Inicio
Topics
Gestión de riesgos cibernéticos
La gestión de ciberriesgos, también llamada gestión de riesgos de ciberseguridad, es el proceso de identificar, priorizar, gestionar y monitorizar los riesgos de los sistemas de información.
La gestión de ciberriesgos se ha convertido en una parte fundamental de los esfuerzos de gestión de riesgos empresariales más amplios. Las empresas de todos los sectores dependen de la tecnología de la información para llevar a cabo funciones de negocio claves en la actualidad, lo que las expone a los ciberdelincuentes, los errores de los empleados, los desastres naturales y otras amenazas de ciberseguridad. Estas amenazas pueden desconectar los sistemas cruciales o causar estragos de otras formas, lo que provoca la pérdida de ingresos, el robo de datos, daños a la reputación a largo plazo y multas reglamentarias.
Estos riesgos no se pueden eliminar, pero los programas de gestión de ciberriesgos pueden ayudar a reducir el impacto y la probabilidad de amenazas. Las empresas utilizan el proceso de gestión de riesgos de ciberseguridad para identificar sus amenazas más cruciales y seleccionar las medidas de seguridad de TI adecuadas para proteger los sistemas de información de los ciberataques y otras amenazas digitales y físicas en función de sus prioridades comerciales, infraestructuras de TI y niveles de recursos.
Obtenga conocimientos para gestionar mejor el riesgo de una vulneración de datos con el último informe "Coste de una filtración de datos".
Es difícil evaluar el ciberriesgo con total certeza. Las empresas rara vez tienen plena visibilidad de las tácticas de los ciberdelincuentes, las vulnerabilidades de su propia red o riesgos más impredecibles como las inclemencias meteorológicas y la negligencia de los empleados. Además, los mismos tipos de ciberataques pueden tener diferentes consecuencias según la compañía. Las vulneraciones de datos en el sector sanitario cuestan en promedio 10,10 millones de dólares, mientras que las filtraciones en el sector hotelero cuestan 2,9 millones de dólares, según el informe "Cost of a Data Breach" de IBM.
Por estas razones, autoridades como el Instituto Nacional de Estándares y Tecnología (NIST) sugieren abordar la gestión de riesgos cibernéticos como un proceso continuo e iterativo en lugar de un evento único. Repasar el proceso regularmente permite a una empresa incorporar nueva información y responder a nuevos desarrollos en el panorama más amplio de amenazas y sus propios sistemas de TI.
Para garantizar que las decisiones sobre riesgos tienen en cuenta las prioridades y experiencias de toda la organización, el proceso suele estar a cargo de una combinación de partes interesadas. Los equipos de gestión de riesgos cibernéticos pueden incluir directores, líderes ejecutivos como el director general y el director de seguridad de la información (CISO), miembros del equipo de TI y seguridad, de jurídico y de recursos humanos, y representantes de otras unidades de negocio.
Las empresas pueden utilizar muchas metodologías de gestión de riesgos cibernéticos, como el Marco de Ciberseguridad del NIST (NIST CSF) y el Marco de Gestión de Riesgos del NIST (NIST RMF). Aunque estos métodos difieren ligeramente, todos siguen un conjunto similar de pasos básicos.
El marco de riesgo es el acto de definir el contexto en el que se toman las decisiones de riesgo. Al enmarcar el riesgo desde el principio, las empresas pueden alinear sus estrategias de gestión de riesgos con sus estrategias empresariales generales. Esta alineación ayuda a evitar errores ineficaces y costosos, como la implantación de controles que interfieren con funciones empresariales clave.
Para enmarcar el riesgo, las empresas definen cosas como las siguientes:
El alcance del proceso: ¿Qué sistemas y activos se examinarán? ¿Qué tipo de amenazas se analizarán? ¿Con qué cronograma trabaja el proceso (p. ej., riesgos en los próximos seis meses, riesgos en el próximo año, etc.)?
Inventario y priorización de activos: ¿Qué datos, dispositivos, software y otros activos hay en la red? ¿Cuáles de estos activos son los más cruciales para la organización?
Recursos y prioridades de la organización: ¿Qué sistemas de TI y procesos de negocio son los más importantes? ¿Qué recursos, financieros y de otro tipo, comprometerá la empresa para la gestión de riesgos cibernéticos?
Requisitos legales y normativos: ¿Qué leyes, estándares u otros mandatos debe cumplir la empresa?
Estas y otras consideraciones dan a la empresa pautas generales al tomar decisiones de riesgo. También ayudan a la empresa a definir su tolerancia al riesgo. Es decir, los tipos de riesgos que puede aceptar y los que no.
