La evaluación de riesgos es el corazón de todo marco que busca medir los niveles de riesgos a los cuales se ven enfrentadas las organizaciones. Escoger una metodología adecuada, ligera y fácil de utilizar, facilita la tarea cíclica de analizar los riesgos que pueden llegar a afectar las operaciones de la organización.
Independientemente de la metodología que se escoja, la evaluación de riesgos permite determinar la probabilidad de que una amenaza pueda explotar una vulnerabilidad expuesta de un activo y de esta manera medir el impacto que esto tendría sobre la organización.
Estas son las principales etapas de una evaluación de riesgos:
Preparar y planificar: se debe definir el alcance y los objetivos del analisis de riesgos.
Identificar activos y evaluar la sensibilidad: se debe de identificar los activos y hacer una evaluación inicial con respecto a los atributos de confidencialidad, integridad y disponibilidad. Otros atributos pueden ayudar en la priorización del plan de remediación como son: criticidad, dependencia, valor cuantitativo, entre otros.
Realizar análisis de amenazas: Se deben identificar las amenazas y ver los posibles escenarios para examinar la capacidad, la motivación y la probabilidad.
Realizar análisis de vulnerabilidad: se evalúan los activos con respecto a las vulnerabilidades conocidas determinando adicionalmente el nivel de esfuerzo (recursos y capacidad) que requiere un agente para montar un ataque.
Determinar los riesgos: Determinar la medida del riesgo teniendo en cuenta las amenazas, vulnerabilidades, probabilidad e impacto sobre los activos. Definir el apetito de riesgo y determinar el riesgo residual.
Plan de remediación: se debe priorizar los riesgos identificados y de acuerdo con la prioridad de los activos, definir un plan de remediación prioritario de acuerdo con los objetivos de la organización.
Los resultados esperados después de una evaluación de riesgos son los siguientes:
Activos identificados y valorados.
Amenazas y vulnerabilidades identificadas y valoradas.
Niveles de riesgos identificado y valorados. Probabilidad x Impacto en activos.
Plan de remediación priorizado para inicio de fase de mitigación de riesgos.
La mitigación de riesgos puede tener cuatro escenarios los cuales se muestran a continuación junto con un ejemplo:
tratado: se aplican controles para reducir el nivel de riesgo.
evitado: se elimina la fuente del riesgo.
transferido: se adquiere un seguro.
aceptado: no se puede hacer algo al respecto, solo aceptar el riesgo.
La evaluación de riesgos da una visión clara acerca de los peligros a los cuales se ve enfrentada la organización y que se debe hacer para mitigar estos riesgos. Trabajar sin esta herramienta sería como navegar sin una brújula, cualquier cosa puede suceder. Conocer los puntos débiles de la organización permite tomar las decisiones adecuadas en los momentos oportunos.
Bueno, ya se tiene un diagnóstico acerca del estado de la ciberseguridad en la organización, el siguiente paso es acometer el plan de remediación para reducir los niveles de riesgos.
No hay comentarios:
Publicar un comentario