El análisis de riesgos en seguridad informática es una práctica esencial para proteger la información y los sistemas de una organización, y para garantizar la integridad, disponibilidad y confidencialidad de los datos críticos.
Cada empresa es única y está expuesta a riesgos distintos. Va a depender de varios factores como:
- Aspectos físicos: como la ubicación de la empresa, la exposición de unos puestos de trabajo, el control de acceso, etc.
- Datos que se maneja: Información sensible como datos médicos, información personal de proveedores, clientes, procesos industriales o cualquier tipo de información en general que requiera de seguridad informática en protección de datos.
- Procedimientos de manejo de la información
El análisis de riesgos en ciberseguridad es fundamental para identificar, evaluar y mitigar los riesgos de seguridad en los sistemas y datos de una organización, y la norma ISO/IEC 27002 proporciona una guía completa para la implementación de controles de seguridad de la información que pueden ser útiles para minimizar los riesgos identificados en este análisis. Al utilizar esta norma, las organizaciones pueden establecer una estrategia de seguridad sólida y efectiva, garantizando la protección de su información y sistemas.
Para realizar un análisis de riesgos en ciberseguridad se debe:
- Definir el alcance: identificar las áreas estratégicas sobre las que mejorar la seguridad, es posible definir un alcance limitado atendiendo a departamentos, procesos o sistemas específicos, por ejemplo:
- Análisis de riesgos sobre los sistemas de tecnologías de la información y la comunicación (TIC) con relación a la seguridad web y de aplicaciones en la empresa.
- Análisis de riesgos en los procesos del departamento Administración.
- Análisis de riesgos en los procesos de gestión del almacén.
- Identificar los activos de información: Este paso implica identificar los sistemas, aplicaciones, datos y otros activos de información que necesitan ser protegidos por ejemplo: realizando un inventario de activos.
Ejemplo de activos a proteger:
| ID | Nombre | Descripción | Responsable | Tipo | Ubicación | Crítico |
| TI_001 | Access point | Access point de cortesía para el acceso a la red wifi de los clientes. | Departamento informática | Access point (Físico) | Interna | No |
| TI_002 | Servidor 1 | Servidor finanzas o contabilidad | Director contable | Servidor (Físico) | centro de procesamiento de datos externo | Si |
- Identificar las amenazas: Las amenazas son los eventos o circunstancias que pueden comprometer la seguridad de los activos de información. En este paso, se deben identificar todas las posibles amenazas, tanto internas como externas, que puedan afectar la seguridad de los activos de información por ejemplo:
- Ataques de inyección de SQL para acceder a datos confidenciales almacenados en el servidor.
- Un incendio puede destruir completamente un servidor y todos los datos almacenados en él.
- Una sobrecarga eléctrica o un fallo en el suministro eléctrico pueden dañar los servidores y los datos almacenados en ellos.
- Identificar vulnerabilidades y salvaguardas: Las vulnerabilidades son los puntos débiles en los sistemas, aplicaciones y procesos que pueden ser explotadas por las amenazas por ejemplo:
- Falta de actualizaciones de seguridad: Si los sistemas operativos, aplicaciones y software instalados en los ordenadores o servidores no se actualizan regularmente, podrían ser vulnerables a ataques conocidos que ya han sido parcheados por los fabricantes.
- Puertos abiertos innecesarios: Si los puertos de red en los ordenadores o servidores están abiertos innecesariamente, podrían ser explotados por los atacantes para obtener acceso no autorizado o distribuir malware.
Identificar las medidas de seguridad o salvaguardas que se tienen para proteger la información y los sistemas críticos contra amenazas y vulnerabilidades por ejemplo: - Implementar cortafuegos (firewalls) para bloquear los accesos no autorizados y proteger el servidor contra ataques desde Internet.
- contar con un sistema SAI (Sistema de Alimentación Ininterrumpida) en caso de que se produzcan cortes eléctricos o apagones.
- Evaluar el riesgo: Consiste en determinar la probabilidad de que se produzca un incidente y calcular el impacto potencial en caso de que ocurra, este cálculo se realizará relacionando cada activo con la amenaza, para este cálculo se utilizan criterios cualitativos y cuantitativos para evaluar el riesgo asociado con la amenaza.
Los criterios cualitativos pueden incluir factores como la frecuencia y la gravedad de la amenaza, la vulnerabilidad del sistema o la probabilidad de que un atacante tenga éxito.
Por otro lado, los criterios cuantitativos implican la utilización de datos numéricos y estadísticos para evaluar la probabilidad de que se produzca un incidente de seguridad. Estos datos pueden incluir estadísticas de seguridad históricas, el análisis de tendencias y la evaluación de la eficacia de las medidas de seguridad actuales.
Ejemplo cualitativo de cálculo de riesgo:
| Tabla para el cálculo de la probabilidad | ||
| Cualitativo | Cuantitativo | Descripción |
| Baja | 1 | Como máximo, la amenaza se materializa una vez al año. |
| Media | 2 | Como máximo, la amenaza se materializa una vez al mes. |
| Alta | 3 | Como máximo, la amenaza se materializa una vez a la semana. |
| Tabla para el cálculo del impacto | ||
| Cualitativo | Cuantitativo | Descripción |
| Baja | 1 | Los efectos de la materialización de la amenaza no tienen consecuencias relevantes para la organización. |
| Media | 2 | Los efectos de la materialización de la amenaza tiene consecuencias destacables para la organización. |
| Alta | 3 | Los efectos de la materialización de la amenaza tiene consecuencias graves para la organización. |
Cálculo cualitativo del riesgo:
Una vez que se determina la probabilidad y el impacto, se multiplican uno por el otro para obtener el nivel de riesgo.
| Impacto | ||||
| Bajo | Medio | Alto | ||
Probabilidad | Bajo | Muy Bajo | Bajo | Medio |
| Medio | Bajo | Medio | Alto | |
| Alto | Medio | Alto | Muy Alto | |
Si el riesgo es alto o muy alto, se deben tomar medidas inmediatas para mitigar el riesgo o evitar la materialización del incidente de seguridad. Si el riesgo es bajo o muy bajo, se pueden tomar medidas menos urgentes o simplemente monitorear la situación para asegurarse de que el riesgo no aumenta con el tiempo.
- Tratar el riesgo: Una vez evaluado el riesgo, se deben abordar aquellos riesgos que superen un límite preestablecido. Por ejemplo, si el cálculo se ha realizado en términos cualitativos, se pueden abordar aquellos riesgos que tengan un valor superior a «Medio».
Las cuatro estrategias para abordar los riesgos en seguridad informática son:- Transferir el riesgo a un tercero: implica contratar un seguro o transferir la responsabilidad a un proveedor externo.
- Eliminar el riesgo: implica eliminar el sistema, proceso o actividad que genera el riesgo.
- Asumir el riesgo: implica aceptar las consecuencias del riesgo, siempre y cuando estén justificadas.
- Mitigar el riesgo: implica implementar medidas de seguridad para reducir la probabilidad o impacto del riesgo.
El análisis de riesgos en seguridad informática ayuda a las organizaciones a entender mejor sus vulnerabilidades y amenazas, y a priorizar sus recursos y esfuerzos de seguridad. Además, permite tomar decisiones informadas sobre la inversión en medidas de seguridad y ayuda a garantizar la continuidad del negocio en caso de incidentes de seguridad.