Partiendo de una visión global de todo su entorno informático, analizamos los escenarios de ataque más frecuentes y cuantificamos los daños y la probabilidad de que se produzcan. Después, sobre la base de este análisis de riesgos, definimos cursos de acción alternativos prestando una atención especial a los sistemas críticos.
Para ello, analizamos de forma estructurada cada uno de los sistemas pertinentes en busca de diversas vulnerabilidades de seguridad, explicamos sus riesgos y elaboramos posibles medidas preventivas:
- Se crea una visión de conjunto de todos los componentes del sistema de su infraestructura (software y hardware) y se clasifica por riesgos. Y, dependiendo de los requisitos, es posible centrarse en la gestión de la red, de la nube o del servidor.
- Determinamos los usuarios que interactúan con el sistema, así como los derechos que tienen y los daños que pueden causar. Después, se debaten las soluciones de gestión de usuarios y de autenticación adecuadas para personas y máquinas (Internet Industrial de las Cosas o IIoT).
- Nos fijamos en el almacenamiento de datos y en las personas que tienen acceso a ellos. Por ejemplo, comprobamos si están protegidos contra pérdidas o manipulaciones. Para ello, nos ocupamos de las soluciones actuales de cifrado, copia de seguridad y autorización.
- A continuación, realizamos un seguimiento de la transferencia de datos y comprobamos si los datos pueden ser vistos o modificados por terceros durante el proceso. Y, para ello, hablamos de las posibilidades de cifrado de extremo a extremo.
- Recopilamos una colección de todas las interfaces que los subsistemas tienen entre sí y con el mundo exterior. Después, los sometemos a pruebas específicas para identificar los puntos débiles. También se examinan todos los sistemas de cliente, como los sitios web y las aplicaciones móviles.
- Utilizando el concepto de privacy by design, se explica cómo garantizar la confidencialidad y la protección de los datos para, de este modo, reducir de forma proactiva el riesgo de fuga de datos.