Requisitos
Una evaluación de riesgos de seguridad es un proceso continuo que permite a la organización monitorear y actualizar la instantánea actual de las amenazas y riesgos a los que podría estar expuesta. Es un requisito para diferentes estándares de cumplimiento, incluidos los siguientes:
- Estándares de seguridad de datos de la industria de tarjetas de pago (PCI-DSS) – Un estándar de seguridad de la información para organizaciones que manejan tarjetas de crédito de marca de los principales esquemas de tarjetas.
- Organización Internacional de Normalización (ISO) 27001 – Un conjunto de directrices reconocido internacionalmente que se centra en la seguridad de la información y proporciona un marco para el Sistema de Gestión de Seguridad de la Información (SGSI).
- Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA) – una ley estadounidense que exige el manejo cuidadoso de la información médica protegida (PHI) o de la información médica identificable individualmente.
¿Por qué realizar una evaluación de riesgos de seguridad?
La realización de evaluaciones de riesgos de ciberseguridad ayuda a prevenir posibles amenazas que podrían comprometer la seguridad de una organización. Los oficiales de seguridad deben comprender las relaciones entre los componentes de seguridad, incluidas las amenazas, vulnerabilidades y riesgos, para proteger a la organización de amenazas físicas, socioeconómicas y ambientales. Además ayuda a una organización a:
- prevenir cualquier peligro potencial que tenga la capacidad, motivación e intención de explotar las vulnerabilidades existentes;
- proteger datos valiosos y confidenciales de la empresa, incluida la información personal y financiera, contra ransomware y pérdida de datos;
- cumplir con las normas regulatorias para prevenir demandas;
- medir la clasificación de riesgo de cada activo y evaluar la criticidad en función de cómo afectaría las operaciones comerciales; y
- asegurar la reputación y la imagen de marca de la empresa.
Ejemplo de informe en PDF sobre evaluación de riesgos de seguridad | Ver plantilla
Ejemplos
Realizar evaluaciones de riesgos es una tarea crucial para los agentes de seguridad. Se trata de una revisión de gran alcance de cualquier cosa que pueda suponer un riesgo para la seguridad de una organización. Las siguientes tres categorías de controles de seguridad con ejemplos pueden ayudar a comprender mejor el alcance de la seguridad en las operaciones comerciales.
1. Control de Seguridad de la Gestión
La seguridad de la gestión o control administrativo es el diseño general de controles que proporciona orientación, reglas y procedimientos para implementar un entorno de seguridad. Protege a la organización de la corrupción de datos y el acceso no autorizado por parte de personas internas o externas y protege a la empresa de pérdidas financieras, daños a la reputación, desintegración de la confianza del consumidor y erosión de la marca.
Ejemplo: la organización identifica un riesgo de acceso no autorizado a datos confidenciales almacenados en un servidor de base de datos interno. El equipo de control de seguridad de la gestión es el responsable de definir quién está autorizado a acceder a los datos.
2. Control de Seguridad Operacional
La seguridad operativa o control técnico define la eficacia de los controles. Incluye autoridades de acceso, autenticación y topologías de seguridad aplicadas a aplicaciones, redes y sistemas.
Ejemplo: la organización identifica un riesgo de acceso no autorizado a datos confidenciales almacenados en un servidor de base de datos interno. Los equipos de TI utilizan el control de seguridad operativo para prevenir y detectar inicios de sesión no autorizados en el servidor.
Los administradores de TI pueden utilizar una lista de verificación de evaluación de ciberseguridad o una lista de verificación de evaluación de riesgos de TI para ayudar a identificar actividades maliciosas e implementar las medidas necesarias para gestionar las amenazas. Ayuda a validar las consecuencias, la probabilidad y la calificación de riesgo de las vulnerabilidades identificadas.
3. Control de Seguridad Física
El control de seguridad física es la protección del personal y el hardware contra amenazas tangibles que podrían dañar, dañar o interrumpir físicamente las operaciones comerciales.
Ejemplo: la organización identifica un riesgo de acceso no autorizado a datos confidenciales almacenados en un servidor de base de datos interno. La organización puede aplicar controles de seguridad física para restringir el acceso de visitantes y personal no autorizado a áreas restringidas.
