Análisis de Riesgos para PYMES: Guía INCIBE para la Ciberseguridad

La ciberseguridad es un sector que cobra cada vez más protagonismo. A día de hoy, las pymes siguen sin considerarse objetivo potencial de ciberataques, pese a la creciente concienciación. Sin embargo, no siempre aplicamos esto al ámbito corporativo.

Existe una cita muy famosa que dice que "Lo que no se define no se puede medir. Lo que no se mide, no se puede mejorar. Lo que no se mejora, se degrada siempre". La Seguridad de la Información no es una excepción, y por eso es necesaria una aproximación seria y objetiva a la seguridad de la información, que nos permita determinar de manera fiable los riesgos a los que estamos expuestos, en qué medida lo estamos y cuáles son las consecuencias.

En este contexto, el análisis de riesgos se vuelve fundamental para evaluar estas amenazas y vulnerabilidades que podrían poner en riesgo la seguridad de los sistemas, redes y datos empresariales. Es complicado establecer medidas de protección sin tener claros cuáles son los puntos más vulnerables frente a ataques. Las organizaciones deben centrarse en sus puntos débiles para que éstos no se conviertan en puertas de entrada para los ciberdelincuentes.

Para ayudar a las empresas a evaluar su estado de ciberseguridad y a avanzar hacia mayores niveles de protección, INCIBE pone a su disposición una herramienta de autodiagnóstico especialmente diseñada para este fin. A través de una serie de preguntas se guiará al usuario para que determine su estado en seguridad de la información, qué riesgos amenazan el funcionamiento de la empresa y qué aspectos debe mejorar. Todo ello, para empezar a medir.

INCIBE pone a disposición de empresarios y empleados de pymes así como de colectivos específicos, asociaciones y colegios profesionales, herramientas de ciberseguridad enfocadas a la prevención, detección y respuesta a incidentes de ciberseguridad. Dentro de las herramientas de ciberseguridad que se ofrecen actualmente se encuentran:

• Análisis de riesgos en 5 minutos: Herramienta interactiva que guía al empresario a conocer el nivel de riesgo de su empresa en cinco minutos a través de una revisión de sus activos principales.
• Catálogo ciberseguridad: Recoge a empresas proveedoras de soluciones de ciberseguridad, así como sus productos y servicios, del mercado español.

A continuación, se enumeran diez pautas básicas para elevar de manera notoria la seguridad a las que toda pyme debe prestar atención:

1. Análisis de riesgos: Antes de implementar cualquier medida de ciberseguridad, es fundamental realizar un análisis de riesgos. Es importante identificar amenazas a las que se está expuesta y proponer medidas para mitigar sus efectos.
2. Plan director de seguridad: Una vez que se han identificado los riesgos, es necesario elaborar un plan director de seguridad. Este plan debe definir los objetivos de seguridad de la empresa, los recursos necesarios para alcanzarlos y los responsables de su ejecución.
3. Control de acceso a la información: Esta medida es fundamental para proteger los sistemas y datos de la empresa.
4. Copias de seguridad: La realización de copias de seguridad es esencial para recuperar la información y sistemas en caso de incidentes.
5. Herramientas de protección: Se deben instalar herramientas de protección, como antivirus y antimalware, en todos los dispositivos y soluciones corporativas.
6. Actualizaciones: Para asegurar la ciberseguridad de la pyme, todas las aplicaciones y sistemas deben estar al día en actualizaciones. Son primordiales para cerrar brechas y vulnerabilidades que los ciberdelincuentes podrían aprovechar.
7. Segurizar las comunicaciones: Reforzar la seguridad de las telecomunicaciones es crucial.
8. Proteger la información: Para la transcendencia del negocio, la información sensible y confidencial que manejamos debe de estar protegida tanto en tránsito como cuando esté almacenada. Utilizar herramientas criptográficas evitará que los datos sean accesibles para terceros no autorizados.
9. Plan de continuidad de negocio: En caso de sufrir un incidente de seguridad, es importante tener un plan de contingencia para poder responder de forma rápida y eficaz.
10. Formación: La concienciación es clave. La seguridad de la empresa depende del compromiso y conocimiento de todos.

Si queremos «empezar por el principio» en materia de ciberseguridad en nuestra empresa, el análisis de riesgos es uno de los trabajos más importantes a la hora de definir proyectos e iniciativas para la mejora de la seguridad de la información.

El Plan Director de Seguridad (PDS) se puede simplificar como la definición y priorización de un conjunto de proyectos en materia de seguridad de la información, dirigido a reducir los riesgos a los que está expuesta la organización hasta unos niveles aceptables a partir de un análisis de la situación inicial. Llevar a cabo un buen análisis nos permitirá centrar nuestro foco de atención en los riesgos asociados a los sistemas, procesos y elementos dentro del alcance del PDS. De esta forma mitigaremos la posibilidad de tener algún tipo de incidente de ciberseguridad.

