En las organizaciones actuales la gestión del riesgo es un pilar básico a la hora de articular una estrategia óptima de seguridad de la información.
En entidades poco maduras la seguridad se centra en los apartados técnicos y en acciones tácticas de detección y remediación, pero si se desea tener una visión general que permita definir planes eficientes, es necesario tener en cuenta tanto las vulnerabilidades y amenazas, como los factores de probabilidad e impacto.
La gestión del riesgo permite a las organizaciones trabajar adecuadamente en la identificación y prevención, proporcionando información para decidir de la mejor manera dónde y cómo destinar recursos para mejorar la seguridad, mitigando los riesgos allí donde existan y sean más elevados, tanto a nivel técnico como organizativo.
En el ámbito exclusivamente tecnológico, se puede ver la diferencia entre una gestión estándar de seguridad y la gestión de riesgos con el siguiente ejemplo:
- En una empresa existen decenas de miles de ordenadores y se quieren asegurar que se parchean y actualizan adecuadamente.
- Como solución técnica se utiliza un sistema de gestión de vulnerabilidades que identifique todos los equipos que no estén parcheados y correctamente configurados.
- Con esta información, se podrá ver qué equipos tienen distintos niveles de deficiencia y cuáles están en estado óptimo.
- Sin más información, la manera de actuar es planificar la actualización de todos los equipos, comenzando por los que están en peor situación (vulnerabilidades más críticas, mayor número de vulnerabilidades), pero sin tener en cuenta otros factores.
De esta forma conocemos que los ordenadores tienen vulnerabilidades pero, ¿esas vulnerabilidades suponen un riesgo para mi organización? ¿todos los equipos generan el mismo riesgo? Si el número de equipos es muy elevado, no siempre es factible acometer estas acciones de forma general. ¿Cómo priorizar?
- Con la gestión de riesgos se combina la información más técnica (vulnerabilidad y amenaza) con la información asociada a los activos, en particular su valor y el impacto que puede ocasionar un incidente de seguridad.
- Con la información de vulnerabilidad y amenaza, teniendo en cuenta factores de exposición y complejidad, se puede estimar la probabilidad de ocurrencia: es más probable que un equipo visible desde internet sufra un incidente que un equipo sin conexión.
- Así, podemos calcular el riesgo como producto de la probabilidad y el impacto. Con estos resultados, un nivel de riesgo elevado indica que existe una probabilidad alta asociada a un elemento con un valor/impacto importante y un riesgo bajo indica que la combinación de probabilidad e impacto es reducida.
- En una organización en la que se utiliza adecuadamente la gestión de riesgos se dispone de mapas de riesgo en los que están identificados los activos (información, dispositivos, redes, áreas, etc.) de más valor y expuestos a una mayor probabilidad de ocurrencia de incidentes. Así, podemos planificar las acciones y despliegue de medidas de seguridad teniendo en cuenta prioridades objetivas.
- En nuestro ejemplo, con la gestión de riesgos podremos priorizar y, de todo el parque de ordenadores, se comenzará a parchear aquellos con mayor nivel de riesgo, que podrían ser los que fácilmente dan acceso a información confidencial o sistemas importantes (que no tienen por qué ser los que más vulnerabilidades tengan ni las más críticas), y dejar para las últimas fases aquellos de menor riesgo, que podría agrupar a los que no manejan datos sensibles o que están en redes aisladas.
Además, la gestión de riesgos no se limita al ámbito técnico, sino que también podemos evaluar riesgos asociados a las leyes y normativas, a los procedimientos y a los aspectos organizativos.
Y para incluir en la gestión de riesgo a las personas, ¿cómo lo hacemos?
Lo veremos en próximos artículos de Kymatio.
Actualización Covid-19
Frente a la gravedad de al situación que enfrentan las empresas recomendamos consulta de los siguientes artículos relativos a los retos de ciberseguridad frente a la pandemia producida por el Covid-19.
Ciberseguridad y Riesgo (Inteligencia de riesgo humano)
- Pandemia y Ciberriesgo, incidencia del COVID-19 en ciberseguridad
- Gestión de riesgos en ciberseguridad
- Teletrabajo y riesgo interno
- Los datos y el scoring de riesgo en ciberseguridad
- Mejores prácticas para prevención del ciberriesgo, el factor humano
- Riesgo interno en ciberseguridad, riesgo percibido vs riesgo real
Ciberpsicología (Comprensión y reducción del riesgo en empleados)
Contacta con Kymatio ahora para fortalecer la postura de ciberseguridad de la organización.