Los oficiales de seguridad de las instalaciones (FSO) pueden utilizar una lista de verificación de evaluación de la seguridad de las instalaciones para llevar a cabo un escaneo interno extenso de la infraestructura, las vulnerabilidades y las amenazas potenciales de las instalaciones. Ayuda a evaluar las condiciones de seguridad del edificio para proteger a los ocupantes de la posibilidad de riesgos mayores.
Cómo realizar una evaluación de riesgos de seguridad
El proceso de evaluación de los riesgos de seguridad varía según las necesidades de una empresa. Depende del tipo de operación comercial, el alcance de la evaluación y los requisitos del usuario. Generalmente, se puede realizar con los siguientes pasos.
Cinco pasos para implementar la evaluación de riesgos de seguridad
Paso 1: Identificar
- Identifique las necesidades comerciales y los activos críticos de la infraestructura tecnológica que pueden afectar la dirección general de seguridad y TI.
Paso 2: Revisar
- Revise las políticas, estándares, directrices y procedimientos de seguridad existentes y diagnostique datos confidenciales creados, almacenados o transmitidos por activos de infraestructura tecnológica.
Paso 3: evaluar
- Evaluar y analizar activos, amenazas y vulnerabilidades, incluido su impacto, probabilidad y calificación de riesgo.
- Verifique la protección física aplicada a los equipos informáticos, servidores y otros componentes de la red.
- Llevar a cabo una revisión e investigación técnica y de procedimientos de la arquitectura, los protocolos y otros componentes de la red para garantizar que se implemente de acuerdo con las políticas de seguridad.
- Revisar y evaluar la configuración, implementación y uso de sistemas de acceso remoto, servidores, firewalls y otras conexiones de red externa.
- Verifique los sistemas de control de acceso para usuarios autorizados y otras políticas de autenticación.
- Verifique los activos físicos, incluidas las tarjetas de acceso para el personal y los visitantes.
- Verificar la protección perimetral e inspeccionar el estado operativo de las cámaras CCTV y sistemas de alarma.
- Asegúrese de que la limpieza se observe adecuadamente.
Paso 4: mitigar
- Revisar y analizar informes de evaluación y determinar cómo asignar eficazmente tiempo y recursos para la mitigación de riesgos.
- Implementar acciones técnicas para abordar las vulnerabilidades identificadas y reducir el nivel de riesgo de seguridad.
- Asignar acciones correctivas y recomendaciones al personal adecuado para hacer cumplir los controles de seguridad para cada riesgo.
Paso 5: Prevenir
- Realice evaluaciones de seguridad periódicas, supervise las actualizaciones y comunique informes de evaluación de riesgos a una persona autorizada.
- Optimice los procesos de generación de informes para minimizar la aparición de amenazas y vulnerabilidades.
Capacitación
Crear una cultura de seguridad en el lugar de trabajo es más que un simple requisito legal o una casilla a marcar. Como empleador, es su responsabilidad crear un lugar de trabajo donde las personas se sientan seguras, valoradas y motivadas para hacer su mejor trabajo.
La capacitación en evaluación de riesgos de seguridad es un conjunto de lecciones informativas para ayudar a los empleados a desarrollar habilidades para identificar, analizar y evaluar riesgos de seguridad. Es importante invertir en este tipo de capacitación para ayudar a su organización a mantenerse segura en el espacio digital, como cLa formación en materia de concienciación sobre ciberseguridad puede servir como punto de partida para dotar a los trabajadores de una comprensión más clara de los riesgos de seguridad. Por ejemplo, este El curso de capacitación en línea gratuito contiene los conceptos básicos de los ciberataques más comunes y cómo las personas pueden protegerse.
Herramienta
El crecimiento tecnológico viene acompañado de la transformación de las amenazas a la seguridad. Los infractores de la ley descubren nuevos mecanismos para vulnerar los sistemas de seguridad más estrictos. Una evaluación de riesgos de seguridad ayuda a proteger a la organización y a los ocupantes del edificio de una posible exposición a amenazas que pueden sabotear sus activos y exponerlos a riesgos mucho mayores.
Tradicionalmente, las evaluaciones de riesgos se realizan con el uso de lápiz y papel que es susceptible de deterioro y pérdida. Se necesita mucho tiempo para entregar los informes de evaluación, lo que aumenta las posibilidades de exponer la organización a riesgos de seguridad. IO Seguridades una aplicación de inspección móvil que puede ayudar a los agentes de seguridad a identificar de forma proactiva los riesgos de seguridad y responder a tiempo para mitigarlos.