La gestión de riesgos y vulnerabilidades de la seguridad de la información empresarial es una de las partes más importantes en el desempeño de la actividad de la compañía.

En cuanto a la ciberseguridad empresarial, deberíamos ser capaces de llevar a cabo un análisis de los riesgos a los que está expuesta la organización, evaluar su importancia dentro de la actividad empresarial y tener a mano alguna estrategia para eliminarlo o aminorar su impacto dentro de la compañía.

Plan de gestión de riesgos y vulnerabilidades empresarial

 

Fase 1. Definir el alcance

El primer paso a la hora de llevar a cabo el análisis de riesgos, es establecer el alcance del estudio.

El análisis de riesgos puede cubrir la totalidad de las áreas estratégicas de la empresa o centrarse en el departamento de producción, en la gestión de almacén o en los sistemas TIC de la página web de la compañía.

Fase 2. Identificar los activos

Una vez definido el alcance, debemos identificar los activos más importantes que guardan relación con el departamento, proceso o sistema objeto del estudio.

Fase 3. Identificar / seleccionar las amenazas

Con los principales activos identificados, tenemos que identificar las amenazas a las que están expuestos. El conjunto de amenazas puede ser amplio y diverso por lo que debemos mantener un enfoque práctico y aplicado. Por ejemplo, si nuestra intención es evaluar el riesgo que corremos frente a la destrucción de nuestro servidor de ficheros debemos considerar las averías del servidor, la posibilidad de daños por agua (rotura de una cañería) o los daños por fuego, en lugar de plantearnos el riesgo de que el servidor sea destruido por un meteorito.

Fase 4. Identificar vulnerabilidades y salvaguardas

La siguiente fase consiste en estudiar las características de nuestros activos para identificar puntos débiles o vulnerabilidades. Por ejemplo, una posible vulnerabilidad puede ser que un conjunto de ordenadores no tenga los antivirus actualizados.

Por otra parte, también analizaremos y documentaremos las medidas de seguridad implantadas en nuestra organización. Por ejemplo, es posible que hayamos instalado un grupo electrógeno para abastecer de electricidad a los equipos (medida de seguridad conocida como salvaguarda) que contribuye a reducir el riesgo de las amenazas relacionadas con el corte de suministro eléctrico.

Fase 5. Evaluar el riesgo

Llegado a este punto disponemos de los siguientes elementos:

• Inventario de activos.
• Conjunto de amenazas a las que está expuesta cada activo.
• Conjunto de vulnerabilidades asociadas a cada activo (si corresponde).
• Conjunto de medidas de seguridad implantadas

Para cada par activo-amenaza, estimaremos la probabilidad de que la amenaza se materialice y el impacto sobre el negocio que esto produciría.

Fase 6. Tratar el riesgo

A la hora de tratar el riesgo, existen cuatro estrategias principales:

• Transferir el riesgo a un tercero. Por ejemplo, contratando un seguro que cubra los daños a terceros ocasionados por fugas de información.
• Eliminar el riesgo. Por ejemplo, eliminando un proceso o sistema que está sujeto a un riesgo elevado.
• Asumir el riesgo, siempre justificadamente. Por ejemplo, el coste de instalar un grupo electrógeno puede ser demasiado alto y por tanto, la organización puede optar por asumir.
• Implantar medidas para mitigarlo. Por ejemplo, contratando un acceso a internet de respaldo para poder acceder a los servicios en la nube en caso de que la línea principal haya caído.

Así, llevar a cabo un análisis de riesgos nos proporciona información de gran valor y contribuye en gran medida a mejorar la seguridad de nuestra organización.

Aratecnia trabaja para que las empresas consigan toda la seguridad informática implementando la tecnología más reconocida a nivel mundial. Cuide de su negocio y póngase en contacto con nosotros, le asesoraremos con toda nuestra experiencia.