La mejor forma de mantener la eficiencia y continuidad de los procesos dentro de una empresa es conocer los riesgos a los que se puede enfrentar y estar preparado para ellos, esto evitará que la TI sea culpable de los problemas eventuales, y de allí la necesidad de aplicar el análisis de amenazas y vulnerabilidad de una empresa.
La mejor forma de gerenciar el riesgo es planificar a futuro todo lo que puede dar problemas en el ambiente interno de TI, lo que se debe buscar es minimizar las brechas y planificar medidas de acción en caso de una crisis. Con un análisis de vulnerabilidades puedes prever las situaciones de riesgo, identificar vulnerabilidades en la estructura de la empresa, la dimensión de cierto problema, te da información suficiente para que puedas manejar estos problemas, y puedas tomar acciones correctivas, minimizando las oportunidades de éxito de los ataques virtuales que puedan dañar significativamente el patrimonio e imagen de la empresa.
El análisis de vulnerabilidades es fundamental para los profesionales de tecnología que quieren incrementar la seguridad en las estructuras tecnológicas que soportan la operación de la empresa, lo que la hace importante para el core business. La presencia de vulnerabilidades puede ocasionar muchos daños, puesto que hay componentes que pueden hacer enviables las actividades inmediatas, tal como: desastres tecnológicos, fallas de hardware y software, acciones de ciberdelincuentes, entre otras que pueden causar muchos daños.
Una vulnerabilidad puede surgir inesperadamente, por eso es importante que se hagan evaluaciones sistemáticas y periódicas. Con un análisis encontrarás los distintos tipos de riesgos, las brechas de seguridad, vulnerabilidades, problemas de hardware, u otros en cualquier momento.
Cómo realizar un análisis de vulnerabilidad
Para hacer un análisis de vulnerabilidad debes seguir estos pasos:
- Levantamiento de amenazas: cuando se identifican todos los activos de información que componen la empresa, entonces se deben definir las amenazas a las cuales se pueden exponer, estas pueden ser de distintos tipos, como ataques externos, desastres naturales o errores humanos:
- Ataques externos:es común que los ciberdelincuentes siempre tengan como objetivo robar información de empresas y sistemas, sea bancaria, comercial, personal o de otra índole, pueden tirar sus sistemas o usar sus recursos. Los ataques más comunes actualmente son los de denegación de servicio DDoS (inhabilitan sistemas informáticos) o ataques con malware de tipo ransomware (encriptan datos de la empresa, pidiendo un rescate económico en criptomonedas para liberarlos).
- Errores humanos: esto siempre puede ocurre en los procesos informáticos que tengan intervención humana, sea intencional o no, lo que puede comprometer los datos o producir mal funcionamiento en los sistemas.
- Desastres naturales: puede que se den situaciones como inundaciones o sobrecargas en la red eléctrica que pongan en peligro los activos informáticos de la empresa.
- Situaciones extraordinarias: estas pueden ser una pandemia como la del Covid-19, estas disminuyen los niveles de alerta y protección, lo que permite que los ciberdelincuentes se aprovechen de esto y operen bajo esquemas maliciosos. Las empresas deben estar atentas a mensajes fraudulentos y que aumenten la conciencia sobre el surgimiento de nuevas amenazas.Cuando existe una amenaza se dan los riesgos, y estos pueden traer consecuencias negativas para los sistemas de información de una empresa, con un análisis de riesgos debes recoger toda la información sobre los riesgos que puedan afectar a la empresa o a los que se pueda ver expuesta. Debes priorizar cada riesgo siendo preciso consultando datos estadísticos sobre incidentes pasados en cuanto a seguridad.
- Crear un matriz: lo que debes hacer estimación de las probabilidades, analizando las vulnerabilidades identificadas en el paso previo, para así pronosticar la ocurrencia de una de esas amenazas. Califícalas con colores en base a su probabilidad de ocurrencia. Luego realiza un inventario de recursos internos y externos con los que cuentas para disminuir los efectos de una emergencia y poder atender bien la situación de peligro.
Para determinar la vulnerabilidad y analizarla se incluyen elementos a la matriz sometiéndolos al riesgo, como las personas o trabajadores de la empresa, para analizar su capacidad de respuesta, los recursos existentes para prevenir y dar atención, los sistemas que sirven de soporte y recuperación, así como los procesos que realiza la empresa.
En base a estos se califica los siguientes puntos:
- Organización para emergencia.
- Capacitación y entrenamiento.
- Dotación.
- Edificación.
- Maquinaria y Equipos.
- Sistemas de recuperación.
- Sistemas alternos.
- Actividades realizadas.
La calificación que se le asigna a cada criterio anterior, se hace de 0 a 1, siento 0 para los criterios donde se cuenta con suficientes elementos, 0,5 para los que cuentan parcialmente con elementos o están en procesos de adquisición y 1 cuando no cuentan con recursos. Después de calificar cada criterio se pasa a sumarlos para determinar el grado de vulnerabilidad, 0 a 1 es bajo de color verde, 1,1 a 2 es medio de color amarillo y de 2,1 a 3 es alto de color rojo.
Ahora se debe determinar el nivel de riesgo, con el diamante de emergencia, el cual cuenta con 4 rombos que representan los criterios evaluados, pudiendo encontrarse con lo siguiente:
Nivel de riesgo | Numero de rombos | Interpretación |
Alto | 3 o 4 rombos en rojo | Valores que representan la vulnerabilidad y amenaza están en su punto máximo, por ende los efectos de un evento pueden representar un cambio significativo, 75% a 100% de incidencia. |
Medio | 1 a 2 rombos rojos o 4 amarillos. | Los valores que representan la vulnerabilidad son altos o la amenaza es alta, puede que 3 de los componentes sean medios, y las consecuencias tengan cierta magnitud, pero se espera que sea menor a lo que ocasiona un riesgo alto, 50 a 74% de incidencia. |
Bajo | 1 a 3 rombos amarillos y los restantes verdes. | La vulnerabilidad y amenaza están controladas, se espera que los efectos representen perdidas menores, 25 a 49% de incidencia. |
- Defina importancia: para esto se estima la vulnerabilidad dependiendo de la severidad de consecuencias, clasificando las amenazas, analizándolas por separado para las personas, recursos, sistemas y procesos, para luego consolidar la información. Luego se calcula el riesgo basándose en aspectos administrativos, jornada laboral, aspectos conceptuales, factores de riesgo.
Este último se refiere a la interacción entre la amenaza y la vulnerabilidad y es lo que puede llevar al desastre. La amenaza es la probabilidad de que, u fenómeno de origen natural o humano que es potencialmente capaz de causar daños, se produzcan en cierto momento y lugar. Mientras que la vulnerabilidad corresponde a las características de susceptibilidad propias de un recurso, es decir, que tan frágil es o cual es su exposición natural.
Mientras que el riesgo corresponde a la probabilidad de que una amenaza se convierta en un desastre, y es el resultado de la interacción o combinación de los factores de amenaza y vulnerabilidad. Después de esto puedes establecer cual es el escenario más crítico para dar inicio a un plan de acción que vaya orientado a la mitigación del riesgo detectado.
- Medidas – actuación: cuando todas las amenazas y vulnerabilidades estén identificadas, y se hayan definido los riesgos y sus consecuencias, se deben establecer medidas y tratamientos de riesgo para evitar que se produzca el riesgo o disminuir su impacto en caso de que se dé. Entre las medidas que se deben tomar están:
- Instalar software de seguridad y cortafuegos (por software o hardware).
- Implementar sistemas de seguridad en la nube automatizados y planes de Disaster Recovery.
- Colocar protocolos de seguridad que refuercen la seguridad de las contraseñas.
- Revisar los roles y privilegios de los usuarios (sobre todo la asignación de los roles con más privilegios, como los administradores).
- Contratar un seguro que cubra los daños provocados.
- Implementar sistemas alternos o copias para asegurar la disponibilidad del sistema (high availability).
Este paso necesita la realización y consolidación de informes de la ciberseguridad y las distintas medidas que se aplican, para que así se pueda medir el grado de éxito obtenido en la prevención y mitigación, asimismo, permiten detectar debilidades y errores que requieren la aplicar medidas correctivas.
Ventajas
Entre las ventajas que ofrece el análisis de amenazas y vulnerabilidades de una empresa, se encuentran las que listamos a continuación:
- Da una visión precisa sobre los activos afines con la información de la empresa.
- Podrás conocer los riesgos a los que está expuesta la empresa, para priorizar los que tengan más probabilidad de darse, para poder invertir más recursos en impedirlos.
- Podrás medir el impacto que tendrá en la empresa cualquier riesgo en caso de darse.
- Facilita tomar decisiones al momento de invertir en ciberseguridad y disminuye los tiempos de actuación frente a posibles incidentes de seguridad.
- Ayuda a seleccionar la mejor opción en métodos de reducción de riesgos.
- Permite evaluar los resultados, para efectuar mejoras o reforzar las medidas de seguridad.
- Garantiza la continuidad del negocio, otorgando planes y protocolos en caso de incidentes graves.
- Ayuda en la creación de una cultura de prevención en la empresa, involucrando a todos en la empresa.
- Permite cumplir las normas legales de seguridad.
Como se pudo demostrar hasta aquí, los análisis de amenazas y vulnerabilidad de una empresa deben formar parte de la cultura de cualquier empresa, puesto que en la actualidad las TI son fundamentales para todas las áreas de la empresa, hacerlo de forma periódica te permite conocer los activos que se asocian con información de la empresa, pudiendo identificar amenazas y vulnerabilidades para definir los riesgos reales a los que la información y los sistemas se encuentran expuestos.
Gracias a este análisis podrás implementar las medidas necesarias para combatir el impacto asociado a los riesgos, incluso puedes evitar que se produzcan, es algo necesario en todas las empresas que dependan de la tecnología para la realización de sus actividades, tanto administrativas como de producción y comunicación. En caso de no contar con las medidas correctas de seguridad, la empresa está expuesta a sufrir circunstancias difíciles que pueden originar perdidas significativas, tal como periodos de inactividad o perder datos confidenciales.
Ahora que sabes toda esta información podrás actuar como debe ser en tu empresa en cuanto a ciberseguridad evitando estos problemas que mencionamos, no olvides compartir la información para que otros sepan que hacer en este ámbito.