Qué es el análisis de riesgos

En la actualidad nuestras organizaciones tienen una gran dependencia de sus sistemas de información. Proteger estos sistemas implica que destinemos una serie de recursos para implantar las medidas de seguridad adecuadas. La mejor manera de destinar estos recursos de un modo adecuado es identificar los principales riesgos a los que están expuestos nuestros sistemas de información. ¿Cómo? A través de un análisis de riesgos.

Qué es el análisis de riesgos

La información mostrada a continuación ha sido obtenida del INCIBE, el Instituto Nacional de Ciberseguridad.

Podemos entender el análisis de riesgos como un estudio que deberemos hacer nosotros mismos o un tercero, con el fin de identificar los activos críticos de los sistemas de información que dan soporte a los procesos de negocio de nuestra organización y las amenazas que puede comprometer su disponibilidad, integridad o confidencialidad.

Pasos para realizar un análisis de riesgos

Realizar un análisis de riesgos requiere llevar a cabo una serie de etapas que nos permitan obtener una imagen rigurosa de los riesgos a los que se encuentra expuesta nuestra organización.

• Definir el alcance

El primer paso a la hora de llevar a cabo el análisis de riesgos, es establecer el alcance del estudio. El alcance podría involucrar a toda la organización o a sus áreas más críticas. Por otra parte, también es posible definir un alcance más limitado atendiendo a departamentos, procesos o sistemas.

Por ejemplo, análisis de riesgos sobre los procesos del departamento Administración, análisis de riesgos sobre los procesos de producción y gestión de almacén o análisis de riesgos sobre los sistemas TIC relacionados con la página web de la empresa, etc. En este caso práctico consideramos que el alcance escogido para el análisis de riesgos es “Los servicios y sistemas del Departamento Informática”.

• Identificación de activos

En esta etapa se identifican los recursos del sistema de información que son necesarios para que los procesos de negocio de nuestra organización funcionen correctamente. Dentro de estos activos podemos encontrar servidores, aplicaciones, proveedores, personal, instalaciones, etc.

• Evaluación de activos

En esta etapa deberemos otorgar un valor cualitativo o cuantitativo a los activos o a los procesos de negocio (si previamente hemos establecido relaciones entre ellos). Esta valoración puede realizarse teniendo en cuenta aspectos como la disponibilidad, la confidencialidad o la integridad.

Preguntas como ¿Cuál es la importancia de que este servidor esté funcionando? o ¿Cómo de importante es mantener la confidencialidad de determinada información?

• Identificación de amenazas

En esta etapa deberemos identificar que amenazas pueden comprometer nuestros activos. Amenazas como avería de origen físico, fugas de información, incendio o robo de equipos serviría como ejemplos de amenazas.

• Identificar vulnerabilidades

Las vulnerabilidades se presentan en activos informáticos y presentan un riesgo para la información. Sin ellas, una amenaza no puede hacerse real.

Dos ejemplos de vulnerabilidades que suelen encontrarse en el análisis de riesgos informáticos son la falta de actualización de los sistemas operativos (por lo tanto, no incluyen los últimos parches en materia de seguridad) y el uso de contraseñas de acceso débiles (contraseñas cortas que no utilizan combinaciones de letras, números, símbolos y mayúsculas/minúsculas, y que son fácilmente descifrables con procesos automáticos).

• Evaluación de amenazas

En esta etapa se deberán identificar la probabilidad y el impacto de que una amenaza afecte a un activo. Sirva de ejemplo la probabilidad de avería física de un servidor podría ser de 1 vez al año, causando un impacto total a la disponibilidad del servidor.

Evaluadas las amenazas obtendremos el riesgo intrínseco existente en nuestros sistemas de información, es decir el riesgo al que estamos expuestos sin tener en cuenta las medidas de seguridad existentes.

• Identificación de medidas de seguridad existentes

Para obtener el riesgo real deberemos tener en cuenta las medidas de seguridad que ya existen en nuestra organización. Estas medidas disminuirán la probabilidad o el impacto de determinadas amenazas, lo que redundará en un riesgo menor.

• Evaluación de riesgos

Tras evaluar identificar las medidas de seguridad, obtendremos los riesgos reales a los que en el momento del análisis de riesgos estamos expuestos. Es lo que se conoce como riesgo residual.

Beneficios que aporta realizar un análisis de riesgos

Las empresas que realicen un análisis de sus riesgos informáticos y de ciberseguridad se verán beneficiadas de la siguiente manera:

• Dispondrán de una visión precisa de los activos relacionados con la información de la empresa.
• Conocerán los riesgos a los que se expone la empresa, pudiendo priorizar aquellos que tengan mayor probabilidad de producirse, para así poder invertir mayores recursos en evitarlo.
• Podrán medir el impacto que producirá en la empresa cualquier riesgo en caso de producirse.
• Facilita la toma de decisiones a la hora de invertir en ciberseguridad y reduce los tiempos de actuación ante posibles incidentes de seguridad.
• Ayuda a elegir la mejor alternativa en cuanto a métodos de reducción de los riesgos.
• Permite realizar una evaluación de los resultados, para implementar mejoras o reforzar aspectos débiles en las medidas de seguridad.
• Garantiza la continuidad del negocio, disponiendo de planes y protocolos en caso de incidentes graves.
• Ayuda a crear una cultura de prevención en la empresa, implicando a todas las personas que la forman.
• Permite cumplir con las normativas legales en cuestión de seguridad, así como requisitos contractuales.