Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

Apr 6, 2020

Las organizaciones están luchando con riesgos en múltiples frentes, incluyendo la ciberseguridad, responsabilidad, inversión y más. El análisis de riesgos, o evaluación de riesgos, es el primer paso en el proceso de gestión de riesgos. Análisis de riesgos de TI se centra en los riesgos que las amenazas tanto internas como externas representan para la disponibilidad, confidencialidad e integridad de tus datos. Durante el análisis de riesgos, una empresa identifica los riesgos y el nivel de consecuencias, como las pérdidas potenciales para el negocio, si ocurre un incidente.

El proceso de análisis de riesgos implica definir los activos (sistemas de TI y datos) en riesgo, las amenazas que enfrenta cada activo, cuán críticas son cada una de las amenazas y qué tan vulnerable es el sistema a esa amenaza. Es prudente adoptar un enfoque estructurado y basado en proyectos para el análisis de riesgos, como los que se ofrecen en NIST SP 800-30 o ISO/IEC 27005:2018 y 31010:2019.

El análisis de riesgos es importante por múltiples razones. Los profesionales de TI que son responsables de mitigar riesgos en la infraestructura a menudo tienen dificultades para decidir qué riesgos necesitan resolverse lo antes posible y cuáles pueden abordarse más tarde; el análisis de riesgos les ayuda a priorizar adecuadamente. Además, muchos requisitos regulatorios y de cumplimiento incluyen security risk assessment como un componente obligatorio.

En este artículo, examinaremos un ejemplo de análisis de riesgos y describiremos los componentes clave del proceso de análisis de riesgos de TI.

Ejemplo de Análisis de Riesgos

Las siguientes secciones presentan los componentes clave de un documento de análisis de riesgos.

Introducción

Esta parte explica por qué y cómo se ha manejado el proceso de evaluación. Incluye una descripción de los sistemas revisados y especifica la asignación de responsabilidades requeridas para proporcionar y recopilar la información y analizarla.

Propósito

En esta sección, se define el propósito de una evaluación detallada de un sistema de TI. Aquí hay un ejemplo:

Según la evaluación anual de riesgos empresariales, < system name > fue identificado como un sistema potencialmente de alto riesgo. El propósito de la evaluación de riesgos es identificar las amenazas y vulnerabilidades relacionadas con < system name > e identificar planes para mitigar esos riesgos.

Alcance

En esta sección, define el alcance de la evaluación del sistema de TI. Describe los componentes del sistema, usuarios y otros detalles del sistema que deben considerarse en la evaluación de riesgos.

El alcance de esta evaluación de riesgos es valorar el uso de recursos y controles (implementados o planificados) para eliminar y/o gestionar vulnerabilidades explotables por amenazas internas y externas a < system name >.

Descripción del sistema

Enumere los sistemas, hardware, software, interfaces o datos que se examinan y cuáles de ellos están fuera del alcance de la evaluación. Esto es necesario para analizar más a fondo los límites del sistema, funciones, criticidad del sistema y sensibilidad de los datos. Aquí hay un ejemplo:

< system name > consta de < components, interfaces > que procesan datos < sensitive / critical / regulated >. < system name > está ubicado < details on physical environment >. El sistema proporciona < core functions >.

Participantes

Esta sección incluye una lista de nombres de los participantes y sus roles. Debe incluir a los propietarios de los activos, los equipos de TI y seguridad, y el equipo de evaluación de riesgos.

Enfoque de Evaluación

Esta sección explica toda la metodología y técnicas utilizadas para la evaluación de riesgos. Por ejemplo:

El riesgo se determinará en base a un evento de amenaza, la probabilidad de que ocurra dicho evento, las vulnerabilidades conocidas del sistema, factores de mitigación e impacto en la misión de la empresa. La fase de recolección de datos incluye la identificación y entrevista de personal clave en la organización y la realización de revisiones de documentos. Las entrevistas se centrarán en el entorno operativo. Las revisiones de documentos proporcionan al equipo de evaluación de riesgos una base para evaluar el cumplimiento de las políticas y procedimientos.

