Análisis de Riesgos

Cuando nos referimos a la ciberseguridad a muchos de nosotros se nos viene a la cabeza imágenes como las de las películas: alguien con capucha entrando en el Pentágono en 5 clicks 

 

Nada más lejos de la realidad. El primer paso, que toda organización debe seguir, es analizar los riesgos dentro de la misma. Durante esta etapa, puede que la más importante, definiremos los procesos y las directivas que regirán la seguridad de nuestra organización. A esto se le llama: Plan Director de Seguridad. 

 

Deberemos seguir una serie de pasos que nos ayudarán a definir el proceso completo:  

 

1) Definiremos el alcance: En esta primera fase estableceremos el ámbito de aplicación de nuestras políticas de seguridad. También veremos en qué estado está la organización. En ella incluiremos aspectos técnicos y organizativos; adaptación al marco normativo; establecer los diferentes responsables de cada área, etc. Ésta es la parte más difícil y la que más requiere del apoyo de los directivos. 

 

2) Identificación de los activos: Aquí definiremos cuáles son los activos y el orden de importancia de los mismos; tanto cualitativamente, como cuantitativamente. Por ejemplo, en un gran almacén, quizá el activo más importante sea la BBDD con las ventas de la empresa. Para poder ver cuál es el valor de los activos recomendamos una tabla con el nombre, descripción, responsable, tipo e importancia crítica dentro de la organización; esto nos permitirá, de un vistazo, ver la relación de los bienes. 

 

3) Identificar las posibles amenazas: Una vez hemos establecido el valor de los activos, pasaremos a definir una relación de las amenazas. Esto, junto con el paso siguiente, nos permitirá determinar el riesgo al que los recursos deberán hacer frente. Estas amenazas pueden ser lógicas o físicas; por ejemplo: un terremoto, una subida de tensión, insiders, cibercriminales, fallos de programación, etc. 

 

4) Identificar las vulnerabilidades y las mitigaciones: En esta fase definiremos cuáles son los puntos débiles de nuestros bienes; por ejemplo: los endpoints carecen de sistemas de malware actualizados. 

También documentaremos cuáles son las medidas adoptadas para que las vulnerabilidades nos afecten lo mínimo; es algo que deberemos hacer en esta etapa. Un ejemplo de esto sería un acceso al edificio por lector biométrico. 


5) Evaluación de riesgos: Ahora, que tenemos todo el trabajo previo hecho, estableceremos un valor de riesgo a nuestros activos. Este valor lo definiremos mediante un cálculo de la probabilidad y el impacto. La fórmula, para definir el riesgo, es la siguiente: riesgo = probabilidad x impacto. Todo esto lo plasmaremos en una matriz para que nos sea más sencillo identificarlo. 


6) Qué hacemos con el riesgo: Ahora que hemos acabado con los análisis anteriores debemos decidir qué hacemos con el riesgo de cada uno de nuestros elementos.  

a) Transferimos el riesgo a un tercero: por ejemplo, subcontratamos los servicios de un  NOC. 


b) Eliminamos el riesgo: El ejemplo más sencillo es suprimir una WIFI para invitados ya  que  podría ser una brecha de seguridad. 


c) Asumir el riesgo: normalmente se asumen los riesgos cuando estos no son muy altos o el  coste es demasiado elevado para mitigarlo. 


d) Tratar: aplicaremos las medidas necesarias para disminuir el riesgo de forma que este no  suponga una amenaza para el correcto funcionamiento de nuestra organización. 

 

Es muy importante la participación de toda la estructura de la empresa para poder realizar, de forma correcta, todos los análisis y acciones anteriores. 

Análisis de Riesgos
Joan Massanet
4 marzo, 2021
Share this post
Archivar
Registrarse to leave a comment
Mi Querida Capa 8
Sobre los usuarios