Servicios de resiliencia empresarial - Análisis de  riesgos

CALCULE EL RIESGO

DE SU NEGOCIO

HERRAMIENTA GRATUITA DEL

INSTITUTO NACIONAL DE CIBERSEGURIDAD 

WWW.INCIBE.ES

ANALICE SUS ACTIVOS, VALÓRELOS, ESTABLEZCA LAS DEPENDENCIAS ENTRE ELLOS Y CONOZCA SUS VULNERABILIDADES. 

MINIMICE LOS RIESGOS

El primer paso para realizar el  análisis  de  riesgos es inventariar o identificar los activos, establecer las dependencias existentes entre ellos, así como realizar una valoración homogénea de los mismos siguiendo el criterio basado  en  las  características  principales  de  la  información:  integridad,  confidencialidad  y disponibilidad.

Para una mejor comprensión presentamos una lista de términos relacionados con la serie ISO 27000 y la seguridad de la información, definidos en el contexto de los sistemas de gestión de seguridad de la información.

Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias. Los factores que lo componen son la amenaza y la vulnerabilidad.

 

Riesgo residual: El riesgo que permanece tras el tratamiento del riesgo.

Activo: En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas...) que tenga valor para la organización.

Amenaza: Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la organización.

Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o más amenazas.

Impacto: El coste para la empresa de un incidente -de la escala que sea-, que puede o no ser medido en términos estrictamente financieros -p.ej., pérdida de reputación, implicaciones legales, etc-.

 

Riesgo intrínseco: Es la posibilidad de que se produzca un impacto determinado en un activo o en un grupo de activos.

Salvaguarda/Control: Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. Control es también utilizado como sinónimo de salvaguarda o contramedida. En una definición más simple, es una medida que modifica el riesgo.

Resiliencia: Es la capacidad de un sistema, comunidad o sociedad expuestos a una amenaza para resistir, absorber, adaptarse y recuperarse de sus efectos de manera oportuna y eficaz, lo que incluye la preservación y la restauración de sus estructuras y funciones básicas.

Si nuestro  inventario  es  muy  extenso  podemos  decidir  realizar  el  análisis  de  riesgos  sólo  de  los  activos más críticos.  

 

Una vez realizado el inventario,  se  identifican  las  amenazas  que  pueden  afectar  a  estos  activos.  Se  realiza  una valoración en función del impacto que la amenaza puede causarle en el caso de que se materialice. 

 

Seguidamente,  analizaremos  las  vulnerabilidades  de  los  activos  identificados  y  se  realizará  una valoración de las mismas. Si un activo está expuesto a una amenaza pero no tiene una vulnerabilidad que le permita manifestarse, el riesgo es menor que si existe la vulnerabilidad. 

 

Una  vez  analizados  los  activos,  las  amenazas  y  las  vulnerabilidades  que  pueden  afectar  a  nuestros activos, se debe realizar un análisis de las salvaguardas o medidas de seguridad ya implantadas en la organización.

El proceso de análisis de riesgos debe estar perfectamente documentado. Existen muchas metodologías para realizar el análisis: Magerit, OCTAVE, ISO27005, entre otras.

La  inversión  en seguridad tiene que ser proporcional al riesgo.