¿Qué es un análisis de riesgos?
Si te preocupa la seguridad de la información de tu empresa tanto documental como informática el primer paso que tenemos que dar es sin duda el «análisis de riesgos». Con este análisis conseguimos obtener de manera clara un resumen de cuales son nuestras debilidades en materia de seguridad de nuestra información y a partir de ahí podemos tomar las medidas para solventar estos potenciales problemas.
Segun INCIBE las fase de un análisis de riesgos son las siguientes:
Fase 1. Definir el alcance de Análisis de Riesgos
El primer paso es establecer el alcance del estudio. Para una PYME o autónomo sería un proceso habitualmente global de todos sus sistemas de información mientras que en una empresa de mayor tamaño se podría realizar únicamente un análisis de riesgos de determinados departamentos o áreas (contabilidad, personal, web, etc)
Fase 2. Identificar los activos
En esta fase el analista identifica cada uno de los sistemas de información en el entorno a analizar. Un ejemplo sería un servidor donde almacenamos nuestros datos, la conexión de internet, los ordenadores personales e incluso el personal que trabaja para nosotros
Ejemplo de inventario
Fase 3. Identificar / seleccionar las amenazas
Un vez que el analista tiene una relación de nuestros activos. Procede a identificar cuales son los posibles riesgos o amenazas a los que están expuestos siempre dentro de la lógica. Un ejemplo de esto puede ser el riesgo de averías eléctricas, posibilidad de inundaciones o infecciones por virus que nos priven del acceso a nuestra información
Fase 4. Vulnerabilidades
Una vez que el analista tiene la relación de amenazas contra nuestros activos pasa a una fase más activa del análisis de riesgos que consiste en una primera inspección de seguridad sobre cada uno de los activos para identificar qué debilidades pueden encontrarse en configuración o diseño. Por ejemplo, un equipo con un sistema operativo desactualizado o incluso un empleado sin conocimientos básicos que le permitan manejar la información de manera adecuada. Posteriormente, a la hora de evaluar el riesgo se aplicarán penalizaciones para reflejar las vulnerabilidades identificadas.
También se analizará y documentará que medidas tenemos implementadas para disminuir el riego sobre nuestra información. Por ejemplo, la utilización de SAI o tareas de Backup programadas
Estas consideraciones (vulnerabilidades y salvaguardas) debemos tenerlas en cuenta cuando vayamos a estimar la probabilidad y el impacto como veremos en la siguiente fase.
Fase 5. Evaluar el riesgo
Llegado a este punto el analista dispone de los siguientes elementos:
- Inventario de activos.
- Listado de amenazas a las que está expuesta cada activo.
- Recuento de vulnerabilidades asociadas a cada activo (si corresponde).
- Conjunto de medidas de seguridad implantadas
Con esta información, el analista calcula la probabilidad de que se materialice un desastre. Además calcula el impacto que tendría este desastre sobre nuestra información o negocio.
Tabla de cálculo de riesgo.
Fase 6. Tratar el riesgo
Una vez calculado el riesgo, el analista redactará un informe sobre la inspección y riesgos a tratar. Este informe variará en función del grado de peligrosidad, coste económico y medidas técnicas a emplear.
Ya el empresario puede realizar distintas acciones como són:
- Transferir el riesgo a un tercero. Por ejemplo, contratando un seguro que cubra los daños a terceros ocasionados por fugas de información.
- Eliminar el riesgo. Por ejemplo, eliminando un sistema que no es necesario para el funcionamiento de la empresa
- Asumir el riesgo. Por ejemplo, el coste de instalar algún sistema de protección puede ser superior a la capacidad ecómica de la empresa y puede aplazar el tomar medidas aun conociendo la amenaza
- Implantar medidas para mitigarlo. Por ejemplo, implantando medidas de seguridad informática y procedimientos adecuados de manejo de la información
Resumen
El análisis de riesgos es el primer paso necesario para mejorar la seguridad de tu información y con la entrada en vigor de la RGPD si manejas información personal estás obligado a protegerla de manera adecuada. Si tienes dudas sobre como realizar tu análisis de riesgos o prefieres dejarlo en manos de profesionales en Capa9 estamos para ayudarte a proteger tu información con precios económicos. Estamos en contacto@capa9.es | contacto
Fuente https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo
