Gestión de riesgos, una guía de aproximación para el empresario _ INCIBE.pdf
1. 19/9/22, 13:11 Gestión de riesgos, una guía de aproximación para el empresario | INCIBE
https://www.incibe.es/protege-tu-empresa/blog/gestion-riesgos-seguridad-informacion 1/10
Inicio (/) / Protege tu empresa (/protege-tu-empresa) / Blog (/protege-tu-empresa/blog) / Gestión
de riesgos, una guía de aproximación para el empresario
(https://www.facebook.com/sharer.php?u=https%3A//www.incibe.es/protege-tu-
empresa/blog/gestion-riesgos-seguridad-
informacion&t=Gesti%C3%B3n%20de%20riesgos%2C%20una%20gu%C3%ADa%20de%20aproximaci
%C3%B3n%20para%20el%20empresario)
(https://www.linkedin.com/shareArticle?mini=true&url=https%3A//www.incibe.es/protege-tu-
empresa/blog/gestion-riesgos-seguridad-
informacion&title=Gesti%C3%B3n%20de%20riesgos%2C%20una%20gu%C3%ADa%20de%20aproxim
aci%C3%B3n%20para%20el%20empresario&summary=&source=INCIBE)
(https://twitter.com/share?url=https%3A//www.incibe.es/protege-tu-empresa/blog/gestion-
riesgos-seguridad-
informacion&via=INCIBE&related=&hashtags=&text=Gesti%C3%B3n%20de%20riesgos%2C%20una%
20gu%C3%ADa%20de%20aproximaci%C3%B3n%20para%20el%20empresario)
(https://web.whatsapp.com/send?
text=Gesti%C3%B3n%20de%20riesgos%2C%20una%20gu%C3%ADa%20de%20aproximaci%C3%B3n
%20para%20el%20empresario%20https%3A//www.incibe.es/protege-tu-empresa/blog/gestion-
riesgos-seguridad-informacion)
Gestión de riesgos, una guía de aproximación para el
empresario (/protege-tu-empresa/blog/gestion-riesgos-
seguridad-informacion)
Publicado el 06/07/2015, por INCIBE
Las cookies ya han sido configuradas
Ahora puede ocultar este mensaje o volver a configurar las cookies.
Ocultar Gestión de Cookies
2. 19/9/22, 13:11 Gestión de riesgos, una guía de aproximación para el empresario | INCIBE
https://www.incibe.es/protege-tu-empresa/blog/gestion-riesgos-seguridad-informacion 2/10
En medio de la batalla por mantener a flote el negocio, cuando te persiguen las llamadas y cumplen
los plazos, lo que menos necesitas es más preocupaciones. Encima de la mesa está ese asunto de la
ciberseguridad. Tienes poco tiempo. Necesitas sentarte una hora con alguien con experiencia que
resuelva tus dudas y del que tomar las ideas esenciales para abordarlo con éxito.
¿De verdad tengo que preocuparme de esos riesgos?
Es importante que reconozcas y aceptes que el crimen en el ciberespacio existe. Toda actividad que
mueve dinero tiene riesgos, en el mundo real y en el virtual. Los ciber-riesgos son una realidad, los
ataques a pymes van en aumento:
roban tu base de clientes con sus datos personales y además de un gran daño a tu imagen
puedes tener problemas legales
convierten tus equipos en zombies (/protege-tu-empresa/herramientas/servicio-antibotnet)al
servicio de actividades criminales desde el otro lado del mundo
te cifran la información de tu negocio parando tu actividad y pidiéndote un rescate, por poner
algunos ejemplos
Mira estos datos de los daños a empresas del año pasado.
Las cookies ya han sido configuradas
Ahora puede ocultar este mensaje o volver a configurar las cookies.
Ocultar Gestión de Cookies
3. 19/9/22, 13:11 Gestión de riesgos, una guía de aproximación para el empresario | INCIBE
https://www.incibe.es/protege-tu-empresa/blog/gestion-riesgos-seguridad-informacion 3/10
Y sí, aunque te resistas a creerlo, estos riesgos te afectan. Busca cinco minutos y prueba la
herramienta de autodiagnóstico (/protege-tu-empresa/conoces-tus-riesgos) con la que te harás una
idea de tu nivel de riesgo.
Bueno, entonces ¿qué es lo primero que debo hacer?
