CIBERSEGURIDAD PARA

MICROEMPRESAS Y
AUTÓNOMOS DEL
SECTOR CONSTRUCCIÓN

Unidad 3.
Conócete a ti mismo
Parte teórica

1
CONTENIDOS
1 IMPORTANCIA DE LA INFORMACIÓN

2 LLAMANDO A CADA COSA POR SU NOMBRE

3 ¿QUÉ ES EL RIESGO?

4 SEGURIDAD DE LA INFORMACIÓN

5 ANÁLISIS DE RIESGOS

Unidad 3
Conócete a ti mismo 2
 OBJETIVOS
Los principales objetivos de esta unidad son:

• Identificar los activos de información como recursos esenciales para el desarrollo de mi actividad. Valorarlos en
relación a su trascendencia para mi negocio.
• Reconocer las amenazas que ponen en peligro mis activos de información. Estimar el impacto que tendrían en el
negocio de materializarse.
• Comprender la existencia de las vulnerabilidades de los sistemas de información y su papel en los incidentes de
seguridad.
• Conocer las medidas y controles necesarios para proteger los activos de información.
• Describir el procedimiento de análisis de riesgos para evaluar la magnitud de las consecuencias de los riesgos
existentes en mi negocio y las alternativas que existen para tratarlos.

Unidad 3
Conócete a ti mismo 3
1
IMPORTANCIA DE LA INFORMACIÓN

Unidad 3
Conócete a ti mismo 4
1 IMPORTANCIA DE LA INFORMACIÓN

Las empresas utilizan información (de clientes, proveedores, servicios o productos…) como «núcleo» esencial
de sus negocios. Dependen de la misma para poder desarrollar su actividad.
Si esa información se pierde, altera, destruye, resulta inaccesible o cae en manos de terceros, puede provocar
daños de imagen, el cese o la ralentización de la actividad, causando un perjuicio económico.
Aunque ya conozcamos algunos de estos conceptos de unidades anteriores, aquí vamos a «aterrizarlos» en un
contexto más concreto: tu negocio.

Si tu actividad profesional está relacionada, por ejemplo, con la prestación de servicios, la información
de los clientes y proveedores será fundamental para tu negocio, porque es tu principal activo.

Unidad 3
Conócete a ti mismo 5
1 IMPORTANCIA DE LA INFORMACIÓN

Nosotros tenemos la información de proveedores y clientes en una hoja de cálculo

a la que pueden acceder los empleados. Nuestros productos se ofrecen a través
de una página web, las facturas están escaneadas y las guardamos en la nube.

Como veremos durante esta unidad, toda esa

información representa un activo fundamental para
nuestro negocio y debemos adoptar medidas para
protegerla de los posibles riesgos.

Unidad 3
Conócete a ti mismo 6
1 IMPORTANCIA DE LA INFORMACIÓN
¿Quién debe proteger la información?

La información que maneja un negocio para el desarrollo de su actividad profesional es uno de los valores
que debe proteger el propietario del negocio para asegurar la buena marcha del mismo.

Esta información puede estar relacionada con:

• Proveedores. • Productos y servicios.

• Clientes. • Modelo de gestión.
• Empleados. • Herramientas y recursos materiales. Unidad 3
Conócete a ti mismo 7
1 IMPORTANCIA DE LA INFORMACIÓN
¿Qué debemos tener en cuenta?

Esta información se crea, transforma, almacena, transmite y elimina a través de distintos medios/entornos que
también deben protegerse en función de su valor para el negocio.

Estos medios y entornos son:

• Bases de datos. • Cloud (la nube).

• Aplicaciones. • Servidores.
Unidad 3
• Internet. • Redes. Conócete a ti mismo 8
 1 IMPORTANCIA DE LA INFORMACIÓN
¿Qué tengo que proteger?
La seguridad de la información se articula en cinco dimensiones o propiedades que tenemos que garantizar, pues
son los pilares para proteger la información:
1. Disponibilidad
2. Confidencialidad
Por la cual la información debe estar
1 Por la cual la información no debe
habilitada y utilizable por las entidades
manipularse o ser divulgada a personas,
(usuarios, procesos…) cuyo acceso 2
entidades o procesos no autorizados.
está autorizado.
5
5. Trazabilidad: 3. Autenticidad
Por la cual las acciones de una Por la cual una entidad es quien dice
3
entidad son responsabilidad ser o bien garantiza la fuente de la que
4
exclusivamente de dicha entidad. procede la información que provee.
4. Integridad
Unidad 3
Por la cual la información debe poder Conócete a ti mismo 9

conservar su precisión y veracidad.

1 IMPORTANCIA DE LA INFORMACIÓN

¿Y la integridad y la confidencialidad?

