Professional Documents
Culture Documents
Páxina 1 de 11
1. Políticas de seguridade e análises de
riscos1
1 fonte: www.incibe.es
2 fonte: Instituto nacional de ciberseguridad. https://www.incibe.es
Páxina 2 de 11
está exposta a organización ata uns niveis aceptables, a partir dunha análise da situación
inicial.
É fundamental para a realización dun bo Plan Director de Seguridade (PDS) que se
aliñe cos obxectivos estratéxicos da empresa, inclúa unha definición do alcance e incorpo-
re as obrigacións e boas prácticas de seguridade que deberán cumprir os traballadores da
organización así como terceiros que colaboren con esta.
Os proxectos que compoñen o Plan Director de Seguridade varían en función de diver-
sos factores relacionados como: o tamaño da organización, o sector ao que pertence a em-
presa, o contexto legal que regula as actividades da mesma, a natureza da información que
manexamos, etc.
Estes factores determinarán a magnitude e complexidade do Plan Director de Segurida-
de resultante. Con todo, en xeral, para a elaboración e posta en marcha dun Plan Director
de Seguridade séguense as seguintes fases ou etapas:
Sempre debemos ter presente que un Plan Director de Seguridade baséase na mellora con-
tinua. Por tanto cando finalizásemos debemos comezar de novo o ciclo.
A primeira fase consiste en coñecer a situación actual da nosa empresa en materia de ci-
berseguridade. Para iso debemos levar a cabo distintos análises considerando aspectos téc-
nicos, organizativos, regulatorios e normativos, entre outros.
Dentro desta fase un dos apartados máis importantes é a análise de riscos, da que fala-
remos máis adiante.
A segunda fase consiste en coñecer a estratexia corporativa da nosa organización. Isto im-
plica considerar os proxectos en curso e futuros, previsións de crecemento, cambios na or-
ganización debido a reorganizacións, etc.
Todos estes factores poden afectar á orientación das medidas e ao peso de cada unha
delas.
Páxina 3 de 11
Fase 3. Definición de proxectos e iniciativas
A partir da información solicitada ata este momento, debemos definir as accións, iniciati-
vas e proxectos necesarios para alcanzar o nivel de seguridade que a nosa organización re-
quire. Na definición e concreción destes proxectos e de onde sairán, entre outras, as
accións a por en marcha para o bastionado dos nosos sistemas.
Neste punto xa dispoñeremos dunha versión preliminar do Plan Director de Seguridade. Este
plan debe revisalo e aprobalo a Dirección.
Unha vez dispoñible a versión final aprobada pola Dirección, é conveniente que esta
traslade a todos os empregados da organización (mediante reunión do director con todos os
empregados ou mediante correo electrónico) o respaldo ao Plan Director de Seguridade e a
importancia do deber de colaborar de toda a organización na implantación do mesmo.
Unha vez aprobado pola Dirección, o Plan Director de Seguridade marca o camiño a se-
guir para alcanzar o nivel de seguridade que a nosa organización necesita. Coma se dun
proxecto máis se tratase, cada organización pode empregar a metodoloxía de xestión de
proxectos que considere oportuno para levalo a cabo.
3 fonte: https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_ciberseguridad_gestion_ries-
gos_metad.pdf
Páxina 4 de 11
duro, bloqueando o acceso aos datos, ou cortando ou saturando as canles de comuni-
cación.
– De interceptación. Pode provocar que un programa, proceso ou usuario consiga ac-
ceder a recursos para os que non ten autorización.
– De modificación. Pode provocar que un programa, proceso ou usuario non só teña
acceso a un recurso do sistema senón que ademais este poida ser modificado.
– De fabricación. Permite inserir novos obxectos ao sistema (por exemplo información
falsa).
Segundo a súa orixe, as ameazas clasifícanse en:
– Accidentais. Accidentes meteorolóxicos, incendios, inundacións, fallos nos equipos,
nas redes, nos sistemas operativos ou no software ou erros humanos.
– Intencionadas. Son debidas sempre á acción humana consciente (non a erros). As
ameazas intencionadas poden ter a súa orixe no exterior da organización ou mesmo
no persoal da mesma.
Vulnerabilidade: debilidade que presentan os activos e que facilita a materialización
das ameazas.
Impacto: consecuencia da materialización dunha ameaza sobre un activo aproveitan -
do unha vulnerabilidade. O impacto adóitase estimar en porcentaxe de degradación
que afecta ao valor do activo, o 100% sería a perda total do activo.
Os impactos poden ser:
– Cuantitativos, se os prexuízos poden cuantificarse economicamente.
– Cualitativos, se supoñen danos non cuantificables, como os causados contra os de-
reitos fundamentais das persoas.
O seguinte diagrama mostra as relacións entre estes conceptos:
Páxina 5 de 11
O risco é unha estimación do que pode ocorrer. Valórase, de forma cuantitativa, como
o produto do impacto (consecuencia) asociado a unha ameaza (suceso), pola probabili-
dade da mesma:
Como xa comentamos anteriormente, a análise de riscos forma parte da primeira fase a re-
alizar dentro dun Plan director de seguridade (PDS). Por outra banda, tamén podemos
obter beneficios se realizamos unha análise de riscos de forma illada en lugar de levalo a
cabo dentro dun contexto maior como é o do desenvolvemento dun PDS. Permitiranos
centrar o noso foco de atención e mitigar certos tipos de incidentes de ciberseguridade.
