La Gestión Integral de Riesgos de Ciberseguridad se define como todas las actividades interdisciplinarias y coordinadas que se hacen para gestionar los riesgos de ciberseguridad de una organización y llevarla a cabo de una manera óptima.
Estas actividades se hacen con el fin de evitar impactos de pérdida de imagen, financiera, legal o afectar incluso la continuidad y supervivencia de los negocios.
Los riesgos relacionados con la ciberseguridad son complejos de tratar pues en ocasiones se requiere un análisis más exhaustivo y especializado debido a que se habla de una disciplina en donde intervienen tanto las personas del negocio, como los expertos en controles de seguridad.
¿Por qué son clave los Riesgos de Seguridad?
Todo riesgo de ciberseguridad que se materialice genera una serie de incidentes y estos incidentes son la clave para que las organizaciones tengan impactos significativos, pero a la vez las estrategias adecuadas y evitar que el negocio se afecte en gran medida.
Si no se actúa a tiempo y de manera efectiva, una empresa se puede ver impactada de varias maneras: puede perder la imagen ante sus clientes, perder contratos y grandes cantidades de dinero, afectar sus activos y a las mismas personas que forman parte de la empresa.
Además, otros negocios con los cuales la organización ha constituido una serie de procesos, préstamos de servicios o han llegado a ser partes fundamentales del negocio, se verán seriamente perjudicados pues forman parte de una cadena de valor que ha sido creada por los proveedores. Estos riesgos empiezan a ser muy importantes debido a que son los que requieren del conocimiento interdisciplinario para su gestión.
En algunas ocasiones sucede que la empresa puede tener riesgos para los cuales se ha implementado una gestión estructurada, pero surgen los riesgos de ciberseguridad, que por su naturaleza son riesgos totalmente diferentes que deben ser gestionados por las áreas de ciberseguridad y la seguridad de la información. Al ser riesgos de la empresa, y aun cuando son específicos y relativos a temas de seguridad de la información o del área de tecnología, deben ser parte de La Gestión Integral de Riesgos.
Estos riesgos llegan a una organización debido a la alta dependencia de las tecnologías, a la alta prestación de servicios a través de las redes de internet y por medio de las diferentes amenazas.
Hay que tener muy presente que la cibercriminalidad, o el negocio del Cibercrimen año tras año está creciendo. Estamos pasando de manejar unas cifras en el cibercrimen que superan incluso lo de los negocios relacionados con lo ilícito poniendo como ejemplo al negocio de las drogas.
Este tipo de situaciones ha incrementado porque los cibercriminales se dan cuenta de que pueden hacer de manera rápida sus ataques, ser menos rastreados y que haya mayor impunidad.
¿Qué preguntas debe responder La Gestión de Riesgos de Ciberseguridad?
1.- ¿Cuál es mi contexto?: Se debe considerar, entre otros aspectos, que hay países que son más atacados que otros, por ejemplo en Latinoamérica hay países que están en la lista de los que son más atacados a nivel mundial. Por esto, es muy importante que sepamos en qué país nos encontramos: en qué ambiente social, económico y político. Incluso hay sectores que también son más atacados o que tienen mayor incidencia de materialización de riesgos de seguridad que otros.
Es de vital importancia reconocer el contexto porque nos ayuda a ubicarnos y tener en claro cuáles de los aspectos anteriores tienen relevancia y en dónde estaría la fuente de la cual provienen los riesgos de ciberseguridad.
2.-¿Qué debo proteger?: Consiste en reconocer cuáles son los activos de información importantes que están permitiendo que se degrade el servicio pues no se pueden exponer tanto los datos de la compañía o los datos de los clientes. En este punto se hace necesario la práctica de gestión en la cual se haga un inventario y valoración de los activos, para determinar su prioridad o criticidad.
3.-¿De qué me debo proteger?: Se trata de verificar vulnerabilidades para establecer de cuáles riesgos me debo proteger y realizar un ejercicio cercano a la realidad de la empresa.
4.-¿Qué me podría pasar? En este punto hay que precisar qué impactos se tendría a nivel financiero, a nivel de imagen, a nivel legal y operacional o a través de la misma información, para poder identificar la forma de proteger el negocio.
5.-¿Cómo hago para NO estar tan expuesto? Sabemos que no podemos mitigar o tratar todos los riesgos en niveles de riesgos cero, sino que quedaran unos riesgos residuales.
La idea es poder disminuir la probabilidad de que se den y de esa forma, que no esté la compañía tan expuesta. Igualmente, si se llegaran a materializar, la empresa se pueda recuperar de forma rápida, estructurada y adecuada.
6.-Si pasa, ¿qué puedo hacer para que me afecte menos? Cuando todas las metodologías de riesgos de ciberseguridad nos hacen referencia a que hay unas etapas de respuesta de recuperación. Es en ese momento cuando se pueden hacer planes de continuidad del negocio y de recuperación ante desastres.
Por ese motivo, el trabajo relacionado con la Gestión de Riesgos no debe quedarse en la implementación de controles y mediciones, sino que hay que establecer unos niveles de riesgo en donde se considere si hay aún probabilidades de que este ocurra y así dar una buena respuesta cuando suceda.
Incluso van a existir escenarios de riesgo nuevos y para estos se debe tener una adecuada atención y respuesta. Todo esto ayuda para la buena continuidad del negocio.
