• Author / Uploaded
• enriquecastillo_106876

Citation preview

CIBERSEGURIDAD PARA AUTÓNOMOS Y MICROEMPRESAS Unidad 3

Conócete a ti mismo Parte teórica

1

índice 1

IMPORTANCIA DE LA INFORMACIÓN

2

LLAMANDO A CADA COSA POR SU NOMBRE

2

3

¿QUÉ ES EL RIESGO?

4

SEGURIDAD DE LA INFORMACIÓN

5

ANÁLISIS DE RIESGOS *

6

► ►

►

►

►

GUÍA DE APROXIMACIÓN PARA EL EMPRESARIO

CONCLUSIONES

►

2

Objetivos Identificar los activos de información como recursos esenciales para el desarrollo de mi actividad. Valorarlos en relación a su trascendencia para mi negocio.

Reconocer las amenazas que ponen en peligro mis activos de información. Estimar el impacto que tendrían en el negocio de materializarse. Comprender la existencia de las vulnerabilidades de los sistemas de información y su papel en los incidentes de seguridad. Conocer las medidas y controles necesarios para proteger los activos de información.

Describir el procedimiento de análisis de riesgos para evaluar la magnitud de las consecuencias de los riesgos existentes en mi negocio y las alternativas que existen para tratarlos.

3

1. IMPORTANCIA DE LA INFORMACIÓN

4

1. IMPORTANCIA DE LA INFORMACIÓN

Las empresas utilizan información (de clientes, proveedores, servicios o productos,…) como «núcleo» esencial de sus negocios. Dependen de la misma para poder desarrollar su actividad. Si esa información se pierde, altera, destruye, resulta inaccesible o cae en manos de terceros, puede provocar daños de imagen, el cese o la ralentización de la actividad, causando un perjuicio económico. Aunque ya conozcamos algunos de estos conceptos de unidades anteriores, aquí vamos a «aterrizarlos» en un contexto más concreto: tu negocio.

Si tu actividad profesional está relacionada, por ejemplo, con la prestación de servicios, la información de los clientes y proveedores será fundamental para tu negocio, porque es tu principal activo.

5

1. IMPORTANCIA DE LA INFORMACIÓN

Nosotros tenemos la información de proveedores y clientes en una hoja de cálculo a la que pueden acceder los empleados. Nuestros productos se ofrecen a través de

una página web, las facturas están escaneadas y las guardamos en la nube.

Como veremos durante esta unidad toda esa información representa un ACTIVO fundamental para nuestro negocio y debemos adoptar

medidas para protegerla de los posibles riesgos.

6

1. IMPORTANCIA DE LA INFORMACIÓN

¿Quién debe proteger la información?

La información que maneja un negocio para el desarrollo de su actividad profesional es uno de los valores que debe proteger el propietario del negocio para asegurar la buena marcha del mismo.

Esta información puede estar relacionada con:

Proveedores Clientes Empleados

Productos y servicios Modelo de gestión Herramientas y recursos materiales

¿Qué debemos tener en cuenta?

Esta información se crea, transforma, almacena, transmite y elimina a través de distintos medios/entornos que también DEBEN protegerse en función de su valor para el negocio.

Estos medios y entornos son:

Bases de datos Aplicaciones Internet Cloud (la nube) Servidores Redes

7

1. IMPORTANCIA DE LA INFORMACIÓN

¿Qué tengo que proteger?

La seguridad de la información se articula en tres dimensiones o propiedades que tenemos que garantizar pues son los pilares para proteger la información:

Disponibilidad: por la cual la información debe estar accesible y utilizable por las entidades (usuarios, procesos,…) autorizadas.

Disponibilidad z

Integridad: por la cual la información debe poder conservar su exactitud y completitud.

y X

Confidencialidad: por la cual la información no debe ponerse a disposición o revelarse a individuos, entidades o procesos no autorizados.

Confidencialidad

Integridad

8

1. IMPORTANCIA DE LA INFORMACIÓN

La disponibilidad de la información implica que estará accesible y utilizable a quien esté autorizado en el momento que la necesite.

¿Esto qué quiere decir?

Que nuestros empleados y nosotros podamos acceder a la información de negocio (base de datos de clientes, proveedores, horarios, itinerarios, catalogo de precios etc.) cuando sea necesario y que nuestros clientes puedan acceder y visualizar correctamente por ejemplo el

contenido de nuestra página web.

¿Y la integridad y la confidencialidad?

9

1. IMPORTANCIA DE LA INFORMACIÓN

Garantizar la integridad de los datos permite asegurar que no han sido manipulados sin autorización. Imagina que alguien entra en nuestra página web y altera los precios o que un empleado manipula los datos financieros de nuestra organización. Estarían comprometiendo la integridad de la información.

Por otro lado, la confidencialidad consiste en garantizar que la información de la organización o de los clientes es sólo accesible para personas con autorización para ello.

¿Entonces, en el caso de nuestra página web y con la información sobre nuestros proveedores y clientes, además de la disponibilidad, debemos asegurar que no han sido manipulados y que están protegidos frente a accesos de terceros no autorizados?

¡Exacto! Y a lo largo de esta unidad veremos qué medidas podemos implementar para garantizar y proteger nuestra información abarcando estas tres dimensiones.

10

2. LLAMANDO A CADA COSA POR SU NOMBRE

11

2. LLAMANDO A CADA COSA POR SU NOMBRE

ACTIVO DE INFORMACIÓN Un activo es todo lo que tiene valor para la empresa. La información es uno de los activos más valiosos de cualquier empresa. Además hoy en día, con los avances tecnológicos, la información está en gran medida en formato digital, lo que la hace más manejable, versátil y universal pero también más vulnerable. Activos de información son también aquellos recursos utilizados para generar, procesar, almacenar o transmitir información dentro de la organización. Son, por tanto, activos de información: información y datos, recursos humanos, programas, aplicaciones, ordenadores, móviles, tabletas, routers, edificios, …

¿Porqué es relevante éste concepto? No dejan de ser recursos que utilizamos para el desempeño de nuestra labor profesional.

Como iremos viendo a lo largo de esta unidad, los activos de Información son recursos fundamentales para que puedas desarrollar con normalidad cualquier actividad profesional. Por esto es necesario protegerlos.

12

2. LLAMANDO A CADA COSA POR SU NOMBRE

ACTIVO DE INFORMACIÓN Algunos de los activos de información más habituales en las empresas con independencia de su tamaño o sector son:

Información de empleados Información de clientes, proveedores Registro de pedidos Facturas, informes, expedientes, proyectos, nóminas, etc. Página web Propiedad intelectual Equipos informáticos (ordenadores, tabletas, teléfonos móviles…) Procesos de negocio Oficinas e instalaciones

Reconozco estos Activos. Pero, algunos importantes que otros para mi negocio.

son

más

¿Debemos protegerlos todos por igual?

13

2. LLAMANDO A CADA COSA POR SU NOMBRE

ACTIVO DE INFORMACIÓN Una vez identificados los activos de información, para saber en cuáles volcar nuestros esfuerzos de protección tenemos que valorarlos. La valoración de los activos de información depende de las características concretas de tu negocio y de tus necesidades específicas. Seguro que identificas activos más confidenciales y otros que no pueden no estar disponibles bajo ningún concepto. Esta valoración determinará qué medidas de protección se deberán implementar para garantizar tus activos de información desde la triple dimensión que hemos visto (disponibilidad, integridad y confidencialidad).

Vamos a repasar algunos conceptos que ya han sido mencionados en unidades anteriores. Es importante que los recordemos por su relevancia para el análisis de riesgos que vamos a realizar en esta unidad.

14

2. LLAMANDO A CADA COSA POR SU NOMBRE

Una vulnerabilidad* es una debilidad o fallo en un sistema de información que pone en riesgo la seguridad de nuestros activos de información.

Una amenaza es todo elemento que aprovecha una vulnerabilidad para atentar contra la seguridad de un activo de información.

(*) Recordamos que son vulnerabilidades, además de los fallos en el software o en el hardware:

La falta de procedimientos o si existen pero no se aplican Las carencias de formación de las personas La ubicación poco acertada de los equipos ( por ejemplo, en un lugar con riesgo de inundación)

Cuando una amenaza aprovecha la debilidad o vulnerabilidad de uno de nuestros sistemas de información nos encontramos ante un incidente de seguridad.

15

2. LLAMANDO A CADA COSA POR SU NOMBRE

ACTIVO DE INFORMACIÓN Tiene alguna

VULNERABILIDAD puede ser aprovechada por una

AMENAZA causando

IMPACTO ECONÓMICO EN TU NEGOCIO Es el coste de la materialización de una amenaza en el negocio aprovechando una vulnerabilidad. Se mide en función del valor de los activos afectados, considerando: Los daños producidos en el propio activo (costes de reposición, de reparación, etc.) Los gastos ocasionados por el cese de la actividad interrumpida (por ejemplo imaginemos una empresa de venta por internet y que el portal de la empresa se quede sin disponibilidad, durante ese tiempo no se podría vender). Los daños ocasionados para la reputación y la marca del negocio, etc. (la pérdida de confianza de los clientes ocasiona que estos contraten los servicios en otros competidores).

16

3. ¿QUÉ ES EL RIESGO?

17

3. ¿QUÉ ES EL RIESGO?

¿Qué es un riesgo?

1

Contingencia o proximidad de un daño. Situación provocada por la posibilidad de que ocurran desastres naturales, fortuitos o intencionados. Por ejemplo, daño por agua o fuego.

2

Contingencia que puede ser objeto de un contrato de seguro. Hechos que provocan consecuencias negativas, cuyo impacto puede ser trasladado a un tercero a través de un contrato de seguro. Por ejemplo, que el cliente aplique una cláusula del contrato.

3

Conjunto de circunstancias que pueden disminuir el beneficio. Hechos que provocan una disminución de ingresos (beneficios económicos o materiales de un individuo o organización). Por ejemplo, que disminuya el beneficio por falta de actividad.

RIESGO = PROBABILIDAD (de que se materialice una amenaza) x IMPACTO

18

3. ¿QUÉ ES EL RIESGO?

Entendiendo el riesgo como un daño, un perjuicio económico o un conjunto de circunstancias que pueden disminuir el beneficio de nuestro negocio. Entonces…

¿Todas las amenazas son un riesgo?

Dependerá de la probabilidad real de sufrir una amenaza y del valor de los activos de información afectados por la misma para el desarrollo de nuestro negocio, es decir su impacto o consecuencias concretas. Sigamos profundizando en el concepto de riesgo pero aplicado al ámbito de ciberseguridad.

19

3. ¿QUÉ ES EL RIESGO?

En el ámbito de la ciberseguridad el riesgo se define por la normativa de aplicación (*) como la posibilidad de que una amenaza concreta pueda aprovechar una vulnerabilidad para causar una pérdida o daño en un activo de información.

AMENAZA

ACTIVO

RIESGO

VULNERABILIDAD

(*) ISO/IEC 27005. Gestión de riesgos de la Seguridad de la Información. [1]

Suele considerarse como una combinación de la probabilidad de un evento (es decir, de que una amenaza aproveche una vulnerabilidad en un activo de información) y sus consecuencias (magnitud del daño resultante para el negocio, en términos económicos).

20

3. ¿QUÉ ES EL RIESGO?

Recuerda… la probabilidad puede calcularse : 1. por medios empíricos: lo que ha pasado antes, como por ejemplo

nuestros registros de incidencias, estadísticas, etc. 2. por medios subjetivos: opiniones o conjeturas de expertos. Por ejemplo, si estamos en una zona en la que hay muchos terremotos o inundaciones, la probabilidad de que ocurra será alta y es un dato empírico. En cambio, si nos apoyamos en la opinión de un experto para conocer que la probabilidad de que recibamos ataques a los dispositivos móviles es alta hoy en día, es un dato subjetivo.

A continuación, veremos la importancia de las contramedidas para reducir o incluso eliminar la existencia de los riesgos en nuestras

organizaciones.

21

3. ¿QUÉ ES EL RIESGO?

CONTRAMEDIDAS Son las medidas y controles* que permiten reducir, mitigar o eliminar las consecuencias –el impacto– de los riesgos detectados. (*)

Control es también utilizado como sinónimo de salvaguarda o contramedida. En una definición más simple, es una medida que reduce el riesgo.

 Control de accesos a bases de datos  Concienciación de los empleados  Instalación y uso de antivirus  Seguridad de las instalaciones, etc.

En el ámbito de la Ciberseguridad, de acuerdo con lo establecido en estándares internacionales (la ISO 27000) este concepto (contramedida) hace referencia a: Las políticas, procedimientos, prácticas y estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido.

22

4. SEGURIDAD DE LA INFORMACIÓN

23

4. SEGURIDAD DE LA INFORMACIÓN

Con el protagonismo que está cobrando Internet, la movilidad, las redes sociales, etc. ahora se habla de CIBERSEGURIDAD. En el gráfico se observa que la CIBERSEGURIDAD se ocupa de la seguridad en el ciberespacio (*), es decir en la intersección entre la seguridad de las aplicaciones, de las redes, de Internet y de las infraestructuras criticas (las de distribución eléctrica, por ejemplo). Por otro lado, vemos que la SEGURIDAD DE LA INFORMACIÓN, forma parte de todas ellas.

Seguridad de la información

Cibercrimen

(*) Ciberespacio: entorno complejo que consta de interacciones entre personas, software y servicios destinados a la distribución mundial de información y comunicación. ISO/IEC 27032:2012 Directrices de Ciberseguridad.

Seguridad de las aplicaciones

Ciberseguridad física (safety)

CIBERSEGURIDAD

Seguridad de las redes

Seguridad de Internet

Protección de las infraestructuras críticas

24

4. SEGURIDAD DE LA INFORMACIÓN

La Seguridad de la Información es la disciplina encargada de definir y tratar los activos, vulnerabilidades, amenazas y riesgos; así como las buenas prácticas y los esquemas normativos.

Las medidas/controles y demás implementaciones técnicas de la protección de la información forman parte de la Seguridad Informática.

Tanto la seguridad de la información como la seguridad informática persiguen una misma finalidad:

Proteger la CONFIDENCIALIDAD, la INTEGRIDAD y la DISPONIBILIDAD de la información.

Antivirus, detección de intrusos, contraseñas, cifrado de datos, atención de incidentes, etc.

25

4. SEGURIDAD DE LA INFORMACIÓN

La seguridad de la información refleja la estrategia que va a seguir mi negocio para proteger la información. Por otro lado, la seguridad informática es una parte específica del primero.

SEGURIDAD DE LA INFORMACIÓN

Análisis de riesgos

Nivel Estratégico Normativas

Plan director

SEGURIDAD INFORMÁTICA

Configuració n segura

Técnicas de protección

Eventos de auditorías

Nivel Táctico

26

5. ANÁLISIS DE RIESGOS

27

5. ANÁLISIS DE RIESGOS

INTRODUCCIÓN A lo largo de este capítulo veremos el análisis de riesgos. Te recomiendo que para completar la teoría, veas el recurso multimedia relacionado, ya que contamos el ejemplo de nuestro propio negocio para ayudarte a comprender este proceso.

Fase 1

•Definir el alcance

Fase 2

•Identificar los Activos

Fase 3

•Identificar las amenazas

Fase 4

•Identificar vulnerabilidades •Identificar salvaguardas

Fase 5

•Evaluar el riesgo

Fase 6

•Tratar el riesgo

28

5. ANÁLISIS DE RIESGOS

A través del siguiente procedimiento, podemos determinar el riesgo real que existe sobre los activos de información en función de las amenazas, vulnerabilidades y controles (salvaguardas) que existan en mi organización.

Fase 1

Fase 1: Definir el alcance del análisis de riesgos, es decir, dónde vamos a analizar los riesgos. Pueden ser todos los servicios, departamentos y actividades o centrarse en algunos en concreto.

Fase 2

Fase 2: Identificar y valorar los activos de información del departamento, proceso o sistema objeto del estudio.

Fase 3

Fase 3: Identificar las amenazas a las que estos están expuestos estos activos.

Fase 4

Fase 4: Estudio y análisis de las características de nuestros activos para identificar los puntos débiles o vulnerabilidades y las salvaguardas existentes.