Garantizar la integridad de los datos permite asegurar que no han sido

manipulados sin autorización. Imagina que alguien entra en nuestra página web
y altera los precios o que un empleado manipula los datos financieros de nuestra
organización. Estarían comprometiendo la integridad de la información.
Por otro lado, la confidencialidad consiste en garantizar que la información de la
organización o de los clientes es solo accesible para personas con
autorización para ello.

Unidad 3
Conócete a ti mismo 10
1 IMPORTANCIA DE LA INFORMACIÓN

Entonces, en el caso de nuestra página web y con la información sobre

nuestros proveedores y clientes, además de la disponibilidad, ¿debemos
asegurar que no han sido manipulados y que están protegidos frente
a accesos de terceros no autorizados?

¡Exacto!

Unidad 3
Conócete a ti mismo 11
1 IMPORTANCIA DE LA INFORMACIÓN

¿Y la trazabilidad y la autenticidad?

La trazabilidad consiste en llevar un registro de todos los cambios y acciones

que se realizan y así tener un control exhaustivo de todo el proceso y poder
garantizar la autenticidad de nuestros registros. Por otro lado, la autenticidad
se refiere a que la información provenga de una fuente fidedigna, es decir, que
el origen sea realmente quien envía la información.

A lo largo de esta unidad veremos qué medidas podemos implementar para

garantizar y proteger nuestra información abarcando estas cinco dimensiones.
Unidad 3
Conócete a ti mismo 12
2 LLAMANDO A CADA COSA POR SU NOMBRE

Unidad 3
Conócete a ti mismo 13
 2 LLAMANDO A CADA COSA POR SU
NOMBRE
Activo de información
• Un activo es todo lo que tiene valor para la empresa.
• La información es uno de los activos más valiosos de cualquier empresa. Además, hoy en día, con los avances
tecnológicos, la información está en gran medida en formato digital, lo que la hace más manejable, versátil y universal,
pero también más vulnerable.
• Activos de información son también aquellos bienes o recursos destinados a generar, procesar, almacenar o
divulgar información dentro de la organización.
• Son, por tanto, activos de información: información y datos, recursos humanos, programas, aplicaciones,
ordenadores, móviles, tabletas, routers, edificios…

Unidad 3
Conócete a ti mismo 14
 2 LLAMANDO A CADA COSA POR SU
NOMBRE
Activo de información

¿Por qué es relevante este concepto? No dejan de ser recursos que utilizamos para
el desempeño de nuestra labor profesional.

Como iremos viendo a lo largo de esta unidad, los activos de información son recursos
fundamentales para que puedas desarrollar con normalidad cualquier actividad
profesional. Por ello, es necesario protegerlos.

Unidad 3
Conócete a ti mismo 15
 2 LLAMANDO A CADA COSA POR SU
NOMBRE
Activo de información
Algunos de los activos de información más habituales en las empresas, con independencia de su tamaño o sector
son:
• Información de empleados. • Equipos informáticos (ordenadores, tabletas,
• Información de clientes o proveedores. teléfonos móviles…).
• Registro de pedidos. • Procesos de negocio.
• Facturas, informes, expedientes, proyectos, nóminas, etc. • Oficinas e instalaciones.
• Página web.
• Propiedad intelectual.

Reconozco estos activos, pero algunos son

más importantes que otros para mi negocio. Unidad 3
Conócete a ti mismo 16
¿Debemos protegerlos todos por igual?
 2 LLAMANDO A CADA COSA POR SU
NOMBRE
Activo de información

Una vez identificados los activos de información, para saber en cuáles volcar nuestros esfuerzos de protección tenemos
que valorarlos.
La valoración de los activos de información depende de las características concretas de tu negocio y de tus
necesidades específicas. Seguro que identificas activos más confidenciales y otros que no pueden no estar
disponibles bajo ningún concepto.
Esta valoración determinará qué medidas de protección se deberán implementar para garantizar tus activos de
información desde la quíntuple dimensión que hemos visto (disponibilidad, integridad, confidencialidad, autenticidad y
trazabilidad).

Vamos a repasar algunos conceptos que ya han sido mencionados en

unidades anteriores. Es importante que los recordemos por su relevancia
para el análisis de riesgos que vamos a realizar en esta unidad. Unidad 3
17
Conócete a ti mismo
 2 LLAMANDO A CADA COSA POR SU
NOMBRE
Una vulnerabilidad* es una inconsistencia o fallo en un
sistema de información que no alcanza los niveles
óptimos de seguridad de nuestros activos de información.
Una amenaza es todo elemento que aprovecha una
vulnerabilidad para llevar a cabo acciones maliciosas
contra la seguridad de un activo de información.

(*) Recordamos que son vulnerabilidades, además de los fallos en el software o en el hardware:
• La falta de procedimientos, o si existen, pero no se aplican.
• Las carencias de formación de las personas.
• La ubicación poco acertada de los equipos (por ejemplo, en un lugar con riesgo de inundación).

