Risk Assessment

Conozca sus activos, amenazas, vulnerabilidades y riesgos. Utilice esta información para optimizar su seguridad.

Próximos pasos:

Descripción general

La evaluación Risk Assessment de McAfee Foundstone ofrece una auditoría independiente de los riesgos existentes, introduce estrategias para gestionarlos, y describe los procesos y sistemas que reducen las condiciones de riesgo. Programar evaluaciones de riesgos regulares es esencial para cumplir las normativas federales y estatales, como GLBA, HIPAA, la Ley del Senado de California 1386 y la DSS del PCI. Por otro lado, la evaluación de riesgos es un componente fundamental de un programa de seguridad eficaz.

Conocer los riesgos constituye la base del desarrollo de estrategias de gestión de riesgos dentro de una organización. La metodología de Foundstone identifica los activos que dan soporte a las operaciones empresariales, descubre las vulnerabilidades y localiza las posibles amenazas para esos activos.

Principales ventajas

La evaluación Risk Assessment de Foundstone ayuda a su organización a:

  • Identificar los activos operativos cruciales
  • Proteger los activos de información más importantes frente a posibles amenazas
  • Optimizar las inversiones en seguridad
  • Maximizar la rentabilidad de la inversión en seguridad
  • Orientar la formulación de estrategias de seguridad

Metodología

El servicio Risk Assessment de Foundstone identifica los activos que son esenciales para las operaciones de la empresa y determina el valor que tienen para la organización. Identificamos las amenazas que podrían afectar a esos activos y examinamos las vulnerabilidades para determinar la probabilidad de que se produzcan consecuencias. Foundstone adopta un enfoque equilibrado para evaluar el perfil de riesgo de una organización, mediante conversaciones con su plantilla, revisiones de la documentación y análisis técnicos para determinar el riesgo, en lugar de fiarse de autoevaluaciones o cuestionarios.

Identificación de activos, vulnerabilidades y amenazas
En esta fase, Foundstone se reúne con los responsables y técnicos de la empresa, y revisa la documentación relativa a la seguridad de la información y a los activos, incluida la topología de la red. El análisis Risk Assessment de Foundstone identifica los activos operativos cruciales, incluidos los sistemas del centro de datos, los equipos de los empleados, los dispositivos y canales de comunicaciones de la red, las áreas de trabajo remotas (como los ordenadores particulares de los empleados), los datos de los clientes, los datos de los empleados y la propiedad intelectual. Se hace un mayor hincapié en los sistemas que procesan, almacenan, administran y transmiten datos personales. Examinamos la forma en que los activos de tecnologías de la información son utilizados por todos los tipos de usuarios de los sistemas, como administradores, clientes y empleados, y luego clasificamos cada activo en función del valor que tiene para las operaciones en caso de fallo.

Foundstone mantiene conversaciones con los técnicos para identificar las posibles vulnerabilidades y también emplea la revisión de la documentación y el análisis técnico (si se combina con una evaluación de vulnerabilidades) para descubrir los posibles puntos débiles. Las vulnerabilidades se clasifican en función de su gravedad, que representa la exposición de un activo. Risk Assessment requiere una evaluación de vulnerabilidades de alto nivel. Las vulnerabilidades identificadas mediante esta evaluación son candidatas a una evaluación técnica más detallada, realizada por Foundstone.

Utilizando el modelado de amenazas, Foundstone crea situaciones que reflejen los posibles incidentes. Cada activo se analiza con su posible coste en caso de verse afectado, incluidos los costes directos por destrucción o pérdida física, la pérdida de la confianza de los consumidores, el incumplimiento de los requisitos normativos y los supuestos de catástrofe. El resultado es una clasificación de las amenazas en función de su prevalencia, es decir, en función de si la amenaza tiene capacidad suficiente para afectar a un recurso.

Análisis exhaustivo
Una vez que Foundstone ha catalogado los activos, las vulnerabilidades y las amenazas, comienza el análisis. Existe riesgo cuando existen activos vitales, amenazas creíbles y vulnerabilidades. Foundstone se centra en una evaluación de riesgos cualitativa en lugar de tratar de asignar valores monetarios a las posibles pérdidas.

Confección de un plan de seguridad
Foundstone se centra en las estrategias que permiten reducir al máximo los riesgos con una inversión mínima en seguridad. Creamos un plan de acción de seguridad que plasma las cuatro estrategias de gestión de riesgos de Foundstone: reducción, transferencia, prevención y aceptación. Las estrategias se priorizan en función del grado de reducción del riesgo y del coste asociado. Los resultados se documentan en un plan de acción estratégico de seguridad que detalla los problemas sistémicos y sus soluciones, teniendo en cuenta las limitaciones de recursos de su empresa y sus objetivos en materia de riesgos.

Al finalizar el contrato, facilitamos un completo informe técnico de Risk Assessment acompañado de un resumen ejecutivo, recomendaciones ulteriores y un taller y presentación de resultados de media jornada.