Si realmente quiere abordar adecuadamente el tema de ciberseguridad en su organización entonces debe empezar por este aspecto: el análisis de riesgos, ya que esto le permitirá definir proyectos e iniciativas que le ayudaran a atacar la ciberseguridad de forma organizada.
El análisis de riesgos consiste en evaluar el riesgo al que está expuesta la organización y en concreto, los activos. Aquí la palabra activo se refiere a equipos, personas o lugares (entre otros) que contenga información y tenga valor para la organización, por lo tanto se debe proteger.
A continuación veremos un conjunto de fases que son comunes a las metodologías de análisis de riegos:
Fase 1: Determine el alcance que va a tener el análisis de riesgos. En la mayoría de los casos cuando se está empezando con riesgos, el alcance es el área o departamento de Tecnología Informática.
Fase 2: Identifique claramente los activos que van a ser evaluados, recuerde que acá, un activo es algo que tiene o procesa información y que adicionalmente tiene valor para la organización.
Fase 3: Identifique las amenazas a las que están expuestos los activos. Por ejemplo: Internet, incendios, inundaciones, virus etc.
Fase 4: Aquí es donde ingresa el análisis de vulnerabilidades técnicas el cual evalúa la existencia de vulnerabilidades en el hardware o software de la organización, adicionalmente también se debe tener en cuenta la evaluación de vulnerabilidades no técnicas como por ejemplo personal no capacitado.
Fase 5: Un control es algo que se tiene para evitar que se materialice un riesgo, por ejemplo un antivirus, eso es un control que se tiene para evitar los virus, ya teniendo esto claro, en esta fase se analizan los controles existentes como por ejemplo el firewall, antivirus, copias de respaldo entre otros.
Fase 6: En esta fase se puede calcular en riesgo con base en la información recolectada de activos, amenazas, vulnerabilidades y controles.
Fase 7: Una vez evaluados los riesgos y habiendo definido el nivel de riesgo aceptable, se procede a tratar los riesgos que superen el nivel definido para lo cual existen cuatro estrategias:
- Transferir el riesgo: la compra de un seguro es un ejemplo de la transferencia de un riesgo.
- Eliminar el riesgo: eliminar el servicio de Internet gratuito para visitantes.
- Asumir el riesgo: cuando se tienen aplicaciones implantadas en sistemas obsoletos, la organización decide asumir el riesgo porque no tiene como solucionarlo.
- Mitigar el riesgo: esta es la estrategia más común y consiste en aplicar controles para reducir el nivel de riesgo, un ejemplo es la adquisición de nueva tecnología como firewalls modernos.
Ya que el volumen de información que se maneja en un ejercicio de análisis de riesgos es bastante alto, lo recomendado es que apoye de una solución de software, esto le ahorrará, tiempo y esfuerzo.
Los resultados del análisis de riesgos le permitirá proponer proyectos e iniciativas orientados a proteger la información de su organización.
En resumen, el análisis de riesgos sirve para identificar los activos críticos para la organización, al igual que el riesgo al cual están expuestos.
Si desea mayor información o quiere contratar servicios, por favor use este formulario: https://www.activosti.com/contact.html
No hay comentarios:
Publicar un comentario