En el interesante trabajo de la Fundación Borredá ’10 años de Sistema PIC. Estudio de Situación’, presentado en noviembre, se encuentra, en el apartado de Planificación del Capítulo de Conclusiones Generales, una observación destacable: “…se acusa la falta de una metodología común para el análisis de riesgos integral…”

LA NECESIDAD

En otros apartados de ese documento, se vuelve a resaltar la dificultad de realizar ese Análisis de Riesgos Integral, o Integrado, que permita proponer medidas de Seguridad (Security) coherentes en cuanto a esfuerzo y atención a los impactos y amenazas tanto de Seguridad Física como de Ciberseguridad.

Obviamente no es una necesidad restringida a los Operadores Críticos designados por la Legislación PIC (Protección de Infraestructuras Críticas). El enfoque actual de la Security (Seguridad frente a riesgos deliberados) pasa por el denominado ESRM (Enterprise Security Risk Management), enfoque metodológico propuesto por la asociación de profesionales de la Seguridad ASIS con carácter estratégico. ESRM afronta la evolución de las amenazas deliberadas centrando los modelos de la gestión de la Seguridad de las empresas en un enfoque holístico, sin diferenciar entre el origen de los riesgos, ya sean físicos o cibernéticos, y poniendo en el centro de la estrategia el Análisis de Riesgos.

Es evidente que el Análisis de Riesgos es una actividad imperativa, para Operadores Críticos como mandato legal, y para el resto de las empresas como necesarias mejores prácticas o como parte de otros imperativos legales.

UNA POSIBLE SOLUCIÓN

La importancia del Análisis de Riesgos en gran parte de las actividades de Cuevavaliente Ingenieros nos ha llevado desde hace años a hacer de las metodologías de su realización, punto central de la estrategia de desarrollo de nuestra empresa.

Desde nuestro nacimiento en 2005 hemos incorporado a nuestros servicios sucesivas aproximaciones a la metodología de Análisis de Riesgos, primero en su aplicación a la denominada “Seguridad Física” (ARG 07 en 2007, GRSec 31000 en 2010), como ya en su aplicación conjunta a Riesgos “tradicionales” y a Ciberriesgos (GR2Sec en 2015).
La metodología GR2Sec incluye el ciclo completo de la Gestión de Riesgos:

  • El Análisis de Riesgos propiamente dicho (fases de la evaluación de riesgos según ISO 31000):
    •  Identificación de Riesgos
    •  Análisis de Riesgos
    •  Evaluación de Riesgos
  • Decisión sobre la gestión de los riesgos (tratamiento de los riesgos según ISO 31000):
    • Evitar o Eliminar los riesgos
    • Aceptar los riesgos
    • Transferir los riesgos
    • Mitigar los riesgos, en cuyo caso se incluye la propuesta de controles (medidas de Seguridad) de los riesgos a mitigar.

En este sentido la metodología permite alimentar a los modelos de gestión de Seguridad basados en la mejora continua, como los derivados de la norma ISO 31000 en sus etapas de Planificación e Implementación.

Fig. 1. El Análisis de Riesgos en un modelo de mejora continua en la gestión de riesgos

En esas etapas la metodología GR2Sec aporta:

  • Planificación:
    • Permite definir el contexto (activos, amenazas y tiempos)
    • Determina el riesgo inherente tras analizar sus componentes
  • Implantación:
    • Proponiendo los controles (medidas de Seguridad) paliativos

En el siguiente esquema se presenta el desglose de procesos internos que se realizan mediante la metodología GR2Sec.

Fig. 2. Etapas de la metodología GR2Sec

Los fundamentos de la metodología parten de la adecuación de normativas internacionales bien asentadas como son ISO 31000 en el caso de la Seguridad denominada “Física” y de ISO 27001 en el de la Ciberseguridad.

El esquema general del proceso de Análisis utiliza una adaptación de la metodología Magerit II para su utilización por ambos tipos de riesgos, y las tablas de cálculo de impacto de la AS/NZS 4360 para el cálculo unificado de los impactos.

