TrueData Consultores > Blog > Ciberseguridad > Plan de gestión de riesgos en seguridad informática

Plan de gestión de riesgos en seguridad informática

junio 18, 2021 Ciberseguridad
plan gestión de riesgos seguridad informática

Plan de gestión de Riesgos en la Seguridad Informática. La Gestión de Riesgos es un método para determinar, analizar, valorar y clasificar el riesgo, para posteriormente implementar mecanismos que permitan controlarlo.

Estamos en la era de la transformación digital, por tanto, hoy en día cualquier empresa está expuesta a un ciberataque y debe tener un plan de gestión de riesgos para la seguridad de su infraestructura IT, que son el conjunto de elementos y componentes que hacen posible el funcionamiento de la actividad tecnológica de una empresa.

Como dice Robert Mueller, director del FBI, solamente hay dos tipos de empresas: aquellas que han sido hackeadas y aquellas que lo serán.

 

Plan de gestión de riesgos para la seguridad de la empresa

La gestión de riesgos de seguridad para la infraestructura IT de la empresa tiene como objetivo detectar los peligros que pueden amenazar a un negocio y desarrollar planes de acción que permitan reducir su probabilidad de ciberataque, minimizar su impacto y tener planes de reacción ante un ataque malicioso, siempre teniendo en cuenta la seguridad de la información y de los medios técnicos empleados para transmitirla, almacenarla y procesarla.

 

Gestion de riesgos seguridad informática

Fases de la gestión de riesgos en seguridad informática

Es importante conocer las fases para la gestión de riesgos y analizar minuciosamente cada una de ellas.

 

1. Alcance

Nuestro objetivo es proteger la seguridad de la información y de los medios técnicos empleados para transmitirla, almacenarla y procesarla. Y en función de ello podemos definir objetivos específicos.

La infraestructura informática debe estar disponible y plenamente operativa el mayor tiempo posible para ser aprovechada para las tareas que lo requieran. No queremos bajo ninguna circunstancia perder la información que transmitimos, procesamos o almacenamos. Queremos impedir los robos o filtraciones de información y si ocurre o se intenta, identificar rápidamente a los autores. A grandes rasgos y ajustándonos a la definición de lo que significa gestión de riesgos en seguridad informática, nuestra meta será anular, mitigar o contrarrestar las amenazas que puedan afectarnos en cada uno de los objetivos expuestos.Después de esto ya podemos calcular el alcance que en este caso supondrá establecer un límite máximo de daño asumible, de forma que nuestros planes estén orientados a que ninguna amenaza supere dicho límite y a los procedimientos para recuperarnos si los daños exceden el margen asumido. Obviamente, para medir los daños que mitigamos o contrastamos habrá que establecer criterios de medida y de objetivo.

2. Identificación de riesgos

La identificación de riesgos es a grandes rasgos, definir una serie de sucesos que pueden llegar a afectar al funcionamiento de  nuestra empresa. Para poder definir esta serie de sucesos, debemos identificar qué cosas pueden verse afectadas por distintos tipos de problemas.
Ejemplos:
  • El hardware puede dañarse por accidentes, sabotaje o por el paso del tiempo.
  • El software susceptible al hacking
  • la telefonía puede tener una caída y ademas puede ser hackeada
  • El proveedor de internet puede fallar
  • El proveedor de hosting puede tener caída
  • El personal y los socios, amenazas, chantajes, extorsiones..
  • Etc..
Debemos definir la lista de riesgos general e incluir en ella las posibilidades específicas que puedan tener lugar para que el plan de gestión de riesgos abarque desde una visión panorámica hasta el más mínimo detalle.
Las averías de nuestra tecnología, son un grave problema que muchas veces se nos olvida. Los discos duros se rompen, los dispositivos fallan y las las líneas telefónicas caen, el proveedor de acceso a Internet también puede fallar. Un sin fin de otros problemas normales y comunes cómo no cambiar la hora del reloj de un sistema de control de accesos o situaciones similares.
Sabemos que los ciberataques son el riesgo mas común de los sistemas de información, y debemos considerar tres grandes grupos: el espionaje, el secuestro de información y el sabotaje.
En definitiva, el objetivo de esta fase es detectar e identificar todos y cada uno de los riesgos posibles.

3. Evaluación de riesgos

En esta fase del desarrollo del plan de gestión de riesgos en IT vamos a calcular el valor del riesgo, o mas bien vamos a hacer referencia a la importancia del riesgo.

Queremos conocer la gravedad del daño que nos pueda causar un ciberataque o cualquier otro riesgo que pueda frenar la actividad de nuestra empresa. Por ello deberemos tener en cuenta un factor muy importante que es la probabilidad, ya que en gestión de riesgos hay que calcular qué probabilidad existe de que un riesgo determinado se haga realidad. Además haremos una valoración cuantitativa o cualitativa, en función del tipo de riesgo.

