El manejo de riesgos no es una actividad de una sola vez. Muchas organizaciones cometen este error. Hacen una evaluación de riesgos y dicen “perfecto, ya está marcada ese ítem en nuestra lista de cumplimiento”, y regresan a sus operaciones del día a día sin volver a pensar en esto. Sin embargo, todas las operaciones diarias involucran un riesgo. Todas las actividades dependen de que los negocios puedan trabajar de un modo efectivo y seguro. Por tanto, el manejo de ciber riesgo debe ser un proceso continuo.
Todo se reduce a esto: siempre hay riesgo porque el panorama de amenazas evoluciona de un modo rápido y constante. También porque los ambientes operativos y el panorama de red están mutando frecuentemente y las organizaciones están migrando a la nube en múltiples dispositivos y ambientes híbridos, la exposición al riesgo está aumentando constantemente debido a estos cambios. Por ejemplo, cada vez que se agrega un servidor o un dispositivo nuevos a la red, un nuevo riesgo potencial viene acompañándolos. Con la exposición a las amenazas siendo tan dinámica, las organizaciones deben siempre medir el riesgo.
El proceso de evaluación de ciber riesgos
Así es cómo el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) recomienda que se lleven a cabo las evaluaciones dentro del proceso de manejo de riesgos: 1. Evaluar el ciber riesgo, 2. Evaluar la respuesta ante él, 3. Monitorearlo. 4. Repita el proceso. Creo que es ésta es una buena guía para tener en mente. Sin embargo, me gustaría compartir algunas recomendaciones adicionales para agregar un poco más de contexto para gestionar mejor el ciber riesgo.
¿Qué es ciber riesgo?
Es definido como el riesgo de pérdidas financieras, disrupción o daño a la reputación de una organización debido a alguna falla de sus sistemas de tecnología de la información. Para determinar qué es un riesgo, los profesionales de TI utilizan una ecuación muy simple: Amenaza X vulnerabilidad X consecuencia= ciber riesgo.
Esta es una fórmula estándar para determinar riegos, aunque algunos expertos remplacen “consecuencia” por “impacto”. Tal vez, la mejor palabra para sustituir ambos términos de la ecuación es “daño”. Así que cuando estemos tratando de definir ciber riesgo, el equipo necesita preguntarse lo siguiente: ¿si nuestro sistema o datos se ven comprometidos, que tanto daño habrá para nuestra reputación y operaciones?
Realizar evaluaciones de ciber riesgos, es la clave
Estas son utilizadas para identificar, estimar y priorizar riesgos para cada una de las operaciones, activos e individuos de una organización. El racional de las evaluaciones de ciber riegos es que puedan ayudar a las organizaciones a:
• Evitar intrusiones e incidentes de seguridad
• Reducir costos a largo plazo
• Prepararse para futuras inversiones
• Mejorar la colaboración entre la organización
Hay ocho preguntas que una vez que son respondidas proveerán a las organizaciones la guía necesaria para completar exitosamente una evaluación exhaustiva de ciber riesgos:
- ¿Cuáles son los activos de TI más importantes para la organización?
- ¿Qué datos, si se ven comprometidos, tendrían un mayor impacto en la organización ya sea que provenga de malware, ciberataque o error humano?
- ¿Cuáles son las amenazas más relevantes y las fuentes de estas para la organización?
- ¿Cuáles son las vulnerabilidades internas y externas?
- ¿Cuál es el daño potencial si esas vulnerabilidades son explotadas?
- ¿Cuál es la probabilidad de que esto suceda?
- ¿Qué ciber ataques, ciber amenazas, o incidentes de seguridad podrían afectar la habilidad del negocio para operar?
- ¿Cuál es el nivel de riesgo que la organización se siente cómoda tomando?
Existen varias trampas comunes que podrían obstaculizar o socavar los esfuerzos de una organización para llevar a cabo un análisis de riesgos acertado. Entre éstas se encuentran no tomar en cuenta riesgos que pueden venir de terceros y tener una visión de túnel acerca del alcance, enfocándose en una sola área en lugar de ver la pintura completa. Otros posibles errores: analizar sin contexto, no hacerlo seguido, no incorporar ciber riesgo en el riesgo general de la organización y confiar solamente en las herramientas de análisis, en ocasiones necesitamos hablar directo con las personas.
No es responsabilidad de un solo equipo
En muchas organizaciones, se asume que la responsabilidad de manejar ciber riesgos pertenece solamente a los equipos de TI y seguridad, pero esto no es cierto. Prevenir los ciber riesgos es responsabilidad de cada miembro de la organización. El manejo de ciber riesgos es un deporte de equipo.
Es sumamente crítico determinar quién lleva a cabo estos análisis. Muchas organizaciones los dejan a cargo de los equipos de TI ya que este tipo de actividades requieres un conocimiento profundo del funcionamiento de la infraestructura digital y de red. Algunas empresas tienden a buscar un servicio tercerizado para los análisis. Sin embargo, es importante que los ejecutivos de alto rango y los mismos dueños de las empresas entiendan los flujos de información involucrados, al final la visibilidad a lo largo de toda la organización es crítica para un análisis de riesgos eficaz y profundo.
–Renee Tarun, VP de Seguridad de la Información en Fortinet