Evaluación de Riesgos

Para gestionar el riesgo, es importante primero comprender el riesgo.

La comprensión y la evaluación del riesgo es una de las maneras fundamentales como las organizaciones pueden mejorar la toma sus decisiones sobre la seguridad de la información. Si bien es imposible eliminar todos los riesgos asociados a los Sistemas de TI y la información sensible almacenada, procesada y transmitida en ellos, la utilización de un Programa de Gestión de Riesgos le permite enfocar sus recursos limitados hacia donde pueden proporcionar el mayor nivel a fin de reducir el riesgo.

El tener una idea clara acerca de los riesgos, fundamentado en un conocimiento profundo del entorno y conocimiento actual del panorama de amenazas, promueve una estrategia de seguridad de la información inteligente y bien establecida. Una estrategia basada en buena información permite conseguir objetivos más amplios y a poder llegar a un cumplimiento acorde a estos objetivos.

La evaluación de riesgos documenta los riesgos asociados con los sitemas de TI de manera formal y la información sensible basada en las amenazas para el sistema, la vulnerabilidad del sistema ante esas amenazas y el impacto potencial de una brecha de seguridad en el sistema. Es por eso que (de manera mandatoria incluso según los estándares de cumplimiento la industria) las evaluaciones del riesgo se deben llevar a cabo cada año para tener en cuenta los cambios en el entorno operativo.

Por qué es importante

Sin un proceso formal para identificar y comprender los riesgos que enfrenta la organización, las decisiones son impulsadas por suposiciones en lugar de datos reales acerca de cómo se vería fectado el negocio ante un evento de un corte o violación de datos. Es importante entender tanto el valor y los riesgos asociados con los datos. Esto le guiará a comprometer el nivel apropiado de esfuerzo y recursos para su protección.

Una evaluación de riesgos obliga a la organización a pensar en todos los potenciales resultados de una violación de seguridad:

  • ¿Qué información es importante para nosotros, nuestros clientes, socios y/o proveedores?
  • ¿Qué pasaría si nuestro nombre aparece en las noticias por una brecha de seguridad, aun si los datos perdidos no tienen ninguna importancia?
  • ¿Qué responsabilidad legal tendríamos si algo le ocurre a estos datos?

 

Es vital que la evaluación de riesgos incluya todos los sistemas que son críticos para las operaciones de la empresa o que contienen información sensible. Además la evaluación de riesgo debería incluir también una evaluación de los procesos y procedimientos operativos utilizados para mantener y operar los sistemas. Estos procesos suelen afectar a más de una sistema y pueden guardar un riesgo adicional para la organización. Por ejemplo, un programa de actualización de parches de seguridad puede añadir un riesgo pequeño para los sistemas individuales, pero puede presentar riesgos importantes para toda la organización.

Al considerar todas las vías y las decisiones de peso basados en el análisis de riesgo, una evaluación de riesgos permite a la organización la toma de decisiones acertadas.

Cómo podemos ayudarlo

Nuestras evaluaciones de riesgo combinan estudios de la documentación y detalles del sistema con entrevistas al personal para identificar las amenazas pertinentes y vulnerabilidades dentro de su organización.

En base a nuestra experiencia, conocimiento de la industria y conocimiento de amenazas de seguridad a nivel mundial, le ayudamos a evaluar los riesgos que su organización enfrenta para identificar:

  • Cuales sistemas se utilizan para almacenar, procesar o transmitir información confidencial
  • Amenazas para sus sistemas de atacantes internos, externos, automatizados (por ejemplo, virus informáticos), factores ambientales, accidentes o errores humanos
  • Vulnerabilidades que podrían hacer susceptibles sus sistemas ante amenazas identificadas
  • El impacto para su organización o sus clientes, miembros y/o socios si un atacante fuera capaz de explotar una vulnerabilidad

Al finalizar la evaluación de riesgos, le recomendamos estrategias que ayuden a su organización a administrar estos riesgos con eficacia y para ajustar sus políticas de seguridad de la información. Su actualización, y quizás focos de seguridad recientemente encontrados se reflejarán en el programa de seguridad de la información para su organización.

También documentamos y presentamos formalmente los resultados de su evaluación de riesgo de manera adecuada a la dirección ejecutiva y administrativa de la empresa. Esto incluye en muchos casos, al consejo de directores o el comité de auditoría o de seguridad.