Cuando una amenaza aprovecha la debilidad o vulnerabilidad de uno de nuestros sistemas de información nos
encontramos ante un incidente de seguridad.
Unidad 3
Conócete a ti mismo 18
 2 LLAMANDO A CADA COSA POR SU
NOMBRE
Activo de información
Tiene alguna
Vulnerabilidad
puede ser aprovechada por una
Amenaza
causando
Impacto económico en tu negocio
Es el coste de la materialización de una amenaza en el negocio aprovechando una vulnerabilidad.
Se mide en función del valor de los activos afectados, considerando:
• Los daños producidos en el propio activo o sistema (costes de reposición, de reparación, etc.).
• Los gastos ocasionados por el cese de la actividad interrumpida (por ejemplo, imaginemos una empresa de venta
por Internet y que el portal de la empresa se quede sin disponibilidad: durante ese tiempo no se podría vender).
• Los daños ocasionados para la reputación y la marca del negocio, etc. (la pérdida de confianza de los clientes
ocasiona que estos contraten los servicios en otros competidores). Unidad 3
19
Conócete a ti mismo
3 ¿QUÉ ES EL RIESGO?

Unidad 3
Conócete a ti mismo 20
 3 ¿QUÉ ES EL RIESGO?
¿Qué es un riesgo?

Contingencia o proximidad de un daño.

Situación provocada por la posibilidad de que ocurran desastres naturales, fortuitos o intencionados. Por ejemplo, daño
por agua o fuego.

Contingencia que puede ser objeto de un contrato de seguro.

Hechos que provocan consecuencias negativas, cuyo impacto puede ser trasladado a un tercero a través de un contrato
de seguro. Por ejemplo, que el cliente aplique una cláusula del contrato.

Conjunto de circunstancias que pueden disminuir el beneficio.

Hechos que provocan una disminución de ingresos (beneficios económicos o materiales de un individuo u organización).
Por ejemplo, que disminuya el beneficio por falta de actividad.

Riesgo = Probabilidad (de que se materialice una amenaza) x Impacto

Unidad 3
Conócete a ti mismo 21
3 ¿QUÉ ES EL RIESGO?

Entendiendo el riesgo como un daño, un perjuicio

económico o un conjunto de circunstancias que pueden
disminuir el beneficio de nuestro negocio. Entonces…
¿Todas las amenazas son un riesgo?

Dependerá de la probabilidad real de sufrir una amenaza y del valor de

los activos de información afectados por la misma para el desarrollo de
nuestro negocio, es decir, su impacto o consecuencias concretas.
Sigamos profundizando en el concepto de riesgo, pero aplicado al ámbito
de la ciberseguridad.

Unidad 3
Conócete a ti mismo 22
 3 ¿QUÉ ES EL RIESGO?

En el ámbito de la ciberseguridad, el riesgo se define por la

normativa de aplicación (*) como la posibilidad de que una

AMENAZA ACTIVO amenaza concreta pueda aprovechar una vulnerabilidad para

causar una pérdida o daño en un activo de información.

RIESGO Suele considerarse como una combinación de la

probabilidad de un evento (es decir, de que una amenaza
VULNERABILIDAD
aproveche una vulnerabilidad en un activo de información)
y sus consecuencias (magnitud del daño resultante para
el negocio, en términos económicos).
(*) ISO/IEC 27005. Gestión de riesgos de la Seguridad de
la Información [1].
Unidad 3
Conócete a ti mismo 23
3 ¿QUÉ ES EL RIESGO?
Recuerda… La probabilidad puede calcularse:
1. Por medios empíricos: lo que ha pasado antes, por ejemplo, nuestros
registros de incidencias, estadísticas, etc.
2. Por medios subjetivos: opiniones o conjeturas de expertos.
Por ejemplo, si estamos en una zona en la que hay muchos terremotos o
inundaciones, la probabilidad de que ocurra será alta y es un dato empírico.
En cambio, si nos apoyamos en la opinión de un experto para conocer que la
probabilidad de que recibamos ataques a los dispositivos móviles es alta hoy en
día, es un dato subjetivo.

A continuación, veremos la importancia de las contramedidas

para reducir o incluso eliminar la existencia de los riesgos en
nuestras organizaciones. Unidad 3
Conócete a ti mismo 24
3 ¿QUÉ ES EL RIESGO?
CONTRAMEDIDAS
Son las medidas y controles (*) que permiten reducir, mitigar o eliminar las consecuencias –el impacto– de los
riesgos detectados.
(*) Control es también utilizado como sinónimo de salvaguarda o contramedida.
En una definición más simple, es una medida que reduce el riesgo.

• Control de accesos a bases de datos. • Instalación y uso de antivirus.

• Concienciación de los empleados. • Seguridad de las instalaciones, etc.