A continuación veremos de forma sencilla las principales tareas del análisis de riesgos, aportando recomendaciones prácticas sobre cómo llevarlo a cabo, y considerando algunas particularidades a tener en cuenta para que aporte el máximo valor al PDS. Cabe señalar que las fases o etapas que componen un análisis de riesgos dependen de la metodología escogida.

Fases del Análisis de Riesgos

Fase 1: Establecer el Alcance

El primer paso a la hora de llevar a cabo el análisis de riesgos, es establecer el alcance del estudio. Vamos a considerar que este análisis de riesgos forma parte del Plan Director de Seguridad. Por lo tanto, recomendamos que el análisis de riesgos cubra la totalidad del alcance del PDS, dónde se han seleccionado las áreas estratégicas sobre las que mejorar la seguridad.

Por otra parte, también es posible definir un alcance más limitado atendiendo a departamentos, procesos o sistemas. Por ejemplo, análisis de riesgos sobre los procesos del departamento Administración, análisis de riesgos sobre los procesos de producción y gestión de almacén o análisis de riesgos sobre los sistemas TIC relacionados con la página web de la empresa, etc.

Fase 2: Identificación de Activos

Una vez definido el alcance, debemos identificar los activos más importantes que guardan relación con el departamento, proceso, o sistema objeto del estudio.

Fase 3: Identificación de Amenazas

Habiendo identificado los principales activos, el siguiente paso consiste en identificar las amenazas a las que estos están expuestos. Tal y como imaginamos, el conjunto de amenazas es amplio y diverso por lo que debemos hacer un esfuerzo en mantener un enfoque práctico y aplicado.

Fase 4: Identificación de Vulnerabilidades y Salvaguardas

La siguiente fase consiste en estudiar las características de nuestros activos para identificar puntos débiles o vulnerabilidades. Por ejemplo, una posible vulnerabilidad puede ser identificar un conjunto de ordenadores o servidores cuyo sistemas antivirus no están actualizados o una serie de activos para los que no existe soporte ni mantenimiento por parte del fabricante.

Por otra parte, también analizaremos y documentaremos las medidas de seguridad implantadas en nuestra organización. Por ejemplo, es posible que hayamos instalado un sistema SAI (Sistema de Alimentación Ininterrumpida) o un grupo electrógeno para abastecer de electricidad a los equipos del CPD.

Fase 5: Cálculo del Riesgo

Con esta información, nos encontramos en condiciones de calcular el riesgo. Para cada par activo-amenaza, estimaremos la probabilidad de que la amenaza se materialice y el impacto sobre el negocio que esto produciría. El cálculo de riesgo se puede realizar usando tanto criterios cuantitativos como cualitativos.

Tal y como indicábamos en el apartado anterior, cuando vayamos a estimar la probabilidad y el impacto debemos tener en cuenta las vulnerabilidades y salvaguardas existentes. Por ejemplo, la caída del servidor principal podría tener un impacto alto para el negocio. Sin embargo, si existe una solución de alta disponibilidad (Ej. Servidores redundados), podemos considerar que el impacto será medio ya que estas medidas de seguridad harán que los procesos de negocio no se vean gravemente afectados por la caída del servidor.

Si por el contrario hemos identificado vulnerabilidades asociadas al activo, aplicaremos una penalización a la hora de estimar el impacto.

Fase 6: Gestión del Riesgo

Una vez calculado el riesgo, debemos tratar aquellos riesgos que superen un límite que nosotros mismos hayamos establecido. Por ejemplo, trataremos aquellos riesgos cuyo valor sea superior a “4” o superior a “Medio” en caso de que hayamos hecho el cálculo en términos cualitativos.

Las opciones para gestionar el riesgo son:

• Transferir el riesgo a un tercero.
• Eliminar el riesgo. Por ejemplo, eliminando un proceso o sistema que está sujeto a un riesgo elevado.
• Asumir el riesgo, siempre justificadamente.
• Implantar medidas para mitigarlo.

Por último, cabe señalar que como realizamos este análisis de riesgos en el contexto de un PDS, las acciones e iniciativas para tratar los riesgos pasarán a formar parte del mismo. Por lo tanto, deberemos clasificarlas y priorizarlas considerando el resto de proyectos que forman parte del PDS.

Asimismo, tal y como indicábamos en la introducción, llevar a cabo un análisis de riesgos nos proporciona información de gran valor y contribuye en gran medida a mejorar la seguridad de nuestra organización.

¿En qué consiste un análisis de riesgos y por qué es tan importante para las empresas?

