de negocios; un ejemplo son los datos críticos almacenados fuera de planta, que pueden ser utilizados para reiniciar las operaciones de negocios hasta un determinado punto en el tiempo.

  • Planes de contingencia: Estos documentos a nivel de procesos describen lo que puede hacer una organización a raíz de un evento que pueda dañarla; por lo general, se activan sobre la base de  la información del equipo de manejo de emergencias.

La secuencia en la cual se implementan estas medidas depende en gran medida de los resultados de la evaluación de riesgo. Una vez que se identifica una amenaza específica, y sus vulnerabilidades asociadas, se vuelve más fácil planear la estrategia defensiva más efectiva. Recuerde que los planes de contingencia deben hacer frente a los efectos, independientemente de las causas.

Peligros naturales versus peligros causados por el hombre 

Los desastres son combinaciones únicas de eventos y circunstancias. Las dos categorías primarias son: naturales, y causados por el hombre. Dentro de la categoría de causados por el hombre, podemos definir con mayor precisión los que tienen causas intencionales y los accidentales.

Los peligros naturales son considerados típicamente “Actos de Dios”, en los que no hay nadie a quien culpar.  Por el contrario, los eventos causados por el hombre son aquellos en los cuales uno o muchos individuos  pueden ser considerados responsables de contribuir con el o los eventos que causan el desastre. Esto podría ser por deliberación, negligencia o accidente. Para más detalles, vea el cuadro “Peligros naturales y peligros causados por el hombre”.

Peligros naturales y peligros causados por el hombre

Peligros naturales Peligros causados por el hombre (deliberados)   Peligros causados por el hombre (accidentales)   Peligros causados por el hombre (indirectos)

 Tormenta

 Allanamiento

 Error de operador

 Falla de energía

 Inundación

 Fraude

 Error de 
 programación de 
 software

 Falla de 
 telecomunicaciones

 Caída de rayos

 Incendio 
 provocado

 Explosión

 Daño por humo

 Tormenta de 
 nieve

 Huelga

 Incendio

 Inundación por los 
 bomberos

 Tormenta de 
 hielo

 Disturbios

 Retiro de extinguidor

 Hundimiento por 
 camino colapsado

 Granizo

 Vandalismo

 Fugas de agua

 Colapso de vía elevada

 Manchas 
 solares

 Daño por bomba

 Descarga del sistema 
 de supresión de 
 fuego

 

 Terremoto

 Amenaza de 
 bomba

 

 

 Tornado

 Terrorismo

 

 

 Huracán

 Situación de 
 rehenes

 

 

 Tsunami

 Robo

 

 

Agrupación de impactos en una evaluación de riesgo 

Una vez que se ha identificado los riesgos, querrá identificar los efectos potenciales, síntomas y consecuencias derivadas de ellos.

Efectos básicos

Hay cinco efectos básicos que pueden tener consecuencias desastrosas: la denegación de acceso, la pérdida de datos, la pérdida de personal, la pérdida de funciones y la falta de información.

Síntomas

Los síntomas percibidos podrían ser una pérdida (o suceder por falta de algo):

  • Accesso o disponibilidad.

  • Datos.

  • Confidencialidad.

  • Integridad de los datos.

  • Entorno.

  • Personal (pérdida temporal).

  • Función del sistema.

  • Control.

  • Comunicación.

Consecuencias

Los efectos secundarios o consecuencias pueden incluir:

  • Interrupción del flujo de caja.

  • Pérdida de imagen.

  • Daño a la marca.

  • Pérdida de participación de mercado.

  • Baja moral de los empleados.

  • Aumento en la rotación del personal.

  • Costos de reparación.

  • Costos de recuperación.

  • Cuotas de penalización.

  • Multas legales.

El proceso de evaluación de riesgo 

Las evaluaciones de riesgo generalmente toman una de dos formas: cuantitativa, que busca identificar los riesgos y cuantificarlos, basándose en una escala numérica, como 0.0 a 1.0 o de 1 a 10; y cualitativa, que está basada en obtener una impresión general sobre los riesgos para calificarlos. El proceso utiliza términos subjetivos como “bajo a medio”, “alto o pobre”, “bueno o excelente”, en lugar de valores numéricos.

Los métodos cuantitativos, que asignan un valor numérico al riesgo, usualmente requieren acceso a estadísticas confiables para proyectar probabilidades futuras. Como se mencionó antes, los métodos cualitativos a menudo incluyen medidas subjetivas como bajo, medio y alto. Sin embargo, algunas veces el enfoque cualitativo es más aceptable para la administración.

Típicamente, se utiliza una fórmula básica, Riesgo = Probabilidad x Impacto, para calcular un valor de riesgo. Por ejemplo, podemos usar una escala de 0.0 a 1.0, en la cual 0.0 significa que no es probable que la amenaza ocurra, y 1.0 significa que la amenaza ocurrirá absolutamente. El impacto 0.0 significa que no hay daño o interrupción para la organización, en tanto 1.0 puede significar que la compañía está completamente destruida y es incapaz de hacer negocios. Las cifras en medio pueden representar el resultado de un análisis estadístico de los datos de amenazas y las experiencia de la compañía. La plantilla de evaluación de riesgo que puede descargar aquí utiliza ese enfoque.

Utilizando el rango cuantitativo 0.0 a 1.0, puede decidir asignar términos cualitativos a los resultados, por ejemplo, de 0.0 a 0.4 = bajo riesgo, de 0.5 a 0.7 = riesgo moderado, y de 0.8 a 1.0 = alto riesgo.

Una vez que todos los riesgos relevantes han sido analizados y se les ha asignado una categoría cualitativa, puede examinar las estrategias para enfrentar solo los riesgos más altos, o puede abordar todas las categorías de riesgo. Esto dependerá del apetito de riesgo de la gerencia, que es su voluntad para hacer frente a los riesgos adecuadamente. Las estrategias que se definan para los riesgos pueden ser utilizadas para ayudar a diseñar estrategias de continuidad de negocios y recuperación de desastres.

Las evaluaciones de riesgos son actividades clave en un programa de continuidad de negocios o recuperación de desastres. El proceso puede ser relativamente simple, por ejemplo, si elige utilizar un enfoque cualitativo. Puede ser más riguroso si usa un enfoque cuantitativo, ya que es posible que desee fundamentar sus factores numéricos con datos estadísticos. Los resultados deben ser actualizados periódicamente para determinar si hubo algún cambio en los riesgos (como probabilidad e impacto). Independientemente de la metodología, los resultados se deben asignar a los procesos críticos de negocio,  identificados en el análisis de impacto al negocio, y pueden ayudar a definir estrategias para responder a los riesgos identificados. Esta plantilla gratuita para la evaluación de riesgos le ayudará a comenzar.

Sobre el autor: Paul Kirvan, CISA, CISSP, FBCI, CBCP, tiene más de 20 años de experiencia en la gestión de continuidad de negocios como consultor, autor y educador. También es secretario del Capítulo de Estados Unidos del Instituto para la Continuidad de Negocios (BCI).

Investigue más sobre Arquitectura de centros de datos