Tienes que proteger tus datos, los de tus clientes, tus transacciones, tu página web, tus servidores,
tus instalaciones, etc. Aún es pronto para conocer los detalles de todas las amenazas que acechan.
Lo que de verdad te interesa saber es cómo priorizar las decisiones para invertir en garantizar la
confidencialidad, integridad y disponibilidad de la información.
De momento has de comprender en qué invertirás esos euros necesarios para abordar la
ciberseguridad, cuánto te va a costar y qué vas a conseguir a cambio. En la práctica esto se hace con
un análisis de riesgos.
Y ¿qué debo saber para iniciar un análisis de riesgos?
Aunque haya muchas metodologías de gestión de riesgos (/protege-tu-empresa/que-te-
interesa/plan-director-seguridad) para seguridad de la información ninguna te va a dar una fórmula
mágica para aplicar a tu negocio. Lo intuías, ¿verdad? Tendrás que conocerlas y valorar cuál es la
mejor, la más apropiada o adoptar una mezcla de ellas adaptada a tu empresa.
La gestión de riesgos te guiará para responder a algunas preguntas:
¿qué puede pasar?, ¿cuándo y dónde? y ¿cómo y por qué?
¿cómo valorar las posibles consecuencias?
pérdidas financieras
costes de reparación o sustitución
interrupción del servicio
pérdida de reputación y confianza de los clientes
disminución del rendimiento
infracciones legales o ruptura de condiciones contractuales
pérdida de ventaja competitiva
daños personales
Las cookies ya han sido configuradas
Ahora puede ocultar este mensaje o volver a configurar las cookies.
Ocultar Gestión de Cookies
4. 19/9/22, 13:11 Gestión de riesgos, una guía de aproximación para el empresario | INCIBE
https://www.incibe.es/protege-tu-empresa/blog/gestion-riesgos-seguridad-informacion 4/10
¿qué puedo hacer con los riesgos?, ¿cómo priorizar las medidas a tomar?, ¿cuánto me va a costar?
y ¿qué recursos necesito?
Vamos al grano: ¿me conviene invertir en ciberseguridad?, ¿estoy obligado a ello?
Has dado en el quid de la cuestión: ¿hasta qué punto es rentable invertir en seguridad? Y derivada
de esta: ¿tengo que cumplir obligaciones legales o contractuales? El análisis de riesgos te ayudará a
comprender por qué vas a pagar, qué recursos tienes que emplear y qué vas a conseguir con ello, es
decir, cuáles serán las ventajas de aplicar medidas de seguridad.
Como ya conocerás tienes algunas obligaciones legales, sobre todo si tratas con datos personales, si
tienes una página web, si utilizas comercio electrónico, etc. También puede que hayas adquirido
obligaciones contractuales con tus proveedores o clientes. El análisis de riesgos te servirá para
revisar estas obligaciones.
Para saber si te conviene invertir en seguridad tendrás que elegir cuál es el nivel de tolerancia al
riesgo de tu empresa, es decir, qué riesgos asumes y cuáles no. Esto se hará en función de criterios
de coste-beneficio. Esta tabla ilustra cómo sería:
Pero ¿cómo sé qué medidas aplicar?
Para ayudarte a tomar las medidas apropiadas desde Incibe publicamos «Gestión de riesgos. Una
guía de aproximación para el empresario»
Las cookies ya han sido configuradas
Ahora puede ocultar este mensaje o volver a configurar las cookies.
Ocultar Gestión de Cookies
5. 19/9/22, 13:11 Gestión de riesgos, una guía de aproximación para el empresario | INCIBE
https://www.incibe.es/protege-tu-empresa/blog/gestion-riesgos-seguridad-informacion 5/10
(https://www.incibe.es/protege-tu-
empresa/guias/gestion-riesgos-guia-empresario)
La norma ISO 27001:2013 en su anexo A incluye una lista de objetivos de seguridad y medidas, que
aunque no es exhaustiva, es aplicable a la mayoría de empresas. A modo de resumen estas medidas
consisten en:
instalar productos o contratar servicios
establecer controles de seguridad
mejorar los procedimientos
cambiar el entorno
incluir métodos de detección temprana
implantar un plan de contingencia y continuidad
realizar formación y sensibilización
A modo de reflexión
Aunque duela reconocerlo «no hay rosas sin espinas». Como suele ocurrir en otros campos, en
general cuanto más «incómodo» es tomar medidas más crece la seguridad.
Por ejemplo, dejar que cada empleado ponga o no contraseñas en sus equipos es más «cómodo»
que implantar una política de contraseñas que les obligue a modificarlas con frecuencia, que sean
difíciles de averiguar, etc. Pero si no la implantamos estamos vendidos, cualquiera podrá entrar en
nuestros sistemas con poco esfuerzo. La «comodidad» puede ser arriesgada.
Por lo general también se cumple que cuando más «cómoda» resulta una actividad más
«obligaciones» tendremos si algo falla.
Las cookies ya han sido configuradas
Ahora puede ocultar este mensaje o volver a configurar las cookies.
Ocultar Gestión de Cookies
6. 19/9/22, 13:11 Gestión de riesgos, una guía de aproximación para el empresario | INCIBE
https://www.incibe.es/protege-tu-empresa/blog/gestion-riesgos-seguridad-informacion 6/10
Etiquetas:
Siguiendo con el ejemplo, es más «cómodo» dejar al libre albedrío de los usuarios el uso de las
contraseñas. Pero así cualquiera podrá entrar en nuestros sistemas, robarnos todo tipo de
información, incluso datos personales de clientes, dejarnos sin actividad y causarnos graves daños
derivados. Reparar estos daños y volver a la actividad será más costoso que implantar una política
de contraseñas.
De manera gráfica podemos representar el punto de equilibrio entre «comodidad» y «obligaciones».
Ese es el punto que buscamos con la gestión de riesgos.
Este punto no es estático. Las medidas que implantemos harán que se desplace. Si subcontratamos
la actividad que genera el riesgo tendremos menos «obligaciones» y más «comodidad». Dejaremos
de preocuparnos por esos riesgos, aunque habrá que estudiar qué compromisos se derivan de ello.
Si por el contrario aplicamos medidas la «comodidad» será menor y también las «obligaciones» que
tendremos si algo sucediera, pues disminuyen los riesgos o sus impactos. Como diría Aristóteles:
«en el término medio está la virtud».
Empresa (/protege-tu-empresa/blog/filtro/empresa)
Plan director (/protege-tu-empresa/blog/filtro/plan-director)
Políticas (/protege-tu-empresa/blog/filtro/politicas)
Artículos relacionados
› (/protege-tu-empresa/blog/gestion-riesgos-
seguridad-informacion?page=1)
Las cookies ya han sido configuradas
Ahora puede ocultar este mensaje o volver a configurar las cookies.
Ocultar Gestión de Cookies
7. 19/9/22, 13:11 Gestión de riesgos, una guía de aproximación para el empresario | INCIBE
https://www.incibe.es/protege-tu-empresa/blog/gestion-riesgos-seguridad-informacion 7/10
Elisa Vivancos (INCIBE)
(/autor/elisa-vivancos-incibe) |
06/09/2022
Los 10 vectores de ataque más
utilizados por los
ciberdelincuentes (/protege-tu-
empresa/blog/los-10-vectores-
ataque-mas-utilizados-los-
ciberdelincuentes)
Miriam Puente (INCIBE)
(/autor/miriam-puente-incibe) |
16/08/2022
Qué son los metadatos y cómo
eliminarlos (/protege-tu-
empresa/blog/son-los-
metadatos-y-eliminarlos)
Pablo Gracia Álvarez (INCIBE)
(/autor/pablo-gracia-alvarez-
incibe) | 02/08/2022
Historia real: SIM swapping, de
estar sin cobertura a estar sin
dinero en el banco (/protege-tu-
empresa/blog/historia-real-sim-
swapping-estar-cobertura-estar-
dinero-el-banco)
(/protege-tu-empresa/blog/los-
10-vectores-ataque-mas-
utilizados-los-ciberdelincuentes)
(/protege-tu-empresa/blog/son-
los-metadatos-y-eliminarlos)
(/protege-tu-
empresa/blog/historia-real-sim-
swapping-estar-cobertura-
estar-dinero-el-banco)
Las cookies ya han sido configuradas
Ahora puede ocultar este mensaje o volver a configurar las cookies.
Ocultar Gestión de Cookies
8. 19/9/22, 13:11 Gestión de riesgos, una guía de aproximación para el empresario | INCIBE
https://www.incibe.es/protege-tu-empresa/blog/gestion-riesgos-seguridad-informacion 8/10
(https://www.facebook.com/sharer.php?u=https%3A//www.incibe.es/protege-tu-
empresa/blog/gestion-riesgos-seguridad-
informacion&t=Gesti%C3%B3n%20de%20riesgos%2C%20una%20gu%C3%ADa%20de%20aproximac
i%C3%B3n%20para%20el%20empresario)
(https://www.linkedin.com/shareArticle?mini=true&url=https%3A//www.incibe.es/protege-tu-
empresa/blog/gestion-riesgos-seguridad-
informacion&title=Gesti%C3%B3n%20de%20riesgos%2C%20una%20gu%C3%ADa%20de%20aproxi
maci%C3%B3n%20para%20el%20empresario&summary=&source=INCIBE)
(https://twitter.com/share?url=https%3A//www.incibe.es/protege-tu-empresa/blog/gestion-
riesgos-seguridad-
informacion&via=INCIBE&related=&hashtags=&text=Gesti%C3%B3n%20de%20riesgos%2C%20una
%20gu%C3%ADa%20de%20aproximaci%C3%B3n%20para%20el%20empresario)
(https://web.whatsapp.com/send?
text=Gesti%C3%B3n%20de%20riesgos%2C%20una%20gu%C3%ADa%20de%20aproximaci%C3%B3n
%20para%20el%20empresario%20https%3A//www.incibe.es/protege-tu-empresa/blog/gestion-
riesgos-seguridad-informacion)
Ir atrás
Avisos de seguridad (/protege-tu-empresa/avisos-seguridad)
Blog (/protege-tu-empresa/blog)
Te Ayudamos (/protege-tu-empresa/te-ayudamos)
SECtoriza2 (/protege-tu-empresa/sectoriza2)
TemáTICas (/protege-tu-empresa/tematicas)
¿Qué te interesa? (/protege-tu-empresa/que-te-interesa)
Herramientas (/protege-tu-empresa/herramientas)
Formación (/protege-tu-empresa/formacion)
Guías (/protege-tu-empresa/guias)
Tu Ayuda en Ciberseguridad
¿Has tenido un incidente de ciberseguridad? Contáctanos. (https://www.incibe.es/linea-de-ayuda-en-
ciberseguridad)
¿Aplicas el RGPD?
¡Las claves para cumplirlo y conseguir más confianza en tu negocio! (https://www.incibe.es/protege-tu-
empresa/rgpd-para-pymes)
¡A la carta!
¿Sabes cómo se protegen las empresas de tu sector? (https://itinerarios.incibe.es/)
Las cookies ya han sido configuradas
Ahora puede ocultar este mensaje o volver a configurar las cookies.
Ocultar Gestión de Cookies
9. 19/9/22, 13:11 Gestión de riesgos, una guía de aproximación para el empresario | INCIBE
https://www.incibe.es/protege-tu-empresa/blog/gestion-riesgos-seguridad-informacion 9/10
(https://www.incibe.es/)
(https://www.incibe-
cert.es/)
(https://www.incibe.es/protege-tu-empresa) (https://www.osi.es/es)
(https://www.is4k.es/) (https://cybercamp.es/)
NIPO: 094-20-021-3
Síguenos en: (https://twitter.com/protegeempresa)
(https://www.linkedin.com/company/11487533/)
(https://www.facebook.com/protegetuempresa/)
(https://www.pinterest.es/protegetuempresa/)
(https://europa.eu/next-generation-eu/index_es)
(http://www.mineco.gob.es/)
(https://planderecuperacion.gob.es/) (https://espanadigital.gob.es/)
(/sites/default/files/certificado_ens_25102021.pdf)
(/sites/default/files/certificado_sgsi_26102021.pdf)
(/sites/default/files/certificado_sgc_08112021.pdf)
Contacto (/contacto)
Transparencia (/transparencia)
Perfil del contratante (/perfil-contratante-y-transparencia)
Empleo (/empleo)
Política de cookies (/politica-cookies)
Política de Protección de Datos Personales (/proteccion-datos-personales)
Aviso legal (/aviso-legal)
Declaración de accesibilidad (/declaracion-de-accesibilidad)
Configurar cookies (/)
Las cookies ya han sido configuradas
Ahora puede ocultar este mensaje o volver a configurar las cookies.
Ocultar Gestión de Cookies
10. 19/9/22, 13:11 Gestión de riesgos, una guía de aproximación para el empresario | INCIBE
https://www.incibe.es/protege-tu-empresa/blog/gestion-riesgos-seguridad-informacion 10/10