5/07/2018

Cómo llevar a cabo una evaluación eficaz de riesgos y de seguridad.

Muchos proyectos de seguridad y cumplimiento comienzan con una idea simple: evaluar el riesgo de vulnerabilidades y violaciones de la organización. De hecho, la implementación de una evaluación de riesgos de seguridad de TI es absolutamente crítica para la postura general de seguridad de tu organización.

Una evaluación eficaz de los riesgos de seguridad puede evitar infracciones, reducir el impacto de incumplimientos realizados, permite  crear un caché de datos históricos que pueden utilizarse para medir y comunicar eficazmente el impacto monetario relacionado con los riesgos lo que ayuda a tomar medidas decisivas para reducir la superficie amenazante de tu organización.

Es importante tener en cuenta que no todas las evaluaciones de riesgos de seguridad de TI son parecidas, ni remotamente cerradas. De hecho, hay muchas maneras de realizar evaluaciones de riesgos de seguridad de TI. Sin embargo, hay elementos básicos de gestión de riesgos.

 

 

Elementos de la evaluación de riesgos

Las evaluaciones de riesgos generalmente incluyen lo siguiente para incluir activos, amenazas y vulnerabilidades. Sin embargo, el alcance del proyecto, presupuesto y otras limitaciones afectan varios niveles. 

*Comparación de los niveles actuales de seguridad con los activos, las amenazas y las vulnerabilidades que pueden dañar las operaciones.

*Asignación de amenazas a los activos y vulnerabilidades.

*Reconocimiento y clasificación del valor y el nivel de severidad de las operaciones y activos potencialmente afectados por tales amenazas. 

*Proyección de las posibles pérdidas que puedan ocurrir en caso de que ocurra una amenaza, así como los costos de recuperación del daño permanente.

*Identificación de acciones para mitigar o reducir los riesgos.

*Evaluación de la infraestructura actual ( como firewalls, servidores y conexiones de Internet al mundo exterior) no está abierta a ataques cibernéticos.

*Registro de los resultados y desarrollo de un plan de acción con recomendaciones para abordar vulnerabilidades, parches y aumentar los niveles de confianza.

También te podría interesar: Las 10 mejores herramientas para pruebas de penetración

Determina qué riesgos requieren tu atención

Tratar de abordar todos y cada uno de los riesgos, grandes y pequeños, que tu organización pueda enfrentar puede ser costoso, tanto en tiempo como en recursos. Un mejor enfoque y más rentable es priorizar los riesgos. La evaluación de impacto y evaluación de posibilidad proporcionan un marco útil que ayuda a decidir qué riesgos requieren tu atención.

Evaluación de impacto

Una evaluación de impacto tiene en cuenta factores cuantificables, como el impacto en los ingresos, las ganancias, las regulaciones, la reputación y los niveles de servicio; ( es decir, cuánto riesgo se puede tolerar) antes de que los activos afectados por esos riesgos se vean comprometidos. Una buena regla a seguir es que mientras más severas sean las consecuencias de una amenaza, mayor será el riesgo. 

Evaluación de posibilidad

Una evaluación de posibilidad predice la probabilidad de que ocurra una amenaza. También, determina la probabilidad de que vuelva a ocurrir un riego. Ayuda a clasificar los riesgos, priorizar los riesgos y su impacto, y llegar a un nivel global estimado de riesgo. 

Resultado de la evaluación de riesgos

La capacidad de una evaluación de riesgos para reducir o eliminar las vulnerabilidades de seguridad depende si la evaluación fue completa y precisa. Es crucial que los cambios a partir de esa evaluación se incorporen en el lugar de trabajo y que la realización de esos cambios no introduzca nuevos riesgos o eleve los riesgos que previamente se clasificaron. 

Es recomendable revisar la evaluación en intervalos regulares ( por ejemplo, cada seis meses) para asegurar que nada haya cambiado y que los métodos de seguridad sean efectivos. 

Acerca de Arame Risk Assessment y Security Assessment

En Arame analizamos el nivel actual de seguridad de la información de tu empresa en toda infraestructura, y proponemos acciones que permitan a las empresas mejorar la seguridad de manera estructural, planeada y balanceada. Para obtener más información contáctanos.  

  •  ¿Qué te pareció este artículo? Cuéntanoslo en los comentarios.

Fuente  [1] https://www.darkreading.com/how-to-conduct-an-effective-it-security-risk-assessment/d/d-id/1138995 [2]https://www.solarwindsmsp.com/content/risk-assessment-security

Síguienos en nuestras redes sociales