Seguridad de la información y gestión de

riesgos
[1.1] ¿Cómo estudiar este tema?

[1.2] Seguridad de la información y gestión de riesgos

[1.3] Política de seguridad de la información

[1.4] UNE-ISO 31000: 2018 Gestión del Riesgo –Directrices

1
TEMA
 Análisis de Riesgos Legales

Esquema
 Análisis de Riesgos Legales

Ideas clave

1.1. ¿Cómo estudiar este tema?

Para estudiar este tema sigue las indicaciones recogidas a continuación.

Para conocer las bases sobre la gestión de riesgos, se recomiendan las siguientes lecturas:

» COSO.(2004). Enterprise Risk Management Framework.

https://www.coso.org/Documents/COSO-ERM-Executive-Summary.pdf

» NIST.(2012). Guide for conducting risk assessments. SP 800-30 Rev. 1.

https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final

» OCTAVE.Cert. 2002 Carnegie Mellon University.

http://www.cert.org/resilience/products-services/octave/

» La metodología Magerit de análisis y gestión de Riesgos de los Sistemas de Información,

desarrollado por Ministerio para las Administraciones Públicas:

https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Meto
dolog/pae_Magerit.html

» Referencias para la Gestión del Riesgo en Prince2:

https://jorgesaiz.com/blog/gestion-de-riesgos-en-prince2/
https://ciateq.repositorioinstitucional.mx/jspui/bitstream/1020/86/1/RudasTayoLeid
yP%20MDGPI%202017.pdf

A continuación, lee este tema y realiza las actividades propuestas. Puedes ampliarlo con
la bibliografía y recursos recomendados.

TEMA1 –Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

Un repaso a los estándares y metodologías de gestión de riesgos será una tarea

fundamental para decidir el modelo de gestión de riesgos más apropiado para nuestra
organización.

1.2. Seguridad de la información y gestión de riesgos

Garantizar la seguridad de la información es uno de los objetivos prioritarios de

cualquier organización, pues la información es uno de los activos más importantes con
los que cuentan las organizaciones y siempre ha estado amenazada, ya desde la
antigüedad se era consciente de la existencia de las amenazas a las que está expuesta
la información y se utilizaban medios para protegerla. Prueba de ello, es que Julio
César ya cifraba sus mensajes con el conocido procedimiento que lleva su nombre, pero
el auge en la implantación de las Tecnologías de la Información y las Comunicaciones
(TIC) ha incrementado el número de amenazas a las que está expuesta, así como la
probabilidad de materialización de dichas amenazas.

Para proteger la información, que en sí es algo inmaterial pero que reside en

diferentes tipos de soportes, como pueden ser las personas, los documentos escritos o
los sistemas informáticos, es necesario tomar las medidas de seguridad apropiadas para
garantizar el nivel de seguridad de la información que requiere una organización para
poder cumplir con sus objetivos de negocio.

La seguridad de la información debe formar parte de todos los procesos de negocio de

una organización, tanto en el caso de los procesos manuales como automatizados, ya
que en todos ellos interviene la información de la organización como parte
fundamental, teniendo en cuenta además que dichos procesos involucran a personas, a
tecnología y a relaciones con socios de negocio, clientes o terceros.

Para proteger adecuadamente la información de una organización, primero, hay que

dar respuesta a cuatro preguntas clave: QUÉ, DÓNDE, CÓMO y CUÁNDO.

Qué

Hay que garantizar el acceso, integridad, disponibilidad, autenticidad, confidencialidad,

trazabilidad y conservación de la información de la organización.

TEMA1 –Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

Tradicionalmente se considera que la seguridad de la información consta de las

siguientes dimensiones de la seguridad:

» Confidencialidad [C]
» Integridad [I]
» Disponibilidad [D]
» Autenticidad [A]
» Trazabilidad [T]

Adicionalmente a estas cinco dimensiones es necesario tener en cuenta otros dos

aspectos, garantizar el acceso y la conservación de la información, que pueden
llegar a considerarse parte de la dimensión «disponibilidad», pero que es necesario
tratar de forma específica por las características y peculiaridades de los mismos.

» Confidencialidad: Es la garantía de que la información no es conocida por

personas, organizaciones o procesos que no disponen de la autorización necesaria.

» Integridad: Es la garantía de que la información no se ha transformado ni

modificado de forma no autorizada durante su procesamiento, transporte o
almacenamiento, y que además permite detectar fácilmente las posibles
modificaciones que pudieran haberse producido.

» Disponibilidad: Es la garantía de que la información es accesible en el momento

en el que los usuarios autorizados (personas, organizaciones o procesos) tienen
necesidad de acceder a ella.

» Autenticidad: Es la garantía de la identidad del usuario que origina una información.

Permite conocer con certeza quién envía o genera una información específica.

» Trazabilidad: Es la garantía de que en todo momento se podrá determinar quién

hizo qué y en qué momento lo hizo.

» Conservación de la información: La conservación de la información no se debe

tratar de forma independiente, ya que junto con la utilización y acceso a la
información, forma parte del ciclo de vida de la misma. Es necesario contemplar
todas las fases del ciclo de vida de la información, teniendo en cuenta las diferentes
características de todos los tipos de soporte, tanto cuando este es el papel, como
cuando el soporte es electrónico.

TEMA1 –Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

La gestión de los dispositivos, de los soportes electrónicos y de los formatos utilizados

debe realizarse por medio de procedimientos orientados a garantizar la conservación de
la información, protegiendo a los soportes en los que reside, del deterioro, daño, robo o
acceso no autorizado. Estos procedimientos también deben contemplar los
procedimientos de destrucción o reutilización de soportes, que son de aplicación cuando
ha finalizado la vida útil de la información que contienen o la de los propios soportes.

» Acceso: Por acceso, se entiende la capacidad de poder utilizar los recursos de los
sistemas de información y comunicaciones que nos permiten acceder a la información.

Dónde

La información es almacenada, procesada y transmitida por los Sistemas de

Información y Comunicaciones (SIC), por lo tanto para garantizar la seguridad en
todas sus dimensiones y aspectos es necesario garantizar la seguridad de los Sistemas
de Información y Comunicaciones de forma global.

Un Sistema de Información y Comunicaciones es un conjunto de elementos

interrelacionados, personas, datos/información, procedimientos y recursos técnicos,
dedicados al proceso y gestión de la información que una organización necesita
para alcanzar sus objetivos de negocio.

Hay que proteger todos y cada uno de los elementos que forman parte del Sistema de
Información y Comunicaciones de la organización frente a las amenazas a las que se
encuentran expuestos, teniendo en cuenta sus características y vulnerabilidades.

Cómo

Deben contrarrestarse todas las amenazas a las que está expuesta la información de
una organización, por medio de la implantación de salvaguardas (controles) que
pueden actuar de alguna de las siguientes maneras:

» Minimizando la probabilidad de la materialización de una amenaza.

» Disminuyendo el impacto en la organización, si no se ha podido evitar la
materialización de una amenaza.
» Estableciendo procedimientos que permitan una recuperación rápida de los daños
sufridos y una vuelta a la operativa normal.
» Utilizando mecanismos que permitan modificar las salvaguardas de acuerdo con la
experiencia adquirida en los incidentes anteriores.

TEMA1 –Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

Cuándo

La información hay que protegerla durante todo su ciclo de vida, desde el momento en
el que el dato entra en el sistema, hasta el momento en que deja de ser útil y se procede
a su destrucción, pasando por todas las fases del ciclo de vida de la información,
almacenamiento, proceso, transmisión y utilización.

Análisis y gestión de riesgos

Para que una organización pueda garantizar de forma adecuada la seguridad de uno de
sus principales activos, la información, es necesario que analice y gestione los
riesgos a los que está expuesta.

Para que una organización pueda conocer los riesgos a los que está expuesta, debe
conocer el entorno, tanto externo como interno, en el que desarrolla sus procesos de
negocio;para alcanzar este conocimiento debe estudiar tanto fuentes externas, que le
aportarán información de riesgos generales, como fuentes internas, que le van a
permitir valorar el grado en el que los riesgos de carácter general le son de aplicación.
Una de las fuentes internas más importantes es el histórico de incidentes.

Por medio del análisis de riesgos, una organización obtiene el conocimiento de a que
está expuesta, le permite identificar los riesgos que le podrían impedir lograr sus
objetivos de negocio, determinando su magnitud e identificando las áreas que
requieren medidas de salvaguarda o controles en función del riesgo detectado.

El análisis de riesgos intenta que los criterios en los que se apoya la seguridad sean
más objetivos, permitiendo a la organización gestionar sus riesgos, y tomar decisiones
en base a los riesgos propios.

Teniendo en cuenta que la mitigación total de los riesgos es imposible, la gestión de

riesgos tiene como objetivo gestionar o tratar el riesgo hasta disminuir el riesgo
residual a los niveles asumibles por la dirección, y debe:

» Ser una parte integral de todos los procesos de negocio.

» Crear y proteger el valor.
» Formar parte de la toma de decisiones.
» Tratar explícitamente la incertidumbre.

TEMA1 –Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

» Ser sistemática, estructurada y oportuna.

