Conceptos fundamentales para gestionar el ciber riesgo en las compañías

Loading

Por: Renee Tarun, VP de Seguridad de la Información en Fortinet

El manejo de riesgos no es una actividad de una sola vez, pero muchas organizaciones cometen este error. Hacen una evaluación de riesgos y regresan a sus operaciones del día a día, sin volver a pensar en ello. Sin embargo, el manejo de ciber riesgo debe ser un proceso continuo.

El fortalecimiento de la ciberseguridad en las empresas se ha convertido en una necesidad debido a que la exposición al riesgo está aumentando. Gracias al trabajo remoto, el panorama de red está mutando frecuentemente, convirtiendo a las empresas peruanas en un blanco fácil para los cibercriminales.

El proceso de evaluación de ciber riesgos

Así es cómo el Instituto Nacional de Estándares y Tecnología recomienda que se lleven a cabo las evaluaciones dentro del proceso de manejo de riesgos: 1. Evaluar el ciber riesgo, 2. Evaluar la respuesta ante él, 3. Monitorearlo. 4. Repetir el proceso. Sin embargo, me gustaría añadir algunas formas de contrarrestar este mal y gestionar mejor el ciber riesgo.

¿Qué es ciber riesgo?

Es definido como el riesgo de pérdidas financieras, disrupción o daño a la reputación de una organización debido a alguna falla de sus sistemas de tecnología de la información. Para determinar qué es un riesgo, los profesionales de TI utilizan una ecuación muy simple:

Amenaza X vulnerabilidad X consecuencia = Ciber Riesgo

Si bien esta es una fórmula estándar para determinar riesgos, la mejor palabra para sustituir  “consecuencia” es “daño”. Cuando tratemos de definir el ciber riesgo, las compañías necesitan preguntarse lo siguiente: ¿si nuestro sistema o datos se ven comprometidos, qué tanto daño habrá para nuestra reputación y operaciones?

Realizar evaluaciones de ciber riesgos, es la clave

Estas son utilizadas para identificar, estimar y priorizar riesgos para cada una de las operaciones, activos e individuos de una organización.

Hay ocho preguntas que una vez que son respondidas proveerán a las organizaciones la guía necesaria para completar exitosamente una evaluación exhaustiva de ciber riesgos:

  1. Cuáles son los activos de TI más importantes para la organización
  2. Qué datos, si se ven comprometidos, tendrían un mayor impacto en la organización ya sea que provenga de malware, ciberataque o error humano
  3. Cuáles son las amenazas más relevantes y las fuentes de éstas para la organización 
  4. Cuáles son las vulnerabilidades internas y externas
  5. Cuál es el daño potencial si esas vulnerabilidades son explotadas
  6. Cuál es la probabilidad de que esto suceda
  7. Qué ciber ataques, ciber amenazas, o incidentes de seguridad podrían afectar la habilidad del negocio para operar
  8. Cuál es el nivel de riesgo que la organización se siente cómoda tomando

Existen varias trampas comunes que podrían obstaculizar los esfuerzos de una organización para llevar a cabo un análisis de riesgos acertado. Una de ellas es no tomar en cuenta riesgos que puedan venir de terceros y tener una visión de túnel acerca del alcance del problema.

No es responsabilidad de un solo equipo

En muchas organizaciones, se asume que la responsabilidad de manejar ciber riesgos pertenece solamente a los equipos de TI y seguridad, pero esto no es cierto. Prevenir los ciber riesgos es responsabilidad de cada miembro. Al final, la visibilidad a lo largo de toda la organización es crítica para un análisis de riesgos eficaz y profundo.

Mantente conectado a nuestra revista Channel News Perú, haciendo clic aquí y suscribiéndote a nuestro newsletter para contenido de valor diario.

Notas Relacionadas

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *