Mostrar más resultados
28800

Cómo elaborar un plan de riesgos de ciberseguridad

Cómo elaborar un plan de riesgos de ciberseguridad

Escrito por Equipo editorial

Las empresas y principalmente las pymes están expuestas a innumerables amenazas proveniente de ataques muchas veces poco sofisticados, siendo el más común el correo electrónico. Los ataques por correo electrónicos tienen un gran éxito por su sencillez, solamente utilizando el nombre de algún compañero de tu oficina y un titulo de mensaje como puede ser: Factura impagada, URGENTE, puede hacer que el nerviosismo del momento nos haga abrir ese correo.

Ya estamos infectados, de nada sirve lamentarse, si hemos hecho bien los deberes, actuaremos según nuestro plan, y lo que para muchas organizaciones sin plan podría ser un día entero o días, para nosotros puede ser cuestión de horas. Pero ¿En qué consiste un buen plan de riesgos? Si quieres especializarte, ¡échale un ojo a nuestro curso de ciberseguridad!

 

Definir el alcance del plan de ciberseguridad

Cuando se plantea un plan de riesgos, si pudiéramos preguntar al responsable de la compañía sobre que habría que proteger, seguramente todos dirían todo. Pero abarcar mucho viene seguido de una factura mucho más grande solo permitida por compañías que no pueden estar ni un minuto sin dar servicio (Entidades financieras, gobiernos, etc.), para el resto de las compañías hay que tener un alcance más realista, como puede ser que sería lo imprescindible que no fallará, o que debería de ser de lo primero en volver a estar operativos. Tener claro esto es una de las tareas más complicadas que se enfrentan tanto la empresa como quien ofrece los servicios de ciberseguridad. Por ende, se suele utilizar un plan de riesgos departamental, por ejemplo, que en el departamento de administración el programa que emite y paga facturas sea de lo primero en funcionar, en el departamento de informática que los servidores que dan acceso a internet y a los ordenadores estén operativos lo antes posible, etc.

 

Identificar los activos que debe contener el plan

En esta fase se debe de identificar los activos más importantes que guardan relación con cada departamento o proceso que se está evaluando: sería ideal realizar una auditoría de ciberseguridad a fondo. Podemos utilizar una hoja de Excel donde apuntar los activos y procesos que hace cada departamento, quien es su responsable, su localización y si es crítico o no, con ello la persona encargada de volver a hacer funcionar ese activo o proceso, tendrá muy claro donde se encuentra y hacer una lista del orden de prioridades.

 

Identificar las amenazas: punto clave en ciberseguridad

Identificar las amenazas para una persona experta es de las tareas más complicadas, ya que es muy amplio el abanico de posibilidades, pero hay que hacer un esfuerzo y reducir ese abanico en lo más práctico. Por ejemplo, si de repente la empresa no puede acceder a los archivos que tienen en el servidor, y se concluye que es a causa del servidor, en nuestra lista de posibles amenazas deberían de ser: Se ha roto una cañería en la sala de servidores, un golpe o fuego a causa del calor, pero en nuestra lista de amenazas no podemos poner cosas imposibles. Ya que al ser una lista de posibles causas se ha tenido que hacer un plan para prevenirlas, cuanta más haya el plan será más costoso.

Identificar vulnerabilidades

Una de las fases más importantes es identificar los puntos débiles de nuestro sistema. Justamente lo que se quiere hacer en un plan de riesgos es minimizar cualquier riesgo y la entrada de estos siempre será por las vulnerabilidades. Por ejemplo, tener un ordenador sin la última versión del sistema operativo o sin un antivirus es una vulnerabilidad que hay que solventar. Por otra parte, es importante que igual que se identifican las vulnerabilidades es importante también tener documentado las medidas de seguridad de las cuales la empresa ya dispone, como puede ser la documentación del Firewall, sais, etc.

 

Evaluar el riesgo: conclusiones en un plan de ciberseguridad

Con toda la información anterior ya somos capaces de evaluar el riesgo. Para cada amenaza se debe de estimar la probabilidad que existe de que esta se materialice y el impacto que supondrá al negocio. Este cálculo se puede hacer de forma cualitativa (Baja, Media, Alta) o de forma cuantitativa (1, 2, 3). Si se utiliza un método cuantitativo para poder calcular el riesgo puedes usar la siguiente fórmula:

    RIESGO=PROBABILIDAD x IMPACTO

 

Vamos a ver un ejemplo:

Supongamos que nuestro servidor central alimenta todo el core de nuestro negocio, si a este le pasase algo seguramente estaríamos muchas horas sin poder trabajar, además la sala del servidor es una sala sin las condiciones más adecuadas, con ello tenemos un riesgo alto y con probabilidad alta por lo tanto el impacto será alto. Ahora imaginemos que acondicionamos la sala de forma más adecuada quizás el riesgo sea medio pero el impacto en el caso que suceda sigue siendo alto. Para ello podemos optar por tener un servidor replicado que en el caso que a este le pasase algo se activara un secundario, con estas medidas hemos conseguido que un evento muy peligroso pase a ser de impacto bajo.

Cómo tratar el riesgo

La última fase del plan es después de evaluar todos los riesgos, será llegar a un acuerdo de que riesgos con cierto nivel se van a tratar, por ejemplo, aquellos que tengan un nivel 3 o más, se van a solventar por tener un impacto en la organización más alto.

¡Especialízate en Ciberseguridad!

Tener un buen plan de riesgo será una de las tareas de muchas empresas para el 2020, la ciberseguridad es algo que ya todos conocemos y cada día se registran cientos de ataques de formas totalmente diversas. ¿Este año, tu también harás tu plan?