Sin duda alguna, si queremos «empezar por el principio» en materia de ciberseguridad en nuestra empresa, el análisis de riesgos es uno de los trabajos más importantes a la hora de definir proyectos e iniciativas para la mejora de la seguridad de la información.
El Plan Director de Seguridad (PDS) se puede simplificar como la definición y priorización de un conjunto de proyectos en materia de seguridad de la información, dirigido a reducir los riesgos a los que está expuesta la organización hasta unos niveles aceptables a partir de un análisis de la situación inicial. Llevar a cabo un buen análisis nos permitirá centrar nuestro foco de atención en los riesgos asociados a los sistemas, procesos y elementos dentro del alcance del PDS. De esta forma, mitigaremos la posibilidad de tener algún tipo de incidente de ciberseguridad.
A continuación, veremos de forma sencilla las principales tareas del análisis de riesgos, aportando recomendaciones prácticas sobre cómo llevarlo a cabo, y considerando algunas particularidades a tener en cuenta para que aporte el máximo valor al PDS. Cabe señalar que las fases o etapas que componen un análisis de riesgos dependen de la metodología escogida.
Fases Clave del Análisis de Riesgos
Fase 1: Establecimiento del Alcance
El primer paso a la hora de llevar a cabo el análisis de riesgos es establecer el alcance del estudio. Considerando que este análisis de riesgos forma parte del Plan Director de Seguridad, recomendamos que el análisis de riesgos cubra la totalidad del alcance del PDS, donde se han seleccionado las áreas estratégicas sobre las que mejorar la seguridad. Por otra parte, también es posible definir un alcance más limitado atendiendo a departamentos, procesos o sistemas. Por ejemplo, un análisis de riesgos puede enfocarse en los procesos del departamento de Administración, los procesos de producción y gestión de almacén, o los sistemas TIC relacionados con la página web de la empresa, entre otros.
Fase 2: Identificación de Activos Críticos
Una vez definido el alcance, debemos identificar los activos más importantes que guardan relación con el departamento, proceso o sistema objeto del estudio.
Fase 3: Identificación de Amenazas
Habiendo identificado los principales activos, el siguiente paso consiste en identificar las amenazas a las que estos están expuestos. Tal y como imaginamos, el conjunto de amenazas es amplio y diverso, por lo que debemos hacer un esfuerzo en mantener un enfoque práctico y aplicado.
Fase 4: Identificación de Vulnerabilidades y Medidas de Seguridad
La siguiente fase consiste en estudiar las características de nuestros activos para identificar puntos débiles o vulnerabilidades. Por ejemplo, una posible vulnerabilidad puede ser identificar un conjunto de ordenadores o servidores cuyos sistemas antivirus no están actualizados o una serie de activos para los que no existe soporte ni mantenimiento por parte del fabricante. Por otra parte, también analizaremos y documentaremos las medidas de seguridad implantadas en nuestra organización. Por ejemplo, es posible que hayamos instalado un sistema SAI (Sistema de Alimentación Ininterrumpida) o un grupo electrógeno para abastecer de electricidad a los equipos del CPD.
Integración con el Cumplimiento del RGPD
Como parte del trabajo de cumplimiento del RGPD, ya deberíamos haber trazado un mapa de todas las actividades de tratamiento y de los activos utilizados para estas actividades. Esto significa que hemos enumerado dónde y cómo se tratan los datos personales, y qué sistemas, software o herramientas están implicados. Este mapeo es la base de nuestro cumplimiento del RGPD, y también de nuestra evaluación de riesgos.
El objetivo de una evaluación de riesgos es determinar si el tratamiento de datos personales es seguro para las personas cuyos datos se tratan, y garantizar que la organización cuenta con las medidas adecuadas para protegerlas. Para ello, se tiene que evaluar los riesgos relacionados con cada actividad o activo de tratamiento.
Cálculo de la Puntuación de Riesgo: Impacto y Probabilidad en Excel
Para ilustrar el proceso, empezamos por seleccionar una actividad de tratamiento o un activo de nuestra cartografía para que sea el centro de la evaluación de riesgos. En este ejemplo, utilizaremos un activo llamado "Base de datos de clientes", que también figura en la primera fila de la plantilla Excel de evaluación de riesgos. Esta base de datos de clientes contiene datos personales sobre los clientes, como nombres, datos de contacto e historial de compras o transacciones.
Identificación de Amenazas y la Tríada CIA
El primer paso de la evaluación es identificar las amenazas potenciales que podrían afectar al activo. En nuestro ejemplo, identificamos una única amenaza: el acceso no autorizado a la base de datos de clientes. Esta amenaza podría tener un efecto negativo sobre los tres principios clave de la seguridad de la información, lo que se denomina la Tríada CIA, que significa Confidencialidad, Integridad y Disponibilidad.
- Confidencialidad: Se refiere a garantizar que los datos personales solo sean accesibles a las personas autorizadas. Si un empleado interno, o una persona ajena, sin la debida autorización accede a los datos personales de la base de datos, se rompe la confidencialidad.
- Integridad: Significa que los datos deben permanecer exactos e inalterados, por lo que debemos poder confiar en la integridad de los datos. Si un atacante manipula o borra registros de la base de datos, se pierde la integridad.
- Disponibilidad: Significa que los datos deben ser accesibles cuando se necesiten para fines legítimos. Si el sistema se bloquea, se encripta o se desconecta, la disponibilidad se ve afectada.
Así pues, esta amenaza de «acceso no autorizado a la base de datos de clientes» puede afectar a los tres elementos de la Tríada CIA.
Identificación de Vulnerabilidades
A continuación, tenemos que identificar cualquier vulnerabilidad que haga más probable que se produzca esta amenaza. Una vulnerabilidad es un punto débil en nuestro sistema, proceso, comportamiento de las personas o controles que podría ser explotado. En este ejemplo, identificamos los controles de acceso débiles como una vulnerabilidad central. Esto podría significar que no todos los usuarios tienen inicios de sesión únicos, que las contraseñas no son suficientemente seguras o que los derechos de acceso no se revisan periódicamente.
Evaluación del Impacto y la Probabilidad
Tras identificar la amenaza y la vulnerabilidad, podemos evaluar el impacto y la probabilidad de que se produzca la amenaza. El impacto describe lo graves que serían las consecuencias para los interesados si se produjera la amenaza. Si una persona no autorizada accediera a la base de datos de clientes, podría exponer información personal y datos financieros. Esto podría dar lugar a usurpaciones de identidad, fraudes u otros perjuicios para los interesados. Por este motivo, calificamos el impacto como alto.
La probabilidad describe lo probable que es que la amenaza se produzca realmente. Dado que hemos identificado controles de acceso débiles, es realista que pueda producirse un acceso no autorizado. Por tanto, evaluamos la probabilidad como media.
Ahora que tenemos tanto una clasificación de impacto como de probabilidad, podemos calcular una puntuación de riesgo. Para hacerlo de forma sencilla, podemos asignar números a cada nivel: bajo equivale a 1, medio equivale a 2 y alto equivale a 3. La puntuación de riesgo se calcula multiplicando el impacto por la probabilidad.
En nuestro ejemplo, el impacto es alto (3) y la probabilidad es media (2), lo que da como resultado una puntuación de riesgo de 6.
Esta puntuación numérica te permite comparar los riesgos en toda tu organización. Por ejemplo, puedes ver qué riesgos son más críticos y cuáles pueden gestionarse con las medidas existentes. En este caso, una puntuación de 6 se considera alta. Esto significa que el riesgo debe reducirse hasta alcanzar un nivel aceptable antes de que el tratamiento pueda considerarse adecuadamente protegido.
