Gestió de riscos i anàlisi de la ciberseguretat a l’empresa

Abstract

Actualment les empreses i organitzacions emmagatzemen quantitats enormesd’informació referent al seu negoci i activitat, dins de sistemes cada cop més complexes gestionats per un gran nombre de persones executant milers de processos. Aquest conjunt de factorsfan que sigui necessari estudiar el grau de seguretat sota el que es troba la informació als seus sistemes, per tal d’evitar la pèrdua, modificació, filtració o indisponiblitat d’alguna d’aquesta informació. Latasca fonamental per tal de garantir la seguretat d’un entorn empresarial és conèixerels riscos i amenaces als que aquest entorn s’exposa i un cop identificats, gestionar-los d’una manera eficient.Aquest treball explicaels conceptes fonamentals de la gestió de riscos i la ciberseguretat aplicats a un entorn empresarial. A la primera part s’expliquenaquests conceptes juntament amb les metodologies utilitzades per analitzar el risc d’una organització, les principals amenaces a les que les empreses s’exposen i les eines i capacitats de seguretat que existeixen per mitigar-les. Un cop definits els conceptes descrits, s’ha executatun anàlisi de riscos real aplicat al servei de correu electrònicd’una empresa, una de les eines fonamentals per les organitzacions actuals i que comporta riscos importants per la seguretat de la informació.L’anàlisi de riscos s’ha aplicatsobre un escenarion-premise,en el que tots els sistemes i recursos de l’organització estan controlats i són propietat de la pròpia empresa, sense comptar amb el servei de proveïdors externs o ni de sistemes externalitzats. Aquest model on-premise dista bastant de la tendència actual de contractar serveis al núvol, que ofereixen més flexibilitat però alhora presenten nous riscos de seguretat per les empreses. Per concloure el treball,s’han comparatels riscos obtinguts a l’anàlisi de la solució on-premise amb els riscos que té una solució al núvol pel mateix tipus de servei de correu electrònic.

Actualmente, las empresas y organizaciones almacenan cantidades enormes de información referente a su negocio y actividad, dentro de sistemas cada vez más complejos gestionados por un gran número de personas ejecutando miles de procesos. Este conjunto de factores hacen que sea necesario estudiar el grado de seguridad bajo el que se encuentra la información en sus sistemas, con tal de evitar lapérdida, modificación, filtración o indisponibilidad de alguna de esta información. La tarea fundamental con tal de garantizar la seguridad de un entorno empresarial es conocer los riesgos y amenazas a las que dicho entorno se expone y una vez identificados, gestionarlos de una forma eficaz.Este trabajo explica los conceptos fundamentales de la gestión de riesgos y la ciberseguridad aplicados a un entorno empresarial. En la primera parte se explican estos conceptos junto con las metodologías utilizadas para analizar el riesgo de una organización, las principales amenazas a las que las empresas se exponen y las herramientas y capacidades de seguridad que existen para mitigarlas. Una vez definidos los conceptos descritos, se ha ejecutadoun análisis de riesgos real aplicado al servicio de correo electrónico de una empresa, una de las herramientas fundamentales para las organizaciones actuales y que conlleva riesgos importantes para la seguridad de la información.El análisis de riesgos seha realizadosobre un escenario on-premise, en el que todos los sistemas y recursos de la organización están controlados y son propiedad de la propia empresa, sin contar con el servicio de proveedores externos ni de sistemas extrenalizados. Este modelo on-premise se desmarca de la tendencia actual de contratar servicios en la nube, que ofrecen mayor flexibilidad pero a su vez presentan nuevos riesgos de seguridad para las empresas. Para terminar el trabajo, sehan comparadolos riesgos obtenidos en el análisis de la solución on-premise con los riesgos que tiene una solución en la nube para el mismo tipode servicio de correo electrónico.

Enterprises andorganizations nowadays store huge amounts of information related to their business and activity, within complex systems managed by several people who execute thousands of processes. This factors make necessary to study which level of security our systems have in order to prevent the loss, modification, leakage or unavailability of the information. Themain task in order to ensure the security of an enterprise environment is to know the risks and threats that affect to this environment and once they have been identified, manage them in an appropriate way.This paper aims to explain the fundamental concepts of risk management and cybersecurity applied to an enterprise environment. In the first section, those concepts are explained along with the methodologies used to assess risk in an organization, the main threats which enterprises need to face and the security tools and capabilities available to mitigate them.Once those concepts have been defined, a real risk assessment has been performed over an enterprise webmail service, which is one of the most important tools for organizations nowadays and is affected by several risks related to information security.The risk has been assessed over an on-premise environment, in which all systems and resources of the organization are controlled and are part of the own enterprise, not depending on third party providers or externalized systems. This on-premise model differs from the current trend of contracting and migrating most of the services to the cloud, providing more flexibility but also implying new security risks for data security. Finally, the risks obtained in the on-premise solution have been compared to the ones for the cloud solution for the same kind of webmail service.