Entiende tus riesgos
Para conocer los riesgos de una organización, se debe realizar un análisis de brecha (Gap Analysis), el cual consiste en analizar todos los procesos internos, haciendo foco en la ciberseguridad, determinando si la información que fluye es sensible e identificando los puntos débiles para aplicar controles.
Para llevar a cabo el análisis de brecha, se debe tener en cuenta las siguientes preguntas:
- Amenazas: ¿Se conoce realmente las amenazas que existen?, ¿existen dispositivos vulnerables?, ¿quién puede querer atacar?
- Alcance: ¿Que activos de información se debe proteger? (por ejemplo: bases de datos, servicios en la nube, recursos humanos)
- Transferencia del riesgo: ¿Es posible apoyarse en servicios de terceros? (por ejemplo, si se contrató almacenamiento en la nube, el proveedor puede colaborar con los controles)
- Apoyo: ¿Se tiene el respaldo para implementar los controles de seguridad? (económico, recursos humanos, aliados)
Existen frameworks de seguridad que ayudar a fortalecer la seguridad de las organizaciones. Un ejemplo es el framework NIST.
¿Quieres ver más aportes, preguntas y respuestas de la comunidad?