Implementación de la ciberseguridad en los factores de riesgo

dices over newspaper, profit, loss risk-2656028.jpg

Comparta esta publicación

¿Qué es el riesgo?

 

RIESGO = Probabilidad * Impacto

En el ámbito de la ciberseguridad, el principal riesgo para una empresa es la pérdida de datos críticos, la pérdida de privacidad, el daño a los equipos informáticos, la pérdida de reputación, la disminución de la confianza y, en circunstancias extremas, la posibilidad de poner en peligro vidas humanas.

El riesgo implica la incertidumbre tanto sobre la probabilidad del evento indeseable, como sobre el impacto que podría tener en la organización.

En la ciberseguridad, es fundamental comprender el riesgo para poder estimarlo y actuar en consecuencia.

Toda organización, ya sea grande o pequeña, debería realizar un análisis de riesgos para analizar los escenarios de amenaza y producir una representación de la pérdida potencial estimada.

security, alarm, monitor-5043368.jpg

El proceso de análisis de riesgos:

Paso 1 – Preparar la evaluación (definir el objetivo, el alcance, etc.)

Paso 2 – Realización de la evaluación

  • Identificar los activos (físicos y no físicos)
  • Identificar las fuentes de amenaza (piratas informáticos, personas con información privilegiada, competencia…)
  • Identificar las vulnerabilidades y predisposiciones (posibles vectores de ataque)
  • Determinar la probabilidad de ocurrencia (posibilidad de que ocurra)
  • Determinar la magnitud del impacto (operativo/financiero, directo y no directo)
  • Calcular el riesgo -Análisis cuantitativo* y cualitativo del riesgo

Paso 3 – Comunicar el riesgo/los resultados dentro de la organización

Paso 4 – Mantener la evaluación/regularmente

Paso 5 – Actuar – Gestionar el riesgo y priorizar la implementación de Controles y Contramedidas, y evaluar el riesgo residual.

¿Cómo calcular el riesgo cuantitativo?

En primer lugar, ¿por qué debemos calcular el riesgo? La razón principal para calcular el riesgo es poder gestionar, priorizar y eventualmente determinar cuánto invertir para mitigar este riesgo.

Calcularemos el siguiente KPI: la expectativa de pérdida anualizada o ALE, que es el producto de la tasa anual de ocurrencia (Probabilidad) y la expectativa de pérdida única (Impacto)

Para calcular la ALE, necesitamos poder obtener estimaciones de los siguientes 3 parámetros:

  1. Valor de los activos (AV)

Cómo evaluar nuestros activos – datos, información, reputación

  1. Factor de exposición (EF)

Porcentaje potencial de pérdida de un activo específico si se produce una amenaza concreta.

  1. Tasa de ocurrencia anualizada (ARO)

La probabilidad de que un riesgo se produzca en un año determinado

ALE = AV * EF * ARO

Tenemos que calcular la ALE para cada amenaza y vulnerabilidad (riesgo cibernético y no cibernético)

¿Cómo gestionar el riesgo?

Una vez que entienda claramente el riesgo que suponen los ciberataques para su organización, puede elegir entre la siguiente estrategia:

  1. Mitigar – aplicar controles y contramedidas – políticas, concienciación, soluciones de ciberseguridad
  2. Aceptar – comprender el riesgo y estar dispuesto a asumirlo
  3. Evitar – Detener la actividad comercial por completo
  4. Asignar – asegurar el riesgo o transferirlo a un tercero

A la hora de mitigar el riesgo, implementar controles y utilizar salvaguardas, debemos tener en cuenta los siguientes criterios de selección de la solución:

1) Rentabilidad – la solución no debe costar más que el ALE

2) Reducción del riesgo – recalcular el riesgo residual tras la aplicación de la salvaguardia

3) Práctica – Efectos mínimos en el funcionamiento continuo de la organización

Si te interesa saber más sobre el riesgo cibernético y cómo SymbioLAB puede ayudar a su organización, póngase en contacto con nosotros.

https://symbiolab.a

 

Contáctanos.

El personal de SymbioLAB cuenta con múltiples certificaciones internacionales en Seguridad de la Información. Esta capacitación constante y alineación a estándares internacionales nos permite entregar resultados óptimos de accuerdo a su necesidad. 

Más para explorar