» Estar basada en la mejor información posible.
» Ser adaptable.
» Integrar factores humanos y culturales.
» Ser transparente y participada por las partes interesadas de la organización.
» Ser dinámica, iterativa y responder a los cambios.
» Facilitar la mejora continua.

1.3. Política de seguridad de la información

La política de seguridad de la información recogerá las directrices y los principios

de alto nivel que rigen las actividades de seguridad de la organización; al igual que,
los objetivos y responsabilidades que se demandarán a los diferentes participantes en la
gestión de la seguridad de la información.

Una política de seguridad, como declaración de principios de la organización, debe

plasmar las directrices generales y principios de actuación que seguirá la
organización en materia de seguridad, así como la estrategia a seguir para la
definición de objetivos. La política de seguridad debe ser un documento robusto y a
la vez lo suficientemente preciso para que se pueda aplicar de forma horizontal en toda
la organización, de tal forma que desde el primero hasta el último pueda cumplirla. A
partir de ella, se desarrollará todo el cuerpo normativo y se establecerán los
procedimientos acordes.

La política de seguridad debe establecerse en términos de negocio e identificar las

características de la organización. Debe reflejar los objetivos en materia de
seguridad de la información, así como reflejar las obligaciones contractuales y
legales. La política de seguridad debe estar alineada con la estrategia de gestión de
riesgos de la organización y establecerlos criterios para la valoración de estos.
Finalmente, la política de seguridad debe estar aprobada por la alta dirección
como muestra de su patrocinio y compromiso con la seguridad.

TEMA1 –Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

El desarrollo de una política de seguridad debe ser un proceso robusto sobre el que se
sienten las bases para el éxito de la gestión de la seguridad en la organización.

1.4. UNE-ISO 31000: 2018 Gestión del Riesgo –Directrices

Esta norma proporciona a las organizaciones una herramienta para gestionar el

riesgo, que no es otra cosa que la incertidumbre que generan los factores e influencias
tanto internas y como externas a las que está expuesta una organización, y que pueden
poner en peligro el cumplimiento de sus objetivos.

Todas las actividades de una organización implican riesgos, que deben ser capaces de
afrontar, para ello las organizaciones deben
gestionar el riesgo identificándolo,
analizándolo y evaluándolo, para determinar si
es necesario modificarlo mediante un tratamiento
que satisfaga sus criterios de riesgo.

Para ello, a lo largo de todo el proceso de gestión del

riesgo, las organizaciones deben comunicar y
consultar a las partes interesadas aquellos aspectos que les afecten, y llevar a cabo una
revisión y seguimiento tanto del riesgo, como de los controles que lo modifican, con
el objeto de tener un conocimiento del nivel de riesgo al que está expuesta y facilitar
información para la tomar de decisiones, implantando tratamientos del riesgo
adicionales cuando sea necesario.

La UNE-ISO 31000 establece una serie de principios que se deben satisfacer para que
la gestión del riesgo sea eficaz. Para ello, recomienda a las organizaciones que deben
desarrollar e implementar un marco de referencia cuyo objetivo sea integrar el
proceso de gestión del riesgo en los procesos de gobierno, de estrategia y de
planificación, de gestión, y de elaboración de informes, así como en las políticas, los
valores y en la cultura de toda la organización. Todo ello dentro de un proceso de
mejora continua.

Esta norma, por medio de un enfoque comúnpara gestionar cualquier tipo de riesgo, en
cualquier industria de cualquier sector, de una manera sistemática, transparente y
fiable, dentro de cualquier alcance y de cualquier contexto, le hacen idónea para su

TEMA1 –Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

utilización en la gestión del riesgo en organizaciones de cualquier sector y

tamaño. Asimismo, esta norma puede utilizarse a lo largo de la vida de la organización
y puede aplicarse a cualquier actividad, incluyendo la toma de decisiones a todos los
niveles.

Uno de los puntos clave de esta norma consiste en la inclusión del «establecimiento
del contexto» como una actividad al comienzo de este proceso de gestión del riesgo.
El establecimiento del contexto permite captar los objetivos de la organización, el
entorno en el que se persiguen estos objetivos, las partes interesadas y la diversidad
de los criterios de riesgo. Todos estos elementos contribuyen a mostrar y evaluar la
naturaleza y complejidad de sus riesgos.

Características de una gestión del riesgo eficaz y eficiente:

» Es iterativa y asiste a las organizaciones a establecer su estrategia, lograr sus

objetivos y tomar decisiones informadas.
» Es parte de la gobernanza y el liderazgo, y es fundamental en la manera en que
se gestiona la organización en todos sus niveles. Esto contribuye a la mejora de los
sistemas de gestión.
» Es parte de todas las actividades asociadas con la organización e incluye la
interacción con las partes interesadas.
» Considera los contextos externo e interno de la organización, incluido el
comportamiento humano y los factores culturales.
» La gestión del riesgo está basada en los principios, el marco de referencia y el
proceso descritos en la norma.

Un proceso de gestión del riesgo implantado según los principios y directrices de

la UNE-ISO 31000 es una herramienta que ayuda a una organización a:

» Aumentar la probabilidad de alcanzar los objetivos.

» Fomentar una gestión proactiva.
» Ser consciente de la necesidad de identificar y tratar el riesgo en toda la organización.
» Mejorar la identificación de oportunidades y de amenazas.
» Cumplir los requisitos legales y reglamentarios.
» Mejorar la redacción de informes obligatorios y voluntarios.
» Mejorar el gobierno.
» Mejorar la seguridad y la confianza de las partes interesadas.

TEMA1 –Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

» Establecer una base fiable para la toma de decisiones y la planificación.

» Mejorar los controles.
» Asignar y utilizar de manera eficaz los recursos para el tratamiento del riesgo.
» Mejorar la eficacia y la eficiencia operacional.
» Aumentar las prestaciones en materia de salud y seguridad, así como la protección
ambiental.
» Mejorar la prevención de pérdidas y la gestión de incidentes.
» Minimizar las pérdidas.
» Mejorar el aprendizaje de la organización.
» Mejorar la resiliencia de la organización.

Figura 1. Principios, marco de referencia y proceso.

Principios

La UNE-ISO 31000 establece una serie de principios que deben aplicarse en la gestión
del riesgo para que esta sea eficaz. Estos principios deben ser adoptados por la
organización en la gestión de riesgos en todos sus niveles.

El propósito de la gestión del riesgo es la creación y la protección del valor.

Mejora el desempeño, fomenta la innovación y contribuye al logro de objetivos.

TEMA1 –Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

Los principios que se describen a continuación proporcionan orientación sobre las

características de una gestión del riesgo eficaz y eficiente, comunicando su valor y
explicando su intención y propósito. Los principios son el fundamento de la gestión del
riesgo y se deberían considerar cuando se establece el marco de referencia y los
procesos de la gestión del riesgo de la organización. Estos principios deberían habilitar
a la organización para gestionar los efectos de la incertidumbre sobre sus objetivos.

Figura 2. Principios.

» Integrada:

La gestión del riesgo no debe ser una actividad independiente y separada del resto de
las actividades y procesos principales de la organización. La gestión del riesgo forma
parte de las responsabilidades de gestión y es una parte integral de todos los procesos
de la organización, incluyendo tanto la planificación estratégica como a todos los
procesos de la gestión de proyectos y de cambios.

» Estructurada y exhaustiva:

Un enfoque estructurado y exhaustivo hacia la gestión del riesgo contribuye a

resultados coherentes y comparables.

TEMA1 –Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

» Adaptada

El marco de referencia y el proceso de la gestión del riesgo se adaptan y son

proporcionales a los contextos externo e interno de la organización relacionados con
sus objetivos.

» Inclusiva

La participación apropiada y oportuna de las partes interesadas permite que se

consideren su conocimiento, puntos de vista y percepciones. Esto resulta en una mayor
toma de conciencia y una gestión del riesgo informada.

» Dinámica

Los riesgos pueden aparecer, cambiar o desaparecer con los cambios de los contextos
externo e interno de la organización. La gestión del riesgo anticipa, detecta, reconoce y
responde a esos cambios y eventos de una manera apropiada y oportuna.

» Mejor información disponible

Las entradas a la gestión del riesgo se basan en información histórica y

actualizada, así como en expectativas futuras. La gestión del riesgo tiene en cuenta
explícitamente cualquier limitación e incertidumbre asociada con tal información y
expectativas. La información debería ser oportuna, clara y disponible para las
partes interesadas pertinentes.

» Factores humanos y culturales

El comportamiento humano y la cultura influyen considerablemente en todos los

aspectos de la gestión del riesgo en todos los niveles y etapas.

La gestión del riesgo permite identificar las aptitudes, las percepciones y las
intenciones de las personas externase internas que pueden facilitar o dificultar
el logro de los objetivos de la organización.

» Mejora continua

La gestión del riesgo mejora continuamente mediante aprendizaje y

experiencia.

TEMA1 –Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

La organización debe desarrollar e implementar estrategias para mejorar su madurez

en la gestión del riesgo en todos los demás aspectos de la organización.

Marco de referencia

El éxito de la gestión del riesgo en una organización depende de la eficacia del marco de
referencia de gestión que utilice y que deben proporcionarle las bases y las
disposiciones que le permitan su integración a todos los niveles en la gobernanza de
la organización, incluyendo la toma de decisiones, lo que requiere el apoyo de las partes
interesadas, particularmente de la alta dirección. El desarrollo del marco de referencia
implica integrar, diseñar, implementar, valorar y mejorar la gestión del riesgo a lo largo
de toda la organización.

Figura 3. Marco de referencia.

El marco de referencia debe facilitar una gestión eficaz del riesgo mediante la
aplicación del proceso de gestión del riesgo a diferentes niveles y dentro de contextos
específicos de la organización, garantizando que la información sobre el riesgo
obtenida en este proceso de gestión del riesgo se comunica y utiliza adecuadamente
como una base para la toma de decisiones, estableciendo la obligación de rendir
cuentas en todos los niveles pertinentes de la organización.

Las organizaciones deberían valorar sus prácticas y procesos actuales de la gestión del
riesgo, valorar cualquier brecha y abordar estas brechas en el marco de referencia.

TEMA1 –Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

Igualmente, deberían adaptar los componentes del marco de referencias y su forma de

trabajo en interrelación con las necesidades específicas de la organización.
organización

» Liderazgo y compromiso

La alta dirección y los órganos de

supervisión, cuando sea aplicable, deberían
asegurar que la gestión del riesgo esté
integrada en todas las actividades de la
organización y deberían demostrar el
daptando e
liderazgo y compromiso: adaptando
onentes del
implementando todos los componentes
marco de referencia; ublicando
publicando una
declaración o una política que establezca un
enfoque, un plan o una línea dee acción para
segurando que los
la gestión del riesgo; asegurando
recursos necesarios se asignan para g signando autoridad,
gestionar los riesgos; asignando
responsabilidad y obligación de rendir cuentas en los niveles apropiados de la
organización.

Esto ayudará a la organización

ión a:

» Alinear la gestión del riesgo con sus o

objetivos, estrategia y cultura.
omo sus compromisos voluntarios.
» Reconocer y abordar todas las obligaciones, así ccomo
» Establecer la magnitud y el tipo de riesgo que puede o no ser tomado para guiar el
desarrollo dee los criterios del riesgo, asegurando que se comunican a la organización
organiza
y a sus partes interesadas.
» Comunicar el valor de la gestión del riesgo a la organización y sus partes interesadas.
» Promover el seguimiento sistemático de los riesgos; asegurarse de que el marco de
referencia de la gestión del riesgo permanezca apropiado al contexto de la
organización.
 Análisis de Riesgos Legales

La alta dirección rinde cuentas por gestionar el riesgo

riesgo, mientras que los
órganos de supervisión rinden cuentas por la supervisión de la gestión del
riesgo. Frecuentemente se espera o se requiere que los órganos de supervisión se
aseguren de que:

» Los
os riesgos se consideran apropiadamente cuando se establezcan los
los objetivos de la
organización.
» Los
os sistemas para gestionar estos riesgos se iimplementen y operen eficazmente.
» Estos
stos riesgos sean apropiados en el contexto de los
los objetivos de la organización.
» Laa información sobre estos riesgos y su gestión se comunique
comunique de la forma apropiada.
» Que
ue comprendan los riesgos a los que hace frente la organización en la búsqueda de
sus objetivos.

» Integración

La integración de la gestión del riesgo

depende de la comprensión de las
estructuras y el contexto de la
organización. Las estructuras difieren
dependiendo del propósito, las metas y la
complejidad de esta. El riesgo
sgo se gestiona
en cada parte de la estructura de la
organización. Todos los miembros de ella
tienen la responsabilidad de gestionar el
riesgo.

La gobernanza guía el curso de la organización, sus relaciones externas e internas y las

reglas, los procesos y las
as prácticas necesarios para alcanzar su propósito. Las
estructuras de gestión convierten la orientación de la gobernanza en la estrategia y los
objetivos asociados requeridos para lograr los niveles deseados de desempeño
sostenible y de viabilidad en el llargo plazo. La determinación de los roles para la
rendición de cuentas y la supervisión de la gestión del riesgo son partes
integrales de la gobernanza de la organización.

La integración de la gestión del riesgo en la organización es un proceso dinámico e

iterativo, y se debería adaptar a las necesidades y a la cultura de la organización. La
gestión del riesgo debería ser una parte de, y no estar separada del propósito, la
 Análisis de Riesgos Legales

gobernanza,
obernanza, el liderazgo y compromiso, la estrategia, los objetivos y las operaciones de
la organización.

» Diseño

La segunda fase dentro del ma

marco de referencia es el diseño. En la fase de diseño se
deben realizar varias actividades:

Figura 4. Actividades en el diseño.

A continuación se describe cada una de las actividades que forman parte de la fase de
diseño del marco de referencia
referencia.
 Análisis de Riesgos Legales

Comprensión de la organización y de su contexto

La organización debería analizar y

comprender sus contextos externo e
interno cuando diseñe el marco de
referencia para gestionar el riesgo.

» Establecimiento del contexto externo.

externo El contexto externo es el entorno
externo en que la organización busca conseguir sus objetivos.

La comprensión del contexto externo es importante para asegurarse de que los

objetivos e inquietudes de las partes interesadas externas se tienen en cuenta cuando se
desarrollan los criterios de riesgo. El contexto externo se basa en el contexto a escala de
la organización, pero con detalles específicos de requisitos legales y
reglamentarios,, con las percepciones de las partes interesadas y con otros aspectos
de riesgos específicos del alcance del proceso de gestión del riesgo.

El contexto externo puede incluir, pero no se limita

limita al entorno social y cultural, político,
legal, reglamentario, financiero, tecnológico, económico, natural y competitivo, a nivel
internacional,
nal, nacional, regional o local, los factores y las tendencias clave que tengan
impacto en los objetivos de la organización y las relaciones con las partes interesadas
externas, sus percepciones y sus valores.

» Establecimiento del contexto interno

interno: El contexto interno es el entorno
interno en que la organización busca conseguir sus objetivos. El proceso de gestión
del riesgo debe alinearse con la cultura, los procesos, la estructura y la estrategia de
la organización.

El contexto interno lo constituye todo aquello que en el seno de la organización

organización puede
influir en la manera en la que gestionará el riesgo. Este contexto se debe establecer, ya
que la gestión del riesgo se realiza en el contexto de los objetivos de la
organización;; los objetivos y los criterios de un proyecto, de un proceso o de una
 Análisis de Riesgos Legales

actividad específicos se deben considerar a la vista de los objetivos de la organización

en su conjunto, y algunas organizaciones no reconocen todas las oportunidades que
les permiten conseguir sus objetivos en materia de estrategia, de proyecto o de negocio,
y esto afecta a la continuidad del compromiso, la credibilidad, la confianza y los valores
de la organización.

Es necesario comprender el contexto interno

interno.. Que puede incluir, pero no se limita a:
el gobierno, la estructura de la organización, las funciones y las responsabilidades; las
políticas, los objetivos y las estrategias que se establecen para conseguirlos; las
aptitudes, entendidas en términos de recursos y conocimientos (por ejemplo, capital,
tiempo, personas, procesos, sistemas y tecnologías);
tecnologías); la relaciones con las partes
internas interesadas, sus percepciones y sus valores; la cultura de la organización; los
sistemas de información, los flujos de información y los procesos de toma de decisiones
(tanto formales como informales); las no
normas,
rmas, las directrices y los modelos adoptados
por la organización; y la forma y extensión de las relaciones contractuales.

Articulación del compromiso con la gestión del riesgo

La alta dirección y los organismos

de supervisión, cuando sea
aplicable, deberían
erían articular y
demostrar su compromiso
continuo con la gestión del
riesgo mediante una política, una
declaración u otras formas que
expresen claramente los objetivos y
el compromiso de la organización
organiza
con la gestión del riesgo.

El compromiso debería incluir,

cluir, pero no limitarse a:

» El propósito de la organización para gestionar el riesgo y los vínculos con sus

objetivos y otras políticas.
» El refuerzo de la necesidad de integrar la gestión del riesgo en toda la cultura de la
organización.
» El liderazgo en la integración de la gestión del riesgo en las actividades principales
del negocio y la toma de decisiones.
 Análisis de Riesgos Legales

» Las autoridades, las responsabilidades y la obligación de rendir cuentas; la

disponibilidad de los recursos necesarios.
» La manera de manejar los objetivos en conflicto.
» La medición e informe como parte de los indicadores de desempeño de la
organización.
» La revisión y la mejora.

El compromiso con la gestión del riesgo se debería comunicar dentro de la organización

y a las partes interesadas,
sadas, de manera apropiada.