En el ámbito de la ciberseguridad, de acuerdo con lo establecido en estándares internacionales (la ISO 27000) este
concepto (contramedida) hace referencia a:
Las políticas, metodologías, procesos, prácticas y estructuras organizativas destinadas a mantener el nivel de
riesgo de seguridad de la información por debajo del umbral asumido.

Unidad 3
Conócete a ti mismo 25
4 SEGURIDAD DE LA INFORMACIÓN

Unidad 3
Conócete a ti mismo 26
4 SEGURIDAD DE LA INFORMACIÓN

Con el protagonismo que está cobrando Internet, la movilidad, las redes

sociales, etc., ahora se habla de ciberseguridad.
En el gráfico se observa que la ciberseguridad se ocupa de la seguridad
en el ciberespacio (*), es decir, en la intersección entre la seguridad de
las aplicaciones, de las redes, de Internet y de las infraestructuras
críticas (las de distribución eléctrica, por ejemplo). Por otro lado, vemos
que la seguridad de la información forma parte de todas ellas.

(*) Ciberespacio: entorno complejo que consta de interacciones entre personas, software y servicios destinados a la
distribución mundial de información y comunicación. ISO/IEC 27032:2012 Directrices de Ciberseguridad.

Unidad 3
Conócete a ti mismo 27
4 SEGURIDAD DE LA INFORMACIÓN

Seguridad de la información

Cibercrimen Seguridad de las aplicaciones Ciberseguridad

física (safety)

Ciberseguridad

Seguridad de Seguridad de
las redes Internet

Protección de las infraestructuras críticas

Unidad 3
Conócete a ti mismo 28
4 SEGURIDAD DE LA INFORMACIÓN

La seguridad de la información es la disciplina encargada de definir y tratar los activos, vulnerabilidades, amenazas
y riesgos; así como las buenas prácticas y los esquemas normativos.

Las medidas/controles y demás implementaciones técnicas de la protección de la información forman parte de la

seguridad informática.
Antivirus, detección de intrusos, contraseñas, cifrado de datos, atención de incidentes, etc.

Tanto la seguridad de la información como la seguridad informática persiguen una misma finalidad:

Proteger la confidencialidad, la integridad, la disponibilidad, la trazabilidad y la autenticidad de la

información.

Unidad 3
Conócete a ti mismo 29
4 SEGURIDAD DE LA INFORMACIÓN

La seguridad de la información refleja la estrategia que va a seguir mi negocio para

proteger la información. Por otro lado, la seguridad informática es una parte
específica de la primera.

Seguridad de la información

Análisis de riesgos Normativas Plan director Nivel estratégico

Seguridad informática
Nivel táctico
Configuración Técnicas de Eventos de
segura protección auditorías

Unidad 3
Conócete a ti mismo 30
5 ANÁLISIS DE RIESGOS

Unidad 3
Conócete a ti mismo 31
 5 ANÁLISIS DE RIESGOS
Introducción

A lo largo de este capítulo veremos el análisis de riesgos.

Te recomiendo que, para completar la teoría, veas el recurso multimedia
relacionado, ya que contamos el ejemplo de nuestro propio negocio para ayudarte
a comprender este proceso.

Fase 1. Definir el alcance.

Fase 2. Identificar los activos.
Fase 3. Identificar las amenazas.
Fase 4. Identificar vulnerabilidades / identificar salvaguardas.
Fase 5. Evaluar el riesgo.
Fase 6. Tratar el riesgo. Unidad 3
Conócete a ti mismo 32
 5 ANÁLISIS DE RIESGOS

A través del siguiente procedimiento, podemos determinar el riesgo real que existe sobre los activos de información en
función de las amenazas, vulnerabilidades y controles (salvaguardas) que existan en mi organización.

Fase 1. Definir el alcance del análisis de riesgos, es decir, la magnitud del análisis podría establecer qué tipo de
funciones, departamentos o áreas se van a valorar o si será un análisis específico.
Fase 2. Identificar y valorar los activos de información del área, proceso o sistema objeto del estudio.
Fase 3. Identificar las amenazas a las que están expuestas las vulnerabilidades de los activos.

Fase 4. Estudio y análisis de las propiedades de nuestros activos para identificar los puntos débiles o
vulnerabilidades y las salvaguardas existentes.
Fase 5. Para cada amenaza dirigida a un activo, estimaremos la probabilidad de que esta se materialice y el impacto
negativo sobre el negocio que esto produciría.
Fase 6. Una vez calculado el riesgo, debemos tratar aquellos que superen el nivel o umbral que nosotros mismos
hayamos establecido. Unidad 3
Conócete a ti mismo 33
 5 ANÁLISIS DE RIESGOS
Fase 1. Definición de alcance

Para realizar un análisis de riesgos, lo primero que tenemos que hacer es definir su alcance, es decir, las
áreas/recursos/sistemas o aplicaciones cuyos riesgos queremos estudiar.
El alcance puede incluir toda mi organización o un área en concreto.
Ejemplos:
• Servicios a través de mi página web.
• Departamento de sistemas.
• Área comercial o el proceso de ventas.

