Etiqueta: manage engine

¿Cómo realizar una evaluación de riesgos de TI efectiva?

¿Llegará algún momento en que las organizaciones puedan predecir y evitar ataques cibernéticos antes de que sucedan? Esta utopía necesitaría sistemas de inteligencia de amenazas basados en aprendizaje profundo. Sin embargo, hoy por hoy, cada organización debe ser consciente de que alguien puede atacarlos y debe estar preparada.

Una encuesta reciente sugiere que cerca del 70 por ciento de las organizaciones no están preparadas para un ataque cibernético.

Kevin Mitnick, el hacker más famoso del mundo, asegura: “Nunca puedes protegerte al 100 por ciento. Lo que haces es resguardarte tanto como sea posible para disminuir el riesgo a un grado considerable, aunque nunca puedes eliminar el peligro por completo”. La presencia constante de amenazas hace que la evaluación de riesgos de TI sea crítica para las empresas.

De acuerdo con IDC, las empresas mexicanas están preocupadas por invertir en soluciones de seguridad. Para 2019, la proyección del mercado de ciberseguridad en México se encuentra estimada en USD $915 millones, del cual 64% corresponde a servicios de seguridad que abarca servicios administrados y profesionales.

Para realizar una evaluación de riesgos efectiva, las organizaciones deben:

1. Identificar todos los activos de información valiosa.

Para que una empresa identifique cuáles activos de información son valiosos, es necesario entender la naturaleza del negocio. Las compañías deben preguntarse cómo generan ingresos y ganancias – identificando la información que es decisiva para sus operaciones diarias. Debe considerar a la información de contacto del cliente, los archivos de diseño del producto, los secretos comerciales y los documentos de la hoja de ruta como sus activos más importantes. Independientemente del tipo de datos que las empresas identifiquen como fundamentales, es importante que comprendan cómo fluyen todos estos datos en sus redes e identificar qué equipos y servidores se utilizan para almacenar esta información.

Para proteger mejor a los activos de información, las compañías necesitan un equipo central de riesgo. En una pequeña o mediana empresa, la mayoría de las veces este equipo está compuesto por altos ejecutivos. Para empresas más grandes, se requiere de un modelo híbrido de administración de riesgos, donde cada jefe puede ser asignado como el propietario del riesgo para la función de su departamento.

 

2. Estimar el impacto de las pérdidas en el negocio.

La evaluación del riesgo y el impacto van de la mano. Para cada activo de datos valioso, las organizaciones deben estimar el impacto negativo que la pérdida o el comprometimiento de la información tendría sobre sus finanzas. Además de los costos directos, las estimaciones de pérdidas también deben incluir costos intangibles como daños a la reputación y ramificaciones legales. Todos los equipos deben utilizar un formato común para su documentación y asegurar que la información sea uniforme.

 

3. Determinar amenazas para el negocio.

Una amenaza es cualquier cosa que tenga el potencial de causar daño a los activos de información valiosos para la compañía. Las amenazas que enfrentan las compañías incluyen desastres naturales, cortes de energía, fallas en el sistema, acciones accidentales internas (como la eliminación por error de un archivo importante), acciones maliciosas internas (como un infiltrado que se adhiere a un grupo de seguridad privilegiado) y acciones maliciosas externas (phishing, malware, spoofing, etc.). Cada empresa debe contar con un equipo central de riesgos para determinar las amenazas más probables y planificar en consecuencia.

 

4. Analizar vulnerabilidades.

Una vulnerabilidad es una debilidad o brecha en la red, los sistemas, las aplicaciones o incluso los procesos de una empresa que pueden impactar negativamente en el negocio. El uso de herramientas de escaneo puede resultar útil para realizar un análisis exhaustivo de los sistemas, y también se pueden usar técnicas de prueba de penetración o de hackeo ético para profundizar.

 

5. Establecer un marco de gestión de riesgos

Un riesgo es un concepto de negocios, que puede representarse mediante la siguiente fórmula:

Riesgo = Vulnerabilidad*Amenaza*Impacto en el negocio.

Para reducir el riesgo, los equipos de TI deben minimizar las amenazas a las que están expuestos, las vulnerabilidades que existen en sus entornos o una combinación de ambos. La administración también puede decidir evaluar el impacto en el negocio de cada activo de datos y tomar medidas para reducirlo. El equipo de riesgo central debe asignar valores de riesgo alto, medio o bajo para la potencial pérdida de cada activo de datos valioso. Mediante este proceso, una empresa puede determinar qué riesgos de activos de datos deben priorizarse. Una vez completado, una empresa debe encontrar soluciones o reparaciones para cada riesgo identificado y el costo asociado para cada solución.

Una vez que se ha establecido un parámetro, las empresas deben determinar qué nivel de riesgo están tomando. ¿Quieren abordar todos los riesgos o solo los que fueron identificados como altos? La respuesta dependerá de cada compañía, mientras que el costo total estimado de las soluciones, junto con el retorno de inversión proyectado, tendrán una gran influencia en la administración del riesgo.

 

Por Ram Vaidyanathan, IT Security y Cyber Risk Analyst, ManageEngine