Disponemos de un proceso formal interno de análisis de riesgos de seguridad de la información donde estudiamos las posibles vulnerabilidades y amenazas sobre los activos de información. El contexto abarca tanto riesgos de ciberseguridad como de privacidad.
La metodología utilizada se basa en los requerimientos de las normas ISO 27001:2013, ISO 31000 y del Esquema Nacional de Seguridad, ENS, realizando no sólo análisis de riesgos sobre los activos tecnológicos, sino también sobre los procesos, personas y proveedores que tratan la información de nuestra organización y la de nuestros clientes y trabajadores.
Periódicamente realizamos un estudio del nivel de riesgo de la infraestructura y de los servicios, tomando conclusiones, implementando posibles salvaguardas y controles técnicos adecuados para minimizar estos posibles riesgos. La periodicidad es anual en la auditoría interna del Sistema de gestión de Seguridad de la Información sobre los requerimientos de ISO 27001.
Los riesgos se evalúan, se valoran, se estudian el impacto y su probabilidad de ocurrencia para calculando el riesgo intrínseco implementar decisiones sobre los mismos, implementando controles de seguridad, cuya implementación es verificada posteriormente
Disponemos de soluciones técnicas que aportan información para el análisis de riesgos, basadas en productos y servicios de monitorización, gestión de logs de nuestro firewall y escaneos de red interna y externa, análisis de vulnerabilidades con auditorías de Pentesting, etc.
En un proceso posterior de aseguramiento se verifica que las medidas de seguridad implantadas en los riesgos identificados, son eficaces y se han definido las misas mitigando el riesgo inicial detectado.