¿Cómo hacer un análisis de riesgos?

El análisis de riesgo es muy útil para las empresas, ya que estudia las posibles amenazas y probables eventos no deseados y los daños, y con todo ello las consecuencias que éstas puedan producir.


Esta práctica consistirá en crear el análisis de riesgo de una empresa, para ello primero vamos a realizar una matriz de riesgos mediante una página llamada ITM Platform. La matriz depende de unos valores para saber el nivel de riesgo; hemos puesto como ejemplo una escala del 1 al 4 siendo el 1 el nivel más bajo y 4 el nivel más alto de impacto y de probabilidad, además hemos introducido una cantidad de 16 riesgos para que estuviese lo más completo posible. Obteniendo como resultado:




En la imagen observamos que hay burbujas de distintos colores y tamaños, significa que cuanto más grande y más roja sea tendrá un riesgo alto, y cuanto más verde y pequeña sea el riesgo será bajo. En conclusión la gráfica representa las distintas combinaciones de probabilidad e impacto y su resultado en forma de riesgo.

La empresa que se va a analizar tiene como nombre Grafoestudio S.U.  y se dedica al diseño gráfico de marcas. Dispone de diez empleados, siendo uno de ellos el director, cada uno de ellos tiene un ordenador en la empresa y un portátil en caso de teletrabajo. En cuanto a routers tienen solo uno y un AP en caso de que la señal Wifi sea débil, además tienen un swich de doce puertos. Respecto a los empleados disponen de un community manager que se encarga de actualizar los contenidos de la web y las RRSS. Y por último pero no menos importante, solo el director tiene teléfono de empresa a parte del fijo que posee la propia empresa.

Para seguir indagando en el análisis de riesgo de nuestra empresa nos vamos a ayudar del análisis de 5 minutos que propone INCIBE. En general es muy útil porque es sencillo y rápido de hacer.

RESULTADO DEL ANÁLISIS

El resultado fue de un riesgo medio y como dice el diagnostico el resultado es adecuado pero mejorable, por ello la propia web nos indica cómo reducir aspectos como personas, procesos y tecnologías. 

INCIBE también nos facilita para el análisis una plantilla en una hoja de Excel, vamos a explicar brevemente en que consiste cada hoja:

  • En la hoja de instrucciones encontramos toda la información necesaria para poder completar las demás hojas.
  • En la hoja de ejemplo de análisis aparece un ejemplo de como rellenar una matriz de riesgo con una escala de probabilidad e impacto de tres niveles.
  • En la hoja de tablas AR trata los valores de impacto y probabilidad, además de los criterios de aceptación de riesgos.
  • En la hoja de catálogo de amenazas como su propio nombre indica, contiene las principales amenazas a considerar en el ámbito de análisis de riesgos.
  • En la hoja de activos se encuentra una tabla con un serie de activos en las que se puede responder en la columna de aplicación con si o no dependiendo del modelo seleccionado.
  • En la hoja de cruces activo-amenaza se muestran todo tipo de amenazas como las que aparecen en la hoja de catálogo de amenazas en forma de tabla, en las demás columnas aparecen los activos de la hoja de activos y en ella hay que responder cuales de esas amenazas pueden afectar a los activos.
  • En la hoja de análisis de riesgos además de mostrar los activos seleccionados y sus amenazas en las dos anteriores hojas, se deben rellenar las columnas de probabilidad e impacto de cada activo, obteniendo como resultado el riesgo.
Basándonos en los valores que nos ha facilitado INCIBE así quedaría la matriz de riesgo:



PROBABILIDAD: Siendo el 1 un nivel bajo, es decir, la probabilidad de que ocurra esa amenaza es baja; siendo el 2 un nivel medio, significa que la probabilidad de que ocurra es media; y por último siendo el 3 un nivel alto, por tanto, es muy probable de que ocurra.

IMPACTO: el 1 será que el daño es mínimo, en el 2 habrá consecuencias y en el 3 el impacto repercutirá en gran medida en nuestros activos.













Comentarios

Publicar un comentario

Entradas populares de este blog

¿Cómo detectar los distintos tipos de malware?

Imagen
En esta breve sesión nos vamos a centrar en como detectar los distintos tipos de malware. Como primer instrumento utilizaremos VirusTotal que se encarga de comprobar si en un archivo se encuentra algún tipo de malware en caso de que sospechemos de que pueda estar infectado.  En mi caso puse un archivo Word que contenía recursos para poder llevar a cabo esta sesión y este fue el resultado del análisis: Otra forma para comprobar si nuestro sistema esta protegido de forma adecuada por un software antivirus, accederemos al centro de actividades desde nuestro sistema operativo Windows: Es importante también estar al día con las vulnerabilidades que puede tener nuestro software, por ello tenemos que conocer el Boletín de Seguridad de Microsoft ya que nos indicará los puntos débiles de los sistemas de esta compañía. Y como último recurso visitar la página de la Oficina de Seguridad del Internauta OSI que se encargará de chequear nuestra conexón por si  está incluida en algu...
Leer más

¿Qué es egarante email?

Imagen
En esta práctica enviaremos un correo a un destinatario, ya sea un compañero o amigo aunque también añadiremos como destinatario a  mailsigned@egarante.com, este nos enviara una certificación del correo que ha sido enviado. Sería la siguiente: Esta herramienta es muy útil cuando necesitamos  certificar que hemos enviado dichos documentos.
Leer más

¿Qué son las redes botnet?

Imagen
  Una botnet consiste en una red de equipos informáticos que han sido infectados con software malicioso que permite su control remoto, obligándoles a enviar spam, propagar virus o realizar ataques. Con INTENCO lograremos saber de forma segura si  nuestro ordenador esta infectado con dichas redes para ello emplearemos  herramientas  antibotnet . Ahí se encuentra en link para acudir a este servicio antibotnet. En la página nos encontraremos con dos opciones por un lado te consultarán tu código y por otro el chequeo de tu conexión. Solo necesitaremos nuestra dirección IP para poder consultar nuestro código. 
Leer más