En nuestro caso, el alcance del análisis de riesgos va a incluir todos los recursos relevantes
para el desarrollo de nuestro negocio. Puedes ver el ejemplo en la página 34 y completar
esta parte de la teoría con el recurso multimedia que pertenece a esta unidad.
Unidad 3
Conócete a ti mismo 34
 5 ANÁLISIS DE RIESGOS
Fase 2. Identificación de activos

Los activos de información son todos aquellos recursos que sirven para crear, procesar, transmitir, almacenar y
eliminar información, y que resultan relevantes para el buen funcionamiento de mi negocio. Para el análisis de riesgos
deben estar dentro del ámbito definido en el alcance definido de la fase anterior.

Ejemplos:

• Instalaciones.
• Servicios.
• Datos.
• Aplicaciones.
• Equipos informáticos.
• Personal.
• Redes de comunicaciones.
• Soportes de información.

Unidad 3
Conócete a ti mismo 35
 5 ANÁLISIS DE RIESGOS
Fase 2. Identificación de activos

¿Puedes identificar cuáles son los activos de información de tu negocio?

Las siguientes preguntas te pueden ayudar a identificar los activos clave para el buen desarrollo de la actividad de
tu negocio:
• ¿Tienes una página web? • ¿Subes información a la nube?
• ¿Utilizas portátil, móvil o tableta? • ¿Tienes empleados?
• ¿Vendes por Internet? • ¿Dispones de algún artículo con propiedad intelectual
• ¿Tomas datos de tus clientes y proveedores y los o procesos de negocio que lo hagan único (diseños,
almacenas en una hoja de cálculo o una base de datos? protocolos, procedimientos de gestión, etc.)?

Unidad 3
Conócete a ti mismo 36
 5 ANÁLISIS DE RIESGOS
Fase 2. Identificación de activos

En muchos casos, la identificación de los activos dependerá del sector de negocio propio de la organización.
• En el sector construcción se maneja, además de información personal, datos confidenciales sobre proyectos
y pagos a proveedores, cuya pérdida nos podría poner en una situación muy compleja con nuestros clientes y
empleados.
(*) La información de carácter personal está definida y protegida por la LOPDGDD [2].

• En el ámbito financiero se maneja información de carácter confidencial, tanto de clientes como de

transacciones financieras de compras y ventas, cuya divulgación puede suponer una importante pérdida
económica o un perjuicio para nuestros clientes y la reputación de nuestro negocio.

Unidad 3
Conócete a ti mismo 37
 5 ANÁLISIS DE RIESGOS
Fase 2. Identificación de activos

• En ámbitos de carácter industrial o de desarrollo de productos, es importante velar por la confidencialidad

de los procesos y procedimientos que nos pueden aportar una mejora de productividad sobre la competencia.

Además de la información concreta gestionada por cada sector hay que incluir como activos: las aplicaciones, el
software, el hardware y demás herramientas, procesos y personas que permiten crear, procesar, almacenar,
transmitir y eliminar esa información.

Unidad 3
Conócete a ti mismo 38
 5 ANÁLISIS DE RIESGOS
Fase 2. Identificación de activos

Ejemplo: activos de información más relevantes para el buen desarrollo de mi negocio

ID Nombre
1 Página web
2 Equipos informáticos
BBDD de clientes/
3 proveedores/pedidos...
4 Empleados
Propiedad intelectual/
5 procesos de negocio
Descripción
Recurso online donde ofrezco mis productos y servicios, realizo ventas,
contacto con clientes etc.
Recursos tecnológicos utilizados para desarrollar mi negocio (ordenadores,
tabletas, teléfonos móviles, etc.).
BBDD en distintos formatos digitales almacenados, tanto en entornos
digitales (ordenadores) como virtuales (la nube).
Gestionan la información del negocio y tienen acceso a datos sensibles y
recursos tecnológicos de la organización.
Nombres, imágenes, diseños, creaciones artísticas, etc., creadas en el
comercio.
Unidad 3
Conócete a ti mismo 39
 5 ANÁLISIS DE RIESGOS
Fase 2. Identificación de activos

Una vez identificados los activos, tenemos que valorarlos. Para ello,
debes tener en cuenta el valor estratégico que tengan cada uno ellos
para tu negocio en relación con los requisitos de confidencialidad,
integridad, disponibilidad, autenticidad y trazabilidad.
A continuación, veremos los criterios que podemos utilizar para
valorar nuestros activos según estas cinco dimensiones.

