Hoy en día los riegos en una organización van en aumento debido a todos agentes de amenazas que existen, ya sea en forma de malware, phising, o incluso amenazas ambientales, internas por usuarios descontentos...
Teniendo en cuenta que la información de la organización es su mayor activos, no solo basta con protegerla, debemos tener una política en ciberseguridad clara, actualizada y entendida por todos los actores de la organización. Es por ello que la evaluación de riesgos informáticos es un proceso esencial para identificar, analizar y gestionar las posibles amenazas y vulnerabilidades que podrían afectar la seguridad de la información en una organización.
Antes de conocer que medidas podemos tomar, debemos saber que tenemos activos, que se deben categorizar. Dichos activos tienen un valor y están expuestos a amenazas. El valor y la degradación posible por una amenaza nos indica el impacto que tendría para la organización, ya sea por un evento no esperado o un acto malicioso, y esto produce el daño en un sistema o activo (hardware o software). Este impacto y la probabilidad de ocurrencia nos da el Riesgo referente a ese activo. Por ejemplo, un ataque de denegación en la página web de la organización, no solo tiene un impacto en que los usuarios no pueden acceder, sino que también genera un daño reputacional a nuestra marca, que también se puede contabilizar incluso de manera económica.
Por ellos os paso una guía paso a paso sobre cómo llevar a cabo una evaluación de riesgos informáticos:
Identificación de Activos
Es una parte fundamental. No podemos proteger lo que no conocemos. Debemos enumerar y clasificar todos los activos de información relevantes para la organización, como datos, sistemas, hardware, software, redes y personal.
Identificación de Amenazas y Vulnerabilidades
Debemos identificar que puede amenazar a nuestros activos. Una amenaza puede ser un malware, un phising, un fallo hardware en un equipo, un corte de energía, un desastre natural... Debemos conocer el grado de exposición que tenemos a esos eventos. Por ejemplo, si tengo un CPD certificado como TIER IV - Tolerante a fallos, sabemos que una exposición a cortes de energía es menor que si no lo tenemos.
Análisis de Impacto:
El impacto hace referencia a las posibles consecuencias que tendría un la ocurrencia de una amenaza. Debemos tener claro cada activo que responsabilidad tiene en nuestra organización para evaluar el impacto de un problema en el mismo.
Evaluación de la Probabilidad
Una inundación se podría producir si estamos en una zona en que hay lluvias torrenciales o pasa algún rio cercano a nuestra empresa. Si no es así la probabilidad disminuye. También debemos tener en cuenta que si disponemos de Firewall actualizado, EDR, políticas de actualización comprobadas, la probabilidad de sufrir un percance baja.
Cálculo de Riesgos:
El cálculo de riesgo evalúa la probabilidad de que pueda ocurrir y el impacto que tendría para nuestra organización. Con este cálculo, podemos conocer que sistemas son más críticos.
En el cálculo de riesgos tenemos el cuantitativo que se calcula en base al valor del activo y la probabilidad de ocurrencia y el cualitativo que se basa en opiniones y escenarios que trazan la probabilidad de una amenaza contra su impacto:
Identificación de Controles de Seguridad:
Debemos conocer y documentar los controles de seguridad que ya tenemos para poder calcular la exposición que tenemos a los riesgos. Estos Controles son de todo tipo, desde software, hardware o incluso físico, como puede ser los permisos de acceso al CPD y como se acceder (tarjeta, huella dactilar...).
Análisis de Brechas:
En esta parte se compara los controles de seguridad con las amenazas y vulnerabilidades identificadas.
Priorización de Riesgos:
Después del cálculo de riesgos, sabemos los activos cuya impacto es mayor. Por ello debemos priorizarlo para mitigar los más críticos. Si por ejemplo aparece una nueva vulnerabilidad del servidor web y tenemos varios, sabremos el más critico y el que tendremos que prestar más atención, a lo mejor el servidor de aplicaciones se actualizará antes que el servidor de la intranet.
Desarrollo de Estrategias de Mitigación:
Si un riesgo es un malware por falta de política de actualización, sabemos que debemos desarrollar una estrategia de actualizaciones de software. Si los usuarios vienen con sus dispositivos al trabajo e implica un riesgo, deberemos crear una política BYOD para minimizar el riesgo intrínseco de este tipo de políticas.
Monitoreo y Revisión Continua:
Si todo lo anterior lo hemos realizado, pero nos olvidamos de monitorizar y comprobar que el sistema está funcionando y está cumpliendo con lo indicado, no sirve para nada. También debemos tener en cuenta cambios en la tecnología, los nuevos vectores de ataque, cambios en la organización...
Métricas
No podemos tener un control si no podemos medir como están funcionando las medidas tomadas. Por ello debemos buscar una manera de evaluar si todas las acciones tomadas están funcionando. Por ejemplo, una métrica podría ser violaciones graves de seguridad detectadas o encuestas a usuarios sobre la normativa y procedimientos creados.
Documentación
La parte mas aburrida para algunos, pero necesaria. El documentar todo el proceso hace que la organización pueda actuar de manera más rápida y organizada antes un eventos independientemente de los responsables que lo crearon.
Una buena evaluación de riesgos permite a las organizaciones estar más preparadas ante eventos inesperados y da seguridad y control sobre los recursos, además de identificar los activos mas importantes que quizás no seamos conscientes. Solamente queda indicar que la evaluación de riesgos es un documento para toda la organización y que deben estar implicados desde la gerencia al resto de profesionales.
No hay comentarios:
Publicar un comentario