Para ello, mi propuesta de decálogo es la siguiente:
- Utiliza siempre un modelo cualitativo y con pocas dimensiones a valorar.
- Explica bien a los directivos de tu organización qué es el nivel de riesgo residual, es decir, el nivel de riesgo aceptable por la organización y que sean ellos los que lo definan de una manera consciente.
- Dedica esfuerzos a tener bien definido el mapa de activos de tu organización:
- Define una primera capa con los procesos de negocio y los procesos de soporte.
- Por debajo de estos, define la capa de aplicaciones.
- Por debajo de la capa de aplicaciones, los sistemas y bases de datos.
- Y finalmente, de una manera lo más agregada posible, los dispositivos de comunicaciones.
- Prepara bien los criterios para valorar los impactos y realiza un BIA valorando por separado los impactos en cuanto a disponibilidad, integridad y confidencialidad.
- Entre los criterios para la valoración de impactos, ten en cuenta como mínimo, los impactos legales, financieros y de imagen.
- Siempre que ea posible, agrupa los activos tecnológicos cuando estos estén en una misma ubicación de red y sean administrados de una manera homogénea. Esto simplificará en gran medida tu análisis de riesgos.
- Selecciona un catálogo de amenazas lo más sencillo posible. Básate en Magerit o en cualquiera de otro catálogo existente y simplifícalo para adaptarlo a la realidad de tu organización.
- No te compliques en la definición de controles y contramedidas. Básate en algún estándar como la ISO27002 o la NIST.
- Prepara un plan de tratamiento de riesgos coherente teniendo en cuenta una estimación de esfuerzos lo más realista posible.
- Cuando presentes los resultados del análisis de riesgos a la Dirección, traduce los resultados para que sean lo más inteligibles posible.
Un análisis de riesgos bien hecho no tiene porqué ser complejo ni necesita dedicar meses para su ejecución. Sin embargo, se le puede sacar mucho partido ya que permite:
- Identificar qué activos son los que están más expuestos.
- Cuales son las amenazas más relevantes para tu organización.
- Qué proyectos o medias de seguridad se deben priorizar.
- Qué proyectos o medias de seguridad no son necesarias y por lo tanto nos podemos ahorrar sus costes y esfuerzos.
- Es una excelente herramienta para justificar la necesidad de presupuesto, especialmente si el riesgo residual ha sido definido por la Dirección.