España, Herramienta inicial de Análisis de Riesgos de Seguridad, INCIBE

El análisis de riesgos es clave porque nos permite identificar los principales riesgos existentes en nuestra organización, comparto de forma gráfica las etapas para realizar un análisis de riesgo.

Para tener una idea rápida recomiendo usar la herramienta que ha elaborado Incibe (Instituto Nacional de Ciberseguridad de España) para calcular los riesgos de una empresa en base a una serie de preguntas: https://adl.incibe.es/

Resumen del Calculo del Riesgo

Lo anterior nos brinda una idea inicial de nuestros riesgos en base a una lista de activos como correo electrónico, página web, tabletas, smartphones, etc.

Luego hacer una análisis de riesgo más profundo con talleres en tu empresa. Uno de los primeros puntos que se debe realizar es realizar un inventario de de los activos de información de la empresa en conjunto con los líderes de la Empresa para así determinar lo más críticos del Negocio, es un grave error que esta tarea solo se realice por el área de sistemas o de tecnologías de información esta tarea es de toda la organización teniendo en cuenta los objetivos de Negocio.

El Análisis de riesgo debería realizarse mediante Talleres con personal de diferentes áreas de la empresa (involucrar a toda la empresa, sobre todo las áreas de negocio) para que ellos mismos identifiquen el activo, amenaza, vulnerabilidad, riesgo más probable que ocurra en su entorno y afecte los objetivos de negocio.

Un vez que se ha identificado los activos de información se debe ver quienes son los responsables formales e informales de estos activos y luego determinar las amenazas, vulnerabilidades, las probabilidades de que ocurran y los impacto posibles.

De hecho #Incibe es una de las mejores fuentes en nuestro idioma que nos ayuda a complementar nuestro entendimiento de como analizar y gestionar los riesgos de seguridad de la información en nuestras empresas. Tener en cuenta la definición de riesgo:

Daños producidos en el propio activo:

Una vez identificado los riesgos deberíamos hacer un plan para mitigarlos , personalmente pienso que debemos ponerle foco a los riesgos más críticos y establecer un tratamiento de riesgos para tratar de eliminar, mitigar, reducir o transferir el riesgo identificado.

Niveles de Riesgos Críticos

Una vez identificar los riesgos debemos escoger los controles más idóneos para mitigarlos, una fuente es el Anexo de la ISO/IEC 27001: 2013 donde tiene diferentes controles como:

A.5 Information Security Policies, A.5.1.1 Policies for Information Security, A.6 Organization of Information Security, A.7 Human Resource Security, A.8 Asset Management, A8.3 Media Handling, A.8.3.1 Management of removable media, A.9 Access Control, A.9.2 User Access management, A.10 Cryptographic, A.11 Physical and environmental security, A.12 Operation Security, A.12.2 Protection from Malware, A.12.2.1 Controls against malware, A.12.3 Backup, A.12.4. Logging and Monitoring, A.14 System acquisition, development and maintenance, A.15 Supplier relationships, A.16 Information Security incident management, A.17 Information security aspects of business continuity management, A.18 Compliance.

En la lista anterior observo muchos interesantes pero me llama la atención protección ante #malaware código malicioso, relación con proveedores (terceros), incidentes, continuidad de negocio.

Pero también están otros controles como las mejores practica de la industria, de los fabricantes de los equipos, mejores practicas de grupos de usuarios en Internet de los equipos que usamos en nuestras empresas.

Inclusive en la misma página de Incibe hay una herramienta en base a una serie de preguntas de tu empresa para calcular rápidamente el riesgo que tienes por ejemplo:

Preguntas Iniciales de Calculo del riesgo I

Aqui más preguntas:

Preguntas Iniciales de Calculo del riesgo II
Preguntas Iniciales de Calculo del riesgo III

Al final de las preguntas te entrega un resultado como el siguiente:

Resumen del Calculo del Riesgo

Es un resumen importante, rápido y potente para mostrar a la Gerencia lo vulnerables que estamos o la poca importancia en seguridad que tiene la empresa. Felicitaciones Incibe por la herramienta.

Fuente: https://www.incibe.es/protege-tu-empresa/blog/sigue-camino-analisis-riesgos

Blog de Ciberseguridad, Hacking, Recomendaciones de Protección y Buenas Practicas para las Empresas.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store