La gestión de riesgos cibernéticos, también llamada gestión de riesgos de ciberseguridad, es el proceso de identificar, priorizar, gestionar y supervisar los riesgos de los sistemas de información. Las empresas de todos los sectores utilizan la gestión de riesgos cibernéticos para proteger los sistemas de información de los ciberataques y otras amenazas digitales y físicas.
La gestión de riesgos cibernéticos se ha convertido en una parte fundamental de los esfuerzos de gestión de riesgos empresariales más amplios. Las empresas de todos los sectores dependen de la tecnología de la información para llevar a cabo funciones de negocio claves en la actualidad, lo que las expone a los ciberdelincuentes, los errores de los empleados, los desastres naturales y otras amenazas de ciberseguridad. Estas amenazas pueden desconectar los sistemas críticos o causar estragos de otras formas, lo que provoca la pérdida de ingresos, el robo de datos, daños a la reputación a largo plazo y multas reglamentarias.
Estos riesgos no se pueden eliminar, pero los programas de gestión de riesgos cibernéticos pueden ayudar a reducir el impacto y la probabilidad de amenazas. Las empresas utilizan el proceso de gestión de riesgos de ciberseguridad para identificar sus amenazas más críticas y seleccionar las medidas de seguridad de TI adecuadas en función de sus prioridades empresariales, infraestructuras de TI y niveles de recursos.
Es difícil evaluar el riesgo cibernético con total certeza. Las empresas rara vez tienen visibilidad total de las tácticas de los ciberdelincuentes, las vulnerabilidades de sus propias redes o riesgos más impredecibles como el clima severo y la negligencia de los empleados. Además, los mismos tipos de ciberataques pueden tener diferentes consecuencias según la compañía. Las filtraciones de datos en el sector sanitario cuestan en promedio 10,10 millones de dólares, mientras que las filtraciones en el sector hotelero cuestan 2,9 millones de dólares, según el informe Cost of a Data Breach de IBM.
Por estas razones, autoridades como el Instituto Nacional de Estándares y Tecnología (NIST) sugieren abordar la gestión de riesgos cibernéticos como un proceso continuo e iterativo en lugar de un evento único. Repasar el proceso regularmente permite a una empresa incorporar nueva información y responder a nuevos desarrollos en el panorama más amplio de amenazas y sus propios sistemas de TI.
Para garantizar que las decisiones de riesgo tengan en cuenta las prioridades y experiencias de toda la organización, el proceso suele ser gestionado por una mezcla de partes interesadas. Los equipos de gestión de riesgos cibernéticos pueden incluir directores, líderes ejecutivos como el CEO y el director de seguridad de la información (CISO), miembros del equipo de TI y seguridad, de jurídico y de recursos humanos, y representantes de otras unidades de negocio.
Las empresas pueden utilizar muchas metodologías de gestión de riesgos cibernéticos, como el Marco de Ciberseguridad del NIST (NIST CSF) y el Marco de Gestión de Riesgos del NIST (NIST RMF). Aunque estos métodos difieren ligeramente, todos siguen un conjunto similar de pasos básicos.
El marco de riesgo es el acto de definir el contexto en el que se toman las decisiones de riesgo. Al enmarcar el riesgo desde el principio, las empresas pueden alinear sus estrategias de gestión de riesgos con sus estrategias empresariales generales. Esta alineación ayuda a evitar errores ineficaces y costosos, como la implantación de controles que interfieren con funciones empresariales clave.
Para enmarcar el riesgo, las empresas definen cosas como:
El alcance del proceso: ¿Qué sistemas y activos se examinarán? ¿Qué tipo de amenazas se analizarán? ¿Con qué cronograma trabaja el proceso (p. ej., riesgos en los próximos seis meses, riesgos en el próximo año, etc.)?
Inventario y priorización de activos: ¿Qué datos, dispositivos, software y otros activos hay en la red? ¿Cuáles de estos activos son los más críticos para la organización?
Recursos y prioridades de la organización: ¿Qué sistemas de TI y procesos de negocio son los más importantes? ¿Qué recursos, financieros y de otro tipo, comprometerá la empresa para la gestión de riesgos cibernéticos?
Requisitos legales y normativos: ¿Qué leyes, estándares u otros mandatos debe cumplir la empresa?
Estas y otras consideraciones dan a la empresa pautas generales al tomar decisiones de riesgo. También ayudan a la empresa a definir su tolerancia al riesgo. Es decir, los tipos de riesgos que puede aceptar y los que no.