El análisis de riesgos es un proceso mediante el cual se identifican y evalúan los riesgos que pueden afectar a una organización con el objetivo de priorizarlos y establecer medidas de mitigación. Se trata de un proceso esquemático y cíclico que deben seguir todas las organizaciones que quieran proteger sus activos empresariales, identificando vulnerabilidades antes de que puedan ser explotadas por los ciberdelincuentes.

La identificación de los riesgos puede ayudar a establecer medidas para proteger la información sensible de accesos no autorizados o filtraciones, a la vez que facilita el cumplimiento de las regulaciones y normativas pertinentes, como la NIS2 y el GDPR. Sin un análisis de riesgos adecuado, una empresa podría invertir en ciberseguridad sin realmente abordar sus vulnerabilidades más críticas.

Fases que se suelen encontrar en un análisis de riesgos

Este proceso sigue una metodología estructurada para evaluar amenazas y establecer medidas de mitigación. Las fases más comunes son:

1. Definir el alcance: en esta primera fase, se concretará el ámbito del análisis en el que se definirán las áreas o departamentos de la empresa que van a ser analizados (también activos, como redes, sistemas, datos, aplicaciones, etc.). El objetivo es tener claro el estudio que se va a realizar y usar los recursos empresariales de manera eficiente, teniendo en cuenta las áreas críticas de la empresa que requieren mayor protección.
2. Identificación de los activos: en esta fase, se elaborará un registro o una lista de los elementos definidos anteriormente para saber que se tiene que proteger. Por ejemplo, los sistemas, los datos, la red...
3. Identificación de las amenazas: se hace énfasis en los peligros o amenazas que, a nivel general (ataques de ransomware, brechas de datos, phishing, errores humanos, etc.), podrían tener los activos analizados, ya sean daños por cambios ambientales, por daños físicos…
4. Identificación de vulnerabilidades y salvaguardas: se identifican las debilidades y medidas de protección que pueden tener los recursos identificados como, por ejemplo, sistemas desactualizados, faltas de mantenimiento, controles de acceso... Esta fase esta más centrada en las características de los activos y cómo estas los hacen más o menos vulnerables o protegidos ante las amenazas encontradas.
5. Análisis de riesgos: con toda la información anterior, en esta fase se evalúan y calculan los riesgos. Dependiendo del grado del riesgo puede afectar en mayor o menor medida a la empresa. Todo ello, se realiza teniendo en cuenta las salvaguardas y la probabilidad de que ocurra una amenaza y cómo afectaría a ese activo.
6. Gestión del riesgo: en esta fase, se toman decisiones para gestionar los riesgos analizados (aplicación de parches, segmentación de red, formación de empleados, etc.) con el objetivo de reducir el impacto en caso de ataque o la probabilidad de que los riesgos superan los niveles marcados por la empresa.

Realizar este análisis de manera periódica permite a las organizaciones adaptarse a nuevas amenazas y reforzar su seguridad digital.

¿Por qué especializarse en análisis de riesgos? Oportunidades profesionales

Para aquellos que están comenzando su carrera en el mundo de la ciberseguridad, o se están planteando hacerlo, la especialización en análisis de riesgos puede abrir muchas puertas. Las organizaciones necesitan empleados que sepan identificar y gestionar riesgos para proteger sus activos. Las habilidades desarrolladas con esta formación pueden contribuir de forma significativa a la estrategia de seguridad de cualquier empresa. Por eso, estos profesionales están altamente demandados y pueden desempeñar diversos roles, entre ellos:

• Analista de riesgos: se encarga de evaluar los riesgos potenciales que pueden afectar a una empresa, no solo en términos de ciberseguridad, sino en todos los aspectos operativos. Su función principal es identificar y evaluar los riesgos, además de desarrollar las estrategias de mitigación y monitoreo continuo.
• Consultor de ciberseguridad: su función es asesorar a las empresas en la implementación de estrategias de seguridad, incluyendo la gestión de riesgos cibernéticos. Para ello, puede realizar evaluaciones de riesgos y diseñar políticas de seguridad e implementar controles que los mitiguen.
• Auditor de ciberseguridad: es el encargado de revisar y avaluar los sistemas de seguridad de las empresas para garantizar que se cumpla con las normativas y regulaciones aplicables. Durante las auditorías de seguridad puede identificar vulnerabilidades y recomendar puntos de mejora.

La formación en análisis de riesgos puede ser un complemento muy interesante en la carrera profesional de la ciberseguridad, abriendo puertas a una amplia gama de roles en diferentes sectores. Estos profesionales son cada vez más importantes para las empresas, que necesitan protegerse de diferentes amenazas.

La información es poder. Pero, ¿ha pensado alguna vez en lo que ocurriría en su empresa si, de repente, perdiese la información de su negocio o la capacidad de acceder a ella? ¿Cuál es el nivel de ciberseguridad de su empresa?