Fase 5

Fase 5: Para cada par activo-amenaza, estimaremos la probabilidad de que la amenaza se materialice y el impacto sobre el negocio que esto produciría.

Fase 6

Fase 6: Una vez calculado el riesgo, debemos tratar aquellos riesgos que superen un límite que nosotros mismos hayamos establecido.

29

5. ANÁLISIS DE RIESGOS

FASE 1: DEFINICIÓN DEL ALCANCE Para realizar un análisis de riesgos lo primero que tenemos que hacer es definir su alcance, es decir, las áreas/recursos/sistemas o aplicaciones cuyos riesgos queremos estudiar. El alcance puede incluir toda mi organización o un área en concreto. Ejemplos:

servicios a través de mi página web departamento de sistemas área comercial o el proceso de ventas

En nuestro caso, el alcance del análisis de riesgos va a incluir todos los recursos relevantes para el desarrollo de nuestro negocio. Puedes ver el ejemplo en la página 34 y completar esta parte de la teoría con el recurso multimedia que pertenece a esta unidad.

30

5. ANÁLISIS DE RIESGOS

FASE 2: IDENTIFICACIÓN DE ACTIVOS Los activos de información son todos aquellos recursos que sirven para crear, procesar, transmitir, almacenar y eliminar información, y que resultan relevantes para el buen funcionamiento de mi negocio. Para el análisis de riesgos deben estar dentro del ámbito definido en el alcance definido de la fase anterior.

Ejemplos: instalaciones servicios datos aplicaciones equipos informáticos personal redes de comunicaciones soportes de información

31

5. ANÁLISIS DE RIESGOS

FASE 2: IDENTIFICACIÓN DE ACTIVOS

¿Puedes identificar cuáles son los activos de información de tu negocio?

Las siguientes preguntas te pueden ayudar a identificar los activos clave para el buen desarrollo de la actividad de tu negocio: ¿Tienes una página web? ¿Utilizas portátil o móvil o tableta? ¿Vendes por Internet? ¿Tomas datos de tus clientes y proveedores y los almacenas en una

hoja de cálculo o una base de datos? ¿Subes información a la nube? ¿Tienes empleados? ¿Dispones de algún artículo con propiedad intelectual o procesos de negocio que lo hagan único (diseños, protocolos, procedimientos de gestión)?

32

5. ANÁLISIS DE RIESGOS

FASE 2: IDENTIFICACIÓN DE ACTIVOS En muchos casos la identificación de los activos dependerá del sector de negocio propio de la organización. En el ámbito sanitario se maneja un gran volumen de información personal (*) de pacientes, a la que se deben aplicar todas las medidas de seguridad para evitar que la información se pierda, modifique o se acceda sin autorización. Además suele ser necesario llevar un registro de los accesos y modificaciones. En el ámbito financiero se maneja información confidencial tanto de clientes como de operaciones financieras de compras y ventas cuya difusión puede suponer una importante pérdida económica o un perjuicio para nuestros clientes. En ámbitos de carácter industrial o de desarrollo de productos, es importante velar por la confidencialidad de los procesos y procedimientos que nos pueden aportar una mejora de productividad sobre la competencia. Por último, en el ámbito de la hostelería y restauración se maneja, además de datos de carácter personal, información sobre reservas, cuya pérdida nos podría poner en una situación muy complicada con nuestros clientes. (*) La información de carácter personal está definida y protegida por la LOPD [2]

Además de la información concreta gestionada por cada sector hay que incluir como activos: las aplicaciones, el software, el hardware y demás herramientas, procesos y personas que permiten crear, procesar, almacenar, transmitir y eliminar esa información.

33

5. ANÁLISIS DE RIESGOS

FASE 2: IDENTIFICACIÓN DE ACTIVOS Ejemplo: activos de información más relevantes para el buen desarrollo de mi negocio ID

Nombre

Descripción

1

Página Web

Recurso online donde ofrezco mis productos y servicios, realizo ventas, contacto con clientes etc.

2

Equipos Informáticos

Recursos tecnológicos utilizados para desarrollar mi negocio (ordenadores, tabletas, teléfonos móviles, etc.)