Las empresas utilizan las evaluaciones de riesgos de ciberseguridad para identificar amenazas y vulnerabilidades, estimar sus impactos potenciales y priorizar los riesgos más críticos.
La forma en que una empresa realiza una evaluación de riesgos dependerá de las prioridades, el alcance y la tolerancia al riesgo definidos en el paso de encuadre. La mayoría de las evaluaciones valoran lo siguiente:
Las amenazas son personas y eventos que podrían interrumpir un sistema de TI, robar datos o comprometer la seguridad de la información. Las amenazas incluyen ciberataques intencionados (como ransomware o phishing) y errores de empleados (como el almacenamiento de información confidencial en bases de datos no seguras). Los desastres naturales, como terremotos y huracanes, también pueden amenazar los sistemas de información.
Las vulnerabilidades son las fallas o debilidades en un sistema, proceso o activo que las amenazas pueden explotar para causar daño. Las vulnerabilidades pueden ser técnicas, como un firewall mal configurado que permite el malware en una red o un error del sistema operativo que los hackers pueden utilizar para tomar el control remoto de un dispositivo. Las vulnerabilidades también pueden surgir de políticas y procesos débiles, como una política de control de acceso laxa que permite a las personas acceder a más activos de los que necesitan.
Los impactos son lo que una amenaza puede hacer a una empresa. Una amenaza cibernética podría interrumpir los servicios críticos, lo que provocaría tiempo de inactividad y pérdida de ingresos. Los hackers podrían robar o destruir datos confidenciales. Los estafadores podrían utilizar ataques de compromiso del correo electrónico empresarial para engañar a los empleados para que les envíen dinero.
Los impactos de una amenaza pueden extenderse más allá de la organización. Los clientes que roban su información de identificación personal (PII) durante una filtración de datos también son víctimas del ataque.
Debido a que puede ser difícil cuantificar el impacto exacto de una amenaza para la ciberseguridad, las empresas suelen utilizar datos cualitativos como tendencias históricas e historias de ataques a otras organizaciones para estimar el impacto. La criticidad del activo también es un factor: cuanto más crítico sea un activo, más costosos serán los ataques contra él.
El riesgo mide la probabilidad de que una amenaza potencial afecte a una organización y el daño que causaría esa amenaza. Las amenazas que probablemente ocurran y causen daños significativos son las que implican mayor riesgo, mientras que las amenazas poco probables que causarían daños menores son las de menor riesgo.
Durante el análisis de riesgos, las empresas consideran múltiples factores para evaluar la probabilidad de una amenaza. Los controles de seguridad existentes, la naturaleza de las vulnerabilidades de TI y los tipos de datos que posee una empresa pueden influir en la probabilidad de amenaza. Incluso el sector de una empresa puede desempeñar un papel: el X-Force Threat Intelligence Index encontró que las organizaciones de fabricación y finanzas se enfrentan a más ciberataques que aquellas que operan en el sector del transporte y telecomunicaciones.
Las evaluaciones de riesgos pueden recurrir a fuentes de datos internas, como los sistemas de gestión de información de seguridad y eventos (SIEM) y la inteligencia de amenazas externa. También pueden analizar las amenazas y vulnerabilidades de la cadena de suministro de la empresa, ya que los ataques a los proveedores pueden afectar a la empresa.
Valorando todos estos factores, la compañía puede construir su perfil de riesgo. Un perfil de riesgo proporciona un catálogo de los riesgos potenciales de la empresa, priorizándolos en función del nivel de criticidad. Cuanto mayor riesgo implique una amenaza, más crítica es para la organización.
La empresa utiliza los resultados de la evaluación de riesgos para determinar cómo responderá a los riesgos potenciales. Los riesgos considerados muy poco probables o de bajo impacto pueden simplemente aceptarse, ya que invertir en medidas de seguridad puede ser más costoso que el riesgo en sí.
Generalmente se abordarán los riesgos probables y los riesgos con mayor impacto. Las posibles respuestas al riesgo incluyen:
La mitigación es el uso de controles de seguridad que dificultan explotar una vulnerabilidad o minimizar el impacto de la explotación. Entre los ejemplos se incluyen colocar un sistema de prevención de intrusiones (IPS) en torno a un activo valioso e implementar planes de respuesta ante incidentes para detectar y tratar rápidamente las amenazas.
La remediación significa abordar por completo una vulnerabilidad para que no pueda explotarse. Los ejemplos incluyen corregir un error de software o retirar un activo vulnerable.