Identificación y evaluación de riesgos

Aquí comienza la parte central de la evaluación de riesgos de seguridad de la información, donde compilará los resultados de su trabajo de campo de evaluación.

Contenido relacionado seleccionado:

Inventario de datos

Identifique y defina todos los activos valiosos dentro del alcance: servidores, datos críticos, datos regulados u otros datos cuya exposición tendría un gran impacto en las operaciones comerciales. Por ejemplo:

Tipo de datos

Descripción

Nivel de sensibilidad (Alto, Moderado, Bajo)

Información de identificación personal
  • Nombre
  • Dirección
  • Número de Seguro Social
  • Número de tarjeta de crédito

Alto

Información financiera
  • Número de tarjeta de crédito
  • Código de verificación
  • Fecha de caducidad
  • Referencia de autorización
  • Referencia de la transacción

Alto

Usuarios del sistema

Describa quién está utilizando los sistemas, con detalles sobre la ubicación del usuario y el nivel de acceso. Puede usar el ejemplo a continuación:

Nombre del sistema

Categoría de usuario

Nivel de acceso (Lectura, Escritura, Completo)

Número de usuarios

Organización del Hogar

Ubicación Geográfica

<Nombre de la aplicación empresarial>

Usuario regular

Leer/Escribir

10

ABC Group

Atlanta

Identificación de amenazas

Desarrolle un catálogo de fuentes de amenazas. Describa brevemente los riesgos que podrían afectar negativamente las operaciones de la organización, desde violaciones de seguridad y errores técnicos hasta errores humanos y fallos de infraestructura:

Fuente de amenazas

Acción de amenaza

Criminal cibernético
  • Defacement de sitios web
  • Ingeniería social
  • Intrusiones de sistema (allanamientos)
  • Robo de identidad

Insider malicioso
  • Navegación de información personal identificable
  • Acceso no autorizado al sistema
  • Acciones accidentales o desaconsejadas tomadas por empleados que resultan en daños físicos no intencionados, interrupción del sistema o exposición

Empleados
  • Enfermedad, muerte, lesión u otra pérdida de un individuo clave

Reputación
  • Pérdida de confianza por parte de los empleados
  • Daño a la reputación de la empresa

Organizacional (planificación, programación, estimación, control, comunicación, logística, recursos y presupuesto)
  • Acciones inadecuadas de terminación y reasignación de trabajadores

Acciones legales y administrativas
  • Sanciones regulatorias
  • Procedimientos penales y civiles

Técnico
  • Código malicioso (p. ej., virus)
  • Errores del sistema
  • Fallo de un ordenador, dispositivo, aplicación o tecnología de protección o control que interrumpe las operaciones o expone el sistema a daños

Medioambiental
  • Desastres naturales o provocados por el hombre

Identificación de vulnerabilidades

Evalúe qué vulnerabilidades y debilidades podrían permitir que las amenazas vulneren su seguridad. Aquí hay un ejemplo:

Vulnerabilidad

Descripción

Baja fortaleza de contraseña

Las contraseñas utilizadas son débiles. Los atacantes podrían adivinar la contraseña de un usuario para obtener acceso al sistema.

Falta de recuperación de desastres

No hay procedimientos para garantizar la operación continua del sistema en caso de una interrupción significativa del negocio o desastre.

Determinación de riesgos

Aquí, usted evalúa la probabilidad de que las amenazas y vulnerabilidades causen daños y el alcance de esas consecuencias.

Determinación de la Probabilidad de Riesgo

Durante este paso, concéntrese en evaluar la probabilidad de riesgo — la posibilidad de que un riesgo ocurra.

Nivel

Definición de probabilidad

Ejemplo

Alto

La fuente de la amenaza está altamente motivada y suficientemente capacitada, y los controles para prevenir que la vulnerabilidad sea explotada son ineficaces.