Tal y como indicábamos, cuando vayamos a estimar la probabilidad y el impacto debemos tener en cuenta las vulnerabilidades y salvaguardas existentes. Por ejemplo, la caída del servidor principal podría tener un impacto alto para el negocio. Sin embargo, si existe una solución de alta disponibilidad (Ej. Servidores redundados), podemos considerar que el impacto será medio ya que estas medidas de seguridad harán que los procesos de negocio no se vean gravemente afectados por la caída del servidor. Si por el contrario hemos identificado vulnerabilidades asociadas al activo, aplicaremos una penalización a la hora de estimar el impacto.
Tratamiento y Gestión del Riesgo
Una vez calculado el riesgo, debemos tratar aquellos riesgos que superen un límite que nosotros mismos hayamos establecido. Por ejemplo, trataremos aquellos riesgos cuyo valor sea superior a «4» o superior a «Medio» en caso de que hayamos hecho el cálculo en términos cualitativos.
Las posibles acciones para tratar el riesgo incluyen:
- Transferir el riesgo a un tercero.
- Eliminar el riesgo. Por ejemplo, eliminando un proceso o sistema que está sujeto a un riesgo elevado.
- Asumir el riesgo, siempre justificadamente.
- Implantar medidas para mitigarlo.
En nuestro ejemplo, ya tenemos implantado un control de acceso basado en funciones, lo que significa que solo los empleados con funciones laborales específicas tienen acceso a la base de datos de clientes. Esto ayuda a garantizar que solo el personal pertinente pueda ver y gestionar los datos de los clientes. Sin embargo, podría ser útil revisar esta medida dadas las vulnerabilidades identificadas. Además, como el riesgo sigue siendo alto, decidimos añadir la autenticación multifactor (MFA). La AMF añade un paso adicional al iniciar sesión, como un código de verificación en un dispositivo móvil, y reduce significativamente la probabilidad de que alguien pueda obtener acceso no autorizado.
Por último, cabe señalar que como realizamos este análisis de riesgos en el contexto de un PDS, las acciones e iniciativas para tratar los riesgos pasarán a formar parte del mismo. Por lo tanto, deberemos clasificarlas y priorizarlas considerando el resto de proyectos que forman parte del PDS.
Cada medida de reducción del riesgo debe tener un responsable claramente definido y un plazo de aplicación. Esto garantiza la rendición de cuentas y permite realizar un seguimiento para confirmar que las medidas se han aplicado eficazmente. Estos detalles pueden registrarse fácilmente en la plantilla de Excel, en las columnas correspondientes a «Persona responsable» y «Plazo».
La Plantilla de Excel para la Evaluación de Riesgos
Al utilizar una plantilla de evaluación de riesgos, haces que tu proceso de cumplimiento del RGPD sea estructurado y transparente. Obtendrás una visión general de todos los riesgos identificados, documentarás tus razonamientos y decisiones, y demostrarás que trabajas activamente para proteger los datos personales que tratas. La plantilla también facilita la revisión y actualización periódicas de tus evaluaciones de riesgos. A medida que tu organización crece o tus actividades de tratamiento cambian, puedes actualizar la hoja, añadir nuevos riesgos y registrar cómo se han reducido los riesgos existentes con el tiempo. Este proceso continuo te ayuda a mantener un enfoque coherente de la protección de datos y documenta tus esfuerzos para reducir el riesgo, que es un requisito para el cumplimiento del RGPD.
La plantilla de Excel es una sencilla hoja en la que puedes hacer una lista de tus actividades y activos de tratamiento, anotar las amenazas y vulnerabilidades relacionadas, y registrar tus puntuaciones y acciones. Te ayuda a llevar un registro de lo que necesita atención, quién es responsable y cuándo deben hacerse las cosas. La plantilla es fácil de ajustar a tu propia configuración, por lo que puedes hacer que se adapte a tu organización.
Descarga el archivo Excel con la Plantilla de evaluación de riesgos para empezar a utilizarla en tu cumplimiento del RGPD. Descárgala a continuación y pruébala.