Proyectos‎ > ‎

Análisis de Riesgos


CONCEPTOS GENERALES

Proyectos de Análisis de Riesgos

Se trata de los diferentes procedimientos de gestión de evaluación de riesgos que se diseñan en una organización y, generalmente, lo normal sería que en una organización se ejecuten los siguientes proyectos:

  1. Un proyecto para la Gestión del Cumplimiento de la Protección de Datos

  2. Un proyecto para la Gestión de la Gestión de la Seguridad de la Información (SGSI)

  3. Otros proyectos adyacentes o específicos y que el consultor crea necesario. Por ejemplo:

  4. Proyecto de cumplimiento LSSICE

  5. Proyecto para analizar si se gestiona correctamente la videovigilancia de la organización

  6. Proyecto específico para analizar si se gestiona correctamente las brechas de seguridad

  7. Proyecto específico para analizar si se gestiona correctamente las solicitudes de ejercicio de derechos

  8. Proyecto específico para analizar si el DPO ha sido designado correctamente y cumple eficazmente con sus obligaciones

  9. Etc.

Actuaciones de un proyecto

Los proyectos de sistemas de gestión, bien sean de cumplimiento normativo, de SGSI o adyacentes, son proyectos vivos, es decir, que no tienen un inicio y un final, sino que se define el procedimiento y se va trabajando sobre él con diferentes actuaciones en el tiempo. No obstante, el sistema permite cerrar un proyecto y comenzar a realizar otro para el mismo objetivo, bien sea porque se quiere mejorar y empezar de cero o por cualquier otro motivo.


En relación a lo anterior, cada proyecto dispondrá de diferentes actuaciones a lo largo del tiempo, que será cada uno de los programas de auditoría que se realizan sobre ese proyecto en cuestión. 


Por ejemplo:

  • Actuación 1: Diseño del sistema de gestión de evaluación de cumplimiento de la normativa de protección de datos

  • Actuación 2: Auditoría del año 1 del sistema de gestión de evaluación de cumplimiento de la normativa de protección de datos

  • Actuación 3: Auditoría del año 2 del sistema de gestión de evaluación de cumplimiento de la normativa de protección de datos

  • Actuación 4: Auditoría del sistema de gestión de evaluación de cumplimiento de la normativa de protección de datos por cambios importantes en la infraestructura de la organización. Y así, sucesivamente.

El sistema permite trasladar el estado de todos los ítems de una actuación a la nueva actuación, lo que reducirá mucho las gestiones y el trabajo de la auditoría. A tener en cuenta que, para crear una nueva actuación en un proyecto, se deberá cerrar la anterior.


A continuación exponemos un vídeo explicativo sobre cómo cerrar y crear nuevas actuaciones en los Análisis de Riesgos:


Actuaciones en los Análisis de Riesgos


Cronología

Son las diferentes fases por las que vamos pasando en una actuación, y en cada fase, el sistema recoge automáticamente la fecha y el usuario que la gestionó.


No obstante de lo anterior, los datos de fecha y usuario de cada fase se pueden editar y modificar con posterioridad


Las diferentes fases que tiene la cronología de una actuación son:

  • Creación: Fase durante la cual se le da forma a la actuación, objetivos, equipo auditor

  • Definición: Fase durante la cual se selecciona los escenarios y las amenazas que se pretenden evaluar

  • Evaluación Inherente: Fase durante la cual se evalúa la probabilidad y el impacto de los riesgos inherentes a los tratamientos de datos personales, así como la madurez de las salvaguardas, esto es, el grado de implementación de las medidas técnicas y organizativas correctoras.

  • Evaluación Residual: Fase durante la cual se evalúa la probabilidad y el impacto de los riesgos tras la implementación de las salvaguardas, obteniendo así el riesgo residual, es decir, el riesgo que subsiste después de haber implementado los controles oportunos.

  • Cierre: Fase durante la cual se cierra la actuación y se da por terminada

Equipo auditor

En esta sección se identifica a todas las personas que intervienen en la actuación. Toda actuación debe disponer de:

  • Un administrador de sistemas: Será el encargado de organizar la implementación de las medidas técnicas de seguridad en la organización.

  • Un Delegado de Protección de Datos: Si lo hubiere, se identificará al DPO y, en su defecto, se identificará al Responsable de Privacidad. En síntesis, será la persona responsable de organizar la implementación de las medidas organizativas

  • Un Responsable del Proyecto: Será la persona que supervisa todas las gestiones y actuaciones de un proyecto

  • Técnico auditor: Será el técnico que realiza las actividades de “campo” para la correcta ejecución de las gestiones y actuaciones del proyecto.