Divulgación, modificación o destrucción maliciosa no autorizada de información

Moderado

La fuente de la amenaza está motivada o es capaz, pero hay controles establecidos que pueden impedir el ejercicio exitoso de la vulnerabilidad.

Errores y omisiones no intencionales

Bajo

La fuente de la amenaza carece de motivación o capacidad, o existen controles para prevenir, o al menos impedir significativamente, que la vulnerabilidad sea explotada.

Interrupciones de TI debido a desastres naturales o provocados por el hombre

Análisis de Impacto

Realice un análisis de impacto de riesgo para comprender las consecuencias para el negocio si ocurre un incidente. El análisis de riesgo puede incluir evaluaciones de riesgo cualitativas para identificar los riesgos que representan mayor peligro, como la pérdida de datos, el tiempo de inactividad del sistema y las consecuencias legales. La evaluación de riesgo cuantitativa es opcional y se utiliza para medir el impacto en términos financieros.

Incidente

Consecuencia

Impacto

Divulgación no autorizada de información sensible

La pérdida de confidencialidad con un daño importante para los activos organizacionales.

El incidente puede resultar en la costosa pérdida de importantes activos tangibles o recursos, y puede violar, dañar o impedir significativamente la misión, reputación o intereses de la organización.

Alto

Interrupciones de TI debido a cambios no autorizados en el sistema

La pérdida de disponibilidad con un efecto adverso grave en las operaciones organizacionales.

La organización es capaz de realizar sus funciones primarias, pero la efectividad de las funciones se reduce significativamente.

Medio

Los datos no sensibles se pierden por cambios no autorizados en los datos o el sistema

La pérdida de integridad con un efecto limitado en las operaciones organizacionales, activos o individuos.

La organización es capaz de realizar sus funciones primarias, pero la efectividad de las funciones se reduce notablemente.

Bajo

Evaluación del Nivel de Riesgo

Durante este paso, los resultados del análisis de riesgos se comparan con los criterios de evaluación de riesgos. Los resultados se utilizan para priorizar riesgos según el nivel de riesgo.

Nivel de impacto

Definición del nivel de riesgo

Alto

Existe una fuerte necesidad de medidas correctivas. El sistema puede seguir operando, pero se debe establecer un plan de acción correctivo lo antes posible.

Moderado

Se necesitan acciones correctivas y se debe desarrollar un plan para incorporar estas acciones en un plazo razonable.

Bajo

El propietario del sistema debe determinar si aún se requieren acciones correctivas o decidir aceptar el riesgo.

Resultados de la evaluación de riesgos

Enumere los riesgos en la tabla de Resultados de Evaluación de Riesgos. El informe debe describir las amenazas y vulnerabilidades, medir el riesgo y proporcionar recomendaciones para la implementación de controles.

Amenaza

Vulnerabilidades

Mitigación

Probabilidad

Impacto

Riesgo

Huracán

Corte de energía

Instale generadores de respaldo

Moderado

Bajo

Bajo

Falta de plan de recuperación ante desastres

Recuperación de desastres

Desarrolle y pruebe un plan de recuperación de desastres

Moderado

Alto

Moderado

Los usuarios no autorizados pueden acceder al servidor y explorar archivos sensibles de la empresa

Acceso abierto a contenido sensible

Realice monitoreo y pruebas de seguridad del sistema para garantizar que se proporcione seguridad adecuada para <server name>.

Moderado

Alto

Moderado


Conclusión

El análisis de riesgos le permite saber cuáles son sus principales prioridades. Al revisar continuamente las áreas clave, como permisos, política, datos y usuarios, puede determinar qué amenazas representan el mayor riesgo para su ecosistema de TI y ajustar los controles necesarios para mejorar la seguridad y el cumplimiento.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Ryan Brooks

Aprende más sobre este tema

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

El Triángulo de la CIA y su Aplicación en el Mundo Real

¿Qué es la gestión de registros electrónicos?

Análisis Cuantitativo de Riesgo: Expectativa de Pérdida Anual

Crear usuarios de AD en masa y enviar sus credenciales por correo electrónico usando PowerShell

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad