Sigue el camino del análisis de riesgos _ INCIBE.pdf
1. 19/9/22, 13:08 Sigue el camino del análisis de riesgos | INCIBE
https://www.incibe.es/protege-tu-empresa/blog/sigue-camino-analisis-riesgos 1/7
Inicio (/) / Protege tu empresa (/protege-tu-empresa) / Blog (/protege-tu-empresa/blog) / Sigue el
camino del análisis de riesgos
(https://www.facebook.com/sharer.php?u=https%3A//www.incibe.es/protege-tu-
empresa/blog/sigue-camino-analisis-
riesgos&t=Sigue%20el%20camino%20del%20an%C3%A1lisis%20de%20riesgos)
(https://www.linkedin.com/shareArticle?mini=true&url=https%3A//www.incibe.es/protege-tu-
empresa/blog/sigue-camino-analisis-
riesgos&title=Sigue%20el%20camino%20del%20an%C3%A1lisis%20de%20riesgos&summary=&sourc
e=INCIBE)
(https://twitter.com/share?url=https%3A//www.incibe.es/protege-tu-empresa/blog/sigue-
camino-analisis-
riesgos&via=INCIBE&related=&hashtags=&text=Sigue%20el%20camino%20del%20an%C3%A1lisis%2
0de%20riesgos)
(https://web.whatsapp.com/send?
text=Sigue%20el%20camino%20del%20an%C3%A1lisis%20de%20riesgos%20https%3A//www.incibe.
es/protege-tu-empresa/blog/sigue-camino-analisis-riesgos)
Sigue el camino del análisis de riesgos (/protege-tu-
empresa/blog/sigue-camino-analisis-riesgos)
Publicado el 04/09/2014, por INCIBE
2. 19/9/22, 13:08 Sigue el camino del análisis de riesgos | INCIBE
https://www.incibe.es/protege-tu-empresa/blog/sigue-camino-analisis-riesgos 2/7
En la actualidad nuestras organizaciones tienen una gran dependencia de sus sistemas de
información. Proteger estos sistemas implica que destinemos una serie de recursos para implantar
las medidas de seguridad adecuadas. La mejor manera de destinar estos recursos de un modo
adecuado es identificar los principales riesgos a los que están expuestos nuestros sistemas de
información. ¿Cómo? A través de un análisis de riesgos.
Podemos entender el análisis de riesgos como un estudio que deberemos hacer nosotros mismos o
un tercero, con el fin de identificar los activos críticos de los sistemas de información que dan
soporte a los procesos de negocio de nuestra organización y las amenazas que puede comprometer
su disponibilidad, integridad o confidencialidad.
De este modo realizar una análisis de riesgos requiere llevar a cabo una serie de etapas que nos
permitan obtener una imagen rigurosa de los riesgos a los que se encuentra expuesta nuestra
organización. Estas etapas quedan descritas a continuación:
1. Identificación de activos: En esta etapa se identifican los recursos del sistema de información
que son necesarios para que los procesos de negocio de nuestra organización funcionen
correctamente. Dentro de estos activos podemos encontrar servidores, aplicaciones,
proveedores, personal, instalaciones, etc.
2. Evaluación de activos: En esta etapa deberemos otorgar un valor cualitativo o cuantitativo a los
activos o a los procesos de negocio (si previamente hemos establecido relaciones entre ellos).
Esta valoración puede realizarse teniendo en cuenta aspectos como la disponibilidad, la
confidencialidad o la integridad. Preguntas como ¿Cuál es la importancia de que este servidor
esté funcionando? o ¿Cómo de importante es mantener la confidencialidad de determinada
información?
3. Identificación de amenazas: En esta etapa deberemos identificar que amenazas pueden
comprometer nuestros activos. Amenazas como avería de origen físico, fugas de información,
incendio o robo de equipos serviría como ejemplos de amenazas.
4. Evaluación de amenazas: En esta etapa se deberán identificar la probabilidad y el impacto de
que una amenaza afecte a un activo. Sirva de ejemplo la probabilidad de avería física de un
servidor podría ser de 1 vez al año, causando un impacto total a la disponibilidad del servidor.
Evaluadas las amenazas obtendremos el riesgo intrínseco existente en nuestros sistemas de
información, es decir el riesgo al que estamos expuestos sin tener en cuenta las medidas de
seguridad existentes.
5. Identificación de medidas de seguridad existentes: Para obtener el riesgo real deberemos
tener en cuenta las medidas de seguridad que ya existen en nuestra organización. Estas medidas
disminuirán la probabilidad o el impacto de determinadas amenazas, lo que redundará en un
riesgo menor.
