Please enable JavaScript.
Coggle requires JavaScript to display documents.
PROCESOS DE ANALISIS Y CIBERSEGURIDAD, FASE 5 - Coggle Diagram
PROCESOS DE ANALISIS Y CIBERSEGURIDAD
VENTAJAS DEL ANÁLISIS DE RIESGOS INFORMATICOS
Las organizaciones que realicen un análisis de sus riesgos informáticos y de ciberseguridad se verán beneficiadas de la siguiente manera.
Ayuda a elegir la mejor alternativa en cuanto a métodos de reducción de los riesgos.
Permite realizar una evaluación de los resultados, para implementar mejoras o reforzar aspectos débiles en las medidas de seguridad.
Facilita la toma de decisiones a la hora de invertir en ciberseguridad y reduce los tiempos de actuación ante posibles incidentes de seguridad.
Garantiza la continuidad del negocio, disponiendo de planes y protocolos en caso de incidentes graves.
Podrán medir el impacto que producirá en la organización cualquier riesgo en caso de producirse.
Ayuda a crear una cultura de prevención en la organización, implicando a todas las personas que la forman.
Conocerán los riesgos a los que se expone la organización, pudiendo priorizar aquellos que tengan mayor probabilidad de producirse,
Permite cumplir con las normativas legales en cuestión de seguridad.
Dispondrán de una visión precisa de los activos relacionados con la información de la organización
EVALUACIÓN DE RIESGOS
Una posible metodología de evaluación de riesgos estaría compuesta de las siguientes fases:
Distinción y clasificación de las amenazas.
Identificación y estimación de las vulnerabilidades.
Identificación, clasificación y valoración los grupos de activos.
Diferenciación y valoración de impactos: identificar, tipificar y valorar los impactos.
Recogida y preparación de la información.
Evaluación y análisis del riesgo.
Se entiende como riesgo informático un estado de cualquier sistema que nos indica que ese sistema está libre de peligro, daño o riesgo.
El riesgo informático se define como una dificultad que interviene en el cumplimiento de una meta o así mismo una amenaza a la perdida de documentos.
Este riesgo puede estar clasificado en ganancia o perdida. Los medios que este riesgo informático presenta son: Probabilidad, amenazas, vulneraciones e impacto
La ciberseguridad es el campo de la tecnología de la información asociado con la seguridad de los sistemas informáticos y la protección de datos, y en contra de ataques maliciosos o ataques informáticos en el mundo digital.
La ciberseguridad se centra en la protección de sistemas, redes y programas de ataques digitales; los ciberataques apuntan a acceder, modificar o destruir la información confidencial.
Abarca amenazas al hardware, cuidado de información confidencial, cuidado de software y datos de las computadoras, incluidos robo, piratería, virus, ataques a bases de datos o incluso nuevas tecnologías y más, dependiendo del tipo de ataque.
FASE 3
Identifuicar riesgos y amenazas
Luego de identificar todos los activos de información que dispone la organización, deben definirse las amenazas a las que pueden estar expuestos.
Estas amenazas pueden ser de diferente tipo,
como ataques externos, desastres naturales, errores humanos y entre otros.
Desastres naturales.
Es posible que se den situaciones que pongan en peligro los activos
informáticos de la organización como inundaciones o sobrecargas en la red eléctrica.
Situaciones extraordinarias
Las crisis a menudo reducen los niveles de alerta y protección y llevan a los ciberdelincuentes a aprovecharse de esta situación operando bajo esquemas maliciosos.
Errores humanos.
La intervención humana en los procesos informáticos siempre está
expuesta a que se cometan errores intencionados o no intencionados.
Ataques externos.
Los ciberdelincuentes realizan el seguimiento a las organizaciones y sus sistemas, para substraer diferente tipo de información, destruir sus sistemas o utilizar sus recursos
FASE 6
Medidas de prevención y control
Después de identificar las amenazas y vulnerabilidades de los sistemas y definidos todos los riesgos y sus consecuencias, es fundamental establecerse una serie de medidas y tratamientos de riesgo
TIPO DE MEDIAS
Añadir protocolos de seguridad para reforzar la seguridad de las contraseñas.
Revisión de los perfiles y privilegios de los usuarios con especial cuidado en la asignación de los roles con mayores privilegios, como los administradores.
Implementación de sistemas de seguridad en la nube automatizados y planes de Disaster Recovery
Contratación de un seguro que cubra los daños ocasionados.
Instalación de software de seguridad y cortafuegos por software o hardware.
Implementación de sistemas alternativos o duplicados para asegurar la disponibilidad del sistema
FASE 4
Detectar vulnerabilidades
Es importante determinar las características de los activos para identificar puntos débiles o vulnerabilidades.
Las vulnerabilidades que suelen encontrarse en el análisis de riesgos informáticos son la falta de actualización de los sistemas operativos que no incluyen los últimos parches en materia de seguridad.
Las vulnerabilidades se presentan en activos informáticos y presentan un riesgo para la información.
FASES DE ANALISIS DE RIESGOS
Las fases de un análisis de riesgos dependen de la metodología escogida
FASE 1
Definir el alcance
El alcance podría involucrar a toda la organización o a sus áreas más críticas.
Es posible definir un alcance más limitado atendiendo a departamentos, procesos o sistemas.
Para realizar el procero de análisis de riesgos, es fundamental establecer el alcance del estudio.
FASE 2
Identificar y seleccionar los activos
En esta etapa se identifican los recursos del sistema de información que son necesarios para que los procesos de negocio de nuestra organización funcionen correctamente.
Estos activos incluyen los recursos relacionados con la gestión e intercambio de información de la organización, como software, hardware, redes, documentación digital y manual e incluso de recursos humanos.
Para realizar un análisis de riesgos efectivo, es fundamental identificar y seleccionar los activos de la organización.
FASE 5
Para cada par activo-amenaza, es fundamental estimar la probabilidad de que la amenaza se materialice y el impacto sobre el negocio que esto produciría.
El cálculo de riesgo se puede
realizar usando tanto criterios cuantitativos como cualitativos.
Tabla para el cálculo del impacto
Cálculo del riesgo.
A la hora de calcular el riesgo, si ha optado por hacer el análisis cuantitativo, multiplicando los factores probabilidad e impacto:
Riesgo =probabilidad x impacto.
Tabla para el cálculo de la probabilidad
