En el panorama moderno de la gestión de riesgos de ciberseguridad, una verdad incómoda es clara: gestionar los riesgos cibernéticos en toda la empresa es más difícil que nunca. Mantener las arquitecturas y los sistemas seguros y en cumplimiento puede parecer abrumador incluso para los equipos más capacitados de la actualidad.
¿Por qué la gestión del riesgo cibernético es mucho más difícil hoy que nunca?
Comience con la explosión de servicios en la nube y proveedores externos que se comunican con datos confidenciales. Un estudio del Ponemon Institute estima que la empresa promedio comparte información confidencial con 583 terceros. Los equipos de seguridad de TI están muy ocupados, administrando infraestructuras complejas llenas de riesgos de proveedores.
Mientras tanto, las organizaciones se enfrentan a un número creciente de leyes y reglamentos que rigen cómo deben protegerse los datos confidenciales. Las empresas de hoy son responsables de que terceros procesen datos en su nombre. Como si manejar su propio riesgo no fuera lo suficientemente desafiante, las organizaciones de hoy también deben administrar el riesgo del proveedor.
No olvide tener en cuenta la pandemia de COVID-19 con empleados que trabajan de forma remota en redes no seguras, protocolos de seguridad codificados y recortes de personal y presupuesto impulsados por la recesión. Las empresas enfrentan más responsabilidades con menos recursos, todo bajo la presión de regulaciones cada vez mayores que conllevan severas sanciones por incumplimiento.
¿Qué es la Gestión de Riesgos de Ciberseguridad?
La gestión de riesgos de ciberseguridad es un proceso continuo de identificación, análisis, evaluación y tratamiento de las amenazas de ciberseguridad de su organización.
La gestión de riesgos de ciberseguridad no es simplemente el trabajo del equipo de seguridad; todos en la organización tienen un papel que desempeñar. A menudo aislados, los empleados y los líderes de las unidades comerciales ven la gestión de riesgos desde su función comercial. Lamentablemente, carecen de la perspectiva holística necesaria para abordar el riesgo de manera integral y coherente.
Entonces, ¿quién debe poseer qué parte del riesgo de seguridad? La respuesta corta es todos: comparten la propiedad y la responsabilidad total. Sin embargo, se complica cuando cuatro funciones comerciales tienen un caballo en la carrera.
Cada función tiene su agenda, a menudo con comprensión y empatía limitadas por los demás. TI lidera con ideas frescas y nuevas tecnologías, y a menudo ve la seguridad y el cumplimiento como obstáculos molestos para el progreso. La seguridad conoce la seguridad, pero a menudo está fuera de contacto con las regulaciones y las tecnologías en evolución. El equipo de ventas busca mantener contentos a sus clientes y clama por una forma eficiente de completar las auditorías de seguridad. Cumplimiento quiere evitar que todos se metan en problemas mediante el cumplimiento estricto de las normas, y a menudo operan sin un conocimiento profundo de la seguridad.
La gestión eficaz del riesgo de ciberseguridad requiere que todas las funciones operen con roles claramente definidos y con responsabilidades específicas. Los días en que los departamentos aislados tropezaban en una confusión desconectada han terminado. El panorama de riesgos actual requiere una solución de gestión unificada, coordinada, disciplinada y coherente. A continuación se presentan algunos componentes clave de acción de gestión de riesgos que todas las organizaciones deben tener en cuenta:
- Desarrollo de políticas y herramientas sólidas para evaluar el riesgo de los proveedores
- Identificación de riesgos emergentes, como nuevas regulaciones con impacto en el negocio
- Identificación de debilidades internas como la falta de autenticación de dos factores
- Mitigación de riesgos de TI, posiblemente a través de programas de capacitación o nuevas políticas y controles internos
- Prueba de la postura de seguridad general
- Documentación de gestión de riesgos y seguridad de proveedores para exámenes reglamentarios o para apaciguar a posibles clientes
- El proceso de gestión de riesgos de ciberseguridad
Cuando se trata de administrar el riesgo, las organizaciones generalmente siguen un proceso de cuatro pasos que comienza con la identificación del riesgo. A continuación, el riesgo se evalúa en función de la probabilidad de que las amenazas aprovechen las vulnerabilidades y el impacto potencial. Los riesgos se priorizan y las organizaciones eligen entre una variedad de estrategias de mitigación. El cuarto paso, el monitoreo, está estructurado para la respuesta al riesgo y los controles actuales a pesar de un entorno en constante cambio.
La buena noticia para las organizaciones que buscan evaluar su nivel de riesgo es que hay mucha ayuda disponible. El Instituto Nacional de Estándares creó un marco de gestión de riesgos de terceros conocido como NIST Special Publication 800-30 para guiar las evaluaciones de riesgos del sistema de información federal. El marco 800-30 amplía las instrucciones de la Publicación especial 800-39. Está estrechamente relacionado con la Publicación especial 800-53, otro marco de gestión de riesgos de terceros que proporciona un catálogo de controles de seguridad y privacidad para los sistemas de información federales.
Para mas información sobre el tema te recomendamos: ¿Qué es el datawarehouse?
Comentarios