Asignación de roles, autoridades, responsabilidades y obligación de rendir

cuentas en la organización

La alta dirección y los órganos de

supervisión, cuando sea aplicable,
deberían asegurarse de que las
autoridades, las responsabilidades
nsabilidades
y la obligación de rendir cuentas
de los roles relevantes con
respecto a la gestión del riesgo se
asignen y comuniquen a todos los
niveles de la organización y deberían
enfatizar que la gestión del riesgo es una responsabilidad principal e
identificar
ntificar a las personas que tienen asignada la obligación de
d rendir
cuentas y la autoridad para gestionar el riesgo (dueños del riesgo).
 Análisis de Riesgos Legales

Asignación de recursos

La alta dirección y los

órganos de supervisión,
cuando sea aplicable,
deberían asegurar la
asignación de los recursos
apropiados para la gestión
del riesgo, que puede
incluir, pero no limitarse a:

» Las personas, las habilidades, la experiencia y las competencias.

» Los procesos, los métodos y las herramientas de la organización a utilizar para
gestionar el riesgo.
» Los
os procesos y procedimientos documentados.
» Los sistemas de gestión de la información y del conocimiento.
» Ell desarrollo profesional y las necesidades de formación.

La organización debería considerar las competencias y limitaciones de los recursos

existentes.
 Análisis de Riesgos Legales

Establecimiento de la comunicación y la consulta

La organización debería establecer un

enfoque aprobado con relación
a la comunicación y la consulta,
para apoyar el marco de referencia y
facilitar la aplicación eficaz de la
gestión
tión del riesgo. La comunicación
implica compartir información
con el público objetivo. La
consulta además implica que los
participantes proporcionen retroalimentación con la expectativa de que esta
sta contribuya
a las decisiones u otras actividades. Los méto
métodos
dos y el contenido de la comunicación y la
consulta deberían reflejar las expectativas de las partes interesadas, cuando sea
pertinente.

La comunicación y la consulta deberían ser oportunas y asegurar que se recopile,

consolide, sintetice y comparta la info
información
rmación pertinente, cuando sea apropiado, y que
se proporcione retroalimentación y se lleven a cabo mejoras.

» Implementación

La organización debería implementar el marco de referencia de la gestión del riesgo

mediante:

» Ell desarrollo de un plan apropiado incluyendo plazos y recursos.

» La
a identificación de dónde, cuándo, cómo y quién toma diferentes tipos de
decisiones en toda la organización.
 Análisis de Riesgos Legales

» Laa modificación de los procesos aplicables para la toma de d

decisiones,
ecisiones, cuando sea
necesario.
» El aseguramiento de que las disposiciones de la organización para gestionar el riesgo
son claramente comprendidas y puestas en práctica.

La implementación con éxito del marco de referencia requiere el compromiso y la

toma de conciencia de las partes interesadas. Esto permite a las organizaciones
abordar explícitamente la incertidumbre en la toma de decisiones, al tiempo que
asegura que cualquier incertidumbre nueva o subsiguiente se pueda tener en cuenta
cuando surja.

Si se diseña e implementa correctamente, el marco de referenci

referencia
a de la gestión del riesgo
asegurará que el proceso de la gestión del riesgo sea parte de todas
actividades en toda la organización, incluyendo la toma de decisiones, y que los
cambios en los contextos externo e interno se captarán de manera adecuada.

» Valoración

Una organización, para poder valorar la

eficacia y eficiencia del marco de
referencia de la gestión del riesgo
riesgo, debe
implantar métricas y mecanismos
que le permitan medir
periódicamente su desempeño, en
relación con el propósito de este,
valorando su comportamiento con
respecto a lo esperado para
a determinar
si el diseño y la implementación del
marco de trabajo siguen siendo idóneos
para dar soporte al cumplimiento de los
objetivos de la organización.
 Análisis de Riesgos Legales

» Mejora

Una organización debe llevar a cabo un

seguimiento continuo del proceso
de gestión del riesgo y adaptar el
marco de referencia de la gestión del
riesgo en función de los cambios de los
contextos externo e interno de la
organización. Esta adaptación permite a
la organización incrementar su valor.

Con esta mejora continua se persigue

mantener y, si es posible, incrementar la
eficacia, la eficiencia, la
a idoneidad y la
adecuación
decuación del marco de referencia de la gestión del riesgo a las necesidades de la
organización, así como la integración
integra del proceso de la gestión del riesgo en ella.
ella

Cuando se identifiquen brechas u oportunidades de mejora pertinentes, la organización

debería desarrollar planes y tareas y asignarlas a quienes tuviesen que rendir cuentas
de su implementación. Una vez implementadas, estas
estas mejoras deberían contribuir al
fortalecimiento de la gestión del riesgo.
 Análisis de Riesgos Legales

Proceso

Figura 5. Principios, marco de referencia y proceso.

Figura 6. Proceso.

El proceso de la gestión del riesgo implica la aplicación sistemática de políticas,

procedimientos y prácticas a las actividades de comunicación y consulta,
establecimiento del contexto y evaluación, tratamiento, seguimiento, revisión, registro
e informe del riesgo.
 Análisis de Riesgos Legales

El proceso de gestión del riesgo debe formar parte integral de la gestión de la

organización y de la toma de decisiones, para ello se debe integrar en la cultura,
en sus prácticas y procedimientos, y adaptarse a los procesos de negocio.

Los procesos de la gestión del riesgo pueden aplicarse a nivel estratégico, operacional,
de programa o de proyecto, y pueden darse diferentes aplicaciones o instancias del
proceso de la gestión del riesgo dentro de una organización, adaptadas cada una de
ellas para el logro de los objetivos concretos lograr objetivos, y deben ser apropiadas a
los contextos externo e interno en los cuales se aplican.

A lo largo del proceso de la gestión del riesgo se debería considerar la naturaleza

dinámica y variable del comportamiento humano y de los factores culturales.

Aunque el proceso de la gestión del riesgo se presenta frecuentemente como secuencial,

en la práctica es iterativo.

Comunicación y consulta

El propósito de la comunicación y consulta es asistir a las partes interesadas

pertinentes a comprender el riesgo, las bases con las que se toman decisiones y
las razones por las que son necesarias acciones específicas. La comunicación busca
promover la toma de conciencia y la comprensión del riesgo, mientras que la
consulta implica obtener retroalimentación e información para apoyar la toma
de decisiones. Una coordinación cercana entre ambas debería facilitar un intercambio
de información basado en hechos, oportuno, pertinente, exacto y comprensible,
teniendo en cuenta la confidencialidad e integridad de la información, así como el
derecho a la privacidad de las personas.

La comunicación y consulta con las partes interesadas apropiadas, externas e internas,

se deberían realizar en todas y cada una de las etapas del proceso de la gestión del
riesgo.

La comunicación y consulta pretende:

» Reunir diferentes áreas de experiencia para cada etapa del proceso de la gestión del
riesgo.

TEMA1 –Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

» Asegurar que se consideren de manera apropiada los diferentes puntos de vista

cuando se definen los criterios del riesgo y cuando se valoran los riesgos.
» Proporcionar suficiente información para facilitar la supervisión del riesgo y la toma
de decisiones.
» Construir un sentido de inclusión y propiedad entre las personas afectadas por el
riesgo.

Las comunicaciones y las consultas con las partes interesadas externas e internas
se deberían realizar en todas las etapas del proceso de gestión del riesgo.

Por ello, en una de las primeras etapas se deberán desarrollar los planes de
comunicación y consulta. Estos planes deberán tratar temas relativos al riesgo en sí
mismo, a sus causas, a sus consecuencias (si se conocen), y a las medidas a tomar para
tratarlo.

Se deberán realizar comunicaciones y consultas externas e internas eficaces para

asegurarse de que las personas responsables de la implementación del proceso de
gestión del riesgo y las partes interesadas comprenden las bases que han
servido para tomar decisiones y las razones por las que son necesarias
determinadas acciones.

Un enfoque consultivo en equipo puede ayudar a:

» Establecer adecuadamente el contexto.

» Asegurar que los intereses de las partes interesadas se comprenden y se tienen en
consideración.
» Asegurar que los riesgos se identifican adecuadamente.
» Reunir diferentes áreas de experiencia para analizar los riesgos.
» Tener en cuenta las diferentes opiniones de forma adecuada, al definir los criterios
de riesgo y en la valoración de los riesgos.
» Conseguir la aprobación y el apoyo para un plan de tratamiento.
» Favorecer una gestión del cambio adecuada durante el proceso de gestión del riesgo.
» Desarrollar un plan adecuado de comunicación y consultas externas e internas.

Las comunicaciones y consultas con las partes interesadas son importantes ya que estas
pueden emitir juicios sobre el riego basados en sus percepciones de riesgo. Estas
percepciones pueden variar debido a diferencias en los valores, las necesidades, las
hipótesis, los conceptos y las inquietudes de las partes interesadas. Como sus opiniones

TEMA1 –Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

pueden tener un impacto importante en las decisiones a tomar, las percepciones de las
partes interesadas se deberían identificar, registrar y tomar en consideración en el
proceso de toma de decisiones.

Las actividades de comunicación y consulta deben facilitar intercambios de

información que sean veraces, pertinentes, exactos y entendibles, teniendo en cuenta
los aspectos de la confidencialidad y la integridad de las personas.

Alcance, contexto y criterios

El propósito del establecimiento del alcance, contexto y criterios es adaptar el

proceso de la gestión del riesgo, para permitir una evaluación del riesgo eficaz y
un tratamiento apropiado del riesgo. El alcance, el contexto y los criterios implican
definir el alcance del proceso y comprender los contextos externo e interno.

