La importancia de realizar una evaluación de riesgos de TI efectiva

In mayo 2, 2019

Por Ram Vaidyanathan, IT Security y Cyber Risk Analyst, ManageEngine

Actualmente, una organización debe ser consciente de que alguien puede atacarlos y debe estar preparada. Una encuesta reciente sugiere que cerca del 70 por ciento de las organizaciones no están preparadas para un ataque cibernético.

El hacker Kevin Mitnick, asegura:

“Nunca puedes protegerte al 100 por ciento. Lo que haces es resguardarte tanto como sea posible para disminuir el riesgo a un grado considerable, aunque nunca puedes eliminar el peligro por completo”.

De acuerdo con IDC, las empresas mexicanas están preocupadas por invertir en soluciones de seguridad. Para 2019, la proyección del mercado de ciberseguridad en nuestro país se encuentra estimada en $915 millones de dólares, del cual 64% corresponde a servicios de seguridad que abarca servicios administrados y profesionales.

Para realizar una evaluación de riesgos efectiva, las organizaciones deben:

1. Identificar todos los activos de información valiosa.

Para que una organización sepa qué activos de información son valiosos, es necesario entender la naturaleza del negocio. Las compañías deben preguntarse cómo generan ingresos y ganancias – identificando la información que es decisiva para sus operaciones diarias. Debe considerar a la información de contacto del cliente, los archivos de diseño del producto, los secretos comerciales y los documentos de la hoja de ruta como sus activos más importantes. Independientemente del tipo de datos que las empresas identifiquen como fundamentales, es importante que comprendan cómo fluyen todos éstos en sus redes e identificar qué equipos y servidores se utilizan para almacenar esta información.

Para proteger mejor a los activos de información, las compañías necesitan un equipo central de riesgo. En una PYME, la mayoría de las veces este equipo está compuesto por altos ejecutivos. Para empresas más grandes, se requiere de un modelo híbrido de administración de riesgos, donde cada jefe puede ser asignado como el propietario del riesgo para la función de su departamento.

2. Estimar el impacto de las pérdidas en el negocio.

Evaluar el riesgo y el impacto van de la mano. Para cada activo de datos valioso, las organizaciones deben estimar el impacto negativo que la pérdida de la información tendría sobre sus finanzas. Además de los costos directos, las estimaciones de pérdidas también deben incluir costos intangibles como daños a la reputación y ramificaciones legales. Todos los equipos deben utilizar un formato común para su documentación y asegurar que la información sea uniforme.

3. Determinar las amenazas para la empresa.

Una amenaza es cualquier cosa que tenga el potencial de causar daño a los activos de información valiosos para la compañía. Las amenazas a las que hacen frente las compañías incluyen cortes de energía, fallas en el sistema, desastres naturales, acciones accidentales internas (como la eliminación por error de un archivo importante), acciones maliciosas internas (como un infiltrado que se adhiere a un grupo de seguridad privilegiado) y acciones maliciosas externas (phishing, malware, etc.). Cada empresa debe contar con un equipo central de riesgos para determinar las amenazas más probables y planificar en consecuencia.

4. Analizar las vulnerabilidades.

Una vulnerabilidad es una debilidad o brecha en la red, los sistemas, las aplicaciones o incluso los procesos de una empresa que pueden impactar negativamente en una organización. El uso de herramientas de escaneo puede resultar útil para realizar un análisis exhaustivo de los sistemas, y también se pueden usar técnicas de prueba de penetración o de hackeo ético para profundizar.

5. Establecer un marco de gestión de riesgos

Un riesgo es un concepto de negocio, que puede representarse mediante la siguiente fórmula:

Riesgo = Vulnerabilidad*Amenaza*Impacto en el negocio

Para reducir el riesgo, los equipos de TI deben minimizar las amenazas a las que están expuestos, las vulnerabilidades que existen en sus entornos o una combinación de ambos. La administración también puede decidir evaluar el impacto en el negocio de cada activo de datos y tomar medidas para reducirlo. El equipo de riesgo central debe asignar valores de riesgo alto, medio o bajo para la potencial pérdida de cada activo de datos valioso. Mediante este proceso, una empresa puede determinar qué riesgos de activos de datos deben priorizarse. Una vez completado, una empresa debe encontrar soluciones o reparaciones para cada riesgo identificado y el costo asociado para cada solución.

Una vez que se ha establecido un parámetro, las empresas deben determinar qué nivel de riesgo están tomando. ¿Quieren abordar todos los riesgos o solo los que fueron identificados como altos? La respuesta dependerá de cada compañía, mientras que el costo total estimado de las soluciones, junto con el retorno de inversión proyectado, tendrán una gran influencia en la administración del riesgo.

En Alternativas en Computación le ayudaremos a tomar conciencia de su nivel de seguridad y conocer qué problemas de seguridad son más importantes para su organización. Contamos con un servicio de administración de seguridad y monitoreo que le permitirá poner en marcha su estrategia en breve y orientar sus recursos en labores operativas propias del negocio.

Solicita una visita

Fuente: Computer World México

Image by Pete Linforth from Pixabay

Related Articles

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Información