Cybersecurity Risk Assessment

Cybersecurity Risk Assessment
Te presentamos A2 CSRA (por sus siglas en inglés Cyber Risk Assessment). Es un sistema de autoevaluación para pequeñas y medianas empresas para poder entender los riesgos que corren en función de las medidas de seguridad establecidas en su organización y los principales riesgos de ciberseguridad.

¡Es muy sencillo! Solo te costará 3 minutos responder a las preguntas y ¡podrás ver tu estado de salud en ciberseguridad!

Disclaimer
Este cuestionario es un sistemas de autoevaluación a alto nivel desarrollado por A2SECURE, basado en estándares de ciberseguridad. Se trata de un ejercicio a alto nivel y en ningún caso sustituye a un análisis de riesgo completo, si no a una primera tentativa para extraer conclusiones y concienciar a la organización. A2SECURE no se hace responsable de las interpretaciones que la organización pueda obtener a partir de este ciber risk assessment. Asimismo, los resultados de este sistema de autoevaluación no se consideran los resultados completos de un análisis de riesgo realizado por A2SECURE. En caso de querer disponer de asesoramiento sobre riesgos de ciberseguridad, puede contactar con expertos de A2SECURE a través del formulario de contacto.

Controles de identificación
Consciente*
¿La organización es consciente de los riesgos de ciberseguridad?
- Si
- No
Evalúan y analizan*
¿Se evalúan y se analizan los riesgos periódicamente y se realizan inversiones en ciberseguridad dentro de la organización?
- Si
- No
Conoce en la empresa*
Se conoce en la empresa, ¿cuáles son las joyas de la corona (activos principales, como comercio online, datos operativos y financieros, datos personales de clientes y de empleados?
- Si
- No
Analizado e identificado los riesgos*
¿Se han analizado e identificado los riesgos y amenazas de ciberseguridad más importantes para la organización y se evalúan periódicamente desde una perspectiva estratégica, financiera, operativa, de reputación y cumplimiento que incluye a terceros?
- Si
- No
count1
Controles de identificacíon

Riesgo Bajo

Su organización dispone de conocimiento en ciberseguridad y se realizan inversiones para incrementar la seguridad y minimizar los riesgos a los que está expuesto.

Gracias a la Ciberseguridad su organización obtiene los siguientes beneficios:
- Minimizar el riesgo reputacional de la empresa
- Maximizar las medidas de seguridad en toda la organización
- Incrementar la eficiencia y la operativa de los sistemas de información
- Cumplir con los estándares de Ciberseguridad y de protección de datos sensibles
Controles de identificacíon

Riesgo Alto. ¡Debe tomar medidas!

El no saber que riesgos tiene la empresa, no permite avanzar. Con las nuevas tecnologías de información, todas las empresas están expuestas a multitud de riesgos cibernéticos. Si no se sabe que riesgos tiene tu organización ni que amenazas está expuesto, no se pueden tomar medidas a tiempo cuando se produzca un ataque cibernético. ¡Protege tu organización, tus datos, tu información y la de tus clientes frente a cualquier ataque cibernético!
Controles de identificacíon

Riesgo Medio

La empresa no dispone de las medidas adecuadas para identificar amenazas que puedan afectar a la organización. La Ciberseguridad es importante para entender cómo está la organización frente a sus amenaza. Si no se evalúan las amenazas y se establecen inversiones, la empresa tiene más riesgo a que su negocio quede obsoleto, los sistemas anticuados, y tenga muchas fugas de información, por consiguiente, existe un incremento en riesgos financieros, reputacionales, estratégicos, competitivos