Si la mitigación y la remediación no son prácticas, una empresa puede transferir la responsabilidad del riesgo a otra parte. Comprar una póliza de seguro cibernético es la forma más común de transferir el riesgo.
La organización supervisa sus nuevos controles de seguridad para verificar que funcionan según lo previsto y cumplen los requisitos normativos pertinentes.
La organización también supervisa el panorama de amenazas más amplio y su propio ecosistema de TI. Los cambios en cualquiera de ellos (la aparición de nuevas amenazas o la incorporación de nuevos activos de TI) pueden generar nuevas vulnerabilidades o hacer que los controles que antes eran efectivos queden obsoletos. Al mantener una vigilancia constante, la empresa puede ajustar su programa de ciberseguridad y su estrategia de gestión de riesgos casi en tiempo real.
A medida que las empresas han recurrido a la tecnología para todo, desde las operaciones diarias hasta los procesos críticos para el negocio, sus sistemas de TI se han vuelto más grandes y complejos. La explosión de los servicios en la nube, el auge del teletrabajo y la creciente dependencia de proveedores de servicios de TI externos han incorporado a más personas, dispositivos y software a la red de una empresa promedio. A medida que crece un sistema de TI, también lo hace su superficie de ataque. Las iniciativas de gestión de riesgos cibernéticos ofrecen a las empresas una forma de mapear y gestionar sus superficies de ataque cambiantes, mejorando la postura de seguridad.
El panorama general de las amenazas también evoluciona constantemente. Cada mes, se añaden aproximadamente 2000 vulnerabilidades nuevas a la base de datos nacional de vulnerabilidad del NIST (enlace externo a ibm.com). Miles de nuevas variantes de malware se detectan mensualmente (enlace externo a ibm.com), y eso es solo un tipo de ciberamenaza.
Sería poco realista y financieramente imposible para una empresa cerrar todas las vulnerabilidades y contrarrestar todas las amenazas. La gestión del riesgo cibernético puede ofrecer a las empresas una forma más práctica de gestionar el riesgo al centrar los esfuerzos de seguridad de la información en las amenazas y vulnerabilidades con mayor probabilidad de afectarlas. De este modo, la empresa no aplica costosos controles a activos de bajo valor y no críticos.
Las iniciativas de gestión de riesgos cibernéticos también pueden ayudar a las organizaciones a cumplir con el Reglamento General de Protección de Datos (RGPD), la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), el Estándar de Seguridad de Datos del sector de tarjetas de pago pagos (PCI-DSS) y otras regulaciones. Durante el proceso de gestión de riesgos cibernéticos, las empresas consideran estos estándares al diseñar sus programas de seguridad. Los informes y datos generados durante la fase de supervisión pueden ayudar a las empresas a demostrar que actuaron con la diligencia debida durante las auditorías y las investigaciones posteriores a la infracción.
A veces, es posible que las empresas deban seguir marcos específicos de gestión de riesgos. Las agencias federales estadounidenses deben cumplir tanto con la RMF como con la CSF del NIST. Los contratistas federales también pueden necesitar cumplir con estos marcos, ya que los contratos gubernamentales a menudo utilizan estándares NIST para establecer requisitos de ciberseguridad.
Supere los ataques con una suite de seguridad conectada y modernizada. La cartera de QRadar está integrada con IA de nivel empresarial y ofrece productos integrados para seguridad de puntos finales, gestión de registro, SIEM y SOAR, todo con una interfaz de usuario común, información compartida y flujos de trabajo conectados.
La búsqueda proactiva de amenazas, la supervisión continua y una investigación profunda de las amenazas son solo algunas de las prioridades a las que se enfrenta un departamento de TI que ya está muy ajetreado. Contar con un equipo de respuesta a incidentes que sea de confianza puede reducir el tiempo de respuesta, minimizar el impacto de un ciberataque y ayudarle a recuperarse más rápidamente.
Gestione el riesgo de TI mediante el establecimiento de estructuras de gobierno que aumenten la madurez de la ciberseguridad con un enfoque integrado de gobernanza, riesgo y cumplimiento (GRC)
El informe "Coste de una filtración de datos" comparte las últimas perspectivas sobre el creciente panorama de las amenazas y ofrece recomendaciones para ahorrar tiempo y limitar las pérdidas.
Encuentre información práctica que le ayude a entender cómo los actores de amenazas llevan a cabo sus ataques y cómo proteger su organización de forma proactiva.
La gestión de riesgos es el proceso de identificar, evaluar y controlar los riesgos financieros, legales, estratégicos y de seguridad para el capital y los beneficios de una organización.