Análisis de Riesgos: Imprescindible para la Ciberseguridad

En este post vamos a hablar en profundidad de todo lo que debes saber sobre el Análisis de Riesgos, un servicio que permite concentrar los recursos en aquellos activos que son críticos, implantando las medidas y controles de seguridad solo en los recursos que lo requieren.

Si posees información valiosa y quieres proteger los activos que son críticos para tu negocio, esto es para ti. Análisis de Riesgos: Imprescindible para la Ciberseguridad. ¡Sigue leyendo! Te contamos todo lo que debes saber.

Activos: ¿Qué debemos proteger?

Lo primero que tenemos que proteger son los activos que tengamos en la organización. ¿Cuáles son? ¡Te los detallamos!

• Información (digital y papel)
• Datos y BBDD
• Aplicaciones (software)
• Equipos (hardware)
• Soportes
• Comunicaciones
• Instalaciones
• Personas

¿Qué es una amenaza?

Una amenaza es toda circunstancia, evento o persona que tiene el potencial de causar daño en forma de robo, destrucción, divulgación, modificación de datos, denegación de servicio o desconocimiento de los usuarios.

¿Qué es una vulnerabilidad?

Una vulnerabilidad es una debilidad o necesidad a través de la cuál una amenaza puede causar un daño. Otra vulnerabilidad puede ser no tener el sistema operativo parcheado o no tener formado al personal de la organización.

¿Qué es un impacto?

El impacto es el daño que se produce al materializarse una amenaza.

Riesgo de seguridad de la información

Es la probabilidad de que una amenaza se materialice, aprovechando una vulnerabilidad de los sistemas de información, para provocar un daño.

¿Cómo se calcula el nivel de riesgo?

Combinando las consecuencias de un suceso (impacto) y de su probabilidad de que ocurra.

Riesgo = Probabilidad x Impacto

A su vez, dentro de los sistemas de información, la probabilidad es igual a la frecuencia con la que se presenta la amenaza por lo vulnerable que sea ese activo ante esa amenaza.

Gestión de riesgos: ¿qué es?

La gestión de riesgos es el proceso de identificar, comprender, evaluar y mitigar los riesgos que existen para la seguridad de la información.

La gestión de riesgos es fundamental para la Ciberseguridad porque si no conoces las amenazas que pueden afectar a los activos, difícilmente, vas a escoger las medidas más apropiadas.

Lo que busca la gestión de riesgos es que no implantes medidas de seguridad que se te ocurren, sino que haga una reflexión, ver cuáles son las amenazas mayores, cuál es el daño que se podría producir, para así, estimar el nivel de riesgo y priorizar las inversiones. De tal manera que me preocupo de emplear el dinero de la mejor forma.

Análisis de riesgos en la ISO 27001

Las normas están basadas ya en el Análisis de Riesgos. La ISO 27001, un sistema de gestión de seguridad de la información está basado en el Análisis de Riesgos.

Primero tenemos que identificar los activos, ver cuáles son los riesgos mayores y luego poner salvaguardas para mitigar esos riesgos.

 La Gestión de Riesgos lo tenemos en la ISO 27005, que es una guía para establecer una metodología de Gestión de Riesgos. ¿Las salvaguardas dónde se toman? De la ISO 27002, que son los controles de seguridad de la información.

Análisis de Riesgos en el Esquema Nacional de Seguridad

Tenemos la Gestión de Riesgos que podemos implantar una metodología reconocida internacionalmente que es lo que nos dice el Esquema Nacional de Seguridad, puede ser la ISO 27005 y MAGERIT, ya que son las más habituales, luego, vamos a tomar las salvaguardas del Anexo II del ENS para mitigar esos riesgos que hemos identificado en el Análisis de Riesgos que hemos hecho.

Con lo cual, el Análisis de Riesgos es algo que ya incorporan todas las normas y metodologías para la Gestión de los Riesgos, entre ellos: la Gestión de Riesgos de Ciberseguridad.

Utilización sistemática de la información disponible para identificar las amenazas y sus consecuencias y estimar los riesgos.

