Para una gestión efectiva de la seguridad de la información se debe identificar y abordar tanto las amenazas como las vulnerabilidades para proteger los activos y mantener la integridad, confidencialidad y disponibilidad de la información.
Ahora en Pirani las amenazas y vulnerabilidades tendrán una sección especializada, donde podrás crear y gestionar tus registros de amenazas y vulnerabilidades, asociarlos a los activos, riesgos y asignarles un responsable de supervisar en un solo lugar y teniendo en cuenta la norma ISO 27001.
Amenazas: Son eventos o situaciones externas que tienen el potencial de causar daño directo o indirecto a la seguridad de la información. Pueden desastres naturales, ataques de hackers o fallas técnicas.
Vulnerabilidades: Son debilidades internas o fallos en los sistemas o procesos de seguridad que podrían ser explotados por las amenazas o hacer que un atacante pueda afectar la seguridad de la información. Pueden ser debilidades de políticas, software y más.
Es importante tener en cuenta que las amenazas y vulnerabilidades se le asocian principalmente a los activos ya que bajo estos elementos es que suceden. Además, no cuentan en el conteo de registros de tu plan.
→ Recuerda que este módulo está disponible para los sistemas de gestión de ISMS, desde el plan Starter y para la experiencia Demo
¿Cómo crear una amenaza o vulnerabilidad?
Dentro del sistema de gestión de riesgos de seguridad de la información, dale clic a la sección al lado izquierdo de “Amenazas y vulnerabilidades” y luego da clic en el botón “Crear amenaza y vulnerabilidad”.
%2010.12.17%20p.%20m..png?width=688&height=373&name=Captura%20de%20pantalla%202024-02-21%20a%20la(s)%2010.12.17%20p.%20m..png)
Aquí encontrarás el recuadro de creación con la información general, en el cual debes ingresar algunos datos obligatorios y otros opcionales.
Nombre: Ponle un nombre que te permita identificar el registro en el futuro
Tipo: Elige si es una amenaza o una vulnerabilidad
Categoría: Elige la categoría según el tipo de registro que hayas elegido en el paso anterior.
- Amenazas: Puedes elegir físicas, naturales, acciones humanas y más.
- Vulnerabilidades: Puedes elegir hardware, software, red y entre otros.
Descripción: Asigna una descripción para complementar la información.
%202.10.19%20p.%20m..png?width=688&height=373&name=Captura%20de%20pantalla%202024-02-22%20a%20la(s)%202.10.19%20p.%20m..png)
¿Cómo generar asociaciones con amenazas y vulnerabilidades?
Las amenazas y vulnerabilidades se pueden asociar con diferentes registros como, riesgos, activos, controles y asignar responsables. Para realizar estas asociaciones se debe tener en cuenta la estrecha relación que tienen los activos con las amenazas y vulnerabilidades, ya que los activos son los elementos principales a los que se vincula la amenaza o vulnerabilidad.
%202.11.17%20p.%20m..png?width=688&height=373&name=Captura%20de%20pantalla%202024-02-22%20a%20la(s)%202.11.17%20p.%20m..png)
Activos: Para generar asociaciones con los activos dentro de la creación de la amenaza o vulnerabilidad, dale clic a la opción activos, luego clic en el botón “Asociar” aquí encontrarás los activos creados anteriormente en la sección de activos de información. Para que la asociación sea efectiva, dale clic al icono de “+” de todos los activos de interés.
%202.11.31%20p.%20m..png?width=688&height=373&name=Captura%20de%20pantalla%202024-02-22%20a%20la(s)%202.11.31%20p.%20m..png)
Riesgos: Desde la creación de la amenaza y la vulnerabilidad también se puede generar asociaciones con los riesgos, sin embargo solo se podrá asociar riesgos que estén asociados anteriormente a los activos que vinculaste a esta amenaza o vulnerabilidad. Por ejemplo; Si a estas creando una amenaza de terremoto, primero debes asociar al activo que puede estar en amenaza y este activo se traerá consigo los riesgos que le hayas asociado en su creación individual para así poderlos vincular con la amenaza.
Para vincularlos, dale clic al botón asociar, luego elige el activo de información y seguidamente dale clic al icono “+” de los riesgos que deseas vincular.
%202.14.33%20p.%20m..png?width=688&height=373&name=Captura%20de%20pantalla%202024-02-22%20a%20la(s)%202.14.33%20p.%20m..png)
Al final podrá ver que el riesgo está asociado a la amenaza y vulnerabilidad por medio de tal activo.
%202.15.02%20p.%20m..png?width=688&height=373&name=Captura%20de%20pantalla%202024-02-22%20a%20la(s)%202.15.02%20p.%20m..png)
Controles: Esta es una sección informativa que muestra cuales son los controles agregados a los activos que vinculaste a este registro. Para realizar una asociación de amenazas y vulnerabilidades a los activos debes hacerlo desde la creación del riesgo, en la sección asociaciones de controles.
Responsables: Para asignar un responsable de dar seguimiento a la amenaza o vulnerabilidad, dirígete dentro del recuadro de creación a la opción “Responsables” ahí dale clic al botón “Asociar” y elige los equipos que quieres asignar.
⚡ Para realizar la asociación efectivamente debes hacer clic en la parte derecha del registro a seleccionar en el icono “+”
%202.19.38%20p.%20m..png?width=688&height=373&name=Captura%20de%20pantalla%202024-02-22%20a%20la(s)%202.19.38%20p.%20m..png)
¿Cómo importar amenazas y vulnerabilidades de forma masiva?
Con la función de carga masiva puedes importar fácilmente cientos de registros de tu organización a la sección de amenazas y vulnerabilidades usando un archivo de formato CSV.
Para hacerlo, ingresa a la sección de amenazas y vulnerabilidades, luego dale clic a los tres puntos al lado del botón de crear, seguidamente dale clic a la opción importar. Aquí ahí encontrarás un recuadro con la opción para importar los registros y los elementos claves que debe tener el archivo a cargar.
⚡ Aquí te dejamos un tutorial detallado de cómo funciona la importación masiva.
%202.08.44%20p.%20m..png?width=688&height=373&name=Captura%20de%20pantalla%202024-02-22%20a%20la(s)%202.08.44%20p.%20m..png)
%2012.30.53%20p.%20m..png?width=688&height=214&name=Captura%20de%20pantalla%202024-03-05%20a%20la(s)%2012.30.53%20p.%20m..png)