Contexto

En esta sección se escogen todos los entes o recursos que intervienen en los procesos de tratamientos de datos que se van a evaluar en el proyecto. Los diferentes tipos de contexto son:

  • Organizaciones de control involucradas en los tratamientos de datos

  • Actividades de tratamiento

  • Puntos de control que se utilizan en los tratamientos de datos

  • Personal que interviene en los tratamientos de datos

El objetivo de esta sección es que en el informe de auditoría quede reflejado un inventario de todos los activos evaluados.

Escenarios

Los catálogos son conjuntos de escenarios de amenazas agrupadas por un mismo ámbito. Por ejemplo:

  • Catálogo de amenazas para la seguridad de la información (Riesgos TIC o SGSI)

  • Catálogo de amenazas en el cumplimiento normativo de protección de datos

  • Catálogo de amenazas en el cumplimiento LSSICE

  • Etc.

Y dentro de cada catálogo, las amenazas están agrupadas por escenarios, es decir, conjunto de amenazas aplicables a un mismo ámbito.

Evaluación del riesgo inherente

Se trata de, en base a las posibles amenazas a las que pueda estar una organización, determinar y evaluar el riesgo inherente según el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento.


Gracias a lo anterior, se pueden determinar las medidas de seguridad técnicas y organizativas a implementar para mitigar o reducir dichos riesgos.


En esta fase también se permite documentar qué medidas ya están implementadas en la organización.


Por otro lado, si tras analizar una amenaza se llega a la conclusión de que es imposible que ocurra en la organización, se permite documentar los motivos de no aplicabilidad.

Evaluación del riesgo residual

Se trata de, en base a las posibles amenazas a las que pueda estar una organización, determinar y evaluar el riesgo residual según el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento.


En síntesis se trata del riesgo resultante tras la implementación de las medidas técnicas y organizativas (salvaguardas), permitiendo hacer balance de porcentajes de mejora o empeoramiento, es decir, analizar el grado de efectividad de las medidas de seguridad

Justificación de las evidencias en las salvaguardas

La forma más eficiente de realizar un Análisis de Riesgos, en lo que respecta a las medidas de seguridad técnicas y organizativas implementadas, es disponiendo de una sección que contenga las evidencias que nos permitan demostrar que una salvaguarda ha sido implementada.
El sistema permite hacerlo mediante una explicación textual. Pero además permite adjuntar documentos que demuestren o justifiquen que dicha salvaguarda ha sido evidentemente implementada. Para ello podemos adjuntar documentos, fotografías, pantallazos, informes, contratos, etc.
A modo informativo, os indicamos que en las versiones premium de nuestra aplicación se permite configurar la obligatoriedad o no obligatoriedad de adjuntar documentos de evidencia. En el resto de licencias, la decisión de adjuntar o no es libre.


Conclusiones

En esta sección se permite redactar un informe de conclusiones e información adicional que quieran documentar cada una de las partes que intervienen en las gestiones de la actuación del proyecto.

Informes

Son los diferentes informes que se pueden emitir respecto a los resultados de la actuación en el proyecto de análisis de riesgos. Existen diferentes informes:

  • Informe de actuación de análisis de riesgos: Este es un informe completo que recoge absolutamente todos los ítems e información de la actuación

  • Informe de escenario: Se detallan los escenarios seleccionados en la actuación

  • Informe de amenazas: Detalla las amenazas analizadas en la actuación

  • Informe de riesgos inherentes: Resultado de la evaluación de riesgos inherente

  • Informe de salvaguardas: Listado de salvaguardas y estado de implementación

  • Informe gráfico: Gráfica de riesgos por gravedad

  • Recibí y conformidad: Documento justificante de entrega de auditoría y conformidad de la organización auditada.

VÍDEOS SOBRE EL FUNCIONAMIENTO DE LOS PROYECTOS

Creación de un proyecto

Fase de Creación de Proyecto de Análisis de Riesgos


Definición de un proyecto

Fase de Definición de Proyecto de Análisis de Riesgos


Evaluación del Riesgo Inherente Básico

Fase de Evaluación del Riesgo Inherente modo básico


Evaluación del Riesgo Inherente Avanzado

Fase de Evaluación del Riesgo Inherente modo avanzado


Evaluación del Riesgo Residual

Fase de Evaluación del Riesgo Residual


Justificación de evidencias en las salvaguardas

Justificación de evidencias en salvaguardas


Redacción de conclusiones del equipo auditor

Establecimiento de las conclusiones del análisis de riesgos


Informes del análisis de riesgos

Informes del análisis de riesgos


Definición de amenazas personalizadas

Amenazas personalizadas


Definición de salvaguardas personalizadas

Salvaguardas personalizadas