Análisis de Riesgos

La identificación de riesgos debe responder a las siguientes preguntas:

• ¿qué puede ocurrir?
• ¿cuándo y dónde puede ocurrir?
• ¿cómo y por qué puede ocurrir?
  

• Determinar las consecuencias de los incidentes y ataques;
• Determinar la posibilidad o probabilidad de que ocurran incidentes y ataques que hemos identificado;
• Determinar qué salvaguardas se requieren;
• Tener en cuenta las salvaguardas presentes, con el fin de no implantar cosas que ya estén implantadas.
  

¿Qué valor nos aporta el Análisis de Riesgos?

Nos aporta distintas ventajas:

• Permite identificar las amenazas que pueden afectar a la organización y sus consecuencias que se podrían ocasionar, en caso de que tengan éxito.
• Ayuda a seleccionar a las medidas de seguridad que se deben implantar para mitigar dichas amenazas.
• Es fundamental para invertir de la mejor forma el dinero, asegurándonos que estamos atendiendo los riesgos mayores con el presupuesto que tenemos disponible.
  
  

¿Cuál es el proceso en la Gestión de Riesgos?

Es necesario tener:

• Metodología para el Análisis de Riesgos
• Análisis de Riesgos
• Tratamiento de los riesgos (implantar medidas de seguridad o gestionar con las cuatro opciones que vamos a detallar).
  
  

Metodología para el Análisis de Riesgos

Contenido de la metodología

Las dimensiones de la seguridad de la información objeto del análisis:

• Confidencialidad: es decir, que la información no se revele a entidades o procesos no autorizados.
• Integridad: la información es veraz, no se altera de forma no autorizada.
• Disponibilidad: la información está disponible en el momento en el que se necesita.
• Autenticidad (ENS): el origen de los datos es quien dice ser, es auténtico.
• Trazabilidad (ENS): cualquier acción sobre la información puede imputarse a una persona o entidad concreta.
  

Escalas utilizadas:

• Alto

• Medio

• Bajo 

• Del 1 al 5

• Del 1 al 10

• Del 1 al 100

Criterios para valorar el impacto y la probabilidad:

• Seguridad de las personas

• Pérdidas reputaciones

• Pérdidas económicas

• Incumplimiento legal o regulatorio

• Indisponibilidad del servicio

• Información personal

Criterios para determinar el nivel de riesgo:

• Riesgo = Impacto x Probabilidad

• Riesgo = Impacto + Probabilidad

• Riegos = Impacto (c+d+i) x probabilidad

Criterios de aceptación del riesgo:

• Alto
• Medio
• Bajo
• 1,2,3,4,5
• 1,2,3,4,5,6,7,8,9,10

Análisis de Riesgos

Identificar los activos

Se deben identificar los activos de las siguientes clases:

• Servicios, procesos, etc.
• Información
• Equipamiento lógico (software)
• Equipamiento físico (hardware, comunicaciones, soportes …)
• Instalaciones
• Personal

Criterios típicos de valoración

Luego vamos a valorarlos, cuáles serían las consecuencias de que se perdiese alguna de las dimensiones de seguridad de los activos, es decir; que se pierda la confidencialidad, la integridad y la disponibilidad.

Aquí hay que valorar:

• Coste de reposición

• Coste de reconstrucción (información, equipamiento)

• Merma de beneficios

• Incremento de gastos

• Penalizaciones, multas

• Sanciones

• Incumplimiento de leyes

• Otros

  Una vez que lo hemos valorado, entra en juego el descubrimiento de amenazas:

• Se deben determinar las amenazas sobre los activos:

• Actos deliberados de personas

• Accidentes originados por persona

• Debilidades del sistema

• Accidentes técnicos

• Accidentes naturales

Identificación de vulnerabilidades:

Se deben identificar las vulnerabilidades que pueden aprovechar las amenazas para causar un daño.

 Veámoslo con un ejemplo:

• Amenaza: Acceso no autorizado a un sistema informático

• Vulnerabilidades:
  • Ausencia o deficiente sistema de autenticación

  • Deficiente política de contraseñas

  • Ausencia de bloqueo ante un nº máximo de intentos de acceso no autorizado

  • Acceso físico no protegido

Fórmula para estimar el riesgo:

Es la combinación de las consecuencias de un suceso (impacto) y de su probabilidad

Riesgo = Probabilidad x Impacto

Probabilidad = Amenaza x Vulnerabilidad

Comparar resultados con criterios

Comparar los resultados de los niveles de riesgos obtenidos con los criterios de evaluación del riesgo, en particular con los criterios de aceptación del riesgo.

 Resultado: relación de riesgos sobre lo que hay que actuar.

Tratamiento del riesgo

El objetivo es identificar las salvaguardas que deben desplegarse para gestionar los riesgos de seguridad de la información que no son aceptables.

Con lo cual, es importante seleccionar las opciones de tratamiento para cada riesgo identificado que va a tratarse, deben elegirse las opciones de tratamiento apropiadas.

Aquí tenemos cuatro opciones de tratamiento:

• Evitar el riesgo, eliminar el activo que me está provocando ese riesgo.
• Modificar el riesgo, implantando medidas de seguridad y controles para reducir el impacto o la probabilidad.
• Compartir el riesgo, si yo contrato una póliza de seguros, lo que se hace es compartir el riesgo o bien delego la gestión de determinada información a un proveedor externo.
• Retener el riesgo, es decir, conozco el riesgo, sé que existe y, con conocimiento de causa, lo acepto.

El Plan de tratamiento de riesgos

Un plan de tratamiento de riesgos es un plan para modificar el riesgo de manera que cumpla los criterios de aceptación del riesgo de la organización.

Administración de la gestión de riesgos

 El análisis y tratamiento de los riesgos debe ser una actividad recurrente para adaptarse:

• Los cambios en los activos

• La evolución de las amenazas

• A la evolución del perfil de vulnerabilidad del sistema

• A la evolución de la presencia y eficacia de las salvaguardas presentes

Retos en la gestión de riesgos

• Tener conocimientos amplios

• Seleccionar la metodología adecuada y establecer los criterios

• Determinar las amenazas que afectan a cada uno de los activos

• Identificar sus vulnerabilidades

• Seleccionar las salvaguardas y valorar cómo mitigan el riesgo

• Correlacionarlas con las Normas

Conclusión

Disponer de una cultura de Ciberseguridad debería ser parte esencial en cualquier empresa y en cualquier ámbito empresarial. El Análisis de Riesgos permite conocer todos los activos que conforman la empresa, identificando amenazas y vulnerabilidades que están expuestos dichos activos.

Para realizar el Análisis de Riesgos es necesario disponer de una herramienta imprescindible, como es el caso de ISO Director. Esta plataforma ayuda a gestionar la Ciberseguridad de forma eficiente y, además, permite administrar de forma sencilla todos los documentos y los procedimientos del sistema de gestión de seguridad de la información. Pero eso no es todo, porque, además, ofrece una serie de ventajas que no deben pasarse por alto:

• Retos e ISO Director

• Es sencillo y automático

• Incorpora metodología completa ISO 27005: 2022

• Incorpora catálogo de amenazas por activos

• Identifica vulnerabilidades

• Selecciona salvaguardas y valora cómo mitigan

• Correlaciona ISO 27001: 2017, ISO 27001: 2022 y ENS, 2022

• Además, incorpora 40 plantillas de políticas y procedimientos para ISO y ENS

• 42 plantillas para registros

En definitiva, el Análisis de Riesgos permite implantar medidas para mitigar los riesgos, pudiendo llegar a conseguir no se produzcan. En la actualidad, realizar este tipo de tareas resulta fundamental para tratar de evitar situaciones comprometidas que puedan llegar a ocasionar situaciones complejas para la empresa. Un Análisis de Riesgos debe realizarlo cualquier organización que posea información valiosa para su negocio.

En Grupo CFI contamos con un equipo experto en servicios de Análisis de Riesgos. Contamos con un servicio 100% personalizado y cobertura nacional, y un servicio total, online y/o presencial 360º. Nos adaptamos a sus necesidades con un servicio a medida. No dudes en contactarnos. Te atendemos encantados.