Evaluación de riesgos

Comprenda sus activos, amenazas, vulnerabilidades y riesgos. Use esta información para optimizar su seguridad

Próximos pasos:

Descripción general

Una Evaluación de riesgos de McAfee Foundstone ofrece una auditoría independiente del riesgo real, presenta estrategias para ayudar a administrar el riesgo y describe los procesos y sistemas que mitigan las condiciones de riesgo. Las evaluaciones de riesgos programadas en forma periódica constituyen una parte fundamental del cumplimiento de las regulaciones federales y estatales, incluidas la GLBA, la HIPAA, la Ley del Senado de California (SB) 1386 y PCI DSS. Además, una evaluación de riesgos es un componente esencial de un programa de seguridad eficaz.

Evaluar el riesgo es la base para desarrollar estrategias de administración de riesgos dentro de una organización. La metodología de Foundstone identifica activos que respaldan las operaciones comerciales, descubre vulnerabilidades y determina posibles amenazas para dichos activos.

Beneficios clave

Una Evaluación de riesgos de Foundstone ayuda a su organización a:

  • Identificar activos operacionales críticos
  • Proteger los activos de información más importantes contra posibles amenazas
  • Optimizar las inversiones en seguridad
  • Maximizar el ROI de seguridad
  • Orientar la formulación de estrategias de seguridad

Metodología

Una Evaluación de riesgos de Foundstone identifica activos fundamentales para las operaciones de la empresa y establece el valor de dichos activos para la organización. Identificamos las amenazas que pueden afectar a estos activos y examinamos vulnerabilidades para determinar la probabilidad del impacto. Foundstone adopta un enfoque equilibrado para evaluar el perfil de riesgo de una organización, mediante la realización de entrevistas, análisis de la documentación y análisis técnico para determinar el riesgo, en lugar de confiar en autoevaluaciones o cuestionarios.

Identificación de activos, vulnerabilidades y amenazas
En esta fase, Foundstone entrevista a los gerentes comerciales y al personal técnico y analiza la documentación relacionada con seguridad de la información y activos, incluida la topología de redes. Una Evaluación de riesgos de Foundstone identifica los activos operacionales críticos, incluidos sistemas de centro de datos, equipos de empleados, dispositivos y canales de comunicación en red, áreas de trabajo remoto, como los equipos domésticos de los empleados, datos de clientes, datos de empleados y propiedad intelectual. Se hace especial énfasis en los sistemas que procesan, almacenan, administran y transmiten datos personales. Investigamos cómo los distintos usuarios del sistema (incluidos administradores, clientes y empleados) utilizan los activos de tecnología de la información y luego clasificamos cada activo con base en su impacto en las operaciones si llegara a fallar.

Foundstone entrevista al personal técnico para identificar posibles vulnerabilidades y también aplica un análisis de la documentación y un análisis técnico (si está combinado con una evaluación de vulnerabilidades) para descubrir posibles áreas débiles. Las vulnerabilidades se clasifican según su gravedad, lo que a su vez ayuda a determinar el nivel de exposición de un activo. Para fines de la Evaluación de riesgos, la evaluación de vulnerabilidades constituye un análisis de alto nivel. Las vulnerabilidades identificadas a través de esta evaluación son candidatas para una evaluación técnica más detallada efectuada por Foundstone.

Mediante el modelado de amenazas, Foundstone crea situaciones que reflejan posibles incidentes. Cada activo se analiza junto con su costo potencial si se ve impactado, incluidos los costos directos de la destrucción física o la pérdida, la pérdida de confianza de los consumidores, el incumplimiento de los requisitos regulatorios y situaciones catastróficas. El resultado es una lista de calificación de amenazas basada en el predominio, una medida que señala si una amenaza tiene la capacidad y motivación para afectar a un activo.

Análisis integral
Después de que Foundstone cataloga los activos, vulnerabilidades y amenazas, comienza el análisis. El riesgo existe cuando hay presencia de activos críticos, amenazas creíbles y vulnerabilidades existentes. Foundstone se concentra en una evaluación de riesgos cualitativa en lugar de intentar asignar valores monetarios a posibles pérdidas.

Planificación de seguridad
Foundstone se concentra en estrategias que ofrecen la máxima reducción del riesgo por la mínima inversión en seguridad. Creamos una planificación de seguridad que detalla las cuatro estrategias de administración de riesgos de Foundstone: mitigación, transferencia, prevención y aceptación. Las estrategias se organizan por prioridad según el nivel de reducción de riesgo y el costo relativo. Los resultados se documentan en un plan de acción de planificación de seguridad que detalla problemas y soluciones sistémicos, basado en las restricciones de recursos y los objetivos de riesgo de su organización.

Al concluir la contratación, proporcionamos un informe técnico de Evaluación de riesgos integral, un resumen ejecutivo, recomendaciones de pasos a seguir y un taller de medio día con una presentación sobre los resultados.