Risk">
Amenaza Vs Vulnerabilidad
Amenaza Vs Vulnerabilidad
Amenaza Vs Vulnerabilidad
¿Sabes que es una «ciber amenaza» ?, y ¿una vulnerabilidad? ¿Sabes cuales pueden
suponer un riesgo para tu negocio? ¿Sabes cómo puede afectar un incidente a tu
empresa? ¿Está tu empresa en riesgo?
Por tanto, las vulnerabilidades son las condiciones y características propias de los
sistemas de una organización que la hacen susceptible a las amenazas. El problema es
que, en el mundo real, si existe una vulnerabilidad, siempre existirá alguien que intentará
explotarla, es decir, sacar provecho de su existencia.
Una vez que tenemos clara la diferencia entre amenaza y vulnerabilidad, es interesante
introducir el concepto de riesgo. El riesgo es la probabilidad de que se produzca un
incidente de seguridad, materializándose una amenaza y causando pérdidas o daños. Se
mide asumiendo que existe una cierta vulnerabilidad frente a una determinada amenaza,
como puede ser un hacker, un ataque de denegación de servicios, un virus… El riesgo
depende entonces de los siguientes factores: la probabilidad de que la amenaza se
materialice aprovechando una vulnerabilidad y produciendo un daño o impacto. El
producto de estos factores representa el riesgo.
Algunos incidentes pueden implicar problemas legales que pueden suponer sanciones
económicas y daños a la reputación e imagen de la empresa. Por eso, es importante
conocer los riesgos, medirlos y evaluarlos para evitar en la medida de lo posible los
incidentes, implantando las medidas de seguridad adecuadas.
Podemos identificar los activos críticos de los sistemas de información que pueden
suponer un riesgo para la empresa, realizando un análisis de riesgos. Análisis que nos
llevará a obtener una imagen rigurosa de los riesgos a los que se encuentra expuesta
nuestra empresa. Estas fases son las siguientes:
Evitar el riesgo eliminando su causa, por ejemplo, cuando sea viable optar por no
implementar una actividad o proceso que pudiera implicar un riesgo.
Adoptar medidas que mitiguen el impacto o la probabilidad del riesgo a través
de la implementación y monitorización de controles.
Compartir o transferir el riesgo con terceros a través de seguros, contratos etc.
Aceptar la existencia del riesgo y monitorizarlo.