Las empresas utilizan evaluaciones de riesgo de ciberseguridad para identificar amenazas y vulnerabilidades, estimar sus posibles impactos y priorizar los riesgos más críticos.

La forma en que una empresa realiza una evaluación de riesgos dependerá de las prioridades, el alcance y la tolerancia al riesgo definidos en el paso de encuadre. La mayoría de las evaluaciones miden lo siguiente:

Las amenazas son personas y eventos que podrían interrumpir un sistema de TI, robar datos o comprometer la seguridad de la información. Las amenazas incluyen ciberataques intencionales (como ransomware o phishing) y errores de los empleados (como almacenar información confidencial en bases de datos no seguras). Los desastres naturales, como terremotos y huracanes, también pueden amenazar los sistemas de información.

Lasvulnerabilidades son las fallas o debilidades en un sistema, proceso o activo que las amenazas pueden explotar para hacer daño. Las vulnerabilidades pueden ser técnicas, como un cortafuegos mal configurado que permita la entrada de malware en una red o un fallo del sistema operativo que los hackers puedan utilizar para hacerse con el control remoto de un dispositivo. Las vulnerabilidades también pueden surgir de políticas y procesos deficientes, como una política de control de acceso poco estricta que permita a las personas acceder a más activos de los que necesitan.

Los impactos son lo que una amenaza puede hacerle a una empresa. Una amenaza cibernética podría interrumpir los servicios críticos, lo que provocará tiempo de inactividad y pérdida de ingresos. Los hackers podrían robar o destruir datos confidenciales. Los estafadores podrían usar ataques de compromiso por correo electrónico comercial para engañar a los empleados para que les envíen dinero.

Los impactos de una amenaza pueden extenderse más allá de la organización. Los clientes a los que se les roban su información de identificación personal durante una filtración de datos también son víctimas del ataque.

Debido a que puede ser difícil cuantificar el impacto exacto de una amenaza de ciberseguridad, las empresas a menudo utilizan datos cualitativos como tendencias históricas e historias de ataques en otras organizaciones para estimar el impacto. La importancia del activo también es un factor: cuanto más crítico sea un activo, más costosos serán los ataques contra él.

El riesgo mide la probabilidad de que una amenaza potencial afecte a una organización y cuánto daño causaría esa amenaza. Las amenazas que probablemente ocurran y causen daños significativos son las más riesgosas, mientras que las amenazas poco probables que causarían daños menores son las menos riesgosas.

Durante el análisis de riesgos, las empresas consideran múltiples factores para evaluar qué tan probable es una amenaza. Los controles de seguridad existentes, la naturaleza de las vulnerabilidades de TI y los tipos de datos que posee una empresa pueden influir en la probabilidad de amenaza. Incluso la industria de una empresa puede influir: el X-Force Threat Intelligence Index descubrió que las organizaciones de los sectores manufacturero y financiero enfrentan más ciberataques que las organizaciones de transporte y telecomunicaciones.

Las evaluaciones de riesgos pueden aprovechar fuentes de datos internas, como los sistemas de gestión de eventos e información de seguridad (SIEM) y la inteligencia de amenazas externas. También pueden observar amenazas y vulnerabilidades en la cadena de suministro de la empresa, ya que los ataques a los proveedores pueden afectar a la empresa.

Al ponderar todos estos factores, la empresa puede construir su perfil de riesgo. Un perfil de riesgo proporciona un catálogo de los riesgos potenciales de la empresa, priorizándolos en función del nivel de criticidad. Cuanto más riesgosa es una amenaza, más crítica es para la organización.