El análisis de riesgos es uno de los trabajos más importantes cuando se trata de realizar alguna inversión, iniciar un proyecto, realizar un traslado etc. Básicamente cualquier tipo de decisión mayor dentro del ámbito empresarial y cibernético debe estar acompañado de uno.

Al momento de hablar de la seguridad de la información es importante considerar que los avances tecnológicos, herramientas e la información que manejamos son de gran valor para nuestra organización y que la seguridad que los resguarde deberá estar a nivel.

Realizar un análisis adecuado nos permitirá centrar nuestra atención para identificar los riesgos en los que podría comprometernos nuestros sistemas, procesos y elementos.

En este articulo te vamos a sugerir una forma de realizar un análisis de riesgos adecuado y de una forma muy sencilla que pondrá en resguardo tu información ante un ciberataque.

Definir el alcance

  • Delimitar el alcance del estudio
  • Seleccionar las áreas estratégicas sobre las que puedes y debes mejorar la seguridad.
  • Identifica los departamentos, procesos o sistemas que deseas resguardar.
En este caso elegimos los servicios y sistemas del departamento de informática.


Identificar los activos

  • Identifica los activos más importantes que guardan relación con el departamento, proceso, o sistema, puede ser suficiente con una hoja de cálculo o tabla

Identificar las amenazas

  • El conjunto de amenazas es amplio, por ello, debemos hacer un esfuerzo en mantener un enfoque práctico y aplicado. Por ejemplo, podrías considerar las averías del servidor, la posibilidad de daños por agua o fuego.
  • Puede serte útil tomar como punto de partida el catálogo de amenazas que incluye la metodología MAGERIT v3.

Identificar vulnerabilidades y salvaguardas

  • Estudiar las características de nuestros activos para identificar puntos débiles o vulnerabilidades como sistemas antivirus no actualizados o activos sin soporte ni mantenimiento por parte del fabricante.
  • Analiza y documenta las medidas de seguridad implantadas en tu organización como salvaguardas que respalden tus sistemas ante un corte eléctrico.
Estas vulnerabilidades y salvaguardas debemos tenerlas en cuenta para estimar la probabilidad y el impacto.

Evaluar el riesgo

Teniendo listo tu:

  • Inventario de activos.
  • Conjunto de amenazas a las que está expuesto cada activo.
  • Conjunto de vulnerabilidades de cada activo.
  • Medidas de seguridad implantadas
Estimaras la probabilidad de que la amenaza se efectúe y el impacto que esto produciría. Si realizas un análisis cuantitativo, realizarás la siguiente forma:


RIESGO = PROBABILIDAD x IMPACTO


Si realizas un análisis cualitativo, haremos uso de una matriz de riesgo, por lo que cuando vayamos a estimar la probabilidad y el impacto debemos tener en cuenta las vulnerabilidades y salvaguardas existentes.


Tratar el riesgo

Una vez calculado el riesgo, atenderemos los que superen la media con cuatro estrategias principales:

  • Transferir el riesgo a un tercero como algún seguro que cubra los daños por fugas de información.
  • Eliminar cualquier proceso o sistema que esté sujeto a un riesgo elevado.
  • Implantar medidas para mitigarlo contratando un acceso a internet de respaldo para poder acceder a los servicios en la nube en caso de que la línea principal haya caído.