7 pasos para gestionar el riesgo de un ciberataque catastrófico

In mayo 9, 2019

¿Cómo deben planificar las empresas, para sobrevivir a un posible evento de extinción de un ciberataque?

Las organizaciones han estado trabajando las 24 horas del día para defenderse contra ataques y “exploits” durante muchos años, pero gran parte de la sabiduría convencional sobre seguridad es reactiva y la mayoría de las herramientas de seguridad disponibles sólo son efectivas contra amenazas conocidas.

Los siguientes puntos permiten a la empresa ver si necesita hacer más para gestionar el riesgo, así como qué respuestas tienen el mayor efecto, identificando, por ejemplo, si se lograría una mayor reducción del riesgo mediante la inversión en más tecnología o una campaña de concienciación cibernética más específica para los empleados.

A continuación, les compartimos los siete pasos para gestionar el riesgo de un ciberataque catastrófico:

1. Documentar los impactos potenciales

2. Identificar a los conductores

3. Evaluar el peor de los casos

4. Clasificar la probabilidad de que ocurra cada impacto

5. Pensar en las respuestas

6. Evaluar si los controles están establecidos y funcionan

7. Calificar la eficacia de las respuestas

Si todavía existe un riesgo, entonces se debe dedicar tiempo a mejorar los planes de continuidad del negocio de la organización para tener en cuenta estos escenarios, como la falta de recuperación de datos clave, y actualizar los planes de incidentes críticos para los escenarios en los que la empresa podría tener que contactar con organismos externos como la policía, los clientes o las organizaciones reguladoras.

A lo largo de este proceso, la calidad de la información es primordial. La precisión mejorará drásticamente con hechos y datos clave para informar los distintos escenarios.

Del mismo modo, proporcionar a las personas clasificaciones y medidas apropiadas y coherentes para cuantificar los impactos, junto con directrices que les ayuden a comprender cuál seleccionar, también ayudará a garantizar una mayor coherencia. Esto es particularmente importante si varias personas participan en los procesos de evaluación.

Como es muy poco probable que una organización se enfrente a un solo riesgo de amenaza cibernética a nivel de extinción, vale la pena dividir el riesgo principal en componentes más pequeños que puedan gestionarse con mayor facilidad.

Por ejemplo, es probable que el riesgo de “spoofing” de correo electrónico se deba a la ingeniería social o al phishing, y la respuesta puede ser una capacitación sobre concientización cibernética o una política obligatoria de seguridad en Internet reforzada con los exámenes y preguntas adecuados, todo ello con el objetivo de evitar que los empleados hagan clic en enlaces sospechosos.

Esto permite agrupar los riesgos «menores» para obtener la visibilidad global del riesgo «máximo».

Prepararse para los escenarios del Día del Juicio Final, puede parecer aterrador o innecesario – o ambos. Sin embargo, la inversión en la gestión preventiva del riesgo debe considerarse una buena práctica empresarial para el siglo XXI. Una empresa tiene muy poca influencia en la prevención de un ataque, pero puede tener un grado significativo de control sobre las respuestas y la estrategia de recuperación (medidas de reducción de impacto) que adopta.

En Alternativas en Computación le ayudaremos a tomar conciencia de su nivel de seguridad y conocer qué problemas de seguridad son más importantes para su organización. Contamos con un servicio de administración de seguridad y monitoreo que le permitirá poner en marcha su estrategia en breve y orientar sus recursos en labores operativas propias del negocio.

¡Si desea agendar una cita, por favor déjenos sus datos!

Solicite una visita

Fuente: ComputerWeekly

Related Articles

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Información