3

BBDD de clientes / proveedores / pedidos...

BBDD en distintos formatos digitales almacenados tanto en entornos digitales (ordenadores) como virtuales (la nube).

4

Empleados

Gestionan la información del negocio y tienen acceso a datos sensibles y recursos tecnológicos de la organización.

5

Propiedad intelectual / procesos de negocio

Nombres, imágenes, diseños, creaciones artísticas….creadas en el comercio.

Una vez identificados los activos tenemos que valorarlos. Para ello, debes tener en cuenta el valor estratégico que tengan cada uno ellos para tu negocio en relación con los requisitos de confidencialidad, integridad y disponibilidad. A continuación, veremos los criterios que podemos utilizar para valorar nuestros activos según estas tres dimensiones.

34

5. ANÁLISIS DE RIESGOS

FASE 2: IDENTIFICACIÓN DE ACTIVOS CONFIDENCIALIDAD

VALOR

Información accesible y utilizable por cualquiera sin necesidad de autorización de fuera y dentro de la empresa.

0

Información accesible y utilizable por cualquier persona de la empresa sin necesidad de autorización.

1

Información que solo puede ser conocida y utilizada por determinados miembros de la empresa.

2

Información cuya divulgación podría ocasionar un perjuicio para la empresa.

3

INTEGRIDAD

VALOR

Información cuya modificación no autorizada es fácilmente subsanable o no causa perjuicios para la empresa.

0

Información cuya modificación no autorizada es fácilmente subsanable pero que causa algún perjuicio a la empresa o terceros.

1

Información cuya modificación no autorizada es difícilmente subsanable y causa un perjuicio a la empresa o terceros.

2

Información cuya modificación no autorizada no es subsanable y causa un perjuicio impidiendo el normal desarrollo de la actividad de la empresa.

3

DISPONIBILIDAD

VALOR

Información cuya falta de disponibilidad no afecta al normal desarrollo de la actividad de la empresa.

0

Información cuya falta de disponibilidad durante un periodo determinado podría afectar al normal desarrollo de la actividad de la empresa.

1

Información cuya falta de disponibilidad continuada podría impedir el normal desarrollo de la actividad de la empresa.

2

Información cuya falta de disponibilidad en un periodo reducido de tiempo (horas, minutos…) impide el normal desarrollo de la actividad de la empresa.

3

35

5. ANÁLISIS DE RIESGOS

FASE 2: IDENTIFICACIÓN DE ACTIVOS

Siguiendo estos criterios la valoración de los activos de nuestro negocio serían: ID

Nombre

Confidencialidad

Integridad

Disponibilidad

1

Página web

0

2

3

2

Equipos informáticos

2

1

2

3

BBDD clientes / proveedores / pedidos...

1

1

2

4

Empleados

2

1

1

Propiedad intelectual/ 5 1 1 2 procesos de negocio Esta valoración nos servirá para seleccionar y priorizar las contramedidas.

36

5. ANÁLISIS DE RIESGOS

FASE 3: IDENTIFICACIÓN DE AMENAZAS Recuerda que los ciberriesgos son una realidad y los ataques a las pequeñas empresas van en aumento. Si se materializan en tu empresa causarán un daño o perjuicio económico a tu negocio. Estos son algunos ejemplos: ID

Nombre

1

Página Web

2

Equipos Informáticos

Infección de equipos informáticos para ponerlos a disposición de actividades criminales. (Virus/Malware).

3

BBDD Clientes/Proveedores/ Pedidos...

Robo, pérdida, fugas de información de clientes con sus datos personales provocando desprestigio a la imagen del negocio y posibles consecuencias legales para el dueño que no protegió la información confidencial de sus clientes.

4

Empleados

5

Propiedad intelectual/ procesos de negocio

Amenazas Saturación de los servidores para inhabilitar la web del negocio impidiendo que sus clientes accedan a la información ofrecida online (Ataques de Denegación de Servicio).

