La gestión de riesgos cibernéticos, también llamada gestión de riesgos de ciberseguridad, es el proceso de identificar, priorizar, gestionar y supervisar los riesgos para los sistemas de información. Las empresas de todas las industrias utilizan la gestión de riesgos cibernéticos para proteger los sistemas de información de los ataques cibernéticos y otras amenazas digitales y físicas.
La gestión de riesgos cibernéticos se ha convertido en una parte vital de los esfuerzos de gestión de riesgos empresariales más amplios. En la actualidad, empresas de todos los sectores dependen de las tecnologías de información para llevar a cabo funciones empresariales clave, lo que las expone a delincuentes cibernéticos, errores de los empleados, catástrofes naturales y otras amenazas a la ciberseguridad. Estas amenazas pueden dejar fuera de servicio a sistemas críticos o causar problemas de otras formas, lo que se traduce en pérdida de ingresos, robo de datos, daños a la reputación a largo plazo y multas reglamentarias.
Estos riesgos no se pueden eliminar, pero los programas de administración de riesgos cibernéticos pueden ayudar a reducir el impacto y la probabilidad de amenazas. Las empresas utilizan el proceso de gestión de riesgos de ciberseguridad para identificar sus amenazas más críticas y seleccionar las medidas de seguridad de TI adecuadas en función de sus prioridades comerciales, infraestructuras de TI y niveles de recursos.
Es difícil evaluar el riesgo cibernético con total certeza. Las empresas rara vez tienen visibilidad total de las tácticas de los delincuentes cibernéticos, las vulnerabilidades de sus propias redes o riesgos más impredecibles como el clima severo y la negligencia de los empleados. Además, los mismos tipos de ciberataques pueden tener diferentes consecuencias entre las empresas. Las filtraciones de datos en el sector sanitario cuestan en promedio $10,10 millones de dólares, mientras que las filtraciones en el sector hotelero cuestan $2,9 millones de dólares, según el informe Cost of a Data Breach de IBM.
Por estas razones, autoridades como el Instituto Nacional de Estándares y Tecnología (NIST) sugieren abordar la gestión del riesgo cibernético como un proceso continuo y repetitivo en lugar de un evento de una sola vez. Revisitar el proceso regularmente permite a una empresa incorporar nueva información y responder a los nuevos desarrollos en el panorama de amenazas más amplio y sus propios sistemas de TI.
Para garantizar que las decisiones de riesgo representen las prioridades y experiencias de toda la organización, el proceso suele manejarse por una combinación de partes interesadas. Los equipos de gestión de riesgos cibernéticos pueden incluir directores, líderes ejecutivos como el director ejecutivo (CEO) y el director de seguridad de la información (CISO), miembros del equipo de TI y seguridad, legales y de recursos humanos, y representantes de otras unidades de negocios.
Las empresas pueden utilizar muchas metodologías de gestión de riesgos cibernéticos, incluido el marco de ciberseguridad del NIST (NIST CSF) y el marco de gestión de riesgos del NIST (NIST RMF). Aunque estos métodos difieren ligeramente, todos siguen un conjunto similar de pasos básicos.
El encuadre de riesgo es el acto de definir el contexto en el que se toman las decisiones de riesgo. Al encuadrar el riesgo al principio, las empresas pueden alinear sus estrategias de gestión de riesgos con sus estrategias de negocio generales. Esta alineación ayuda a evitar errores ineficaces y costosos, como desplegar controles que interfieran con las funciones clave del negocio.
Para enmarcar el riesgo, las empresas definen cosas como:
El alcance del proceso: ¿Qué sistemas y activos se examinarán? ¿Qué tipo de amenazas se analizarán? ¿En qué linea de tiempo está trabajando el proceso (por ejemplo, riesgos en los próximos seis meses, riesgos en el próximo año, etc.)?
Inventario y priorización de activos: ¿Qué datos, dispositivos, software y otros activos hay en la red? ¿Cuáles de estos activos son los más críticos para la organización?
Recursos y prioridades de la organización: ¿Qué sistemas de TI y procesos de negocio son los más importantes? ¿Qué recursos, financieros y de otro tipo, comprometerá la empresa para la gestión de riesgos cibernéticos?
Requisitos legales y reglamentarios: ¿Qué leyes, estándares u otros mandatos debe cumplir la empresa?
Estas y otras consideraciones dan a la empresa orientaciones generales a la hora de tomar decisiones sobre riesgos. También ayudan a la empresa a definir su tolerancia al riesgo, es decir, los tipos de riesgos que puede aceptar y los tipos que no puede.
Las empresas utilizan evaluaciones de riesgo de ciberseguridad para identificar amenazas y vulnerabilidades, estimar sus posibles impactos y priorizar los riesgos más críticos.
La forma en que una empresa realiza una evaluación de riesgos dependerá de las prioridades, el alcance y la tolerancia al riesgo definidas en el paso del encuadre. La mayoría de las evaluaciones miden lo siguiente:
Las amenazas son personas y eventos que podrían interrumpir un sistema de TI, robar datos o comprometer la seguridad de la información. Las amenazas incluyen ciberataques intencionales (como ransomware o phishing) y errores de los empleados (como almacenar información confidencial en bases de datos no seguras). Los desastres naturales, como terremotos y huracanes, también pueden amenazar los sistemas de información.