» Definición del alcance

La organización debería definir el alcance de sus actividades de gestión del riesgo.

Como el proceso de la gestión del riesgo puede aplicarse a niveles distintos (por
ejemplo: estratégico, operacional, de programa, de proyecto u otras actividades), es
importante tener claro el alcance considerado, los objetivos pertinentes a considerar y
su alineamiento con los objetivos de la organización.

En la planificación del enfoque se incluyen las siguientes consideraciones:

» Los objetivos y las decisiones que se necesitan tomar.

» Los resultados esperados de las etapas a ejecutar en el proceso.
» El tiempo, la ubicación, las inclusiones y las exclusiones específicas.
» Las herramientas y las técnicas apropiadas de evaluación del riesgo.
» Los recursos requeridos, responsabilidades y registros a conservar.
» Las relaciones con otros proyectos, procesos y actividades.

» Contextos externo e interno

Los contextos externo e interno son el entorno en el cual la organización busca

definir y lograr sus objetivos.

TEMA1 –Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

El contexto del proceso de la gestión del riesgo se debería establecer a partir de la

comprensión de los entornos externo e interno en los cuales opera la organización y
debería reflejar el entorno específico de la actividad en la cual se va a aplicar el proceso
de la gestión del riesgo.

La comprensión del contexto es importante porque:

» La gestión del riesgo tiene lugar en el contexto de los objetivos y las actividades de la
organización.
» Los factores organizacionales pueden ser una fuente de riesgo.
» El propósito y alcance del proceso de la gestión del riesgo puede estar
interrelacionado con los objetivos de la organización como un todo.
» La organización debería establecer los contextos externo e interno del proceso de la
gestión del riesgo considerando los factores que se tuvieron en cuenta en la
elaboración del marco de referencia.

Mediante el establecimiento del contexto, la organización articula sus objetivos, define

los parámetros externos e internos a tener en cuenta en la gestión del riesgo y establece
el alcance y los criterios de riesgo para el proceso restante.

Aunque muchos de estos parámetros son similares a los considerados en el diseño del
marco de referencia de la gestión del riesgo, cuando se establece el contexto para el
proceso de gestión del riesgo tales parámetros se deben considerar en mayor detalle, y
en particular cómo están relacionados con el alcance del proceso particular de gestión
del riesgo.

Establecimiento del contexto del proceso de gestión del riesgo

Se deberían establecer los objetivos, las estrategias, el alcance y los parámetros de las
actividades de la organización, o de aquellas partes de la organización donde se aplica
el proceso de gestión del riesgo. La gestión del riesgo se debería emprender teniendo en
cuenta todo lo necesario para justificar los recursos que se han de utilizar para
llevarla a cabo.

También se deberían especificar los recursos requeridos, las responsabilidades y

autoridades, y los registros que se deben conservar.

TEMA1 –Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

El contexto del proceso de la gestión del riesgo variará de acuerdo con las
necesidades de la organización. Puede implicar, pero no se limita a:

» La definición de las metas y objetivos de las actividades de gestión del riesgo.

» La definición de las responsabilidades relativas al proceso de gestión del riesgo.
» La definición del alcance, así como el grado y la amplitud de las actividades de
gestión del riesgo a realizar, definiendo las inclusiones y exclusiones específicas.
» La definición de la actividad, del proceso, de la función, del proyecto, del producto,
del servicio o del activo, en términos de tiempo y de ubicación.
» La definición de las relaciones entre un proyecto, un proceso o una actividad
particular y otros proyectos, procesos o actividades de la organización.
» La definición de las metodologías de evaluación del riesgo.
» La definición del método para evaluar el desempeño y la eficacia en la gestión del riesgo.
» La identificación y la especificación de las decisiones a tomar.
» La identificación, el alcance o el marco de los estudios requeridos, su amplitud y sus
objetivos, así como los recursos necesarios para tales estudios.

Se deberían tener en cuenta estos y otros factores pertinentes para asegurar que el
enfoque adoptado de la gestión del riesgo es apropiado a las circunstancias, a la
organización y a los riesgos que afectan al logro de sus objetivos.

Definición de los criterios de riesgo

La organización debería definir los criterios que se aplican para evaluar la

importancia del riesgo, estableciendo su apetito al riesgo, en relación con los
objetivos de la organización, el nivel y tipo de riesgo que está dispuesta a asumir.

Los criterios deberían reflejar los valores, los objetivos y los recursos de la
organización. Algunos criterios pueden estar impuestos o derivarse de requisitos
legales o reglamentarios, o de otros requisitos suscritos por la organización, y deben
tener en cuenta los puntos de vista de las partes interesadas. Los criterios de
riesgo deberían ser coherentes con la política de gestión del riesgo de la organización,
definirse al comienzo de cualquier proceso de gestión del riesgo, y revisarse
continuamente.

Los criterios del riesgo se deberían alinear con el marco de referencia de la gestión del
riesgo y adaptar al propósito y al alcance específicos de la actividad considerada.

TEMA1 –Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

Al definir los criterios de riesgo, se deberían considerar una serie de factores entre los
cuales se incluyen los siguientes:

» La naturaleza y los tipos de riesgos que pueden afectar a los resultados y objetivos,
tanto tangibles como intangibles.
» Las consecuencias, tanto positivas como negativas, que se pueden producir, y cómo
se deben medir.
» El método de definición de la probabilidad.
» Los plazos de la probabilidad y/o de las consecuencias.
» El método para determinar el nivel de riesgo.
» La coherencia en el uso de los tipos de mediciones.
» Las opiniones de las partes interesadas.
» El nivel al que el riesgo comienza a ser aceptable o tolerable.
» Si se deberían tener en cuenta combinaciones de riesgos múltiples y, en caso
afirmativo, cómo y qué combinaciones se deberían considerar.
» La capacidad de la organización.

Evaluación del riesgo

La evaluación del riesgo es el proceso global de identificación, de análisis y de

valoración del riesgo.

La evaluación del riesgo se debería llevar a cabo de manera sistemática, iterativa y

colaborativa, basándose en el conocimiento y los puntos de vista de las partes
interesadas. Se debería utilizar la mejor información disponible, complementada por
investigación adicional, si fuese necesario.

Identificación del riesgo

El propósito de la identificación del riesgo es encontrar, reconocer y describir los

riesgos que pueden ayudar o impedir a una organización lograr sus objetivos.

La organización debería identificar los orígenes de riesgo, las áreas de impactos,

los sucesos (incluyendo los cambios de circunstancias), así como sus causas y sus
consecuencias potenciales.

El objetivo de esta etapa consiste en generar una lista de riesgos exhaustiva basada en

TEMA1 –Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

aquellos sucesos que podrían crear, mejorar, prevenir, degradar, acelerar o retrasar el
logro de los objetivos. Es importante identificar los riesgos asociados al hecho de no
buscar una oportunidad. Es esencial realizar una identificación exhaustiva, ya que
un riesgo que no se identifica en esta etapa no se incluirá en análisis posteriores.

La identificación debería incluir los riesgos, tanto si su origen está o no bajo el

control de la organización, incluso aunque el origen o la causa del riesgo no pueda
ser evidente. La identificación del riesgo debería incluir el examen de los efectos en
cadena de consecuencias particulares, incluyendo los efectos en cascada o
acumulativos. También debería considerar un amplio rango de consecuencias, incluso
aunque el origen o la causa del riesgo no puedan ser evidentes. Además de identificar lo
que podría ocurrir, es necesario considerar las posibles causas y escenarios que
muestran las consecuencias que se pueden producir. Todas las causas y consecuencias
significativas se deberían tener en consideración.

La organización debería aplicar herramientas y técnicas de identificación del

riesgo que se adapten a sus objetivos y aptitudes, así como a los riesgos a los que está
expuesta. Para la identificación de los riesgos es esencial disponer de información
pertinente y actualizada. Siempre que sea posible, esta información debería ir
acompañada de antecedentes apropiados. En la identificación de los riesgos deberían
intervenir personas con conocimientos apropiados.

Para la identificación del riesgo se deberían considerar los siguientes factores y la

relación entre ellos:

» Las fuentes del riesgo, tanto tangibles como intangibles.

» Los eventos y sus causas.
» Las oportunidades y las amenazas.
» Las vulnerabilidades y las capacidades.
» Los cambios en los contextos interno y externo.
» Los indicadores de riesgos emergentes.
» El valor y la naturaleza de los activos y de los recursos.
» Las consecuencias y sus impactos en los objetivos de la organización.
» Las limitaciones de la información disponible, tanto de conocimiento como de
confiabilidad.
» Los factores temporales.
» Las percepciones, las creencias, los supuestos y los sesgos de las personas
involucradas.

TEMA1 –Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

Análisis del riesgo

El propósito del análisis del riesgo es comprender la naturaleza del riesgo y sus
características, incluyendo, cuando sea apropiado, el nivel del riesgo. Este análisis del
riesgo conlleva un estudio detallado que tenga en consideración las incertidumbres, las
fuentes de riesgo, las consecuencias, las probabilidades de ocurrencia, los eventos, de
los escenarios, los controles implantados y su eficacia.