Unidad 3
Conócete a ti mismo 40
 5 ANÁLISIS DE RIESGOS
Fase 2. Identificación de activos

Confidencialidad VALOR
Información accesible y utilizable por cualquiera sin necesidad de autorización de fuera y dentro de la
0
empresa.

Información accesible y utilizable por cualquier persona de la empresa sin necesidad de autorización. 1
Información que solo puede ser conocida y utilizada por determinados miembros de la empresa. 2

Información cuya divulgación podría ocasionar un perjuicio para la empresa. 3

Unidad 3
Conócete a ti mismo 41
 5 ANÁLISIS DE RIESGOS
Fase 2. Identificación de activos

Integridad VALOR
Información cuya modificación no autorizada es fácilmente subsanable o no causa perjuicios para la empresa. 0

Información cuya modificación no autorizada es fácilmente subsanable, pero que causa algún perjuicio a la
1
empresa o terceros.

Información cuya modificación no autorizada es difícilmente subsanable y causa un perjuicio a la empresa o

2
terceros.

Información cuya modificación no autorizada no es subsanable y causa un perjuicio impidiendo el normal

3
desarrollo de la actividad de la empresa.

Unidad 3
Conócete a ti mismo 42
 5 ANÁLISIS DE RIESGOS
Fase 2. Identificación de activos

Disponibilidad VALOR

Información cuya falta de disponibilidad no afecta al normal desarrollo de la actividad de la empresa. 0

Información cuya falta de disponibilidad durante un periodo determinado podría afectar al normal desarrollo
1
de la actividad de la empresa.

Información cuya falta de disponibilidad continuada podría impedir el normal desarrollo de la actividad de la
2
empresa.

Información cuya falta de disponibilidad en un periodo reducido de tiempo (horas, minutos…) impide el normal
3
desarrollo de la actividad de la empresa.

Unidad 3
Conócete a ti mismo 43
 5 ANÁLISIS DE RIESGOS
Fase 2. Identificación de activos

Autenticidad VALOR
No es relevante asegurarse de que la persona, servicio o fuente del dato son quienes dicen ser. 0
Es relevante asegurarse de que la persona, servicio o fuente del dato son quienes dicen ser. 1
Es importante asegurarse de que la persona, servicio o fuente del dato son quienes dicen ser. 2
Es de esencial asegurarse de que la persona, servicio o fuente del dato son quienes dicen ser. 3

Unidad 3
Conócete a ti mismo 44
 5 ANÁLISIS DE RIESGOS
Fase 2. Identificación de activos

Trazabilidad VALOR
Activo cuya modificación no implica ningún riesgo y puede realizarla cualquier persona. 0

Activo restringido en su actualización a cualquier persona de la organización con acceso permitido. 1

Activo que exige disponer de medidas que garanticen su veracidad. 2

Activo de suma importancia desde el punto de vista de la veracidad, coherencia y exactitud para la
3
organización.

Unidad 3
Conócete a ti mismo 45
 5 ANÁLISIS DE RIESGOS
Fase 2. Identificación de activos

Siguiendo estos criterios, la valoración de los activos de nuestro negocio serían:

ID Nombre Confidencialidad Integridad Disponibilidad Autenticidad Trazabilidad

1 Página web 0 2 3 3 3
2 Equipos informáticos 2 1 2 0 0
BBDD clientes/proveedores/
3 1 1 2 2 2
pedidos...
4 Empleados 2 1 1 1 0
Propiedad intelectual/
5 1 1 2 2 1
procesos de negocio

Esta valoración nos servirá para seleccionar y priorizar las Unidad 3

46
Conócete a ti mismo
contramedidas.
 5 ANÁLISIS DE RIESGOS
Fase 3. Identificación de amenazas

Recuerda que los ciberriesgos son una realidad y los ataques a las pequeñas empresas van en aumento. Si se
materializan en tu empresa causarán un daño o perjuicio económico a tu negocio. Estos son algunos ejemplos:
ID Nombre Amenazas
Saturación de los servidores para inhabilitar la web del negocio impidiendo que sus
1 Página web
clientes accedan a la información ofrecida online (ataques de denegación de servicio).

Infección de equipos informáticos para ponerlos a disposición de actividades criminales

2 Equipos informáticos
(virus/software malicioso).

Robo, pérdida, fugas de información de clientes con sus datos personales provocando
BBDD clientes/
3 desprestigio a la imagen del negocio y posibles consecuencias legales para el dueño
proveedores/pedidos...
que no protegió la información confidencial de sus clientes.
Unidad 3
Conócete a ti mismo 47
 5 ANÁLISIS DE RIESGOS
Fase 3. Identificación de amenazas

ID Nombre Amenazas

Disminución de la productividad de la organización por un mal uso y una mala gestión

4 Empleados de las TIC por los empleados. Falta de la concienciación sobre la importancia de
proteger los activos de información de la entidad (phishing, fraude interno).