6. Evaluación de riesgos: Tras evaluar identificar las medidas de seguridad, obtendremos los
riesgos reales a los que en el momento del análisis de riesgos estamos expuestos. Es lo que se
conoce como riesgo residual.
El análisis de riesgos es importante porque nos permite identificar los principales riesgos existentes
en nuestra organización. Una vez los hayamos identificado y analizado debemos centrarnos en la
gestión de esos riesgos y para ello, es imprescindible definir el umbral que determinará qué riesgos
los consideramos asumibles y cuáles no. Es lo que se conoce como apetito por el riesgo. A partir de
aquí deberemos definir un plan de tratamiento de riesgos que recoja qué acciones vamos a realizar
para controlar estos riesgos identificados durante el análisis.
A continuación en nuestra infografía, os mostraremos de forma gráfica las etapas de las que se
compone un análisis de riesgo.
3. 19/9/22, 13:08 Sigue el camino del análisis de riesgos | INCIBE
https://www.incibe.es/protege-tu-empresa/blog/sigue-camino-analisis-riesgos 3/7
Etiquetas:
Infografía sigue el camino del analisis de riesgos Identificación de activos: En esta etapa se
identificación los recursos del sistema de información que son necesarios para que los procesos de
negocio de nuestra organización funcionen correctamente. Dentro de estos activos podemos
encontrar servidores, aplicaciones, proveedores, personal, instalaciones, etc. Evaluación de activos:
En esta etapa deberemos otorgar un valor cualitativo o cuantitativo a los activos o a los procesos de
negocio (si previamente hemos establecido relaciones entre ellos). Esta valoración puede realizarse
teniendo en cuenta aspectos como la disponibilidad, la confidencialidad o la integridad. Preguntas
como ¿Cuál es la importancia de que este servidor esté funcionando? O ¿Cómo de importante es
mantener la confidencialidad de determinada información? Identificación de amenazas: En esta
etapa deberemos identificar que amenazas pueden comprometer nuestros activos. Amenazas como
avería de origen físico, fugas de información, incendio o robo de equipos serviría como ejemplos de
amenazas. Evaluación de amenazas: En esta etapa se deberán identificar la probabilidad y el
impacto de que una amenaza afecte a un activo. Sirva de ejemplo la probabilidad de avería física de
un servidor podría ser de 1 vez al año, causando un impacto total a la disponibilidad del servidor.
Evaluadas las amenazas obtendremos el riesgo intrínseco existente en nuestros sistemas de
información, es decir el riesgo al que estamos expuestos sin tener en cuenta las medidas de
seguridad existentes. Identificación de medidas de seguridad existentes: Para obtener el riesgo real
deberemos tener en cuenta las medidas de seguridad que ya existen en nuestra organización. Estas
medidas disminuirán la probabilidad o el impacto de determinada amenazas, lo que redundará en
un riesgo menor.
Buenas prácticas (/protege-tu-empresa/blog/filtro/buenas-practicas)
Empresa (/protege-tu-empresa/blog/filtro/empresa)
Infografía (/protege-tu-empresa/blog/filtro/infografia)
Plan director (/protege-tu-empresa/blog/filtro/plan-director)
Políticas (/protege-tu-empresa/blog/filtro/politicas)
Artículos relacionados
› (/protege-tu-empresa/blog/sigue-camino-
analisis-riesgos?page=1)
4. 19/9/22, 13:08 Sigue el camino del análisis de riesgos | INCIBE
https://www.incibe.es/protege-tu-empresa/blog/sigue-camino-analisis-riesgos 4/7
Elisa Vivancos (INCIBE)
(/autor/elisa-vivancos-incibe) |
06/09/2022
Los 10 vectores de ataque más
utilizados por los
ciberdelincuentes (/protege-tu-
empresa/blog/los-10-vectores-
ataque-mas-utilizados-los-
ciberdelincuentes)
Miriam Puente (INCIBE)
