Análisis de riesgos en seguridad informática

El análisis de seguridad informática es una práctica esencial para proteger la información y los sistemas de una organización, y para garantizar la integridad, disponibilidad y confidencialidad de los datos críticos.

En el mundo actual, donde las amenazas cibernéticas están en constante evolución y las brechas de seguridad pueden tener consecuencias devastadoras, es imperativo que las empresas adopten un enfoque proactivo y estructurado para identificar, evaluar y mitigar los posibles riesgos. La importancia del análisis de riesgo Ciberseguridad radica en su capacidad para anticipar los peligros potenciales y establecer las medidas de seguridad adecuadas antes de que ocurran incidentes dañinos.

Análisis de riesgos de seguridad informática o ciberseguridad

Cada empresa es única y está expuesta a riesgos distintos

Al comprender completamente el panorama de amenazas al que se enfrenta una organización, se pueden tomar decisiones informadas sobre dónde enfocar los recursos y cómo priorizar las acciones de mitigación. Va a depender de varios factores como:

  • Aspectos físicos: como la ubicación de la empresa, la exposición de unos puestos de trabajo, el control de acceso, etc.
  • Datos que se maneja: Información sensible como datos médicos, información personal de proveedores, clientes, procesos industriales o cualquier tipo de información en general que requiera de seguridad informática en protección de datos.
  • Procedimientos de manejo de la información

El análisis de riesgos en ciberseguridad es fundamental para identificar, evaluar y mitigar los riesgos de seguridad en los sistemas y datos de una organización, y la norma ISO/IEC 27002 proporciona una guía completa para la implementación de controles y análisis de seguridad de la información que pueden ser útiles para minimizar los riesgos identificados en este análisis. Al utilizar esta norma, las organizaciones pueden establecer una estrategia de seguridad sólida y efectiva, garantizando la protección de su información y sistemas.

Análisis de riesgos ciberseguridad

  1. Definir el alcance: identificar las áreas estratégicas sobre las que mejorar la seguridad, es posible definir un alcance limitado atendiendo a departamentos, procesos o sistemas específicos, por ejemplo:

    • Análisis de riesgos sobre los sistemas de tecnologías de la información y la comunicación (TIC) con relación a la seguridad web y de aplicaciones en la empresa. 
    • Análisis de riesgos en los procesos del departamento Administración.
    • Análisis de riesgos en los procesos de gestión del almacén.
  2. Identificar los activos de información: Este paso implica identificar los sistemas, aplicaciones, datos y otros activos de información que necesitan ser protegidos por ejemplo: realizando un inventario de activos.

    Ejemplo de activos a proteger:
IDNombreDescripciónResponsableTipoUbicaciónCrítico
TI_001Access pointAccess point de cortesía para el acceso a la red wifi de los clientes.Departamento informáticaAccess point (Físico)InternaNo
TI_002Servidor 1Servidor finanzas o contabilidadDirector contableServidor (Físico)centro de procesamiento de datos externoSi
  1. Identificar las amenazas: Las amenazas son los eventos o circunstancias que pueden comprometer la seguridad de los activos de información. En este paso, se deben identificar todas las posibles amenazas, tanto internas como externas, que puedan afectar la seguridad de los activos de información por ejemplo:

    • Ataques de inyección de SQL para acceder a datos confidenciales almacenados en el servidor.
    • Un incendio puede destruir completamente un servidor y todos los datos almacenados en él.
    • Una sobrecarga eléctrica o un fallo en el suministro eléctrico pueden dañar los servidores y los datos almacenados en ellos.
  2. Identificar vulnerabilidades y salvaguardas: Las vulnerabilidades son los puntos débiles en los sistemas, aplicaciones y procesos que pueden ser explotadas por las amenazas por ejemplo:

    • Falta de actualizaciones de seguridad: Si los sistemas operativos, aplicaciones y software instalados en los ordenadores o servidores no se actualizan regularmente, podrían ser vulnerables a ataques conocidos que ya han sido parcheados por los fabricantes.
    • Puertos abiertos innecesarios: Si los puertos de red en los ordenadores o servidores están abiertos innecesariamente, podrían ser explotados por los atacantes para obtener acceso no autorizado o distribuir malware.

