Ir al contenido principal

Sesión 7 - Definiciones y metodologías de análisis de riesgos

 En el post de hoy vamos a utilizar una herramienta conocida como matriz de riesgos. En una matriz de riesgos, tenemos por un lado la probabilidad de que un riesgo suceda, que en esta ocasión hemos dividido en baja, medio baja, medio alta y alta; y por otro lado tenemos el impacto de las consecuencias de que dicho riesgo se cumpliese, de nuevo dividido en los mismos valores que la probabilidad. De esta manera podemos observar de forma visual cuáles son los principales riesgos que acechan a nuestro negocio y cuáles son aquellos en los que podemos relajarnos un poco más (aunque nunca del todo porque un negocio y su seguridad es tan fuerte como lo sea su eslabón más débil). De esta forma vamos a seleccionar el color rojo para los niveles altos de riesgo, el amarillo para los niveles medios y el verde para los bajos.




A continuación hemos elegido 10 de los que consideramos riesgos potenciales para nuestro negocio (la empresa de reformas) y los hemos clasificado en función de su impacto y su probabilidad, tal y como ya hemos descrito. El resultado ha sido el siguiente diagrama de burbujas que explicaremos ahora.





        

Como podemos observar, he estimado que el menor riesgo junto a la menor probabilidad de impacto es la desmotivación, ya que la desmotivación de uno de nuestros empleados no siempre va a implicar un fallo a nivel mayor en todo el proceso en su conjunto. Por su parte, a pesar de que los malos resultados generarían un gran impacto en nuestro negocio, consideramos que su probabilidad es baja ya que confiamos en nuestra empresa. A nivel medio de probabilidad y de impacto nos encontramos con el fallo de los servicios y los accidentes laborales. En un nivel medio-bajo de probabilidad pero medio-alto de impacto encontramos los robos, y en un nivel medio-alto de impacto y medio-bajo de probabilidad hemos situado al hackeo. Hemos considerado que la afectación de virus o malware tendría tanto una probabilidad como un impacto medio-alto, y la pérdida de la información creemos que implica una probabilidad media-baja pero con un impacto muy alto, igual que los fallos de los empleados.  Por último vemos con un gran impacto (medio-alto) y con una alta probabilidad el riesgo de una mala salud física y mental de los RR.HH., debido a la situación de pandemia en la que nos encontramos, es probable que uno de nuestros empleados coja el virus o que anímicamente se vea afectado, lo que afectará a nuestro negocio. 


---------------

El INCIBE es el Instituto Nacional de Ciberseguridad que pertenece al Ministerio de Industria, Turismo y Comercio, y hoy vamos a utilizar la plantilla que nos facilita este mismo para poder hablar del análisis de riesgos. Esta plantilla se incluye dentro del Plan Director de Seguridad, que establece que es necesario contar con el compromiso de la dirección de la organización demandante de este plan, así como establecer cuáles son las prioridades de nuestro plan, los recursos que vamos a utilizar y cuáles van a ser los responsables de intentar asegurar al máximo nuestros datos en el ciberespacio. Para esto es muy importante analizar cuáles son los riesgos principales que acechan a nuestra empresa, cuáles son las amenazas más preocupantes para desarrollar correctamente nuestra actividad. 


El análisis de los riesgos empieza con la identificación de los activos. Además es importante definir cuáles son los activos más importantes de la organización en este aspecto y asignarles un cierto valor en función de su relevancia. A continuación, es muy importante saber identificar cuáles son los principales riesgos y amenazas a los que se exponen nuestros activos. Ahora es necesario asignar cuál creemos que es el impacto que tendrían estas amenazas en nuestro negocio y la probabilidad de que la amenaza se cumpla, para lo que podemos utilizar herramientas como la matriz de riesgo que ya hemos usado en este mismo post, y una vez hecho esto debemos identificar cuáles serán las mejores medidas de seguridad para reducir la probabilidad de que estas amenazas se cumplan o bien que el impacto sea el menor posible. importante también que realicemos copias de seguridad parra evitar la pérdida de la información. Por último, averiguaremos cuáles son los riesgos residuales a los que nuestro negocio se expone en la actualidad, que no son más que todos aquellos riesgos que siguen estando presentes a pesar de las medidas de seguridad que ya hemos programado. 

Entre las hojas de excel que nos ofrece la plataforma INCIBE podemos destacar una tabla de ejemplos de análisis que nos ayuda a determinar la amenaza correspondiente a cada activo, así como el impacto y la probabilidad asociados a cada amenaza y el riesgo que estos suponen. Las tablas AR nos orientan a estimar la probabilidad de que se cumpla la amenaza, el impacto que podría causar y los criterios para aceptar el riesgo. El catálogo de amenazas nos habla de cuales son las más relevantes a considerar a la hora de llevar a cabo un análisis de riesgos. La lista de activos nos ayuda a visualizar cuáles son las posesiones más relevantes de la organización que merecen ser protegidas, mientras que la tabla de cruces activo-amenaza nos ayuda a ver de manera gráfica la relación que se establece entre estos dos. Por último encontramos la tabla de análisis de riesgos, que de nuevo nos permite observar gráficamente cuáles son nuestros activos, amenazas, la probabilidad de que se cumplan, el impacto que tendrían y el riesgo real. 