El análisis del riesgo implica desarrollar una comprensión del riesgo. El análisis del
riesgo proporciona elementos de entrada para la valoración del riesgo y para tomar
decisiones acerca de si es necesario tratar los riesgos, así como las estrategias y los
métodos de tratamiento del riesgo más apropiados. El análisis del riesgo también
puede proporcionar elementos de entrada para tomar decisiones cuando se deben
hacer elecciones, y las opciones implican diferentes tipos de niveles de riesgo.

El análisis del riesgo implica la consideración de las causas y las fuentes del riesgo,
sus consecuencias positivas y negativas, y la probabilidad de que estas consecuencias
puedan ocurrir. Se deberían identificar los factores que afectan a las consecuencias y a
la probabilidad. El riesgo se analiza determinando las consecuencias y su
probabilidad, así como otros atributos del riesgo. Un suceso puede tener múltiples
consecuencias y puede afectar a múltiples objetivos. También se deberían tener en
cuenta los controles existentes, así como su eficacia y su eficiencia.

El análisis del riesgo debería considerar factores tales como:

» Las consecuencias de los eventos y la probabilidad de su ocurrencia.

» La magnitud y naturalezas de las consecuencias.
» Las interrelaciones y su complejidad.
» Los factores temporales y la volatilidad.
» La eficacia de los controles existentes.
» Los niveles de confianza y sensibilidad.

La forma de expresar las consecuencias y la probabilidad, así corno la manera en que

estas se combinan para determinar un nivel de riesgo, debería corresponder al tipo de
riesgo, a la información disponible y al objetivo para el que se utiliza el resultado de la
evaluación del riesgo. Todos estos datos deberían ser coherentes con los criterios de

TEMA1 –Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

riesgo. También es importante considerar la interdependencia de los diferentes

riesgos y de sus fuentes.

La confianza en la determinación del nivel de riesgo y su sensibilidad a las

condiciones previas y a las hipótesis se debería considerar en el análisis y comunicar de
manera eficaz a las personas que han de tornar decisiones y, cuando corresponda, a
otras partes interesadas. Factores tales como las diferencias de opinión entre expertos,
la incertidumbre, la disponibilidad, la calidad, la cantidad y la validez de la pertinencia
de la información, o las limitaciones respecto a modelos establecidos se deberían
indicar y pueden resaltarse.

El análisis del riesgo se puede realizar con diferentes grados de detalle,

dependiendo del riesgo, de la finalidad del análisis y de la información disponible y
confiabilidad, así corno de los datos y los recursos disponibles. Las técnicas de análisis
empleadas pueden ser cualitativas, semicuantitativas o cuantitativas, o una
combinación de estas, dependiendo de las circunstancias y del uso previsto.

Las consecuencias y su probabilidad se pueden determinar realizando el modelo de

los resultados de un suceso o conjunto de sucesos, o por extrapolación de estudios
experimentales o de datos disponibles. Las consecuencias se pueden expresar en
términos de impactos tangibles o intangibles. En algunos casos, se requiere más de un
valor numérico o descriptor para especificar las consecuencias y su probabilidad para
diferentes momentos, lugares, grupos o situaciones.

El análisis del riesgo puede estar influido por cualquier divergencia de opiniones,
sesgos, percepciones del riesgo y juicios. Las influencias adicionales son la
calidad de la información utilizada, los supuestos y las exclusiones establecidas,
cualquier limitación de las técnicas y cómo se ejecutan estas. Dichas influencias se
deberían considerar, documentar y comunicar a las personas que toman decisiones.

Los eventos de alta incertidumbre pueden ser difíciles de cuantificar. Esto

puede ser una cuestión importante cuando se analizan eventos con consecuencias
severas. En tales casos, el uso de una combinación de técnicas generalmente
proporciona una visión más amplia.

El análisis del riesgo proporciona una entrada para la valoración del riesgo, para
las decisiones sobre la manera de tratar los riesgos y si es necesario hacerlo y sobre la

TEMA1 –Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

estrategia y los métodos más apropiados de tratamiento del riesgo. Los resultados
proporcionan un entendimiento profundo para tomar decisiones, cuando se está
eligiendo entre distintas alternativas y las opciones implican diferentes tipos y niveles
de riesgo.

Valoración del riesgo

El propósito de la valoración del riesgo es ayudar a la toma de decisiones.

La valoración del riesgo implica comparar el nivel de riesgo obtenido como

resultado del proceso de análisis del riesgo con los criterios de riesgo
establecidos. Con base en esta comparación, se puede tomar la decisión de:

» No tomar ninguna acción más.

» Considerar opciones para el tratamiento del riesgo.
» Realizar un análisis adicional para comprender mejor el riesgo.
» Mantener los controles existentes.
» Reconsiderar los objetivos.

Para las decisiones se debería tener en cuenta el contexto más amplio del riesgo e
incluir la consideración de la tolerancia del riesgo por otras partes diferentes de la
organización, que se benefician del riesgo. Las decisiones se deberían tomar de acuerdo
con requisitos legales, reglamentarios y requisitos de otro tipo.

En algunas circunstancias, la valoración del riesgo puede llevar a la decisión de realizar

un análisis en mayor profundidad.

La valoración del riesgo también puede llevar a la decisión de no tratar el riesgo de

ninguna otra manera que manteniendo los controles existentes. Esta decisión estará
influenciada por la actitud ante el riesgo por parte de la organización y por los criterios
de riesgo que se hayan establecido.

Tratamiento del riesgo

El tratamiento del riesgo implica la selección y la implementación de una o varias

opciones para modificar los riesgos.

TEMA1 –Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

Una vez realizada la implementación, los tratamientos proporcionan o modifican los

controles.

El tratamiento del riesgo supone un proceso cíclico de:

» Formular y seleccionar opciones para el tratamiento del riesgo.

» Planificar e implementar el tratamiento del riesgo.
» Evaluar la eficacia del tratamiento del riesgo.
» Decidir si los niveles de riesgo residual son tolerables.
» Si no son tolerables, efectuar un tratamiento del riesgo adicional.

Selección de opciones de tratamiento del riesgo

La selección de las opciones más apropiada de tratamiento del riesgo implica

efectuar un balance entre los beneficios potenciales, derivados del logro de los contra
los costes y los esfuerzos de implementación en función de las ventajas que se
obtengan, teniendo en cuenta los requisitos legales, reglamentarios y de otro tipo, tales
como la responsabilidad social y la protección del entorno natural. Las decisiones
también se deberían tomar teniendo en cuenta los riesgos cuyo tratamiento no es
justificable en el plano económico, por ejemplo, riesgos severos (consecuencias
altamente negativas) pero raros (baja probabilidad).

Las opciones de tratamiento del riesgo no se excluyen necesariamente unas a otras,

ni son apropiadas en todas las circunstancias.

Las opciones pueden incluir lo siguiente:

» Evitar el riesgo decidiendo no iniciar o continuar con la actividad que causa el

riesgo.
» Aceptar o aumentar el riesgo a fin de perseguir una oportunidad.
» Eliminar la fuente del riesgo.
» Modificar la probabilidad.
» Modificar las consecuencias.
» Compartir el riesgo con otras partes (incluyendo los contratos y la financiación del
riesgo).
» Retener el riesgo en función de una decisión informada.

Un determinado número de opciones de tratamiento se puede considerar y aplicar

TEMA1 –Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

bien individualmente o bien en combinación.

Normalmente, la organización puede beneficiarse de la adopción de una combinación

de opciones de tratamiento.

La justificación del tratamiento del riesgo deber ser más amplia que unas simples
consideraciones de carácter económico, y debería tener en cuenta todas las
obligaciones de la organización, los compromisos voluntarios y los puntos de vista de
las partes interesadas. La selección de las opciones para el tratamiento del riesgo
debería realizarse de acuerdo con los objetivos de la organización, los criterios del
riesgo y los recursos disponibles.

Al seleccionar opciones de tratamiento del riesgo, la organización debería tener en

consideración los valores y las percepciones de las partes interesadas y los medios más
apropiados para comunicarse con ellas. Cuando las opciones de tratamiento del riesgo
puedan impactar sobre el riesgo en cualquier otra parte de la organización o en las
partes interesadas, estas se deberían involucrar en la decisión. A igual eficacia, algunos
tratamientos del riesgo pueden ser más aceptables que otros para algunas partes
interesadas.

Los tratamientos del riesgo, a pesar de un cuidadoso diseño e implementación, pueden

no producir los resultados esperados y pueden producir consecuencias no
previstas, nuevos riesgos.

El tratamiento del riesgo también puede introducir riesgos secundarios que

necesitan que se aprecien, se traten, se realice seguimiento y se revisen. Estos riesgos
secundarios se deberían incorporar en el mismo plan de tratamiento que el riesgo
original, y no tratarse como riesgos nuevos. La relación entre los dos riesgos debería
identificarse y mantenerse.

El fallo o la ineficacia de las medidas de tratamiento del riesgo pueden

constituir un riesgo importante; por ello, el seguimiento y la revisión necesitan ser
parte integral de la implementación del tratamiento del riesgo para asegurar que las
distintas formas del tratamiento sean eficaces y conserven dicha eficacia a lo largo del
tiempo.