Propiedad intelectual/
5 Robo de diseños, imágenes, logos, procesos de negocio, creaciones artísticas…
procesos de negocio

Al conocer los riesgos que pueden causar daños y perjuicios graves a tu negocio y tomar las medidas
adecuadas, ofreces mayor seguridad a tus clientes y proveedores. En el mundo digital, esto te aporta una gran
ventaja competitiva.

Unidad 3
Conócete a ti mismo 48
 5 ANÁLISIS DE RIESGOS
Fase 4. Identificación de vulnerabilidades y salvaguardas

Identificar vulnerabilidades consiste en detectar los defectos o debilidades de los sistemas de información y los
fallos o ausencia de medidas para mitigarlos. Estas vulnerabilidades pueden hacer referencia a software no
actualizado, falta de concienciación, carencia de procedimientos de control de acceso o fallos de programación o de
configuración, entre otros.

La empresa puede disponer de medidas que ayuden a reducir la probabilidad de sufrir las amenazas o a detectarlas
con antelación, reduciendo así las consecuencias de las mismas en su negocio. Algunas de estas medidas son:
• Instalar y configurar un firewall o cortafuegos.
• Instalar y configurar un antivirus. • Concienciar y formar a los empleados y usuarios.
• Establecer contraseñas y el control de accesos. • Cifrar la información sensible.

Unidad 3
Conócete a ti mismo 49
 5 ANÁLISIS DE RIESGOS
Fase 4. Identificación de vulnerabilidades y salvaguardas

En esta fase debes analizar qué medidas tienes implantadas y valorar si resultan suficientes para proteger los
activos de información que hayan sido identificados. A la hora de valorar el riesgo tendremos en cuenta tanto la
existencia de medidas, como la de vulnerabilidades.

Es importante conocer las medidas para proteger los equipos informáticos y la información almacenada y
manipulada a través de ellos. Así podrás garantizar su rendimiento y su uso correcto para el desarrollo de la
actividad de tu negocio.

Unidad 3
Conócete a ti mismo 50
 5 ANÁLISIS DE RIESGOS
Fase 5. Evaluación del riesgo

Una vez que sabemos qué amenazas hay, qué debilidades tenemos y qué medidas hemos tomado ya, hay que
determinar qué otras medidas habrá que tomar. Para ello, se calcula qué riesgo tenemos en aquellas amenazas que
no estén cubiertas por las medidas que ya hemos tomado.
Para calcular el riesgo debemos asignar un valor a la probabilidad y al impacto de cada amenaza, es decir,
valorar cuál es más posible que nos afecte y aquella que tendría mayor efecto, y, por lo tanto, cuál es
más prioritario abordar.

Riesgo = Probabilidad x Impacto

En la siguiente tabla situaremos cada una de las amenazas identificadas según estimemos su probabilidad e impacto.

Unidad 3
Conócete a ti mismo 51
 5 ANÁLISIS DE RIESGOS
Fase 5. Evaluación del riesgo
Probabilidad
Baja - La amenaza se Media - La amenaza se Alta - La amenaza se
Impacto
materializa a lo sumo materializa a lo sumo materializa a lo sumo
(según su coste en €)
una vez cada año. una vez cada mes. una vez cada semana.

Alto - El daño derivado de la materialización

Ataques de denegación
de la amenaza tiene consecuencias graves
de servicio
para la empresa.

Medio - El daño derivado de la Mal uso de las TIC Malware/software

materialización de la amenaza tiene (Tecnologías de la malicioso
consecuencias muy importantes para la Información y Robos, pérdidas y fugas
empresa. Comunicación) de información
Bajo - El daño derivado de la materialización
de la amenaza no tiene consecuencias
relevantes para la empresa.

Unidad 3
Conócete a ti mismo 52
 5 ANÁLISIS DE RIESGOS
Fase 6. Tratar el riesgo

Gestión de riesgos
¿Cómo lo hago?

Análisis
Consiste en analizar el nivel de riesgo que la
empresa está sosteniendo. Para ello, existen
distintas metodologías que coinciden en:
• Que se realice un inventario de activos.
• Se determinen las amenazas.
• Las probabilidades de que ocurran.
• Los posibles impactos.
Tratamiento
Para aquellos riesgos cuyo umbral está por encima
del nivel deseado, el empresario debe decidir cuál
es el mejor tratamiento que permita minimizarlos:
• Evitar.
• Reducir o mitigar.
• Transferir, compartir o asignar a terceros.
• Aceptar.

Unidad 3
Conócete a ti mismo 53
 5 ANÁLISIS DE RIESGOS
Fase 6. Tratar el riesgo

¿Cómo sé qué metodología usar?, ¿en qué debo basar mi elección?

Para las micropymes y autónomos lo ideal es que usemos la que mejor se

adapte a nuestro negocio o seguir aquella metodología que sea más
habitual en nuestro sector. En cualquier caso, las distintas fases que hemos
visto son comunes a la mayoría de las metodologías de análisis de riesgos.