Aínda que hai distintas estratexias á hora de afrontar unha análise de riscos, en xeral
podemos dicir que contaremos coas seguintes fases:
4 fonte: https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo
Páxina 6 de 11
fonte:
https://www.incibe.es/extfrontinteco/img/Image/BLOG/2014Abril/20140430_analisis_r
iesgos_pasos/fases_el_analisis_de_riesgos.png
O primeiro paso á hora de levar a cabo a análise de riscos é establecer o alcance do estudo.
Se a análise de riscos forma parte do PDS, o lóxico é que cubra a totalidade do alcance do
PDS. Por outra banda, tamén é posible definir un alcance máis limitado atendendo a de-
partamentos, procesos ou sistemas. Por exemplo, análise de riscos sobre os procesos do
departamento Administración, análise de riscos sobre os procesos de produción e xestión
de almacén ou análise de riscos sobre os sistemas TIC relacionados coa páxina web da
empresa, etc.
Unha vez definido o alcance, debemos identificar os activos máis importantes que gardan
relación co departamento, proceso, ou sistema obxecto do estudo. Para manter un inventa-
rio de activos sinxelo pode ser suficiente con facer uso dunha folla de cálculo ou táboa co-
mo a que se mostra a continuación a modo de exemplo:
fonte:
https://www.incibe.es/extfrontinteco/img/Image/BLOG/2014Abril/20140430_analisis_riesgos_pasos/
inventario_de_activos.png
Páxina 7 de 11
Fase 3. Identificar / seleccionar as ameazas
A seguinte fase consiste en estudar as características dos nosos activos para identificar
puntos débiles ou vulnerabilidades. Por exemplo, unha posible vulnerabilidade pode ser
identificar un conxunto de computadores ou servidores cuxo sistemas antivirus non están
actualizados ou unha serie de activos para os que non existe soporte nin mantemento por
parte do fabricante. Posteriormente, á hora de avaliar o risco aplicaremos penalizacións
para reflectir as vulnerabilidades identificadas.
Por outra banda, tamén analizaremos e documentaremos as medidas de seguridade im-
plantadas na nosa organización. Por exemplo, é posible que instalásemos un sistema SAI
(Sistema de Alimentación Ininterrompida) ou un grupo electróxeno para abastecer de elec-
tricidade aos equipos do CPD. Ambas as medidas de seguridade (tamén coñecidas como
salvagardas) contribúen a reducir o risco das ameazas relacionadas co corte de subminis-
tración eléctrica.
Estas consideracións (vulnerabilidades e salvagardas) debemos telas en conta cando va-
iamos estimar a probabilidade e o impacto como veremos na seguinte fase.
Páxina 8 de 11
Táboa para o cálculo do impacto
Se pola contra optamos pola análise cualitativa, faremos uso dunha matriz de risco como a
que se mostra a continuación:
Páxina 9 de 11
Fase 6. Tratar o risco
Unha vez calculado o risco, debemos tratar aqueles riscos que superen un límite que nós
mesmos establecésemos. Por exemplo, trataremos aqueles riscos cuxo valor sexa superior
a “4” ou superior a “Medio” no caso de que fixésemos o cálculo en termos cualitativos. Á
hora de tratar o risco, existen catro estratexias principais:
Transferir o risco a un terceiro. Por exemplo, contratando un seguro que cubra os danos
a terceiros ocasionados por fugas de información.
Eliminar o risco. Por exemplo, eliminando un proceso ou sistema que está suxeito a un
risco elevado. Poderiamos, por exemplo, eliminar a wifi de cortesía para dar servizo
aos clientes se non é estritamente necesario.
Asumir o risco, sempre xustificadamente. Por exemplo, o custo de instalar un grupo
electróxeno pode ser demasiado alto e, por tanto, a organización pode optar por asumi-
lo.
Implantar medidas para mitigalo. Por exemplo, contratando un acceso a internet de res-
paldo para poder acceder aos servizos na nube no caso de que a liña principal caia.
Por último, cabe sinalar que se realizamos esta análise de riscos no contexto dun PDS, as
accións e medidas para tratar os riscos pasarán a formar parte dos proxectos e iniciativas a
realizar. A posterior clasificación e priorización dos mesmos determinarán a forma de le-
valos a cabo.
Recursos
Páxina 10 de 11
Á dereita proporciónanse unhas ligazóns con recomendacións sobre como reducir o risco
en cada un dos apartados: persoas, procesos e tecnoloxía. Podes ver un exemplo deles no
documento 01-INCIBE-Ferramenta autodiagnóstico-Exemplo de consellos para distin-
tos niveis de Risco.pdf do apartado Documentación complementaria do módulo.
https://www.incibe.es/protege-tu-empresa/que-te-interesa
https://www.incibe.es/protege-tu-empresa/herramientas/politicas
https://www.incibe.es/protege-tu-empresa/kit-concienciacion
Páxina 11 de 11