TEMA1 –Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

Si no hay opciones disponibles para el tratamiento o si las opciones para el tratamiento

no modifican suficientemente el riesgo, este se debería registrar y mantener en
continua revisión.

Las personas que toman decisiones y otras partes interesadas deberían ser
conscientes de la naturaleza y el nivel del riesgo residual después del
tratamiento del riesgo. El riesgo residual se debería documentar y ser objeto de
seguimiento, revisión y, cuando sea apropiado, de tratamiento adicional.

Preparación e implementación de los planes de tratamiento del riesgo

La finalidad de los planes de tratamiento del riesgo consiste en documentar la manera

en que se implantarán las opciones de tratamiento elegidas, de tal forma que las
personas involucradas comprendan las acciones que se van a tomar y pueda realizarse
el seguimiento del avance del plan respecto a lo planificado.

El plan de tratamiento del riesgo debería identificar claramente la prioridad en la

implementación de los diferentes tratamientos individuales.

La información proporcionada en los planes de tratamiento debería incluir lo

siguiente:

» Las razones que justifican la selección de las opciones de tratamiento, incluyendo los
beneficios previstos.
» Las personas responsables de la aprobación del plan y las personas responsables de
la implementación del plan.
» Las acciones propuestas.
» Las necesidades de recursos, incluyendo las contingencias.
» Las medidas del desempeño y las restricciones.
Los requisitos en materia de información y de seguimiento.
El calendario y la programación.

Los planes de tratamiento deberían integrarse en los procesos de gestión de la

organización y discutirse con las partes interesadas apropiadas.

El avance en la implantación de los planes de tratamiento del riesgo

proporciona una medida del funcionamiento.

TEMA1 –Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

Las personas que toman decisiones y las otras partes interesadas deberían estar
enteradas de la naturaleza y amplitud del riesgo residual después del
tratamiento del riesgo. El riesgo residual se debería documentar y someter a
seguimiento, revisión y, cuando sea apropiado, a tratamiento adicional.

Seguimiento y revisión

El propósito del seguimiento y revisión es asegurar y mejorar la calidad y la

eficacia del diseño, la implementación y los resultados del proceso.

El seguimiento continuo y la revisión periódica deberían planificarse en el proceso de

tratamiento del riesgo y someterse a una verificación o una vigilancia regular. Esta
verificación o vigilancia puede ser periódica o eventual.

Las responsabilidades del seguimiento y de la revisión deberían estar claramente

definidas.

El seguimiento y la revisión deberían tener lugar en todas etapas del proceso de

gestión del riesgo. Las actividades de seguimiento y revisión incluyen planificar,
recopilar y analizar información, registrar resultados y proporcionar retroalimentación.

Los procesos de seguimiento y de revisión de la organización deberían abarcar todos los

aspectos del proceso de gestión del riesgo, con la finalidad de:

» Asegurar que los controles son eficaces y eficientes tanto en su diseño como en su
utilización.
» Obtener la información adicional para mejorar la evaluación del riesgo.
» Analizar y sacar conclusiones de los sucesos, cambios, tendencias, éxitos y fallos.
» Detectar los cambios en el contexto interno y externo, incluidos los cambios en los
criterios de riesgo y en el propio riesgo, que puedan requerir la revisión de los
tratamientos de riesgo y de las prioridades.
» Identificar los riesgos emergentes.

Los resultados del seguimiento y revisión se deberían incorporar a todas las

actividades de gestión del funcionamiento global de la organización y a su
medición.

TEMA1 –Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

Los resultados del seguimiento y de la revisión se deberían registrar e incluir en

informes internos y externos, según sea apropiado, y también se deberían utilizar como
elementos de entrada para la revisión del marco de referencia de la gestión del
riesgo.

Registro e informe del proceso de gestión del riesgo

Las actividades de gestión del riesgo deberían ser trazables. En el proceso de

gestión del riesgo los registros y los informes proporcionan la base para la mejora de los
métodos y de las herramientas, así como del proceso en su conjunto.

Los registros y los informes tienen por objeto comunicar las actividades de la gestión
del riesgo y sus resultados a toda la organización, proporcionando la información
necesaria para la toma de decisiones, para la mejora de las partes interesadas,
especialmente a aquellas que tienen la responsabilidad y la obligación de rendir cuentas
de las actividades de la gestión del riesgo.

Las decisiones relativas a la creación de registros deberían tener en cuenta:

» Las necesidades de la organización en materia de aprendizaje continuo.

» Los beneficios de reutilizar la información para fines de gestión.
» Los costes y los esfuerzos que suponen la creación y el mantenimiento de los registros.
» Las necesidades legales, reglamentarias y operacionales para efectuar los registros.
» El método de acceso, la facilidad de recuperación y los medios de almacenaje.
» El período de conservación.
» El carácter sensible de la información.
» El contexto de la organización.

La elaboración de informes forma parte integral de la gobernanza de la organización.

Los informes deben mejorar la calidad del diálogo con las partes interesadas, y apoyar a
la alta dirección y a los órganos de supervisión a cumplir con sus responsabilidades.

TEMA1 –Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

Entre los factores a considerar a la hora de elaborar los informes se incluyen, pero no se
limitan a:

» A las necesidades y requisitos específicos de información de las partes interesadas.

» El momento, la frecuencia y el coste de elaboración de los informes.
» Los métodos de elaboración y comunicación.
» La pertinencia de la información que se incluye en los mismos con respecto a los
objetivos de la organización y la toma de decisiones.

TEMA1 –Ideas clave © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

Lo + recomendado

No dejes de ver…

Análisis de riesgos

Para efectuar un análisis de riesgos es necesario saber a lo que nos enfrentamos, las
habilidades tradicionales que una organización necesita en seguridad de la información
actualmente no son tan efectivas para protegerla contra incidentes cibernéticos.

Accede a los vídeos a través del aula virtual o desde las siguientes direcciones web:
https://www.youtube.com/watch?v=7UPe_fxOz8M
http://www.youtube.com/watch?v=_1ni_tjjVDQ
https://www.youtube.com/watch?v=JXDUKotmsWQ
https://www.youtube.com/watch?v=9NrDVNI9qLM
 Análisis de Riesgos Legales

ENISA

En este enlace podrás ver los vídeos elaborados por ENISA (European Union Agency
for Network and Information Security).

Accede a los vídeos a través

vés del aula virtual o desde la siguiente dirección web:
https://www.enisa.europa.eu/media/multimedia/material/awareness
https://www.enisa.europa.eu/media/multimedia/material/awareness-raising
raising-video-
clips

OSI

En este enlace podrás ver historias reales sobre incidentes que le pasan a la gente cada
día.

Accede a los vídeos a través

vés del aula virtual o desde la siguiente dirección web:
https://www.osi.es/es/actualidad/historias
https://www.osi.es/es/actualidad/historias-reales
 Análisis de Riesgos Legales

+ Información

A fondo

Gerencia de riesgos informáticos

Artículo publicado en Trébol en 2006 por Esther Cerdeño—Subdirectora Informática

Técnica — MAPFRE REASEGUROS (España) relativo a la gerencia de riesgos
informáticos.

Accede al documento a través del aula virtual o desde la siguiente dirección web:
http://www.mapfre.com/documentacion/publico/i18n/catalogo_imagenes/grupo.cmd
?path=1035723

Análisis de riesgos dinámicos en sistemas de información

Este trabajo de David López Cuenca hace un recorrido por las principales corrientes
que buscan sacar partido a este potencial, englobadas principalmente bajo el concepto
de Análisis de Riesgos Dinámico, cuyo principio es la actualización incesante de los
parámetros que intervienen en el cálculo del riesgo para la optimización de su
tratamiento posterior.

Accede al documento a través del aula virtual o desde la siguiente dirección web:
http://eprints.ucm.es/16931/1/PFM_2012_-_David_L%C3%B3pez_Cuenca_-
_An%C3%A1lisis_de_Riesgos_Din%C3%A1micos_en_Sistemas_de_Informaci%C3%B
3n.pdf

TEMA1 – + Información © Universidad Internacional de La Rioja(UNIR)

 Análisis de Riesgos Legales

Managing Cyber Risk: A Handbook for UK Boards of Directors

Este manual fue elaborado por Internet Security Alliance en función de los cinco
siguientes principios:

» Los directores deben comprender y abordar la ciberseguridad como un problema de

gestión de riesgos en toda la empresa, no solo como un problema de TI.
» Los directores deben comprender las implicaciones legales de los ciber-riesgos en
relación con las circunstancias específicas de su empresa.
» El Consejo de Administración debe tener acceso a información y conocimientos
adecuados en ciberseguridad, y las deliberaciones sobre la gestión del riesgo
cibernético deben formar parte de las agendas de las reuniones de la junta.
» Los directores deben asegurarse de establecer un marco de gestión de los
ciberriesgos para toda la empresa, con personal y presupuesto adecuados.
» Las deliberaciones del Consejo de Administración sobre los ciberriesgos deben
incluir la identificación de qué riesgos evitar, cuáles aceptar y cuáles mitigar o
transferir a través de un seguro, así como planes específicos asociados con cada
enfoque.

