Escuela de Gestión de Riesgos

Cuantificación del riesgo de ciberseguridad

Escrito por Escuela de Gestión de Riesgos | 19 de marzo de 2024

En esta sesión Jonathan Barbosa, experto en riesgos, nos enseña qué procesos podemos utilizar para la cuantificación de riesgos de ciberseguridad, metodologías para cuantificar, qué nos permite un SGSI, qué nos permite el marco NIST y qué es el apetito, tolerancia y umbral al riesgos.

¿Qué procesos podemos utilizar para la cuantificación de riesgos de ciberseguridad?

La respuesta es simple:

  • Se puede implementar un sistema de gestión de seguridad de la información y ciberseguridad.

¿Para qué sirve?

    • Conocer 
    • Cuantificar
    • Gestionar
    • Minimizar

Los riesgos que atentan contra la seguridad de la información y ciberseguridad.

Metodologías para cuantificar el riesgo de ciberseguridad

  1. Análisis cuantitativo de riesgo
  2. Análisis cualitativo de riesgos
  3. Modelado de Amenazas
  4. Marco de gestión de riesgos (NIST Cybersecurity framework y/o ISO 27001) SGSI

¿Qué nos permite un SGSI?

  • Analizar y ordenar la estructura de los sistemas de información.
  • Establecer los procedimientos de trabajo para mantener su seguridad.
  • Disponer de controles para medir la eficacia de lo establecido en el punto anterior.

La idea es alcanzar un nivel de riesgo menor que el soportado por la institución, para preservar la confidencialidad, integridad y disponibilidad de la información.

Basándonos en marcos como NIST Cybersecurity Framework o el ISO/IEC 27001

1. Establecer contexto:

  • Identificación de activos críticos
  • Identificación de partes interesadas
  • Identificación de requisitos legales y regulatorios

2. Identificar activos y amenazas:

  • Enumeración de activos
  • Identificación de amenazas

3. Evaluar vulnerabilidades: 

  • Análisis de vulnerabilidades
  • Revisión de controles de seguridad existentes

4. Determinar probabilidad e impacto:

  • Evaluación cualitativa y cuantitativa
  • Matriz de riesgos

5. Calificar y priorizar riesgos:

  • Priorización de riesgos
  • Consideración de tolerancia al riesgo

6. Desarrollar estrategias de mitigación:

  • Planificación de mitigación
  • Asignación de recursos

7. Monitoreo y revisión continua:

  • Establecimiento de un proceso de monitoreo
  • Revisión y actualización
Ver post completo