Cybersecurity Risk Assessment

Controles de identificacíon

Riesgo Bajo

Su organización dispone de conocimiento en ciberseguridad y se realizan inversiones para incrementar la seguridad y minimizar los riesgos a los que está expuesto.

Gracias a la Ciberseguridad su organización obtiene los siguientes beneficios:

• Minimizar el riesgo reputacional de la empresa
• Maximizar las medidas de seguridad en toda la organización
• Incrementar la eficiencia y la operativa de los sistemas de información
• Cumplir con los estándares de Ciberseguridad y de protección de datos sensibles

Controles de identificacíon

Riesgo Alto. ¡Debe tomar medidas!

El no saber que riesgos tiene la empresa, no permite avanzar. Con las nuevas tecnologías de información, todas las empresas están expuestas a multitud de riesgos cibernéticos. Si no se sabe que riesgos tiene tu organización ni que amenazas está expuesto, no se pueden tomar medidas a tiempo cuando se produzca un ataque cibernético. ¡Protege tu organización, tus datos, tu información y la de tus clientes frente a cualquier ataque cibernético!

Controles de identificacíon

Riesgo Medio

La empresa no dispone de las medidas adecuadas para identificar amenazas que puedan afectar a la organización. La Ciberseguridad es importante para entender cómo está la organización frente a sus amenaza. Si no se evalúan las amenazas y se establecen inversiones, la empresa tiene más riesgo a que su negocio quede obsoleto, los sistemas anticuados, y tenga muchas fugas de información, por consiguiente, existe un incremento en riesgos financieros, reputacionales, estratégicos, competitivos

Controles de protección

Riesgo Bajo

Su organización dispone de medidas de protección en términos de ciberseguridad y los empleados son conscientes de los riesgos a los que están expuestos.

Gracias a la segmentación de red la organización se asegura de que los sistemas estén segmentados y que las conexiones se establezcan en función de las necesidades del negocio.

Disponer de 2FA incrementa la seguridad ante cualquier ataque malintencionado, dado que se necesitan 2 autenticaciones para acceder a los sistemas.

Controles de protección

Riesgo Alto. ¡Debe tomar medidas!

El no disponer de controles de seguridad que protegan los sistemas de información, hacen que la organización y todos sus activos estén en riesgo.

Un ejemplo claro es el siguiente: un atacante se puede apoderar de toda la información de su organización. Por ejemplo, debido a que los empleados hacen clic en los enlaces en los correos electrónicos de phishing, el malware (virus) infecta su punto final (con parches insuficientes, es decir, con pocas actualizaciones) y luego se puede propagar sin restricciones a través de la red (insuficientemente segmentada, red plana) a otras estaciones de trabajo y servidores.

Controles de protección

Riesgo Medio

La empresa no dispone de las medidas adecuadas para proteger los sistemas de información de amenazas internas como externas a la organización.

Si los empleados no están concienciados es muy sencillo que cualquier empleado haga clic en un correo con un malware y que infecte a toda la organización si no se dispone de la segmentación de la red adecuada ni de los controles de seguridad necesarios para proteger la información.

Controles de detección

Riesgo Bajo

Su organización dispone de las medidas de detección para identificar un incidente de seguridad en el menor tiempo posible. Asimismo, dispone de un plan de actuación y de comunicación en caso de que se detecte que el incidente de seguridad se ha producido en la organización.

Disponer de medidas de seguridad que analicen, monitoricen e identifiquen cualquier anomalía en los sistemas es de vital importancia para asegurar los sistemas de información y poder actuar en el menor tiempo posible.

Controles de detección

Riesgo Alto. ¡Debe tomar medidas!

Si los incidentes de seguridad no se detectan a tiempo o simplemente no se detectan, la organización no dispone de la visibilidad de la existencia de una posible brecha de seguridad.

La organización corre el riesgo de que este incidente sea detectado por las autoridades o por empresas competencia del sector y repercuten en mala reputación para la organización o incluso en multas de elevado importe en caso de que exista perdida o fuga de información de datos de carácter personal.

Controles de detección

Riesgo Medio

La empresa dispone de algunas medidas de seguridad para detectar los incidentes de seguridad. No obstante, si no se realizan pruebas o si no se dispone de logs de los sistemas y de pistas de auditoría, es muy probable que si se detecta un incidente de seguridad, no se pueda actuar, dado que no se dispone de la información o se sabe como actuar frente a un incidente.

Disponer e identificar los riesgos de la organización permite asegurar que la organización es consciente de los riesgos y se toman medidas para minimizar estos riesgos, estableciendo planes de acción e invirtiendo en sistemas para minimizar estos riesgos.

Controles de reacción

Riesgo Bajo

La empresa está concienciada y dispone de políticas y procedimientos de respuesta ante incidentes. Dispone de las medidas para saber cómo actuar y a quién debe notificar.

Gracias a la realización de simulaciones de incidentes cibernéticos, se consigue incrementar la eficiencia de los procesos, modificar y aprender de los errores cometidos en las simulaciones.

Controles de reacción

Riesgo Alto. ¡Debe tomar medidas!

La ausencia de un plan de crisis, incrementa los riesgos de que la organización no sepa como actuar frente a un ataque cibernético o un brecha de seguridad.

Si no se dispone de un plan de comunicación adecuado tanto a las personas afectadas, autoridades, comunicación interna y externa, se incrementa el riesgo de perdida de confianza por parte de los clientes y el riesgo reputacional de la propia empresa.

Es necesario disponer de un plan de crisis y de comunicación, para asegurar que la empresa sabe como actuar frente a un incidente de seguridad. La realización de pruebas de manera periódica, asegura que los procesos se encuentran actualizados y se toman lecciones aprendidas en las simulaciones y se realiza una mejora continua.

Controles de reacción

Riesgo Medio

La organización no dispone de un plan de comunicación para informar a las partes en caso de que exista un incidente de seguridad.

Asimismo, si no se dispone de un plan de crisis, es decir de un plan de respuesta ante incidentes hace que la organización no disponga de los medidos para poder actuar frente a un incidente de seguridad.

Para asegurar y saber como reacción ante un incidente de seguridad es de vital importancia crear un comité de crisis, establecer un plan de acción y realizar simulaciones de activación del plan de respuesta ante incidentes para actuar con efectividad en caso de que se produzca uno.

Controles de recuperación

Riesgo Bajo

La organización entiende los riesgos de perdida de información y por ello dispone de sistemas y medidas de recuperación de los sistemas críticos.

Gracias a las pruebas periódicas, la empresa es consciente del tiempo de respuesta de los sistemas y se asegura que los sistemas están actualizados y en perfecto estado para realizar la recuperación. Asimismo, se asegura que el personal correspondiente conoce las tareas que debe realizar en cada momento.

Controles de recuperación

Riesgo Alto. ¡Debe tomar medidas!

La ausencia de sistemas e instalaciones de recuperación ante cualquier desastre ya sean desastres naturales como desastres causados por ataques cibernéticos incrementa el riesgo de perdida de información y de no poder recuperar la información de manera adecuada y en el tiempo necesario.

Controles de recuperación

Riesgo Medio

Si la organización dispone de un plan de recuperación que permite en un tiempo adecuado poder restaurar el negocio o parte del negocio el riesgo se disminuye. No obstante, se deben realizar pruebas de manera periódica para asegurar que los sistemas de respaldo funcionan adecuadamente y que el personal involucrado en el plan de activación se encuentra en la empresa y conoce las actividades que debe de realizar.

Asimismo, si se realizan pruebas de manera periódica la empresa puede prevenir futuros incidentes y mejorar y aprender de las simulaciones o pruebas realizadas.