Disminución de la productividad de la organización por un mal uso y una mala gestión de las TIC por los empleados. Falta de la concienciación sobre la importancia de proteger los activos de información de la entidad (Phishing, Fraude interno). Robo de diseños, imágenes, logos, procesos de negocio, creaciones artísticas…

Al conocer los riesgos que pueden causar daños y perjuicios graves a tu negocio y tomar las medidas adecuadas, ofreces mayor seguridad a tus clientes y proveedores. En el mundo digital esto te aporta una gran ventaja competitiva.

37

5. ANÁLISIS DE RIESGOS

FASE 4: IDENTIFICACIÓN DE VULNERABILIDADES Y SALVAGUARDAS Identificar vulnerabilidades consiste en detectar los defectos o debilidades de los sistemas de información y los fallos o ausencia de medidas para mitigarlos. Estas vulnerabilidades pueden hacer referencia a software no actualizado, falta de concienciación, carencia de procedimientos de control de acceso o fallos de programación o de configuración, entre otros. La empresa puede disponer de medidas que ayuden a reducir la probabilidad de sufrir las amenazas o a detectarlas con antelación, reduciendo así las consecuencias de las mismas en su negocio. Algunas de estas medidas son: instalar y configurar un firewall o cortafuegos instalar y configurar un antivirus establecer contraseñas y el control de accesos concienciar y formar a los empleados y usuarios cifrar la información sensible

En esta fase debes analizar qué medidas tienes implantadas y valorar si resultan suficientes para proteger los activos de información que hayan sido identificados. A la hora de valorar el riesgo tendremos en cuenta tanto la existencia de medidas como la existencia de vulnerabilidades. Es importante conocer las medidas para proteger los equipos informáticos y la información almacenada y manipulada a través de ellos. Así podrás garantizar su rendimiento y su uso correcto para el desarrollo de la actividad de tu negocio.

38

5. ANÁLISIS DE RIESGOS

FASE 5: EVALUACIÓN DEL RIESGO Una vez que sabemos qué amenazas hay, qué debilidades tenemos y qué medidas hemos tomado ya, hay que determinar qué otras medidas habrá que tomar. Para ello, se calcula qué riesgo tenemos en aquellas amenazas que no estén cubiertas por las medidas que ya hemos tomado. Para calcular el riesgo debemos asignar un valor a la PROBABILIDAD y al IMPACTO de cada amenaza, es decir, valorar cuáles es más posible que ocurran y las que tendrían mayor efecto, y por lo tanto, cuáles es prioritario abordar.

RIESGO = PROBABILIDAD x IMPACTO

39

5. ANÁLISIS DE RIESGOS

FASE 5: EVALUACIÓN DEL RIESGO En esta tabla situaremos cada una de las amenazas identificadas según estimemos su probabilidad e impacto. PROBABILIDAD Baja - La amenaza se materializa a lo sumo una vez cada año. Alto - El daño derivado de la materialización de la amenaza tiene consecuencias graves para la empresa.

IMPACTO (según su coste en €)

Medio - El daño derivado de la materialización de la amenaza tiene consecuencias muy importantes para la empresa.

Media - La amenaza se materializa a lo sumo una vez cada mes.

Alta - La amenaza se materializa a lo sumo una vez cada semana.

Ataques de denegación de servicio

Mal uso de las TIC

Virus/Malware Robos perdidas y fugas de información

Bajo - El daño derivado de la materialización de la amenaza no tiene consecuencias relevantes para la empresa.

40

5. ANÁLISIS DE RIESGOS

FASE 6: TRATAR EL RIESGO

Gestión de riesgos ¿CÓMO LO HAGO?

ANÁLISIS Consiste en averiguar el nivel de riesgo que la empresa está soportando. Para ello, existen distintas metodologías que coinciden en: que se realice un inventario de activos se determinen las amenazas las probabilidades de que ocurran y los posibles impactos.

TRATAMIENTO Para aquellos riesgos cuyo nivel está por encima del umbral deseado, el empresario debe decidir cuál es el mejor tratamiento que permita disminuirlos: evitar reducir o mitigar transferir, compartir o asignar a terceros aceptar

41

5. ANÁLISIS DE RIESGOS

FASE 6: TRATAR EL RIESGO ¿Cómo sé qué metodología usar? ¿En qué debo de basar mi elección?

