La evaluación de riesgos es una de los pasos fundamentales de cualquier planificación estratégica ligada a la seguridad de los sistemas informáticos de las empresas. Sin embargo y a pesar de su relevancia, existen numerosos casos de organizaciones que no la llevan a cabo de forma general; o no la aplican de forma correcta. Bien sea porque desconocen el procedimiento o porque no le brindan la importancia que merecen.
Llevar a cabo una evaluación de riesgos correcta puede significar un desafío importante para algunos equipos de seguridad. Es por ello que para ayudarte a desarrollar un entorno digital más seguro dentro de tu organización; hemos decidido traerte estas mejores prácticas ligadas a la evaluación de riesgos. Sigue leyendo y entérate de mucho más.
¿En qué consiste una evaluación de riesgos?
Una evaluación de riesgos es un proceso enfocado en llevar a cabo un análisis profundo de los riesgos reales asociados a los Sistemas de Información (SI) para ayudar a las empresas a desarrollar estrategias de seguridad robustas, adaptadas a sus necesidades particulares.
Se trata de un enfoque estructurado y metodológico, que analiza los aspectos humanos, organizativos y técnicos de la organización. Los objetivos principales de un análisis de riesgo son
- En general, mejorar la seguridad de los sistemas de información
- Justificar el presupuesto asignado a la seguridad de los Sistemas de Información .
- Demostrar el nivel de protección de los SI.
- Identificar vulnerabilidades y cartografiar los riesgos reales.
- Calcular el costo de las incidencias y, por tanto, medir el costo de la inseguridad.
- Definir los requisitos de protección.
- Diseñar una estrategia de protección mediante la planificación de acciones y presupuestos.
Una evaluación de riesgos utiliza recursos como estudios estadísticos, y métricas de probabilidad de ocurrencia y evaluación de impacto para determinar el nivel de sensibilidad y/o criticidad de los activos a proteger. De esta manera puede priorizar activos y establecer medidas adecuadas para el tratamiento de los riesgos. Es decir, es capaz de determinar si :
- Vale la pena asumir los costes de tratamiento del riesgo en comparación a su gravedad.
- Es necesario que la responsabilidad de tratar el riesgo sea transferida a un tercero (asegurador, socio, proveedor o cliente) que puede resolverlo de forma más eficaz.
- Aplicar medidas de seguridad de emergencia con el fin de reducir la probabilidad de ocurrencia y/o el impacto de algún riesgo importante.
La evaluación de riesgos suele dividirse en 5 etapas:
1) El estudio de contexto
En este paso los equipos de seguridad deben identificar qué sistema de información es el objetivo del estudio. Aquí se define el alcance del estudio y se analizan datos como las características particulares de la empresa, arquitectura del sistema de información, restricciones técnicas y reglamentarias, cuestiones comerciales, detalles de los equipos, el software y componente humano.
2) Expresión de las necesidades de seguridad
En esta etapa se definen los criterios de riesgo. Durante esta etapa, los usuarios de TI expresan sus necesidades de seguridad de acuerdo con los impactos que consideran inaceptables.
3) Estudio de las amenazas
Permite identificar los riesgos ya no en función de las necesidades de los usuarios, sino de la arquitectura técnica del sistema de información. Así, la lista de vulnerabilidades y tipos de ataques se establece en función del hardware, la arquitectura de red y el software utilizado.
4) Identificación de los objetivos de seguridad
Compara las necesidades de seguridad expresadas y las amenazas identificadas para poner de relieve los riesgos contra los que debe protegerse el sistema. Estos objetivos constituirán una especificación de seguridad que reflejará la elección del nivel de resistencia a las amenazas basada en los requisitos de seguridad.
5) Priorización de riesgos
Es evidente que una empresa no puede hacer frente a todo tipo de riesgos. Ya sea porque son muy pequeños para prestarles atención o porque el costo de eliminarlos es demasiado elevado. En este caso, es la estrategia de análisis de riesgos quien definirá si se debe aceptar, reducir o rechazar un riesgo. Estas decisiones se toman en función del coste de las consecuencias del riesgo y de su probabilidad de ocurrencia.
Evaluación de riesgos en SI: mejores prácticas
#1 Mantén siempre actualizada tu CMDB
La base de datos de todos los activos de tu empresa representa un recurso fundamental a la hora de llevar a cabo una evaluación de riesgos. Lamentablemente, identificar todos estos elementos resulta muchas veces algo tedioso sobre todo si se trata de una empresa de gran tamaño. Procura entonces crear y mantener actualizada tu CMDB para ahorrar tiempo en la etapa de reconocimiento.
#2 Estandariza el proceso
Puede que la primera vez que realices una evaluación de riesgos, te des cuenta de que alguno de los pasos que aplicaste estuvieron incompletos o fueron innecesarios. Aprovecha esa experiencia para adaptar este proceso a las necesidades y características de tu empresa; y crea una estrategia estandarizada que puedas aplicar en el futuro cada vez que lo necesites.
#3 Involucra a todos los miembros de la empresa
Es importante que todo el componente humano de tu empresa participe en el proceso de evaluación de riesgos. Independientemente de su experticia en el tema, todos son capaces de aportar información valiosa a la hora de identificar y priorizar riesgos.
Por último, no olvides que cualquier estrategia de seguridad debe estar respaldada por las herramientas correctas. Confía entonces en soluciones como BeyondTrust para ayudarte a proteger tus sistemas de forma más simple.
¿Quieres más información? Contáctanos ya para recibir asesoría de parte de expertos en ITSM y ITsec. En GB Advisors te ayudamos a mantener tus sistemas totalmente seguros.
