Servicios de resiliencia empresarial - Análisis de riesgos
CALCULE EL RIESGO
DE SU NEGOCIO
HERRAMIENTA GRATUITA DEL
INSTITUTO NACIONAL DE CIBERSEGURIDAD
WWW.INCIBE.ES
ANALICE SUS ACTIVOS, VALÓRELOS, ESTABLEZCA LAS DEPENDENCIAS ENTRE ELLOS Y CONOZCA SUS VULNERABILIDADES.
MINIMICE LOS RIESGOS
El primer paso para realizar el análisis de riesgos es inventariar o identificar los activos, establecer las dependencias existentes entre ellos, así como realizar una valoración homogénea de los mismos siguiendo el criterio basado en las características principales de la información: integridad, confidencialidad y disponibilidad.
Para una mejor comprensión presentamos una lista de términos relacionados con la serie ISO 27000 y la seguridad de la información, definidos en el contexto de los sistemas de gestión de seguridad de la información.
Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias. Los factores que lo componen son la amenaza y la vulnerabilidad.
Riesgo residual: El riesgo que permanece tras el tratamiento del riesgo.
Activo: En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas...) que tenga valor para la organización.
Amenaza: Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la organización.
Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o más amenazas.
Impacto: El coste para la empresa de un incidente -de la escala que sea-, que puede o no ser medido en términos estrictamente financieros -p.ej., pérdida de reputación, implicaciones legales, etc-.
Riesgo intrínseco: Es la posibilidad de que se produzca un impacto determinado en un activo o en un grupo de activos.
Salvaguarda/Control: Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. Control es también utilizado como sinónimo de salvaguarda o contramedida. En una definición más simple, es una medida que modifica el riesgo.
Resiliencia: Es la capacidad de un sistema, comunidad o sociedad expuestos a una amenaza para resistir, absorber, adaptarse y recuperarse de sus efectos de manera oportuna y eficaz, lo que incluye la preservación y la restauración de sus estructuras y funciones básicas.
Si nuestro inventario es muy extenso podemos decidir realizar el análisis de riesgos sólo de los activos más críticos.
Una vez realizado el inventario, se identifican las amenazas que pueden afectar a estos activos. Se realiza una valoración en función del impacto que la amenaza puede causarle en el caso de que se materialice.
Seguidamente, analizaremos las vulnerabilidades de los activos identificados y se realizará una valoración de las mismas. Si un activo está expuesto a una amenaza pero no tiene una vulnerabilidad que le permita manifestarse, el riesgo es menor que si existe la vulnerabilidad.
Una vez analizados los activos, las amenazas y las vulnerabilidades que pueden afectar a nuestros activos, se debe realizar un análisis de las salvaguardas o medidas de seguridad ya implantadas en la organización.
El proceso de análisis de riesgos debe estar perfectamente documentado. Existen muchas metodologías para realizar el análisis: Magerit, OCTAVE, ISO27005, entre otras.
La inversión en seguridad tiene que ser proporcional al riesgo.