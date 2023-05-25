Las empresas utilizan las evaluaciones de riesgos de ciberseguridad para identificar amenazas y vulnerabilidades, estimar sus impactos potenciales y priorizar los riesgos más cruciales.

La forma en que una empresa realiza una evaluación de riesgos dependerá de las prioridades, el alcance y la tolerancia al riesgo definidos en el paso de encuadre. La mayoría de las evaluaciones valoran lo siguiente:

Las amenazas son personas y eventos que podrían interrumpir un sistema de TI, robar datos o comprometer la seguridad de la información. Las amenazas incluyen ciberataques intencionales (como ransomware o phishing) y errores de los empleados (como almacenar información confidencial en bases de datos no seguras). Los desastres naturales, como terremotos y huracanes, también pueden amenazar los sistemas de información.

Las vulnerabilidades son los fallos o debilidades en un sistema, proceso o activo que las amenazas pueden explotar para causar daño. Las vulnerabilidades pueden ser técnicas, como un firewall mal configurado que permite el malware en una red o un error del sistema operativo que los hackers pueden utilizar para tomar el control remoto de un dispositivo. Las vulnerabilidades también pueden surgir de políticas y procesos débiles, como una política de control de acceso laxa que permite a las personas acceder a más activos de los que necesitan.

Los impactos son lo que una amenaza puede hacer a una empresa. Una ciberamenaza podría interrumpir los servicios cruciales, lo que provocaría tiempo de inactividad y pérdida de ingresos. Los hackers podrían robar o destruir datos confidenciales. Los estafadores podrían utilizar ataques de compromiso del correo electrónico empresarial para engañar a los empleados para que les envíen dinero.

Los impactos de una amenaza pueden extenderse más allá de la organización. Los clientes que roban su información de identificación personal (PII) durante una vulneración de datos también son víctimas del ataque.

Debido a que puede ser difícil cuantificar el impacto exacto de una amenaza para la ciberseguridad, las empresas suelen utilizar datos cualitativos como tendencias históricas e historias de ataques a otras organizaciones para estimar el impacto. La criticidad del activo también es un factor: cuanto más crítico sea un activo, más costosos serán los ataques contra él.

El riesgo mide la probabilidad de que una amenaza potencial afecte a una organización y el daño que causaría esa amenaza. Las amenazas que probablemente ocurran y causen daños significativos son las que implican mayor riesgo, mientras que las amenazas poco probables que causarían daños menores son las de menor riesgo.

Durante el análisis de riesgos, las empresas consideran múltiples factores para evaluar la probabilidad de una amenaza. Los controles de seguridad existentes, la naturaleza de las vulnerabilidades de TI y los tipos de datos que posee una empresa pueden influir en la probabilidad de amenaza. Incluso el sector de una empresa puede influir: en el X-Force Threat Intelligence Index descubrió que las organizaciones de los sectores manufacturero y financiero enfrentan más ciberataques que las organizaciones de transporte y telecomunicaciones.

Las evaluaciones de riesgos pueden recurrir a fuentes de datos internas, como los sistemas de gestión de información de seguridad y eventos (SIEM) y la inteligencia de amenazas externa. También pueden analizar las amenazas y vulnerabilidades de la cadena de suministro de la empresa, ya que los ataques a los proveedores pueden afectar a la empresa.

Valorando todos estos factores, la compañía puede construir su perfil de riesgo. Un perfil de riesgo proporciona un catálogo de los riesgos potenciales de la empresa, priorizándolos en función del nivel de criticidad. Cuanto mayor riesgo implique una amenaza, más crítica es para la organización.