Cuando se habla de ciberseguridad, el análisis de riesgos informáticos es la evaluación de los distintos peligros que afectan a nivel informático y que pueden producir situaciones de amenaza al negocio, como robos o intrusiones que comprometan los datos o ataques externos que impidan el funcionamiento de los sistemas propiciando periodos de inactividad empresarial.
Pasos para el análisis de riesgos
Identificación de activos
El primer paso es identificar todos los activos de la empresa. Estos activos incluyen todos los recursos relacionados con la gestión e intercambio de información de la empresa, como software, hardware, vías de comunicación, documentación digital y manual e incluso de recursos humanos.
Riesgos y amenazas
- Ataques externos: Los ciberdelincuentes siempre tienen en su punto de mira a las empresas y sus sistemas, con el objetivo de robar información (bancaria o de otra índole comercial o personal), tirar sus sistemas o utilizar sus recursos. Dos de las mayores amenazas que reciben las empresas hoy en día son ataques de denegación de servicio DDoS (inutilizan los sistemas informáticos de la empresa) o ataques con malware de tipo ransomware (encriptan los datos de la empresa, solicitando un rescate económico en criptomonedas para liberarlos).
- Errores humanos: La intervención humana en los procesos informáticos siempre está expuesta a que se cometan errores (intencionados o no intencionados). Por ejemplo, un empleado sin los conocimientos suficientes, o con privilegios superiores a los de su función, puede realizar acciones que comprometan los datos o produzcan un malfuncionamiento en los sistemas.
- Desastres naturales: Es posible que se den situaciones que pongan en peligro los activos informáticos de la empresa como inundaciones o sobrecargas en la red eléctrica.
- Situaciones extraordinarias: como la pandemia del COVID-19. Las crisis a menudo reducen los niveles de alerta y protección y llevan a los ciberdelincuentes a aprovecharse de esta situación operando bajo esquemas maliciosos. Por ejemplo, las campañas de phishing relacionadas con el COVID-19, en las que los cibercriminales se hacen pasar, por ejemplo, por organizaciones de salud acreditadas están en aumento. Por esta razón es importante que las empresas estén atentas a mensajes fraudulentos relacionados con esta pandemia y se recomienda aumentar la conciencia ante el surgimiento de nuevas amenazas.
Detectar vulnerabilidades
Medidas de prevención y control
- Instalación de software de seguridad y cortafuegos (por software o hardware).
- Implementación de sistemas de seguridad en la nube automatizados y planes de Disaster Recovery.
- Añadir protocolos de seguridad para reforzar la seguridad de las contraseñas.
- Revisión de los roles y privilegios de los usuarios (con especial cuidado en la asignación de los roles con mayores privilegios, como los administradores).
- Contratación de un seguro que cubra los daños ocasionados.
- Implementación de sistemas alternativos o duplicados para asegurar la disponibilidad del sistema (high availability).
Ventajas del análisis de riesgos informáticos
- Dispondrán de una visión precisa de los activos relacionados con la información de la empresa.
- Conocerán los riesgos a los que se expone la empresa, pudiendo priorizar aquellos que tengan mayor probabilidad de producirse, para así poder invertir mayores recursos en evitarlo.
- Podrán medir el impacto que producirá en la empresa cualquier riesgo en caso de producirse.
- Facilita la toma de decisiones a la hora de invertir en ciberseguridad y reduce los tiempos de actuación ante posibles incidentes de seguridad.
- Ayuda a elegir la mejor alternativa en cuanto a métodos de reducción de los riesgos.
- Permite realizar una evaluación de los resultados, para implementar mejoras o reforzar aspectos débiles en las medidas de seguridad.
- Garantiza la continuidad del negocio, disponiendo de planes y protocolos en caso de incidentes graves.
- Ayuda a crear una cultura de prevención en la empresa, implicando a todas las personas que la forman.
- Permite cumplir con las normativas legales en cuestión de seguridad.
La ciberseguridad debe formar parte de la cultura de cualquier empresa, ya que en el marco actual las TI son fundamentales para todas las áreas empresariales. El análisis de riesgos permite conocer todos los activos relacionados con la información de la empresa, identificando amenazas y vulnerabilidades que permitan definir los riesgos reales a los que se expone la información y los sistemas.
Este análisis permite implementar las medidas necesarias que mitigan el impacto inherente a los distintos riesgos, pudiendo incluso llegar a evitar que se produzcan. Todas las empresas deben realizar un análisis de riesgos informáticos y de seguridad, ya que actualmente dependen de la tecnología para realizar la mayoría de sus actividades, tanto de administración, producción y comunicación.
No disponer de las medidas apropiadas de seguridad expone a las empresas a sufrir situaciones graves que ocasionen pérdidas importantes (como periodos de inactividad o pérdida de datos sensibles).