Seguridad que brinda tranquilidad

EN RESUMEN

Si bien, la mejor práctica es realizar una prueba de penetración cada año; un ataque del mundo real, simulado y autorizado en su red para identificar el estado de su postura de seguridad de TI, sin embargo, ¿A considerado una evaluación de riesgos de TI?

¿Cómo saber qué proteger si (a) no sabes dónde está y (b) no sabes qué es? ¿Cómo saber dónde colocar los controles de seguridad de red y puntos finales? ¿Cuáles son sus activos de mayor riesgo? ¿Es rentable el tratar de proteger toda la red y todos sus sistemas o sólo aquellos en los que usted sabe que se almacenan las "joyas de la corona"? ¿Cómo actuar puntualmente y asegurar que el enfoque no sea como intentar “hervir el océano”?

ANÁLISIS DE RIESGO

LA GESTIÓN DE RIESGOS IMPLICA EL PROCESO DE IDENTIFICAR VULNERABILIDADES Y AMENAZAS A LOS ACTIVOS DE INFORMACIÓN UTILIZADOS POR SU EMPRESA PARA ALCANZAR SUS OBJETIVOS Y DECIDIR QUÉ MEDIDAS CORRECTIVAS, SI LAS HUBIERA, DEBEN TOMARSE PARA REDUCIR LOS RIESGOS A UN NIVEL ACEPTABLE.

La realidad es que si no sabe donde se supone que la información critica debe de estar, como los servidores o archivos NetApp, o si esta información ha sido copiada a otros sistemas es poco probable que se pueda idear una estrategia para salvaguardar dicha información. El considerar todos los activos de la empresa bajo el mismo riegos no es rentable, es necesario tener un enfoque puntualizado para asegurar el mayor impacto con una inversión factible.

Es importante para las empresas el identificar donde se encuentras sus activos, la información que se procesada y tener un conocimiento de las amenazas y vulnerabilidades que le corresponden a su empresa. Al identificar esta información se puede generar una estrategia puntual para mitigar los riesgos a los que su empresa se enfrenta.

 

LO QUE HACEMOS 

Una evaluación de riesgos de TI es la identificación de vulnerabilidades y amenazas a los activos de información utilizados por su empresa para alcanzar sus objetivos y decidir qué medidas correctivas, si las hubiera, se deben tomar para reducir los riesgos a un nivel aceptable, una evaluación de riesgos de TI y un tratamiento de riesgos.

El resultado de una evaluación de riesgos de TI es un registro de activos que contiene una lista de activos, sus propietarios y una puntuación respectiva basada en la criticidad de ese activo para el negocio. También se elaborará un cuadro de evaluación de riesgos que contendrá la puntuación de riesgo para cada clase de activos, junto con un plan de tratamiento de riesgos de TI. En última instancia, esto será el resultado de una evaluación del riesgo basada en los activos y en los escenarios.​

CÓMO LO HACEMOS

Para realizar una evaluación de riesgos, primeramente se determina el alcance de el sistema de gestión de seguridad de la información (SGSI), que es un conjunto de políticas y procedimientos para la gestión sistemática de los datos confidenciales de una organización.  Identificando el alcance físico y lógico de su ISMS, es decir, qué ubicaciones físicas y sistemas de TI son responsables del procesamiento, transmisión y almacenamiento de las "joyas de la corona" de su empresa o de los datos sensibles. Una vez que estos activos hayan sido identificados en sus respectivos departamentos, identificaremos al propietario de cada activo y los documentaremos en un registro de activos donde los activos se calificarán en base al impacto que cada activo tendría en el negocio si la confidencialidad, integridad o disponibilidad del activo se viera afectada negativamente por un evento.

Las amenazas y vulnerabilidades que afectan a cada clase de activos se calcularán y, en última instancia, llevarán la puntuación general de riesgo a cada clase de activos. Una vez identificados los pares de vulnerabilidad a las amenazas, se generará una puntuación final para cada clase de activos que esté correlacionada con la máxima tolerancia al riesgo del negocio. Cualquier clase de activos con una puntuación superior a esta tolerancia será trasladada a un plan de tratamiento de riesgos con pasos prescritos sobre cómo tratar el riesgo de esa clase de activos a un nivel aceptable para la empresa.

Si no existe un procedimiento de evaluación y tratamiento de riesgos de TI, crearemos uno basado en la metodología de Brier & Thorn, que se basa en la norma ISO 27005. Aunque nuestra metodología se basa en la ISO, podemos utilizar otros marcos de evaluación de riesgos, como OCTAVE y NIST. Las evaluaciones de riesgos de TI no son de "talla única" e, independientemente del modelo que se elija, deben documentarse para que la evaluación de riesgos pueda "enjuagarse y reutilizarse" cada año. El negocio debe tomar medidas para asegurarse de que se realiza de la misma manera, cada vez, para que los resultados se generen de la misma manera exacta cada vez que se realiza una evaluación de riesgos.

NUESTRO ALCANCE 

  1. Evaluación de riesgos de TI según ISO 27005, OCTAVE, HEAVENS, o cualquier otra metodología de evaluación de riesgos utilizada por su empresa.

  2. Desarrollo de una Política y Procedimiento de Evaluación de Riesgos y Tratamiento de Riesgos de TI

  3. Evaluación de riesgos basada en activos

  4. Evaluación de riesgos basada en escenarios

  5. Tratamiento del riesgo

BRIER & THORN MÉXICO

Blvd. Sánchez Taboada,

Zona Rio

Tijuana, Baja California. México

C.P 22010

ventas/@/brierandthorn.com.mx

Tel: 800 062 27 66
 

BRIER & THORN INC

1855 1st Avenue, Suite 103

San Diego, CA 92101

www.brierandthorn.com 

info/@/brierandthorn.com

Tel: (858) 381 4977

Copyright 2010-2019 Brier & Thorn. Todos los derechos reservados.

  • Black Facebook Icon
  • Black Twitter Icon
  • Black LinkedIn Icon