Teniendo en cuenta estos factores y pudiendo representar ambos en una gráfica, ya podemos evaluar los riesgos, e identificar si un riesgo es tolerable, bajo, medio, alto o intolerable.

 

evaluación de riesgos IT

4. Que hacer al respecto

En la fase anterior hablamos de identificar los riesgos y evaluar si un riesgo es tolerable, bajo, medio alto o intolerable. Partiendo de esta base, empezaremos a tomar acciones o medidas por los riesgos más altos, es decir, los intolerables, que serán los más  graves y con más probabilidad de que sucedan.

Una vez escogido el riesgo de mayor a menor, trazaremos un plan y seleccionaremos entre un plan productivo o plan reactivo, y que quiere decir esto. Los planes proactivos son aquellos que son preventivos, y se ejecutan antes de que se materialice la amenaza, cómo puede ser un cambio de contraseña, realizar copias de seguridad de nuestros datos, etc. Los planes reactivos son aquellos que se ejecutan cuando el riesgo ya no es un riesgo si no que se ha ejecutado y materializado la amenaza, es decir, que está activa la amenaza y lo que queremos conseguir con este plan es mitigar el daño producido, como puede ser restaurar una copia de seguridad.

Tenemos que tener muy claro el plan que vamos a ejecutar y cómo lo vamos a ejecutar para cada riesgo que vayamos enlazando y valorando en las etapas anteriores. Estos procedimientos independientes compondrán un plan específico para una amenaza concreta y al integrarlo junto con el resto de planes, tendremos un plan global de gestión de riesgos para la seguridad informática de nuestra empresa.

5. Ejecutar un plan

Hemos llegado a la quinta etapa de la gestión de riesgos para la seguridad Informática de nuestra empresa y debemos implementar el plan, y definir quién y cómo se ejecutar. Y además tanto como sea posible detallar los tipos de activación, respuesta y ejecución de cada acción.

Toda la ejecución de los planes y de sus procedimientos independientes tiene que ir acompañada de toma de notas y documentación exhaustivas.
Esta información será vital por dos motivos: si documentamos todos los procedimientos a modo de guías o protocolos a seguir,
no habrá que reaprender cómo ejecutarlos, y en caso de que una nueva persona deba acometerlos, tendrá disponible una guía paso a paso, reduciendo así el tiempo de aprendizaje y optimizando sus horas de trabajo.
Resumiendo, una vez definidos los planes independientes asignados a cada riesgo, debemos buscar sus contextos comunes para poder ejecutarlos de forma eficiente con el mayor rendimiento laboral y económico de cuánto vamos a invertir en seguridad.

6. Evaluar resultados

La gestión de riesgos es un procedimiento cíclico y por eso la sexta etapa, la que nos lleva de vuelta al principio, es la de recogida y evaluación de datos.
Nada mas empezar planteamos un alcance, luego identificamos y evaluamos una serie de riesgos y desarrollamos planes  específicos que posteriormente ejecutamos. Pero no podemos evolucionar si durante la ejecución de los planes y con posterioridad a dicha ejecución no recogemos nueva información.
Cuando evaluamos los resultados de ejecutar nuestras políticas de seguridad, debemos contemplar no solo los datos cuantitativos como, por ejemplo, la reducción de intentos de acceso ilícitos a nuestra web.
También debemos considerar el impacto cualitativo que tienen las nuevas medidas de seguridad en el flujo de trabajo de nuestros empleados y en la satisfacción de nuestros clientes.
Por lo tanto, nunca debemos dejar de evaluar los resultados de la aplicación de nuestros planes, debemos observar estos resultados desde el prisma de la seguridad pero también desde su aplicación en el día a día, desde el de la usabilidad.
La retroalimentación que consigamos se inyectará directamente en las 5 fases del sistema de gestión de riesgos para la seguridad de nuestra empresa y así conseguiremos mantener un estado óptimo de evolución controlada.


Conclusión

Hoy en día cualquier empresa es susceptible de ser hackeada, o sin ir más lejos de un fallo en su sistema de información.  Por este motivo hay que tener un plan de acción para anular, mitigar o contrarrestar las amenazas. Ya un ataque o hackeo puede afectar a al buen funcionamiento de nuestra empresa y ocasionarnos perdidas innecesarias.

Trudata valora tu seguridad informática

En True Data Consultores nos preocupamos por la seguridad de tu empresa y queremos hacerte sentir seguro. Si crees que tu empresa puede ser vulnerable a un ataque y no tienes un plan de acción frente a un ciberataque, contáctanos.

 

Fuentes: Sergio R. Solís – Consultor Técnico y de Seguridad. Avansis servicios IT

Related articles

Deja una respuesta

Pedir presupuesto

Si deseas obtener un presupuesto gratuito y sin compromiso, rellena el siguiente formulario y nos pondremos en contacto contigo.

+34 678 478 596

    × ¿Cómo puedo ayudarte?