A continuación, he reproducido la que sería una matriz de riesgos de acuerdo a los valores que nos ofrece como ejemplo la hoja de INCiBE. El valor mínimo sería el 1 para la probabilidad de amenaza más baja y con un menor impacto, mientras que el valor más alto sería el 9 para la amenaza más impactante y más probable de todas. En INCIBE nos advierten que antes del valor 4 las amenazas no deben ser muy preocupantes y no suponen un riesgo al acecho, mientras que a partir del 4 son las amenazas que nos pueden perjudicar y que tenemos que trabajar por reducir. 


Enlazando esto con la siguiente cuestión, vamos a considerar algunos de los activos relativos a nuestra empresa de reformas. Teniendo en cuenta que el valor máximo que le podemos otorgar a una amenaza es 6, y el mínimo es 2, y sabiendo que el riesgo resulta de la multiplicación de la probabilidad por el impacto, consideraremos que un riesgo inaceptable sería una puntuación superior a 30 (el máximo sería 36); un riesgo medianamente asumible oscilaría entre 12 y 30, mientras que un riesgo aceptable se encontrará desde el 2 al 4. 





Como podemos observar, el único riesgo residual asumible con el que nos encontramos es la desmotivación de nuestros trabajadores, que mientras sea individual no tiene por qué afectar al resto de la cadena productiva. El resto de los activos suponen un riesgo residual que podríamos aceptar, excepto una mala salud física y mental de nuestros trabajadores, lo que sería inaceptable para poder llevar nuestro negocio con éxito. 


Comentarios

Entradas populares de este blog

Sesión 4 - Modelo de Seguridad CIA

El modelo de seguridad CIA hace referencia a la Confidencialidad (Confidentiality), la Integridad (Integrity) y la Disponibilidad (Availability) de la información. Establece estos tres principios como parte básica de toda gestión de la seguridad de la información, ya que sin estos tres principios nos encontraríamos ante riesgos y amenazas constantes. Si bien es cierto que no existe ningún sistema de seguridad que sea completamente fiable y ajeno a las intrusiones, hemos de conseguir que sea al menos lo menos vulnerable posible.   La confidencialidad es el principio que hace referencia a que la información únicamente puede ser tratada por los usuarios o plataformas que estén autorizadas para hacerlo, para garantizar que estos datos no puedan ser divulgados ni vistos por cualquier persona.  La integridad, por su parte, se refiere a que las personas o sistemas que vayan a tratar con estos datos no van a poder manipularlos, cambiarlos o modificarlos sin tener autorización para ell...

Sesión 4 - Creación de Correo Electrónico

  A continuación, voy a exponer los pasos que he seguido para crearme una cuenta de correo electrónico y cuáles han sido los distintos impedimentos que he encontrado en distintas plataformas, así como porqué he elegido la plataforma escogida.   La primera plataforma en la que me he intentado suscribir ha sido Yandex Mail . Sin embargo, nos pide el número de teléfono, y por ello la vamos a descartar. En segundo lugar, lo he intentado con Proton Mail . En esta ocasión, se nos ha pedido un segundo email para poder recuperar la contraseña en caso de que haya algún tipo de fallo, y la cuenta ha sido creada con éxito. No obstante, no es el correo final. Además, cabe resaltar que en esta plataforma se podía acceder con un plan gratuito, pero también había otros de pago. En Zoho Mail , he intentado crear la cuenta pero ninguno de los planes existentes era gratuito, únicamente nos encontramos con una prueba gratuita de 15 días, por lo que vamos a descartar esta plataforma. En el cas...

Sesión 11 - eGarante

En la entrada de hoy, vamos a hablar sobre la herramienta web eGarante mail. El objetivo es el de conocer como funcionan los “testigos online”, cuya principal función es la certificación del envío de un correo y de su contenido teniendo en cuenta a los adjuntos, a los destinatarios y la fecha de certificación, entregando al servidor de correo del destinatario una copia exacta del mensaje. Puede ser muy útil en el envío de informes o contratos.   Lo que vamos a hacer para poner a prueba esta plataforma es entrar en dicha web y mandar un mail a nuestro correo personal, utilizando para ello nuestro correo de la universidad, pero incluyendo también a la cuenta de correo de eGarante, que es mailsigned@egarante.com . De este modo, eGarante nos devolverá un segundo correo para certificarlo y asegurar el envío.  A continuación, vamos a llevar a cabo el mismo procedimiento pero utilizando la herramienta eGarante web, que puede servirnos para comprobar si los contenidos de redes socia...