Pero no te olvides que lo importante no es la metodología, sino la

decisión que debes tomar sobre el tratamiento a aplicar.
Unidad 3
Conócete a ti mismo 54
 5 ANÁLISIS DE RIESGOS
Fase 6. Tratar el riesgo

Después de que se haya calculado el nivel de riesgo de los distintos activos de información identificados en nuestra
organización y que sepamos la magnitud o gravedad de sus consecuencias, se debe determinar qué actitud adoptar ante
los riesgos identificados en función de su relevancia para el negocio, pudiendo optar entre:

1. Evitar el riesgo minimizando su causa. Por ejemplo, cuando sea operativo, optar por no integrar un sistema o
proceso que pudiera implicar un riesgo.
2. Adoptar medidas que reduzcan el impacto o la probabilidad del riesgo a través de la descripción, integración y
automatización de controles.
3. Compartir o transferir el riesgo con terceros a través de seguros, contratos confidenciales, etc.
4. Aceptar la existencia de un nivel mínimo de riesgo y monitorizarlo.

Como es comprensible, el riesgo no se debe ignorar Unidad 3

Conócete a ti mismo 55
 5 ANÁLISIS DE RIESGOS
Fase 6. Tratar el riesgo

Las medidas de seguridad que pueden adoptarse en la mayoría de las empresas van desde la implementación de
productos o servicios de seguridad, hasta la realización de cursos de formación para aumentar la concienciación de los
miembros de la organización en materia de seguridad.
Recordemos que las medidas (contramedidas) en el ámbito de la ciberseguridad hacen referencia a políticas,
procedimientos, prácticas y estructuras organizativas concebidas para mantener los riesgos de seguridad de la
información por debajo del nivel de riesgo asumido.

Las categorías de medidas más comunes en la mayoría de las empresas son:

• Instalar productos o contratar servicios.
• Establecer controles de seguridad.
• Mejorar los procedimientos.
• Cambiar el entorno.
• Incluir métodos de detección temprana.
• Implantar un plan de contingencia y continuidad.
• Realizar formación y sensibilización.
Unidad 3
Conócete a ti mismo 56
 5 ANÁLISIS DE RIESGOS
Fase 6. Tratar el riesgo

INCIBE proporciona materiales para facilitar el análisis de riesgos de los activos de información utilizados por una
organización para poder completar todas las fases con éxito.
Gestión de riesgos: una guía de aproximación para el empresario [3].

Unidad 3
Conócete a ti mismo 57
 CONCLUSIONES
• La información es un activo de mi organización imprescindible para el buen funcionamiento de mi negocio. Es
esencial identificar mis activos de información.

• Además, la pérdida de esta información sensible y confidencial ya sea de nuestros clientes, empleados o
proveedores, puede suponer también una pérdida de la imagen reputacional de nuestra empresa, así como de la
confianza de nuestros clientes para con nosotros.

• La protección de la información irá dirigida a garantizar su confidencialidad, integridad, disponibilidad,

autenticidad y trazabilidad. Tendré que valorar la relevancia de cada activo para mi negocio y así poder priorizar
las medidas para su protección. Por ejemplo, la disponibilidad de la tienda online es fundamental, no puedo pasar sin
ella ni un día.

Unidad 3
Conócete a ti mismo 58
 CONCLUSIONES
• Debo conocer las amenazas que afectan a mis activos de información y las posibles debilidades (ausencia de
controles, fallos del software, falta de conocimientos de los empleados, etc.) que los pongan en peligro: ¿están
protegidos mis activos?

• El análisis de riesgos es fundamental para determinar, basándonos en el impacto de las amenazas, las medidas y
controles a implementar, en cada caso, para reducir el riesgo a un nivel aceptable. Por ejemplo, si la indisponibilidad
de mi página web paraliza mi negocio y el riesgo de incidente es alto, tendré que poner medidas para protegerla y
garantizar que eso no ocurra.

• Existen distintas normas y estándares que incluyen procedimientos de análisis de riesgos y listados de posibles
medidas y controles para reducirlos. Debo elegir los procedimientos y medidas que mejor se adapten a las
características y necesidades concretas de mi negocio.

Unidad 3
Conócete a ti mismo 59
 REFERENCIAS
Enlaces de interés de la unidad
[1] AENOR - ISO/IEC 27005:2018:
https://tienda.aenor.com/norma-iso-iec-27005-2018-075281
[2] BOE – Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales
https://www.boe.es/buscar/act.php?id=BOE-A-2018-16673
[3] INCIBE – Gestión de riesgos: una guía de aproximación para el empresario
https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_ciberseguridad_gestion_riesgos_metad.pdf

Unidad 3
Conócete a ti mismo 60
61