Para las micropymes y autónomos lo ideal es que usemos la que mejor se adapte a nuestro negocio o seguir aquella metodología que sea más habitual en nuestro sector. En cualquier caso, las distintas fases que hemos visto son comunes a la mayoría de las metodologías de análisis de riesgos. Pero no te olvides que lo importante, no es la metodología, sino la decisión que debes tomar sobre el tratamiento aplicar.

42

5. ANÁLISIS DE RIESGOS

FASE 6: TRATAR EL RIESGO Después de que se ha calculado el nivel de riesgo de los distintos activos de información identificados en nuestra organización y sabemos la magnitud o gravedad de sus consecuencias, se debe determinar qué actitud adoptar ante los riesgos identificados en función de su relevancia para el negocio, pudiendo optar entre:

1.

2.

3. 4.

Evitar el riesgo eliminando su causa, por ejemplo, cuando sea viable optar por no implementar una actividad o proceso que pudiera implicar un riesgo. Adoptar medidas que mitiguen el impacto o la probabilidad del riesgo a través de la descripción, implementación y monitorización de controles. Compartir o transferir el riesgo con terceros a través de seguros, contratos etc. Aceptar la existencia del riesgo y monitorizarlo.

Como es comprensible, el riesgo no se debe ignorar 43

5. ANÁLISIS DE RIESGOS

FASE 6: TRATAR EL RIESGO Las medidas de seguridad que pueden adoptarse en la mayoría de las empresas van desde la implementación de productos o servicios de seguridad, hasta la realización de cursos de formación para aumentar la concienciación de los miembros de la organización en materia de seguridad. Recordemos: las medidas (contramedidas) en el ámbito de la Ciberseguridad hacen referencia a políticas, procedimientos, prácticas y estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. Las categorías de medidas más comunes en la mayoría de empresas son: instalar productos o contratar servicios establecer controles de seguridad mejorar los procedimientos cambiar el entorno incluir métodos de detección temprana implantar un plan de contingencia y continuidad realizar formación y sensibilización

44

5. ANÁLISIS DE RIESGOS

GUÍA DE APROXIMACIÓN PARA EL EMPRESARIO

INCIBE proporciona materiales para facilitar el análisis de riesgos de los activos de información utilizados por una organización para poder completar todas las fases con éxito.

Gestión de riesgos: una guía de aproximación para el empresario [3]

45

CONCLUSIONES

La información es un activo de mi organización imprescindible para el buen funcionamiento de mi negocio. Es esencial identificar mis activos de información. La protección de la información irá dirigida a garantizar su CONFIDENCIALIDAD, INTEGRIDAD y DISPONIBILIDAD. Tendré que valorar la relevancia de cada activo para mi negocio y así poder priorizar las medidas para su protección. Por ejemplo: la disponibilidad de la tienda online es fundamental, no puedo pasar sin ella ni un día. Debo conocer las amenazas que afectan a mis activos de información y las posibles debilidades (ausencia de controles, fallos del software, falta de conocimientos de los empleados) que los pongan en peligro: ¿están protegidos mis activos? El análisis de riesgos es fundamental para determinar, basándonos en el impacto de las amenazas, las medidas y controles a implementar, en cada caso, para reducir el riesgo a un nivel aceptable. Por ejemplo: si la indisponibilidad de mi página web paraliza mi negocio y el riesgo de incidente es alto, tendré que poner medidas para protegerla y garantizar que eso no ocurra. Existen distintas normas y estándares que incluyen procedimientos de análisis de riesgos y listados de posibles medidas y controles para reducirlos. Debo elegir los procedimientos y medidas que mejor se adapten a las características y necesidades concretas de mi negocio.

46

Referencias [1] ISO/IEC 27005: http://www.aenor.es/aenor/normas/iso/fichanormaiso.asp?codigo=056742#.Vnkaj_nhDct [2] LOPD: http://www.boe.es/buscar/act.php?id=BOE-A-1999-23750 [3] Gestión de riesgos: una guía de aproximación para el empresario https://www.incibe.es/extfrontinteco/img/File/empresas/guias/Guia_gestion_riesgos/guiag estionriesgos.pdf

47

48