Las empresas utilizan las evaluaciones de riesgos de ciberseguridad para identificar amenazas y vulnerabilidades, estimar sus impactos potenciales y priorizar los riesgos más cruciales.
La forma en que una empresa realiza una evaluación de riesgos dependerá de las prioridades, el alcance y la tolerancia al riesgo definidos en el paso de encuadre. La mayoría de las evaluaciones valoran lo siguiente:
Las amenazas son personas y eventos que podrían interrumpir un sistema de TI, robar datos o comprometer la seguridad de la información. Las amenazas incluyen ciberataques intencionales (como ransomware o phishing) y errores de los empleados (como almacenar información confidencial en bases de datos no seguras). Los desastres naturales, como terremotos y huracanes, también pueden amenazar los sistemas de información.
Las vulnerabilidades son los fallos o debilidades en un sistema, proceso o activo que las amenazas pueden explotar para causar daño. Las vulnerabilidades pueden ser técnicas, como un firewall mal configurado que permite el malware en una red o un error del sistema operativo que los hackers pueden utilizar para tomar el control remoto de un dispositivo. Las vulnerabilidades también pueden surgir de políticas y procesos débiles, como una política de control de acceso laxa que permite a las personas acceder a más activos de los que necesitan.
Los impactos son lo que una amenaza puede hacer a una empresa. Una ciberamenaza podría interrumpir los servicios cruciales, lo que provocaría tiempo de inactividad y pérdida de ingresos. Los hackers podrían robar o destruir datos confidenciales. Los estafadores podrían utilizar ataques de compromiso del correo electrónico empresarial para engañar a los empleados para que les envíen dinero.
Los impactos de una amenaza pueden extenderse más allá de la organización. Los clientes que roban su información de identificación personal (PII) durante una vulneración de datos también son víctimas del ataque.
Debido a que puede ser difícil cuantificar el impacto exacto de una amenaza para la ciberseguridad, las empresas suelen utilizar datos cualitativos como tendencias históricas e historias de ataques a otras organizaciones para estimar el impacto. La criticidad del activo también es un factor: cuanto más crítico sea un activo, más costosos serán los ataques contra él.
El riesgo mide la probabilidad de que una amenaza potencial afecte a una organización y el daño que causaría esa amenaza. Las amenazas que probablemente ocurran y causen daños significativos son las que implican mayor riesgo, mientras que las amenazas poco probables que causarían daños menores son las de menor riesgo.
Durante el análisis de riesgos, las empresas consideran múltiples factores para evaluar la probabilidad de una amenaza. Los controles de seguridad existentes, la naturaleza de las vulnerabilidades de TI y los tipos de datos que posee una empresa pueden influir en la probabilidad de amenaza. Incluso el sector de una empresa puede influir: en el X-Force Threat Intelligence Index descubrió que las organizaciones de los sectores manufacturero y financiero enfrentan más ciberataques que las organizaciones de transporte y telecomunicaciones.
Las evaluaciones de riesgos pueden recurrir a fuentes de datos internas, como los sistemas de gestión de información de seguridad y eventos (SIEM) y la inteligencia de amenazas externa. También pueden analizar las amenazas y vulnerabilidades de la cadena de suministro de la empresa, ya que los ataques a los proveedores pueden afectar a la empresa.
Valorando todos estos factores, la compañía puede construir su perfil de riesgo. Un perfil de riesgo proporciona un catálogo de los riesgos potenciales de la empresa, priorizándolos en función del nivel de criticidad. Cuanto mayor riesgo implique una amenaza, más crítica es para la organización.
La empresa utiliza los resultados de la evaluación de riesgos para determinar cómo responderá a los riesgos potenciales. Los riesgos considerados poco probables, o de bajo impacto, pueden simplemente aceptarse, ya que invertir en medidas de seguridad puede ser más caro que el propio riesgo.
Generalmente se abordarán los riesgos probables y los riesgos con mayor impacto. Entre las posibles respuestas al riesgo se incluyen las siguientes:
La mitigación es el uso de controles de seguridad que dificultan explotar una vulnerabilidad o minimizar el impacto de la explotación. Entre los ejemplos se incluyen colocar un sistema de prevención de intrusiones (IPS) en torno a un activo valioso e implementar planes de respuesta a incidentes para detectar y tratar rápidamente las amenazas.
La remediación significa abordar por completo una vulnerabilidad para que no pueda explotarse. Los ejemplos incluyen corregir un error de software o retirar un activo vulnerable.
Si la mitigación y la remediación no son prácticas, una empresa puede transferir la responsabilidad del riesgo a otra parte. Comprar una póliza de seguro cibernético es la forma más común de transferir el riesgo.
La organización supervisa sus nuevos controles de seguridad para verificar que funcionan según lo previsto y cumplen los requisitos normativos pertinentes.
La organización también monitoriza el panorama de amenazas más amplio y su propio ecosistema de TI. Los cambios en cualquiera de ellos (la aparición de nuevas amenazas o la incorporación de nuevos activos de TI) pueden generar nuevas vulnerabilidades o hacer que los controles que antes eran efectivos queden obsoletos. Al mantener una vigilancia constante, la empresa puede ajustar su programa de ciberseguridad y su estrategia de gestión de riesgos casi en tiempo real.
A medida que las empresas han recurrido a la tecnología para todo, desde las operaciones diarias hasta los procesos cruciales para el negocio, sus sistemas de TI se han vuelto más grandes y complejos. La explosión de los servicios en la nube, el auge del teletrabajo y la creciente dependencia de proveedores de servicios de TI externos han incorporado a más personas, dispositivos y software a la red de una empresa promedio. A medida que crece un sistema de TI, también lo hace su superficie de ataque. Las iniciativas de gestión de ciberriesgos ofrecen a las empresas una forma de mapear y gestionar sus superficies de ataque cambiantes, lo que mejora la posición de seguridad.
El panorama general de las amenazas también evoluciona constantemente. Cada mes, se añaden aproximadamente 2000 vulnerabilidades nuevas a la base de datos nacional de vulnerabilidades del NIST (enlace externo a ibm.com). Se detectan miles de nuevas variantes de malware mensualmente (enlace externo a ibm.com), y ese es sólo un tipo de ciberamenaza.
Sería poco realista y financieramente imposible para una empresa cerrar todas las vulnerabilidades y contrarrestar todas las amenazas. La gestión del riesgo cibernético puede ofrecer a las empresas una forma más práctica de gestionar el riesgo al centrar los esfuerzos de seguridad de la información en las amenazas y vulnerabilidades con mayor probabilidad de afectarlas. De este modo, la empresa no aplica costosos controles a activos de bajo valor y no críticos.
Las iniciativas de gestión de ciberriesgos también pueden ayudar a las organizaciones a cumplir con el Reglamento General de Protección de Datos, la Ley de Portabilidad y Responsabilidad del Seguro Médico, el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago y otras regulaciones. Durante el proceso de gestión de ciberriesgos, las empresas consideran estos estándares al diseñar sus programas de seguridad. Los informes y datos generados durante la fase de monitorización pueden ayudar a las empresas a demostrar que actuaron con la diligencia debida durante las auditorías y las investigaciones posteriores a la vulneración.
A veces, es posible que las empresas deban seguir marcos específicos de gestión de riesgos. Las agencias federales estadounidenses deben cumplir tanto con la RMF como con la CSF del NIST. Los contratistas federales también pueden necesitar cumplir con estos marcos, ya que los contratos gubernamentales a menudo utilizan estándares NIST para establecer requisitos de ciberseguridad.
Supere los ataques con una suite de seguridad conectada y modernizada. La cartera de QRadar integrada IA de nivel empresarial y ofrece productos integrados para seguridad de puntos finales, administración de registros, SIEM y SOAR, todo con una interfaz de usuario común, información compartida y flujos de trabajo conectados.
La búsqueda proactiva de amenazas, la monitorización continua y la investigación en profundidad de las mismas son sólo algunas de las prioridades a las que se enfrenta un departamento de TI ya de por sí muy ocupado. Contar con un equipo de respuesta a incidentes de confianza en estado de alerta puede reducir su tiempo de respuesta, minimizar el impacto de un ciberataque y ayudarle a recuperarse más rápidamente.
Gestione los riesgos informáticos estableciendo estructuras que mejoren la madurez de su ciberseguridad mediante un enfoque integrado de gobierno, gestión de riesgos y conformidad (GRC).
Proteja de forma proactiva los sistemas de almacenamiento primario y secundario de su organización contra ransomware, errores humanos, desastres naturales, sabotajes, fallos de hardware y otros riesgos de pérdida de datos.
El informe Coste de una filtración de datos comparte los conocimientos más recientes sobre el panorama de amenazas en expansión y ofrece recomendaciones sobre cómo ahorrar tiempo y limitar las pérdidas.
X-Force Threat Intelligence Index realiza un seguimiento de las amenazas y proporciona información procesable que le ayuda a comprender cómo los actores de amenazas están llevando a cabo los ataques y cómo proteger su organización de forma proactiva.
La gestión de riesgos es el proceso de identificar, evaluar y controlar los riesgos financieros, legales, estratégicos y de seguridad para el capital y los beneficios de una organización.