(/autor/miriam-puente-incibe) |
16/08/2022
Qué son los metadatos y cómo
eliminarlos (/protege-tu-
empresa/blog/son-los-
metadatos-y-eliminarlos)
Pablo Gracia Álvarez (INCIBE)
(/autor/pablo-gracia-alvarez-
incibe) | 02/08/2022
Historia real: SIM swapping, de
estar sin cobertura a estar sin
dinero en el banco (/protege-tu-
empresa/blog/historia-real-sim-
swapping-estar-cobertura-estar-
dinero-el-banco)
(/protege-tu-empresa/blog/los-
10-vectores-ataque-mas-
utilizados-los-ciberdelincuentes)
(/protege-tu-empresa/blog/son-
los-metadatos-y-eliminarlos)
(/protege-tu-
empresa/blog/historia-real-sim-
swapping-estar-cobertura-
estar-dinero-el-banco)
5. 19/9/22, 13:08 Sigue el camino del análisis de riesgos | INCIBE
https://www.incibe.es/protege-tu-empresa/blog/sigue-camino-analisis-riesgos 5/7
(https://www.facebook.com/sharer.php?u=https%3A//www.incibe.es/protege-tu-
empresa/blog/sigue-camino-analisis-
riesgos&t=Sigue%20el%20camino%20del%20an%C3%A1lisis%20de%20riesgos)
(https://www.linkedin.com/shareArticle?mini=true&url=https%3A//www.incibe.es/protege-tu-
empresa/blog/sigue-camino-analisis-
riesgos&title=Sigue%20el%20camino%20del%20an%C3%A1lisis%20de%20riesgos&summary=&sour
ce=INCIBE)
(https://twitter.com/share?url=https%3A//www.incibe.es/protege-tu-empresa/blog/sigue-
camino-analisis-
riesgos&via=INCIBE&related=&hashtags=&text=Sigue%20el%20camino%20del%20an%C3%A1lisis%
20de%20riesgos)
(https://web.whatsapp.com/send?
text=Sigue%20el%20camino%20del%20an%C3%A1lisis%20de%20riesgos%20https%3A//www.incibe
.es/protege-tu-empresa/blog/sigue-camino-analisis-riesgos)
Ir atrás
Avisos de seguridad (/protege-tu-empresa/avisos-seguridad)
Blog (/protege-tu-empresa/blog)
Te Ayudamos (/protege-tu-empresa/te-ayudamos)
SECtoriza2 (/protege-tu-empresa/sectoriza2)
TemáTICas (/protege-tu-empresa/tematicas)
¿Qué te interesa? (/protege-tu-empresa/que-te-interesa)
Herramientas (/protege-tu-empresa/herramientas)
Formación (/protege-tu-empresa/formacion)
Guías (/protege-tu-empresa/guias)
Tu Ayuda en Ciberseguridad
¿Has tenido un incidente de ciberseguridad? Contáctanos. (https://www.incibe.es/linea-de-ayuda-en-
ciberseguridad)
¿Aplicas el RGPD?
¡Las claves para cumplirlo y conseguir más confianza en tu negocio! (https://www.incibe.es/protege-tu-
empresa/rgpd-para-pymes)
¡A la carta!
¿Sabes cómo se protegen las empresas de tu sector? (https://itinerarios.incibe.es/)
6. 19/9/22, 13:08 Sigue el camino del análisis de riesgos | INCIBE
https://www.incibe.es/protege-tu-empresa/blog/sigue-camino-analisis-riesgos 6/7
(https://www.incibe.es/)
(https://www.incibe-
cert.es/)
(https://www.incibe.es/protege-tu-empresa) (https://www.osi.es/es)
(https://www.is4k.es/) (https://cybercamp.es/)
NIPO: 094-20-021-3
Síguenos en: (https://twitter.com/protegeempresa)
(https://www.linkedin.com/company/11487533/)
(https://www.facebook.com/protegetuempresa/)
(https://www.pinterest.es/protegetuempresa/)
(https://europa.eu/next-generation-eu/index_es)
(http://www.mineco.gob.es/)
(https://planderecuperacion.gob.es/) (https://espanadigital.gob.es/)
(/sites/default/files/certificado_ens_25102021.pdf)
(/sites/default/files/certificado_sgsi_26102021.pdf)
(/sites/default/files/certificado_sgc_08112021.pdf)
Contacto (/contacto)
Transparencia (/transparencia)
Perfil del contratante (/perfil-contratante-y-transparencia)
Empleo (/empleo)
Política de cookies (/politica-cookies)
Política de Protección de Datos Personales (/proteccion-datos-personales)
Aviso legal (/aviso-legal)
Declaración de accesibilidad (/declaracion-de-accesibilidad)
Configurar cookies (/)
7. 19/9/22, 13:08 Sigue el camino del análisis de riesgos | INCIBE
https://www.incibe.es/protege-tu-empresa/blog/sigue-camino-analisis-riesgos 7/7