Fig. 3. Fuentes de inspiración y adaptaciones de la metodología GR2Sec

El esquema general de la metodología GR2Sec se puede observar en el siguiente gráfico:

Fig. 4. Esquema de la metodología GR2Sec

LA HERRAMIENTA

En los últimos años Cuevavaliente Ingenieros ha estado utilizando esta metodología internamente, para realizar los trabajos encomendados en los que el Análisis de Riesgos era parte fundamental, ya sea en Anteproyectos de Sistemas de Seguridad, asesoramiento a Departamentos de Seguridad en su planificación estratégica o, en los más de 40 PPE (Planes de Protección Específicos) en los que se ha colaborado con Operadores Críticos para el cumplimiento legal que afecta a sus Instalaciones Críticas.

Se trata, por tanto, de una metodología experimentada.

La evolución de los Departamentos de Seguridad en los que se gestiona un número considerable de activos, hacia los enfoques integrados de los riesgos deliberados (como propone la metodología ESRM), ha generado una demanda nueva: la de disponer de herramientas propias con las que ayudar a la Gestión de los Riesgos de forma interna.

La constatación de esta demanda ha llevado a Cuevavaliente Ingenieros a integrar la metodología GR2Sec en la plataforma de gestión GlobalSUITE ®.

GlobalSUITE® es una plataforma empleada por múltiples organizaciones españolas e internacionales y que permite la implantación, mantenimiento, automatización y monitorización de cualquier tipo de sistema de gestión de Riesgos, Seguridad, Continuidad de Negocio y Cumplimiento legal y Normativo.

La integración de la metodología GR2Sec en la plataforma GlobalSUITE® permite la realización de análisis de riesgos completamente integrales bajo una plataforma que llega a aglutinar la gestión completa de los riesgos, la Continuidad de Negocio y el Cumplimiento Legal, con cuadros de mando comunes y un mismo tipo de interfaz.

PASOS A DAR

Para implementar un análisis de riesgo integral se debe cómo mínimo considerar algunas decisiones críticas que determinarán las dificultades, costes y, sobretodo, los objetivos que podremos alcanzar tras la implantación.

Las decisiones principales serían:

  1. Definir objetivo y alcance del sistema de gestión de riesgo
  2. Definir la Metodología para abordar la gestión de riesgos integral:
    1. Utilizar una metodología contrastada, como GR2Sec
    2. A partir de metodologías existentes para cada tipo de riesgo, buscar sus puntos en común para diseñar una metodología unificada/armonizada
    3. Mantener metodologías diferentes para cada tipo de riesgo
  3. Seleccionar alternativa tecnológica para gestionar la información generada y por generar:
    1. Emplear hojas de cálculo (Microsoft Excel)
    2. Desarrollar una base de datos específica para la gestión de la información de riesgo
    3. Emplear herramientas software específicas para la gestión de riesgos, como GlobalSUITE®

Las siguientes tablas indican las principales características asociadas al camino seleccionado:

Cuevavaliente Ingenieros tiene una dilatada experiencia en acompañar a sus clientes en estos procesos de decisión y en los esfuerzos posteriores de implantación, tanto de análisis de riesgos como de sistemas de mejora continua en la gestión de riesgos. Lógicamente, esto incluye en muchas ocasiones tanto carga de datos existentes como formación sobre los procesos definidos y los usos de las herramientas o plataformas que permiten mantener y cargar los datos.

Referencias
1.- “10 años de Sistema PIC. Estudio de Situación 2017”, Fundación Borredá. Noviembre de 2017
2.- https://www.asisonline.org/About-ASIS/Who-We-Are/Whats-New/Pages/ASIS-Makes-ESRM-a-Global-Strategic-Priority.aspx
3.- www.cuevavaliente.com

Publicado en el número 449 de la revista Seguritecnia.

es

Previous post

INERCO desarrolla programas de gestión social para informar y sensibilizar sobre el programa de acceso a Internet en las regiones de Cusco, Ayacucho y Huancavelica

Next post

INERCO, PRESENTE EN EL SALÓN INTERNACIONAL DE LA SEGURIDAD SICUR2018

The Author

Enrique Bilbao Lázaro

Enrique Bilbao Lázaro

Director Técnico de Cuevavaliente Ingenieros - Grupo INERCO