Para protegerse, una empresa necesita conocer los riesgos a los que está expuesta y, en consecuencia, diseñar una estrategia de ciberseguridad que le permita detectar y responder a los ataques de malware, phishing, robo de datos y propiedad, entre otras amenazas, que se gestan tanto dentro como fuera de su red.
A fin de tener tal visibilidad, la gestión de riesgos de seguridad tiene un rol altamente relevante, pues permite identificar, evaluar y responder a ellos de manera continua para que, con base en los conocimientos obtenidos, una empresa sea capaz de determinar cuál es el nivel de riesgo aceptable y poder seguir operando, así como definir la tolerancia que tenga a este.
En otras palabras, hacer una evaluación integral del riesgo de seguridad permite a las organizaciones sopesar sus necesidades de protección en el contexto de sus requerimientos empresariales y organizacionales.
De igual forma, la gestión de riesgos de seguridad les permite priorizar y tomar decisiones informadas respecto a la ciberseguridad, al tiempo de permitirles seleccionar y dirigir las mejores dinámicas en la gestión de riesgos en los entornos de TI y de sistemas de control industriales (ICS).
Este proceso es fundamental en un momento en que las amenazas van en aumento. De acuerdo con datos de Willis Towers Watson, se prevé que para finales de 2022 se realicen 35 ataques cibernéticos cada segundo. Por otro lado, se espera que para el 2024 el costo de las brechas de datos por dichos ataques ascienda a $5 mil millones de dólares.
Tolerancia al riesgo
La gestión de riesgos de seguridad contempla esencialmente la identificación, evaluación y mitigación de los riesgos, así como de las vulnerabilidades latentes, su impacto en la información, los sistemas y las propias organizaciones.
Este proceso ayuda también a identificar los activos críticos de información, y se amplía para incluir a personas, procesos de negocio y tecnología, además de entender el rol crítico de los activos críticos en las operaciones, la misión y la continuidad del negocio.
Cabe mencionar que, para lograr una gestión del riesgo de seguridad exitosa, es importante utilizar tecnologías de gestión para lograr una implementación flexible y basada en el riesgo que utilice una amplia gama de procesos de gestión de riesgos de seguridad. Entre estos se encuentra ISO 31000, una norma internacional que ofrece las directrices y principios para gestionar el riesgo de las organizaciones; e ISO/IEC 27005, que proporciona directrices para el establecimiento de un enfoque sistemático de gestión de riesgos de seguridad de la información.
Al tener una visión amplia y concreta de su tolerancia al riesgo, las empresas pueden entonces priorizar las actividades de seguridad y hacer una planeación objetiva del presupuesto que destinarán a estas. Asimismo, agiliza la capacidad de cuantificar y comunicar los ajustes realizados a los programas de seguridad informática.
Cinco funciones estratégicas
Para que una organización logre implementar sólidamente la gestión de riesgos de seguridad y llevar la protección cibernética a su más alto nivel, puede llevar a cabo cinco funciones clave: identificar, proteger, detectar, responder y recuperar. Estas se alinean además con metodologías que se utilizan actualmente para la gestión de incidentes, y permiten mostrar el impacto que tienen las inversiones hechas en el rubro de la ciberseguridad.
Por ejemplo, los fondos destinados a la planificación y ejercicios que permiten brindar una respuesta oportuna y ejecutar acciones de recuperación, reduciendo el impacto en la prestación de servicios.
Identificar. Esta actividad es crítica para utilizar efectivamente el marco NIST, y desarrollar una compresión organizacional a fin de gestionar el riesgo de seguridad para los sistemas, activos, datos y capacidades. Asimismo, permite visualizar los recursos que respaldan las funciones críticas y los riesgos a fin de que la empresa se enfoque y priorice sus esfuerzos en línea con su estrategia de gestión de riesgos y sus necesidades comerciales.
Esta función incluye categorías clave como la gestión de activos, entorno de negocios, gobernanza, evaluación de riesgos y estrategia de gestión de riesgos.
Proteger. Consiste en desarrollar e implementar la protección adecuada para garantizar la entrega de servicios de infraestructura críticos. La función de protección habilita la capacidad de limitar o contener el impacto de un evento de seguridad potencial.
El control de acceso, la consciencia y el entrenamiento, la seguridad de los datos, los procesos y procedimientos de protección de la información, el mantenimiento y la tecnología de protección integran los resultados de esta función.
Detectar. Aquí las actividades específicas para identificar la ocurrencia de un evento de ciberseguridad, y descubrir oportunamente dichos eventos, se desarrollan e implementan. Entre las categorías de resultados destacan las anomalías y eventos, el monitoreo continuo de la seguridad, y los procesos de detección.
Responder. En esta función se desarrollan y ejecutan aplicaciones para tomar las medidas pertinentes respecto a un evento de ciberseguridad que se ha detectado. Permite, con consecuencia, contener cualquier impacto potencial. Los ejemplos de categorías de resultados incluyen la planificación de respuestas, comunicaciones, análisis, mitigación y mejoras.
Recuperar. Finalmente, se diseñan y ponen en práctica las actividades para mantener los planes de resiliencia y se restauran las capacidades o servicios que fueron afectados por un evento de ciberseguridad. En esta etapa, se restauran las operaciones normales para minimizar cualquier impacto negativo. Las categorías resultantes incluyen la planificación de la recuperación, mejoras y comunicaciones.
A fin de identificar y proteger sus activos más críticos –incluyendo la información, la TI y los procesos de negocio– las empresas necesitan ser más proactivas. La gestión del riesgo de seguridad de la información les da los elementos para hacer una evaluación integral de lo que se debe proteger y por qué, y se convierte en un elemento decisivo en la estrategia de ciberseguridad.