Controles de protección
Empleados de la organización/empresa*
¿Los empleados de la organización/empresa, asisten al menos una vez al año a formación en ciberseguridad para mantenerse al tanto de los riesgos de seguridad y nuevos desarrollos recientes y las reglas de seguridad en su campo (tanto departamento de TI como de fuera de TI)?
- Si
- No
Departamento de IT y terceros*
Las siguientes medidas de ciberseguridad, son suficientes para el departamento de IT y para los proveedores con los que trabaja (terceros):
- Gestión de parches (actualización, pruebas e instalación de software)
- Gestión de accesos (incluido el bloqueo/eliminación de accesos a los usuarios una vez se ha cambiado de puesto de trabajo o ha causado baja en la empresa)
- Hacer copias de seguridad
¿Todas estas acciones, se llevan a cabo periódicamente y se prueba su eficacia regularmente?
- Si
- No
Minimizar los riesgos*
¿La empresa utiliza medidas efectivas para minimizar los riesgos en ciberseguridad, como segmentación de la red, seguridad en los puntos finales y mitigación de DDoS?
- Si
- No
2FA*
¿Son los sistemas lo suficientemente robustos y se utiliza 2FA (p.ej: contraseña y código a través de SMS) para la autenticación en sistemas sensibles?
- Si
- No
count2
Controles de protección

Riesgo Bajo

Su organización dispone de medidas de protección en términos de ciberseguridad y los empleados son conscientes de los riesgos a los que están expuestos.

Gracias a la segmentación de red la organización se asegura de que los sistemas estén segmentados y que las conexiones se establezcan en función de las necesidades del negocio.

Disponer de 2FA incrementa la seguridad ante cualquier ataque malintencionado, dado que se necesitan 2 autenticaciones para acceder a los sistemas.
Controles de protección

Riesgo Alto. ¡Debe tomar medidas!

El no disponer de controles de seguridad que protejan los sistemas de información, hacen que la organización y todos sus activos estén en riesgo.

Un ejemplo claro es el siguiente: un atacante se puede apoderar de toda la información de su organización. Por ejemplo, debido a que los empleados hacen clic en los enlaces en los correos electrónicos de phishing, el malware (virus) infecta su punto final (con parches insuficientes, es decir, con pocas actualizaciones) y luego se puede propagar sin restricciones a través de la red (insuficientemente segmentada, red plana) a otras estaciones de trabajo y servidores.
Controles de protección

Riesgo Medio

La empresa no dispone de las medidas adecuadas para proteger los sistemas de información de amenazas internas como externas a la organización.

Si los empleados no están concienciados es muy sencillo que cualquier empleado haga clic en un correo con un malware y que infecte a toda la organización si no se dispone de la segmentación de la red adecuada ni de los controles de seguridad necesarios para proteger la información.

Controles de reacción
Plan de comunicación*
¿Se ha desarrollado un plan de comunicación para informar a las partes interesadas (como el departamento legal, la prensa, los proveedores, los clientes, el personal, las autoridades, la Autoridad de Datos Personales, etc.) de manera oportuna y adecuada sobre un incidente cibernético?
- Si
- No
Plan de crisis*
¿Se ha elaborado un plan de crisis para limitar el impacto de los incidentes cibernéticos y, en última instancia, para remediar el incidente en sí mismo y se ha definido las tareas, funciones y responsabilidades para cada actor implicado en el plan de crisis?
- Si
- No
Incidente simulado periódicamente*
¿La empresa responde periódicamente (por ejemplo, una vez al año) a un incidente cibernético simulado y discute y analiza los resultados de estas pruebas con la dirección de la empresa para mejorar el plan de comunicación y crisis?
- Si
- No
count4
Controles de reacción

Riesgo Bajo

La empresa está concienciada y dispone de políticas y procedimientos de respuesta ante incidentes. Dispone de las medidas para saber cómo actuar y a quién debe notificar.

Gracias a la realización de simulaciones de incidentes cibernéticos, se consigue incrementar la eficiencia de los procesos, modificar y aprender de los errores cometidos en las simulaciones.
Controles de reacción

Riesgo Alto. ¡Debe tomar medidas!

La ausencia de un plan de crisis, incrementa los riesgos de que la organización no sepa como actuar frente a un ataque cibernético o un brecha de seguridad.

Si no se dispone de un plan de comunicación adecuado tanto a las personas afectadas, autoridades, comunicación interna y externa, se incrementa el riesgo de perdida de confianza por parte de los clientes y el riesgo reputacional de la propia empresa.

