CONOCE LOS RIESGOS DE TU EMPRESA

Conocer los riesgos de nuestra empresa contribuye a mejorar la seguridad de nuestra organización

Si queremos “empezar por el principio” en materia de ciberseguridad, el análisis de riesgos es uno de los trabajos más importantes a la hora de definir proyectos e iniciativas para la mejora de la seguridad de la información.

En nuestro anterior post ya os hablamos de la importancia de disponer de un Plan Director de Seguridad para minimizar los riesgos a los que se ve expuesta la empresa. Hoy hablamos de los pasos que hay que dar para definir la primera fase del plan, “Conocer la situación actual” de nuestro negocio.

Fases comunes para el análisis de riesgos

1. DEFINIR EL ALCANCE
Es esencial definir claramente el alcance sobre el que vamos a evaluar el riesgo. Lo recomendable es hacer una clasificación atendiendo a departamentos, procesos o sistemas. Por ejemplo, el análisis de riesgos sobre los sistemas TIC relacionados con la página web de la empresa.

2. IDENTIFICAR LOS ACTIVOS
Debemos identificar los activos más importantes que guardan relación con el estudio. Para mantener un inventario de activos sencillo puede ser suficiente con hacer uso de una hoja de cálculo o tabla.

3. IDENTIFICAR AMENAZAS
El siguiente paso consiste en identificar las amenazas a las que estos están expuestos. El conjunto de amenazas es amplio y diverso por lo que debemos hacer un esfuerzo en mantener un enfoque práctico y aplicado.

4. IDENTIFICAR VULNERABILIDADES Y SALVAGUARDAS
Estudiar las características de nuestros activos para identificar puntos débiles o vulnerabilidades también es importante. Una posible vulnerabilidad puede ser identificar un conjunto de ordenadores o servidores cuyo sistemas antivirus no están actualizados o una serie de activos para los que no existe soporte ni mantenimiento por parte del fabricante.

5. EVALUAR EL RIESGO
Una vez tenemos la información de todos los puntos anteriores, podemos calcular el riesgo. Para cada activo-amenaza, estimaremos la probabilidad de que la amenaza se materialice y el impacto sobre el negocio que esto produciría. Podemos calcularlo en base a dos criterios:

  • Cuantitativos: multiplicamos la probabilidad por el impacto.
  • Cualitativos: utilizaremos la siguiente matriz.

6. TRATARE EL RIESGO

Una vez calculado el riesgo, debemos tratar aquellos riesgos que superen un límite que nosotros mismos hayamos establecido. Existen cuatro estrategias para tratar el riesgo:

  • Transferir el riesgo a un tercero. Por ejemplo, contratando un seguro que cubra los daños a terceros.
  • Eliminar el riesgo (eliminando un proceso que ya no es necesario). Por ejemplo, eliminar la wifi de cortesía para dar servicio a los clientes invitados.
  • Asumir el riesgo, siempre justificadamente. Por ejemplo, el coste de instalar un grupo de electrógeno puede ser demasiado alto y por tanto, la organización puede optar por asumir.
  • Implantar medidas para mitigarlo. Por ejemplo, contratando servicios de back-up online en caso de pérdida de información o daños irreversibles en equipos.

Llevar a cabo un análisis de riesgos nos proporciona información de gran valor y contribuye en gran medida a mejorar la seguridad de nuestra organización. En arditec realizamos acciones preventivas a nuestros clientes para que todos los equipos y servicios estén optimizados, garantizando así el buen funcionamiento de la empresa.

Si quieres obtener información sobre nuestros servicios o conocer cómo podemos ayudarte, ponte en contacto con nosotros haciendo click aquí.

Links relacionados:
Incibe

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies