Análisis de riesgos de una empresa – Práctica Magerit 3.

Análisis de riesgos de una empresa – Práctica Magerit 3.

1. Enunciado de la práctica.


En el ejercicio propuesto, procederemos a llevar a cabo un análisis de riesgos para una pequeña y mediana empresa (PYME) del sector de reformas y reparaciones conocida como «Soluciones Rápidas y Eficaces». El análisis se desarrollará siguiendo los estándares de la metodología Magerit, una referencia en la gestión de riesgos informáticos.

La directora de la empresa, la señora Carmen, nos ha informado durante una entrevista preliminar sobre la estructura operativa de la empresa. Ella se encarga personalmente de la contabilidad y asuntos legales desde su portátil personal. Además, cuenta con un asistente de oficina, Jaime, que maneja las comunicaciones, tanto correos electrónicos como llamadas, y ejecuta estrategias de marketing para atraer nuevos clientes. La infraestructura de TI de la compañía está supervisada por el técnico de sistemas, el señor Torres, quien se encarga del mantenimiento y la aplicación de medidas de seguridad.



En el terreno, los técnicos de mantenimiento, Luis y Ana, están equipados con Smartphone que les proporcionan acceso a la información necesaria para llevar a cabo su trabajo, como la dirección de los clientes y las tareas asignadas.

La sede de la empresa se encuentra equipada con ordenadores portátiles con Windows 10, antivirus y paquetes ofimáticos de Microsoft Office. La oficina dispone de una conexión robusta a internet mediante una línea de fibra óptica de 600 MB, asegurando así una conectividad eficiente.

Además, han dedicado una sala para albergar un rack con dos servidores Windows Server 2019, uno destinado exclusivamente a correo electrónico/DNS y el otro alojando un portal web con protocolos http/https y una base de datos MySQL. Para fortalecer la seguridad, han implementado dos Firewalls: uno que actúa como barrera contra amenazas externas y otro que protege la red interna.

Con esta información, abordaremos las siguientes tareas:

  1. Identificación de todos los activos de la empresa, clasificándolos según las categorías definidas por Magerit.
  2. Determinación de las posibles amenazas que cada uno de estos activos podría enfrentar.
  3. Realización de una evaluación subjetiva del valor de cada activo y la probabilidad de ocurrencia de las amenazas, así como el impacto potencial en caso de materializarse.

Para la evaluación, emplearemos una tabla de valoración estandarizada que nos permitirá homogeneizar y comparar los resultados del análisis de riesgos.


ClasificaciónRango económicoFrecuenciaImpactoValor
Muy altoActivo > 15.000€1 vez al día> 80%3,5
Alto5.000 € < activo < 15.000 €1 vez cada dos semanas50% < x < 80%2,5
Normal1.000 € < activo < 5.000 €1 vez cada dos meses20% < x < 50%1,5
Bajo300 € < activo < 1.000€1 cada 6 meses5 % < x < 10%1
Muy bajoactivo < 300€1 vez al añox < 5%0

  1. Calcula el riesgo intrínseco.
  2.  Identifica/enumera salvaguardas y valora su impacto.
  3. Calcula el riesgo residual.
  4. Ante la consulta de Carmen sobre cómo incrementar la seguridad en la oficina, presenta tres recomendaciones de medidas de seguridad, incluyendo las razones de su elección.

2. Solución apartados del 1-6.


La solución a estos puntos se recogen en la siguiente tabla. No obstante, posteriormente se realizan ciertas explicaciones sobre ciertos puntos en concreto para proporcionar una mayor comprensión de los resultados obtenidos.


El riesgo intrínseco es el nivel de riesgo antes de aplicar medidas de seguridad (salvaguardas). La fórmula para el cálculo del riesgo intrínseco es la siguiente:

  • Riesgo intrínseco = (Probabilidad amenaza) x (Impacto del evento)

En el caso que nos atañe, se ha estimado que en el porcentaje de impacto que pueda ocasionar al negocio, ya queda incluido el valor económico del activo. Por lo tanto, el riesgo intrínseco se ha calculado multiplicando el valor del impacto por la probabilidad de materialización de la amenaza. Para realizar estos cálculos únicamente se ha necesitado la tabla de valores proporcionada en el ejercicio.

Con el resultado obtenido de la operación anterior, se ha asignado el tipo de riesgo correspondiente en base a una tabla de riesgo que he desarrollado a partir de la anterior. Y en base a esta nueva tabla de riesgo, se ha desarrollado una escala de riesgo que se muestra a continuación:




En cuanto a como se ha llevado a cabo el cálculo del riesgo residual, decir que el riesgo residual es el nivel de riesgo que persiste después de haber aplicado medidas de seguridad (salvaguardas) para reducir el riesgo inicial (intrínseco). La fórmula para el cálculo del riesgo residual es la siguiente:

  • Riesgo residual = Riesgo intrínseco x (Eficacia de los Controles)

Para establecer un valor a la “eficacia de los controles”, se ha creado la siguiente tabla:



3. Solución punto 7.


Basado en el informe que se he elaborado, se pueden proponer las siguientes salvaguardas para mejorar la seguridad de la oficina.

  1. Realizar copias de seguridad de forma regular y almacenarlas en un lugar seguro es una práctica importante de seguridad de la información que puede minimizar el impacto de la pérdida de datos, en caso de fallas técnicas, errores humanos, desastres naturales u otras situaciones. Se debe definir la frecuencia, el tipo de copia de seguridad y el lugar de almacenamiento, y realizar pruebas periódicas de recuperación de datos para asegurar que las copias de seguridad sean efectivas.
  2. Formar al personal de la empresa en ciberseguridad y concienciarles sobre las buenas prácticas en el uso de los equipos y datos es fundamental para prevenir incidentes de seguridad y proteger la información de la organización. Algunas medidas que se pueden implementar para lograrlo son:
    1. Crear programas de formación en ciberseguridad: se pueden crear programas de formación específicos para el personal de la empresa, con contenidos adaptados a sus roles y responsabilidades. Estos programas pueden incluir información sobre las amenazas de seguridad más comunes, buenas prácticas en el uso de contraseñas, navegación segura en internet, correo electrónico seguro, entre otros.
    2. Realizar simulaciones de ataques (campañas de phishing): las simulaciones de ataques pueden ayudar a concienciar al personal sobre los riesgos de seguridad y a identificar posibles vulnerabilidades en los sistemas de la organización. Estas simulaciones pueden ser realizadas por el equipo de seguridad informática de la empresa o por proveedores especializados.
    3. Establecer políticas de seguridad y protocolos de actuación: se deben definir políticas de seguridad y protocolos de actuación que establezcan las reglas y procedimientos a seguir para garantizar la seguridad de la información de la organización. Estas políticas deben ser comunicadas de manera efectiva al personal de la empresa y actualizadas periódicamente.
    4. Establecer medidas disciplinarias: es importante establecer medidas disciplinarias para aquellos empleados que incumplan las políticas y protocolos de seguridad de la organización. Esto ayudará a reforzar la importancia de la seguridad de la información y fomentar una cultura de ciberseguridad en la empresa.
  3. En las instalaciones instalar controles de acceso por tarjeta de proximidad, código PIN o sistemas biométricos es una medida importante para proteger las instalaciones de la empresa contra accesos no autorizados (ladrones, etc.). Estos controles permiten limitar el acceso únicamente a las personas autorizadas y proporcionan una capa adicional de seguridad. Algunas consideraciones importantes al implementar estos controles son:
    1. Definir los niveles de acceso: es importante definir los niveles de acceso para cada empleado de la empresa en función de su rol y responsabilidad. Esto permitirá limitar el acceso únicamente a las áreas que sean necesarias para el desempeño de sus funciones.
    2. Verificar la identidad de las personas: los sistemas de control de acceso deben ser capaces de verificar la identidad de las personas antes de permitirles el acceso. Los sistemas biométricos son una buena opción para garantizar la autenticidad de la persona que intenta acceder.
  4. Monitorizar el acceso: es importante monitorizar el acceso a las instalaciones para detectar posibles intentos de acceso no autorizado. Se pueden utilizar sistemas de video-vigilancia y registros de acceso para verificar que las personas que acceden a las instalaciones están autorizadas.

Estas salvaguardas pueden ayudar a mejorar la seguridad de la oficina, protegiendo los sistemas y datos sensibles, tanto a nivel físico como cibernético.


Para llevar a cabo procesos de auditoría, es fundamental realizar una buena planificación previa, como mostramos en nuestro artículo «Principios, programa y planificación de auditoría y gobierno de las TIC«.

En caso de necesitar un plan de auditoría pueden contactarnos a través de nuestro formulario de contacto.


English

No puedes copiar el contenido