7.-¿Qué debo revisar y monitorear? Es necesario revisar el ambiente de riesgos en el que me encuentro, debo estar identificando las valoraciones de ellos. Observar si mi contexto cambia debido a que lancé un nuevo producto o servicio, porque abrí operaciones en un nuevo país, por el crecimiento de mi empresa, por hacer parte de la cadena de valor de un cliente grande.
Además, tener presente si está sucediendo algo a una empresa que incluso puede ser mi competencia o hace parte de un sector que tiene un producto similar y resulta que esa organización fue atacada.
Aunque no hemos sido atacados, es aconsejable hacer monitoreos para identificar nuevos eventos y si mis riesgos van a cambiar a nivel de probabilidad, buscando una gestión proactiva.
8.-¿Lo que estoy haciendo, lo estoy haciendo bien? Realizar auditorías en donde se pueda verificar que esa identificación, valoración o tratamiento se haga de la manera adecuada, que los controles están operando bien y realizar las acciones correctivas que me ayuden a fortalecer la gestión de riesgos.
También este cuestionamiento puede ayudar a revaluar si es necesario mejorar una metodología en cualquier momento.
A continuación, haremos un Esquema de Generación de Riesgos de Ciberseguridad, que ayuda a tener mayor claridad sobre las actividades que nos comprometemos a realizar.
- Establecer el contexto: económico, financiero, de acuerdo al negocio, clientes y la estrategia a emplear. También se incluye la organización y las partes interesadas.
- Identificar riesgos y fuentes de riesgos: Talleres, análisis de vulnerabilidades, pruebas de intrusión, pruebas de ingeniería social, auditorías, eventos, incidentes, SOC, SOAR y SIEM.
- Analizar y valorar los riesgos: Impacto, probabilidad, nivel de riesgos, ocurrencia de eventos, estado de los controles, evaluaciones de auditorías y juicio de expertos.
- Tratar los riesgos: Diseño de controles, implementación, casos del negocio, proyectos, portafolios y asesoría especializada.
- Comunicar y monitorear: Tendencias, ocurrencias, desempeño, descubrimiento de información y análisis de datos.
La ejecución de los pasos descritos anteriormente, le permiten identificar por qué una adecuada y especializada Gestión Integral es vital para el éxito a largo plazo pues se compromete a cuidar la organización que tiene a su cargo de una manera exhaustiva y completa.
Haciendo una evaluación de las ventajas de lograr una Gestión Integral que abarque tan buenos parámetros y metodologías, en lo que se refiere al mejoramiento, seguridad y continuidad de un negocio, vale tener una buena propuesta que nos ayude a lograrlo y en NewNet la tenemos, aquí les contaremos con cual solución y el por qué:
Esta excelente opción es el software GRC Novasec. Esta es una solución que tiene más de 14 años de experiencia en el mercado y en los diferentes sectores, que permite llevar a cabo una excelente Gestión Integral de Riesgos.
Este sistema va a permitir que tengamos todos los activos de información identificados. Que se pueda saber dónde se encuentra el activo, quién es el custodio, el propietario y si depende de otro activo. Igualmente, permite realizar una valoración de ese activo en términos de la confidencialidad y credibilidad que pueden tocar otras variables.
También permite caracterizar si es un ciberactivo, si hace parte de una infraestructura crítica, si hace parte de un alcance por ejemplo de un PCI y cualquier tema normativo específico, de su industria.
Así mismo, este sistema ayuda a que se pueda encontrar una información clasificada incluso con algunos controles de línea base que se necesiten y que sean tomados en consideración.
Esto es muy importante porque es llevar a que cada proceso de la organización tenga su inventario en activos y que cada persona tenga su usuario y pueda ingresar los nuevos activos manteniéndolos y actualizándolos.
Incluso se puede saber cuáles son los activos más críticos, cómo está clasificada la información, en dónde se encuentran los datos personales y poder analizar fácilmente estos datos porque el sistema los reparte a la medida.
La funcionalidad de reportes, permite conocer información detallada no sólo de los activos, sino de los riesgos y del nivel en que necesiten ser atendidos.
Por ejemplo, en el proceso financiero se tiene una actividad relacionada con la generación de resultados financieros y que es realizada por un analista financiero. Se utiliza para ello una base de datos y un sistema de información relacionados con los activos primarios y los activos de soporte.
Si se tiene un objetivo del negocio como es el de conocer la información contable, para tomar buenas decisiones y si me sucede un riesgo de ciberseguridad que afecte esta actividad, este proceso y objetivo, tiene sentido que lo pongamos en consideración mediante un buen análisis aprovechando la facilidad de tener los datos suficientes y saber cómo dar una respuesta adecuada a estos ataques.
Empleando una buena metodología para estos procesos no se debe olvidar que es aconsejable hacer una evaluación que sea objetiva con base en un buen diseño de controles.
Por otro lado, y en la práctica esta solución de Software especializado puede manejar diferentes tipos de Riesgos como los operacionales o de ciberseguridad, entre otros. También se pueden lograr mapas consolidados de toda una organización en cuestión de segundos. Estos mapas muestran los diferentes riesgos y cómo superarlos.
Se trata de la solución que permitirá optimizar la Gestión de Riesgos en tu negocio, con automatización y metodologías realmente eficientes.