Guía y plantilla para realizar una evaluación de riesgos de TI

Subido el

¿Qué sistema de gestión necesita su empresa?

Obtener recomendación

La evaluación de riesgos es una parte crítica del proceso de planificación para recuperación ante desastres. Te ofrecemos una guía sobre cómo preparar una evaluación de riesgos y luego descargar la plantilla gratuita de evaluación.

Después de completar un análisis de impacto de negocio, el siguiente paso en la planificación de recuperación ante desastres es completar una plantilla de evaluación de riesgos.

Un análisis de impacto empresarial, conocido como BIA (siglas del inglés Business Impact Analysis) ayuda a identificar los procesos de negocio más críticos de una organización y describe las consecuencias potenciales de una interrupción en esos procesos, mientras que una evaluación de riesgos identifica las situaciones internas y externas que podrían afectar negativamente los procesos críticos. Un BIA también intenta cuantificar la gravedad potencial de tales eventos y la probabilidad de que ocurran.

La guía propuesta en este artículo muestra cómo comenzar, cómo preparar un análisis de riesgos y cómo identificar los peligros naturales y artificiales. También, hemos incluido una plantilla de evaluación de riesgos de TI descargable gratuita que puede utilizar en su planificación.

¿Por qué realizar una evaluación de riesgos?

Una evaluación de riesgos puede ayudarte a identificar eventos que podrían afectar negativamente a tu organización. Esto incluye los posibles daños, el tiempo necesario para recuperar o restaurar las operaciones y las medidas preventivas o los controles que pueden mitigar la probabilidad de que ocurra un evento. Una evaluación de riesgos también te ayudará a determinar qué pasos, si se implementan correctamente, podrían reducir la gravedad de un evento.

Para realizar una evaluación de riesgos, comienza identificando los procesos de negocio más críticos de la BIA. A continuación, debes recopilar información sobre posibles amenazas para tu organización.

Existen numerosas fuentes disponibles para ayudarte a juntar información sobre amenazas, como por ejemplo:

  • Registros de la compañía sobre eventos disruptivos.
  • Recolección de datos de los empleados de los eventos disruptivos.
  • Registros de medios locales y nacionales.
  • Bibliotecas locales.
  • Organizaciones de primeros auxilios.
  • Datos históricos del Servicio Meteorológico Nacional.
  • Mapas del Servicio Geológico de tu país.
  • Agencias gubernamentales.

Estas fuentes pueden ayudarlo a determinar la probabilidad de que ocurran eventos específicos, así como la gravedad de los que ocurren. Puedes descartar aquellos que no tienen probabilidad de ocurrencia. Por ejemplo, no es necesario planificar los terremotos si los mapas del servicio geológico indican que tu sitio no se encuentra en una zona de movimientos sísmicos o cerca de ella.

Entender las amenazas y vulnerabilidades

Un análisis de riesgo implica identificarlos, evaluar la probabilidad de que ocurra un evento y definir la gravedad de las consecuencias del mismo. También, puede ser útil llevar a cabo una evaluación de vulnerabilidad, que puede ayudar a identificar situaciones en las que la organización puede estar arriesgándose al no realizar ciertas actividades. Un ejemplo puede ser el mayor riesgo de virus al no usar el software antivirus más reciente.

Finalmente, los resultados del análisis de riesgos deben resumirse en un informe, con actividades de mitigación recomendadas. Puede ser útil buscar vulnerabilidades al realizar un análisis de riesgos.

Tipos de respuestas defensivas

Después de identificar los riesgos y las vulnerabilidades, se pueden considerar respuestas defensivas.

Medidas de protección

Son actividades diseñadas para reducir las posibilidades de que ocurra un evento perturbador. Un ejemplo es el uso de cámaras de seguridad para identificar a visitantes no autorizados y alertar a las autoridades antes de que un atacante pueda causar algún daño.

Medidas de mitigación

Estas actividades están diseñadas para minimizar la gravedad del evento después de que ocurre. Los ejemplos de medidas de mitigación incluyen supresores de sobretensiones para reducir el impacto de un rayo y sistemas de energía ininterrumpida para limitar las posibilidades de una detención estricta de los sistemas críticos debido a un apagón o caída de voltaje.

Actividades de recuperación

Estas actividades sirven para restablecer los sistemas y la infraestructura alterados a un nivel que pueda respaldar las operaciones de negocio. Por ejemplo, los datos críticos almacenados fuera del sitio se pueden usar para reiniciar las operaciones en un punto apropiado en el tiempo.

Planes de contingencia

Estos documentos, a nivel de proceso, describen lo que una organización puede hacer después de un evento perturbador. Por lo general, se activan en función de los aportes del equipo de gestión de emergencias.

La secuencia en la que se implementan estas medidas depende, en gran medida, de los resultados de la evaluación de riesgos. Después de identificar una amenaza específica y su vulnerabilidad asociada, puedes planificar la estrategia defensiva más efectiva. Recuerda que los planes de contingencia deben hacer frente a los efectos, independientemente de las causas.

Tipos de peligros

Los peligros son combinaciones únicas de eventos y circunstancias. Las dos categorías principales son: artificiales y naturales.
Los riesgos creados por el hombre son aquellos en los que una persona o varias personas pueden ser responsables de contribuir al evento (s) que causó un desastre. Esto podría ser por causas deliberadas o accidentales.

Tabla de Evaluación de Riesgos

Los peligros naturales son eventos de la naturaleza por los cuales no hay nadie a quien culpar, como el clima, los terremotos y los incendios. Si su organización se encuentra en un área propensa a huracanes, o si su edificio tiene vulnerabilidades de construcción, eso debe tenerse en cuenta en su evaluación de riesgos.

Agrupación de impactos

Después de identificar los riesgos, querrás identificar los posibles efectos, síntomas y consecuencias resultantes del evento.

Efectos básicos

Hay cinco efectos básicos que pueden tener consecuencias desastrosas:

  • Denegación de acceso.
  • Pérdida de datos.
  • Pérdida de personal.
  • Pérdida de función.
  • Falta de información.

Síntomas

Los síntomas percibidos pueden ser una pérdida (o falta de):

  • Acceso o disponibilidad.
  • Datos.
  • Confidencialidad.
  • Integridad de los datos.
  • Ambiente.
  • Personal (pérdida temporal).
  • Función del sistema.
  • Controlar.
  • Comunicación.

Consecuencias

Los efectos secundarios o las consecuencias pueden incluir:

  • Flujo de caja interrumpido.
  • Pérdida de imagen.
  • Daño de marca.
  • Pérdida de cuota de mercado.
  • Reducir la moral de los empleados.
  • Mayor rotación de personal.
  • Altos costos de reparación.
  • Altos costos de recuperación.
  • Tasas de penalidad.
  • Honorarios legales.
Fuente: A free IT risk assessment template – Paul Kirvan, Independent IT consultant/auditor, TechTarget.

Traducido y adaptado por la división consultoría de EvaluandoSoftware.com

5/5 - (4 votos)
Anterior:
«
Siguiente:
»

¿Qué sistema de gestión necesita su empresa?

Obtener recomendación