Estudio de herramientas de análisis y gestión de riesgos y propuesta de mejora de la herramienta PILAR

Abstract

En el mundo cambiante en el que vivimos surgen imprevistos continuamente que afectan a particulares y organizaciones. Al género humano nos encantaría poder predecir el futuro con exactitud y anteponernos a los problemas que deriven de esos imprevistos. Saber con exactitud cuándo y dónde se desarrollará la próxima epidemia podría salvar muchas vidas o entender en qué momento concreto se va a caer un puente para remediarlo antes de que ocurra podría ahorrar mucho dinero. De igual manera sería muy útil saber donde atacarán unos hackers a una organización y cómo un incendio en cierto edificio supondrá un problema serio pues se perderán los datos de unos servidores clave. Aunque en la práctica es imposible conocer el futuro a ciencia cierta sí que podemos determinar la probabilidad con la que se producirán eventos. En esto consiste el proceso de gestión de riesgos: en mantener un entorno controlado en el que se puedan analizar los riesgos y minimizarlos hasta niveles aceptables. Se realiza un modelado de la realidad centrándose en ciertos aspectos que interesen y simplificando otros. Se examina qué riesgos pueden afectar ese modelo y cuáles serían los más dañinos. Por último se tratan los riesgos, normalmente reduciendo su impacto, minimizando su probabilidad de ocurrencia o el daño ocasionado[1]. En distintos ámbitos de negocio se gestionan diversos tipos de riesgo: laboral, medioambiental, financiero,etc. El presente trabajo de fin de grado se centra en el riesgo de seguridad que afecta a empresas y administraciones públicas. En el mundo interconectado de hoy, ante la imposibilidad de participar en guerras entre países que hayan alcanzado tecnología nuclear, se ha ido cambiando el enfoque priorizando otros tipos de guerra: la guerra económica y la guerra cibernética. La gestión de riesgos de seguridad está muy enfocada hoy en día a la ciberseguridad pues la seguridad tradicional de guardia de seguridad y cámaras acorazadas es un ámbito muy maduro donde los delincuentes tienen difícil conseguir provecho alguno. La ciberseguridad, sin embargo, es un campo relativamente nuevo y cambiante en el que se están consiguiendo avances tanto por parte de atacantes como por la de defensores todos los días. Para realizar un buen análisis de riesgos es importarte disponer de las herramientas y métodos adecuados. Este documento pretende mejorar una herramienta muy usada hoy en día en España: PILAR. Esta herramienta es de obligado uso en administraciones públicas y está empezando a ser usada por empresas. A pesar de lo extendida que está la herramienta y su gran utilidad en el proceso de análisis y gestión de riesgos, adolece de algunas carencias que dificultan el proceso de análisis de riesgos. Estas carencias retrasan el proceso de aprendizaje de la herramienta e incluso podrían interferir en el resultado del análisis de riesgos. En este trabajo de fin de grado se busca identificar los puntos a mejorar en la herramienta para que puedan ser corregidos. Estos puntos de mejora se dividirán en cinco grandes categorías: bugs, mejoras de interfaz, mejoras de documentación, mejoras de funcionalidad y mejoras estructurales. Se intenta acercarse a estas posibilidades de mejora desde una perspectiva objetiva y concisa, detallando los pasos a seguir en el proceso de mejora. Los puntos propuestos podrán ser usados tanto para solucionar algún pequeño fallo como para reestructurar partes de la herramienta intentando mejorar fases del proceso de análisis y gestión de riesgos a través de PILAR. Para ayudar el proceso de mejora se analizarán dos herramientas que presentas funcionalidades de análisis y gestión de riesgos de las que PILAR no dispone. Se recomienda evaluar estos puntos detenidamente, pues aglutinan mejoras que son consideradas útiles por usuarios de la herramienta y funcionalidades nuevas que ayudarían a mejorar el proceso de análisis y gestión de riesgos. Para valorar la utilidad de esta crítica, primero se encuestará a tres usuarios de la herramienta, para recoger su punto de vista con respecto a las mejoras presentadas. A continuación se entrevistará a Jose Antonio Mañas, catedrático de la Universidad Politécnica de Madrid que ha sido el principal creador e impulsor de la herramienta. El punto central de estas entrevistas será determinar la utilidad de este trabajo de fin de grado.