Es necesario disponer de un plan de crisis y de comunicación, para asegurar que la empresa sabe como actuar frente a un incidente de seguridad. La realización de pruebas de manera periódica, asegura que los procesos se encuentran actualizados y se toman lecciones aprendidas en las simulaciones y se realiza una mejora continua.
Controles de reacción

Riesgo Medio

La organización no dispone de un plan de comunicación para informar a las partes en caso de que exista un incidente de seguridad.

Asimismo, si no se dispone de un plan de crisis, es decir de un plan de respuesta ante incidentes hace que la organización no disponga de los medidos para poder actuar frente a un incidente de seguridad.

Para asegurar y saber como reacción ante un incidente de seguridad es de vital importancia crear un comité de crisis, establecer un plan de acción y realizar simulaciones de activación del plan de respuesta ante incidentes para actuar con efectividad en caso de que se produzca uno.

Controles de recuperación
Un plan de recuperación*
¿La organización ha desarrollado un plan de recuperación que le permita reanudar las operaciones comerciales a tiempo (antes de que el daño sea demasiado grande)?
- Si
- No
Instalaciones de recuperación*
¿Las instalaciones de recuperación antes desastres y de respaldo de los sistemas están diseñadas de tal manera que se puedan restaurar los sistemas afectados de manera rápida y eficiente al funcionamiento normal?
- Si
- No
Pruebas*
¿Se realizan pruebas periódicamente?
- Si
- No
Procesos y recursos*
¿La empresa dispone de procesos y recursos para aprender de los incidentes cibernéticos que ocurren para prevenirlos en el futuro, detectarlos más rápidamente o responder mejor?
- Si
- No
count5
Controles de recuperación

Riesgo Bajo

La organización entiende los riesgos de perdida de información y por ello dispone de sistemas y medidas de recuperación de los sistemas críticos.

Gracias a las pruebas periódicas, la empresa es consciente del tiempo de respuesta de los sistemas y se asegura que los sistemas están actualizados y en perfecto estado para realizar la recuperación. Asimismo, se asegura que el personal correspondiente conoce las tareas que debe realizar en cada momento.
Controles de recuperación

Riesgo Alto. ¡Debe tomar medidas!

La ausencia de sistemas e instalaciones de recuperación ante cualquier desastre ya sean desastres naturales como desastres causados por ataques cibernéticos incrementa el riesgo de perdida de información y de no poder recuperar la información de manera adecuada y en el tiempo necesario.
Controles de recuperación

Riesgo Medio

Si la organización dispone de un plan de recuperación que permite en un tiempo adecuado poder restaurar el negocio o parte del negocio el riesgo se disminuye. No obstante, se deben realizar pruebas de manera periódica para asegurar que los sistemas de respaldo funcionan adecuadamente y que el personal involucrado en el plan de activación se encuentra en la empresa y conoce las actividades que debe de realizar.

Asimismo, si se realizan pruebas de manera periódica la empresa puede prevenir futuros incidentes y mejorar y aprender de las simulaciones o pruebas realizadas.

Consulta de A2Secure
Complete sus datos para comunicarse con uno de nuestros auditores.
Compañia*
Nombre*
Apellido*
Numéro teléfono
Correo electrónico*
Comentarios

Cybersecurity Risk Assessment

¡Conoce el estado de salud de tu empresa en Ciberseguridad!

Cybersecurity Risk Assessment

Controles de identificación

Controles de identificacíon

Riesgo Bajo

Controles de identificacíon

Riesgo Alto. ¡Debe tomar medidas!

Controles de identificacíon

Riesgo Medio

Controles de protección

Controles de protección

Riesgo Bajo

Controles de protección

Riesgo Alto. ¡Debe tomar medidas!

Controles de protección

Riesgo Medio

Controles de detección

Controles de detección

Riesgo Bajo

Controles de detección

Riesgo Alto. ¡Debe tomar medidas!

Controles de detección

Riesgo Medio

Controles de reacción

Controles de reacción

Riesgo Bajo

Controles de reacción

Riesgo Alto. ¡Debe tomar medidas!

Controles de reacción

Riesgo Medio

Controles de recuperación

Controles de recuperación

Riesgo Bajo

Controles de recuperación

Riesgo Alto. ¡Debe tomar medidas!

Controles de recuperación

Riesgo Medio

Consulta de A2Secure