      Identificar las medidas de seguridad o salvaguardas que se tienen para proteger la información y los sistemas críticos contra amenazas y vulnerabilidades por ejemplo:

    • Implementar cortafuegos (firewalls) para bloquear los accesos no autorizados y proteger el servidor contra ataques desde Internet.
    • contar con un sistema SAI (Sistema de Alimentación Ininterrumpida) en caso de que se produzcan cortes eléctricos o apagones.
  3. Evaluar el riesgo: Consiste en determinar la probabilidad de que se produzca un incidente y calcular el impacto potencial en caso de que ocurra, este cálculo se realizará relacionando cada activo con la amenaza, para este cálculo se utilizan criterios cualitativos y cuantitativos para evaluar el riesgo asociado con la amenaza.

    Los criterios cualitativos pueden incluir factores como la frecuencia y la gravedad de la amenaza, la vulnerabilidad del sistema o la probabilidad de que un atacante tenga éxito.

    Por otro lado, los criterios cuantitativos implican la utilización de datos numéricos y estadísticos para evaluar la probabilidad de que se produzca un incidente de seguridad. Estos datos pueden incluir estadísticas de seguridad históricas, el análisis de tendencias y la evaluación de la eficacia de las medidas de seguridad actuales.

    Ejemplo cualitativo de cálculo de riesgo:
Tabla para el cálculo de la probabilidad
CualitativoCuantitativoDescripción
Baja1Como máximo, la amenaza se materializa una vez al año.
Media2Como máximo, la amenaza se materializa una vez al mes.
Alta3Como máximo, la amenaza se materializa una vez a la semana.
Tabla para el cálculo del impacto
CualitativoCuantitativoDescripción
Baja1Los efectos de la materialización de la amenaza no tienen consecuencias relevantes para la organización.
Media2Los efectos de la materialización de la amenaza tiene consecuencias destacables para la organización.
Alta3Los efectos de la materialización de la amenaza tiene consecuencias graves para la organización.

Cálculo cualitativo del riesgo: Una vez que se determina la probabilidad y el impacto, se multiplican uno por el otro para obtener el nivel de riesgo.

Impacto
BajoMedioAlto


Probabilidad
BajoMuy BajoBajoMedio
MedioBajoMedioAlto
AltoMedioAltoMuy Alto

Si el riesgo es alto o muy alto, se deben tomar medidas inmediatas para mitigar el riesgo o evitar la materialización del incidente de seguridad. Si el riesgo es bajo o muy bajo, se pueden tomar medidas menos urgentes o simplemente monitorear la situación para asegurarse de que el riesgo no aumenta con el tiempo.

  1. Tratar el riesgo: Una vez evaluado el riesgo, se deben abordar aquellos riesgos que superen un límite preestablecido. Por ejemplo, si el cálculo se ha realizado en términos cualitativos, se pueden abordar aquellos riesgos que tengan un valor superior a «Medio».

    Las cuatro estrategias para abordar los riesgos en seguridad informática son:

    • Transferir el riesgo a un tercero: implica contratar un seguro o transferir la responsabilidad a un proveedor externo.
    • Eliminar el riesgo: implica eliminar el sistema, proceso o actividad que genera el riesgo.
    • Asumir el riesgo: implica aceptar las consecuencias del riesgo, siempre y cuando estén justificadas.
    • Mitigar el riesgo: implica implementar medidas de seguridad para reducir la probabilidad o impacto del riesgo.

El análisis de riesgos en seguridad informática ayuda a las organizaciones a entender mejor sus vulnerabilidades y amenazas, y a priorizar sus recursos y esfuerzos de seguridad. Además, permite tomar decisiones informadas sobre la inversión en medidas de seguridad y ayuda a garantizar la continuidad del negocio en caso de incidentes de seguridad.

Aumenta la productividad con IA

Te ofrecemos una reunión inicial GRATIS para que podamos evaluar el estado de tu empresa. Detectamos los principales requisitos y hacemos una evaluación de posibles errores o barreras que limitan el crecimiento de tu negocio.