Accede al documento a través del aula virtual o desde la siguiente dirección web:
https://www.aig.co.uk/content/dam/aig/emea/united-
kingdom/documents/Insights/cyberrisk-directors-handbook.pdf

Gestión de Riesgo – Una guía de aproximación para el empresario

En esta guía publicada por INCIBE se introducen los conceptos y procesos comunes a
toda actividad de gestión de riesgos y muestra la aplicación de estos conceptos y
procesos a la seguridad de la información.

Accede al documento a través del aula virtual o desde la siguiente dirección web:
https://www.incibe.es/extfrontinteco/img/File/empresas/guias/Guia_gestion_riesgos
/guiagestionriesgos.pdf

TEMA1 – + Información © Universidad Internacional de La Rioja(UNIR)

 Análisis de Riesgos Legales

Actividades

Trabajo grupal: Gestión del riesgo en una organización. Parte I

Objetivos

A través de esta actividad conocerás cómo evaluar y tratar el riesgo en seguridad de la

información en una organización utilizando las mejores prácticas de arquitectura
empresarial. Asimismo, practicarás:

» El estándar ISO 31000 y su concreción para Seguridad de la Información, el ISO

27005.
» El estándar TOGAF y su lenguaje de modelado, Archimate, para el modelado de la
arquitectura empresarial de una organización.
» La taxonomía de activos más relevantes en capa de negocio.
» La taxonomía de activos más relevantes en capa de aplicación.
» La taxonomía de activos más relevantes en entornos TI y OT.
» La criticidad de los activos en términos de seguridad, lo que permitirá su valoración
conforme a un análisis de impacto en el negocio (BIA).
» La propagación de la criticidad y los impactos de los incidentes de seguridad a
través del modelo de arquitectura empresarial definido.

Descripción

Se procederá a realizar un modelo de arquitectura empresarial utilizando para ello una

plataforma tecnológica especializada:

» Identificando activos en capa de negocio (información y servicios, procesos, etc.).

» Identificando activos en capa de aplicación (sistemas, aplicaciones, etc.).
» Identificando activos en capa de tecnología (máquinas físicas, virtuales,
hipervisores, sistemas de almacenamiento, electrónica de red, etc.).
» Definiendo dependencias entre los activos para concretar las posibles
propagaciones de incidentes con consecuencias sobre la confidencialidad,
integridad y disponibilidad de la información. Se detallará el posible grado de
dependencia (100% o total, 50% o parcial, etc.).

TEMA1 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

» Valorando los activos desde la perspectiva de la seguridad mediante un análisis de

impacto en el negocio (BIA).

Rúbrica

Gestión del
Puntuación
Riesgo en una Peso
Descripción máxima
organización %
(puntos)
(parte 1)
Contiene un mínimo de cinco activos en capa de
2
Criterio 1 negocio, cinco en capa de aplicación y cinco en capa de 20%
tecnología.
Se han definido dependencias y grados de dependencia
Criterio 2 entre los activos coherentes con una posible realidad 2 20%
empresarial.
Se ha definido una tabla con criterios de valoración
Criterio 3 detallados para cada criterio de impacto y cada 3 30%
dimensión de valoración.
Se han evaluado activos conforme a criterios de
Criterio 4 valoración detallados, por criterio de impacto y 3 30%
dimensión de valoración.
10 100 %

Extensión

La memoria deberá contener capturas de pantalla y comentarios que permitan valorar

la rúbrica anterior sin necesidad de recurrir a la plataforma tecnológica utilizada. Se
deberán incluir:

» Un mínimo de quince activos y un máximo de veinte en total, de los cuales habrá al

menos cinco en cada capa (negocio, aplicación, tecnología).
» Una tabla con los criterios de valoración detallados para cada combinación de
criterio de impacto (negocio, legal, regulatorio, estatutario, contractual, etc.) y
dimensión de valoración o tipología de incidente (confidencialidad, integridad y
disponibilidad).
» Valoración de la información de negocio y de los servicios de negocio conforme a los
criterios detallados.
» Capturas para demostrar que has analizado y comprendes la propagación en
cascada de la valoración de activos sobre las aplicaciones y sistemas.
» Capturas para demostrar que has analizado y comprendes la propagación en
cascada de la valoración de activos sobre los más relevantes de la capa de
tecnología.

TEMA1 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

Organización y gestión de equipos

En el foro «Pregúntale al profesor» de la asignatura encontrarás un nuevo tema

específico para la organización de equipos donde el profesor explicará todos los
detalles.

Una vez cerrado el equipo de trabajo os podéis poner en contacto a través de vuestras
cuentas @comunidadunir.net y comenzar a trabajar. Puedes ampliar la información
sobre el trabajo en equipo, consultando los Tutoriales de trabajo en grupo.

IMPORTANTE: Aquellos estudiantes que no comiencen su trabajo dentro de

los 7 primeros días, contados a partir del día de inicio de la actividad, quedarán
excluidos de la actividad, no pudiendo tomar parte en ella. Se trata de una actividad
colaborativa, por lo que unos estudiantes no pueden beneficiarse del trabajo que hayan
realizado sus compañeros.

Entrega de la actividad grupal

Al finalizar la actividad grupal, todos los miembros del equipo entregarán la misma
actividad a través del apartado «Envío de actividades» del aula virtual. El documento a
entregar debe ir nombrado así:
APELLIDO1_APELLIDO2_NOMBRE_Titulo_actividad (sin tildes ni apóstrofes ni
ningún otro carácter que pudiera resultar conflictivo).

Todos los miembros del equipo deben hacer la entrega en el aula

virtual y deben adjuntar el mismo documento.

TEMA1 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

Indica en la actividad el nombre de todos los componentes del equipo y cumplimenta la

siguiente tabla de valoración individual:

Sí No A veces

Todos los miembros se han integrado al trabajo del grupo

Todos los miembros participan activamente

Todos los miembros respetan otras ideas aportadas

Todos los miembros participan en la elaboración del informe

Me he preocupado por realizar un trabajo cooperativo con mis

compañeros

Señala si consideras que algún aspecto del trabajo en grupo no ha

sido adecuado

TEMA1 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

Test

1. La gestión del riesgo:

A. Crea y protege el valor.
B. Contribuye de manera intangible al logro de los objetivos.
C. Es una actividad independiente.
D. Es una responsabilidad exclusiva de la dirección.

2. ¿Cuál de las siguientes no forma parte del contexto externo de una organización?
A. La inestabilidad política.
B. Una situación de sequía permanente.
C. Un conflicto laboral sectorial.
D. Un cambio organizativo.

3. ¿Cuál de las siguientes no forma parte del contexto interno de una organización?
A. El CRM del que dispone la organización.
B. La relación con los clientes.
C. Un conflicto laboral con el comité de empresa.
D. Un cambio legislativo.

4. Un proceso de gestión del riesgo implantado según los principios y directrices de la

UNE-ISO 31000 es una herramienta que ayuda a una organización:
A. Garantiza la eficacia y la eficiencia operacional.
B. Conseguir una gestión activa.
C. Ser consciente de la necesidad de identificar y tratar el riesgo en toda la
organización.
D. Eliminar la incertidumbre.

5. De acuerdo a la UNE-ISO 31000, ¿cuál de las siguientes actividades no se realiza en

la fase de diseño del marco de referencia de la gestión de riesgo?
A. Asignación de roles.
B. Asignación de recursos.
C. Establecimiento de los criterios de riesgo.
D. Establecimiento de la comunicación y consulta.

TEMA1 – Test © Universidad Internacional de La Rioja (UNIR)

 Análisis de Riesgos Legales

6. La gestión del riesgo debe:

A. Formar parte de la toma de decisiones.
B. No trata explícitamente la incertidumbre.
C. Ser sistemática, repetible, formal y oportuna.
D. Integrar factores humanos, sociales y políticos.

7. La finalidad de la valoración del riesgo es:

A. Ayudar a la toma de decisiones.
B. Determinar los criterios de riesgos a tratar.
C. Implantar las acciones de tratamiento del riesgo.
D. Todas las anteriores.

8. Las opciones de tratamiento del riesgo:

A. Se excluyen necesariamente unas a otras.
B. Son apropiadas en todas las circunstancias.
C. Incluyen la modificación de la probabilidad y las consecuencias.
D. No contemplan retener el riesgo.

9. En ISO 31000 la evaluación del riesgo comprende:

A. El establecimiento del contexto, la identificación, el análisis y la valoración del
riesgo.
B. La identificación, el análisis y la valoración del riesgo.
C. La identificación, el análisis, la valoración y el tratamiento del riesgo.
D. El establecimiento del contexto, el análisis y el tratamiento del riesgo.

10. ¿Cuál de las siguientes no forma parte del contexto del proceso de gestión del riesgo
según la norma UNE-ISO 31000?:
A. La definición de las metodologías de evaluación del riesgo.
B. La identificación y la especificación de las decisiones a tomar.
C. La definición de las responsabilidades relativas al proceso de gestión del
riesgo.
D. La identificación de las salvaguardas existentes.

TEMA1 – Test © Universidad Internacional de La Rioja (UNIR)