Contenido Exclusivo

Conceptos fundamentales para gestionar el ciber riesgo en las compañías

El manejo de riesgos no es una actividad de una sola vez. Muchas organizaciones cometen este error. Hacen una evaluación de riesgos y dicen “perfecto, ya está marcada ese ítem en nuestra lista de cumplimiento”, y regresan a sus operaciones del día a día sin volver a pensar en esto. Sin embargo, todas las operaciones diarias involucran un riesgo. Todas las actividades dependen de que los negocios puedan trabajar de un modo efectivo y seguro. Por tanto, el manejo de ciber riesgo debe ser un proceso continuo.

Todo se reduce a esto: siempre hay riesgo porque el panorama de amenazas evoluciona de un modo rápido y constante. También porque los ambientes operativos y el panorama de red están mutando frecuentemente y las organizaciones están migrando a la nube en múltiples dispositivos y ambientes híbridos, la exposición al riesgo está aumentando constantemente debido a estos cambios. Por ejemplo, cada vez que se agrega un servidor o un dispositivo nuevos a la red, un nuevo riesgo potencial viene acompañándolos. Con la exposición a las amenazas siendo tan dinámica, las organizaciones deben siempre medir el riesgo.

El proceso de evaluación de ciber riesgos
Así es cómo el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) recomienda que se lleven a cabo las evaluaciones dentro del proceso de manejo de riesgos: 1. Evaluar el ciber riesgo, 2. Evaluar la respuesta ante él, 3. Monitorearlo. 4. Repita el proceso. Creo que es ésta es una buena guía para tener en mente. Sin embargo, me gustaría compartir algunas recomendaciones adicionales para agregar un poco más de contexto para gestionar mejor el ciber riesgo.

¿Qué es ciber riesgo?
Es definido como el riesgo de pérdidas financieras, disrupción o daño a la reputación de una organización debido a alguna falla de sus sistemas de tecnología de la información. Para determinar qué es un riesgo, los profesionales de TI utilizan una ecuación muy simple: Amenaza X vulnerabilidad X consecuencia= ciber riesgo.

Esta es una fórmula estándar para determinar riegos, aunque algunos expertos remplacen “consecuencia” por “impacto”. Tal vez, la mejor palabra para sustituir ambos términos de la ecuación es “daño”. Así que cuando estemos tratando de definir ciber riesgo, el equipo necesita preguntarse lo siguiente: ¿si nuestro sistema o datos se ven comprometidos, que tanto daño habrá para nuestra reputación y operaciones?

Realizar evaluaciones de ciber riesgos, es la clave
Estas son utilizadas para identificar, estimar y priorizar riesgos para cada una de las operaciones, activos e individuos de una organización. El racional de las evaluaciones de ciber riegos es que puedan ayudar a las organizaciones a:

• Evitar intrusiones e incidentes de seguridad
• Reducir costos a largo plazo
• Prepararse para futuras inversiones
• Mejorar la colaboración entre la organización


Hay ocho preguntas que una vez que son respondidas proveerán a las organizaciones la guía necesaria para completar exitosamente una evaluación exhaustiva de ciber riesgos:

  1. ¿Cuáles son los activos de TI más importantes para la organización?
  2. ¿Qué datos, si se ven comprometidos, tendrían un mayor impacto en la organización ya sea que provenga de malware, ciberataque o error humano?
  3. ¿Cuáles son las amenazas más relevantes y las fuentes de estas para la organización?
  4. ¿Cuáles son las vulnerabilidades internas y externas?
  5. ¿Cuál es el daño potencial si esas vulnerabilidades son explotadas?
  6. ¿Cuál es la probabilidad de que esto suceda?
  7. ¿Qué ciber ataques, ciber amenazas, o incidentes de seguridad podrían afectar la habilidad del negocio para operar?
  8. ¿Cuál es el nivel de riesgo que la organización se siente cómoda tomando?

Existen varias trampas comunes que podrían obstaculizar o socavar los esfuerzos de una organización para llevar a cabo un análisis de riesgos acertado. Entre éstas se encuentran no tomar en cuenta riesgos que pueden venir de terceros y tener una visión de túnel acerca del alcance, enfocándose en una sola área en lugar de ver la pintura completa. Otros posibles errores: analizar sin contexto, no hacerlo seguido, no incorporar ciber riesgo en el riesgo general de la organización y confiar solamente en las herramientas de análisis, en ocasiones necesitamos hablar directo con las personas.

No es responsabilidad de un solo equipo
En muchas organizaciones, se asume que la responsabilidad de manejar ciber riesgos pertenece solamente a los equipos de TI y seguridad, pero esto no es cierto. Prevenir los ciber riesgos es responsabilidad de cada miembro de la organización. El manejo de ciber riesgos es un deporte de equipo.

Es sumamente crítico determinar quién lleva a cabo estos análisis. Muchas organizaciones los dejan a cargo de los equipos de TI ya que este tipo de actividades requieres un conocimiento profundo del funcionamiento de la infraestructura digital y de red. Algunas empresas tienden a buscar un servicio tercerizado para los análisis. Sin embargo, es importante que los ejecutivos de alto rango y los mismos dueños de las empresas entiendan los flujos de información involucrados, al final la visibilidad a lo largo de toda la organización es crítica para un análisis de riesgos eficaz y profundo.

Renee Tarun, VP de Seguridad de la Información en Fortinet

Lo Más Reciente

Presentan guía mundial para utilizar gemelos digitales en ensayos clínicos

El ENRICHMENT Playbook es la "primera guía mundial" dirigida...

Pure Storage lanza GenAI Pod: diseños llave en mano para acelerar la innovación de IA

Pure Storage presentó una solución que proporciona diseños llave...

La digitalización ofrece mejoras en la gestión de casos en el sector público

Los factores macroeconómicos globales y locales que cambian rápidamente,...

Cómo impulsar el crecimiento de las empresas en la era de la IA

La inteligencia artificial está revolucionando los negocios. Sin embargo,...

Newsletter

Recibe lo último en noticias e información exclusiva.

Presentan guía mundial para utilizar gemelos digitales en ensayos clínicos

El ENRICHMENT Playbook es la "primera guía mundial" dirigida a la industria de dispositivos médicos, que detalla cómo utilizar gemelos virtuales para acelerar los...

Pure Storage lanza GenAI Pod: diseños llave en mano para acelerar la innovación de IA

Pure Storage presentó una solución que proporciona diseños llave en mano construidos en su plataforma de almacenamiento de datos. Se trata de Pure Storage...

La digitalización ofrece mejoras en la gestión de casos en el sector público

Los factores macroeconómicos globales y locales que cambian rápidamente, siguen ejerciendo una presión cada vez mayor sobre el sector público de México. El gobierno...