Las vulnerabilidades son las fallas o debilidades en un sistema, proceso o activo que las amenazas pueden explotar para hacer daño. Las vulnerabilidades pueden ser técnicas, como un cortafuegos mal configurado que permita la entrada de malware en una red o un fallo del sistema operativo que los hackers puedan utilizar para hacerse con el control remoto de un dispositivo. Las vulnerabilidades también pueden surgir de políticas y procesos deficientes, como una política de control de acceso poco estricta que permita a las personas acceder a más activos de los que necesitan.
Los impactos son lo que una amenaza puede hacerle a una empresa. Una amenaza cibernética podría interrumpir los servicios críticos, lo que provocará tiempo de inactividad y pérdida de ingresos. Los hackers podrían robar o destruir datos confidenciales. Los estafadores podrían usar ataques de compromiso por correo electrónico comercial para engañar a los empleados para que les envíen dinero.
Los impactos de una amenaza pueden extenderse más allá de la organización. Los clientes a los que se les roban su información de identificación personal (PII) durante una filtración de datos también son víctimas del ataque.
Debido a que puede ser difícil cuantificar el impacto exacto de una amenaza de ciberseguridad, las empresas a menudo utilizan datos cualitativos como tendencias históricas e historias de ataques en otras organizaciones para estimar el impacto. La importancia del activo también es un factor: cuanto más crítico sea un activo, más costosos serán los ataques contra él.
El riesgo mide la probabilidad de que una amenaza potencial afecte a una organización y cuánto daño causaría esa amenaza. Las amenazas que probablemente ocurran y causen daños significativos son las más riesgosas, mientras que las amenazas poco probables que causarían daños menores son las menos riesgosas.
Durante el análisis de riesgos, las empresas consideran múltiples factores para evaluar qué tan probable es una amenaza. Los controles de seguridad existentes, la naturaleza de las vulnerabilidades de TI y los tipos de datos que posee una empresa pueden influir en la probabilidad de amenaza. Incluso la industria de una empresa puede desempeñar un papel: el Índice X-Force Threat Intelligence descubrió que las organizaciones de los sectores de fabricación y finanzas se enfrentan a más ciberataques que las organizaciones en transporte y telecomunicaciones.
Las evaluaciones de riesgos pueden aprovechar fuentes de datos internas, como los sistemas de gestión de eventos e información de seguridad (SIEM) y la inteligencia de amenazas externas. También pueden observar amenazas y vulnerabilidades en la cadena de suministro de la empresa, ya que los ataques a los proveedores pueden afectar a la empresa.
Al ponderar todos estos factores, la empresa puede construir su perfil de riesgo. Un perfil de riesgo proporciona un catálogo de los riesgos potenciales de la empresa, priorizándolos en función del nivel de criticidad. Cuanto más riesgosa es una amenaza, más crítica es para la organización.
La empresa utiliza los resultados de la evaluación de riesgos para determinar cómo responderá a los riesgos potenciales. Los riesgos considerados poco probables o de bajo impacto pueden aceptarse sin más, ya que invertir en medidas de seguridad puede ser más caro que el propio riesgo.
Generalmente se abordarán los riesgos probables y los riesgos con mayores impactos. Las posibles respuestas al riesgo incluyen:
La mitigación es el uso de controles de seguridad que dificultan aprovechar una vulnerabilidad o minimizar el impacto de la explotación. Algunos ejemplos incluyen colocar un sistema de prevención de intrusiones (IPS) en torno a un activo valioso e implementar planes de respuesta ante incidentes para detectar y tratar rápidamente las amenazas.
La reparación significa abordar completamente una vulnerabilidad para que no pueda explotarse. Algunos ejemplos incluyen aplicar parches a un error de software o retirar un activo vulnerable.
Si la mitigación y la corrección no son prácticas, una empresa puede transferir la responsabilidad del riesgo a otra parte. Comprar una póliza de seguro cibernético es la forma más común en que las compañías transfieren el riesgo.
La organización supervisa sus nuevos controles de seguridad para verificar que funcionan según lo previsto y satisfacen los requisitos reglamentarios pertinentes.
La organización también supervisa el panorama de amenazas más amplio y su propio ecosistema de TI. Los cambios en cualquiera de ellos (la aparición de nuevas amenazas, la incorporación de nuevos activos de TI) pueden abrir nuevas vulnerabilidades o hacer obsoletos los controles que antes eran efectivos. Al mantener una vigilancia constante, la empresa puede ajustar su programa de ciberseguridad y su estrategia de gestión de riesgos casi en tiempo real.
A medida que las empresas han llegado a utilizar la tecnología para todo, desde las operaciones diarias hasta los procesos críticos para el negocio, sus sistemas de TI se han vuelto más grandes y complejos. La explosión de los servicios en la nube, el aumento del trabajo remoto y la creciente dependencia de proveedores de servicios de TI de terceros han atraído a más personas, dispositivos y software a la red de la empresa promedio. A medida que crece un sistema de TI, también lo hace su superficie de ataque. Las iniciativas de gestión de riesgos cibernéticos ofrecen a las empresas una forma de mapear y administrar sus superficies de ataque cambiantes, mejorando la postura de seguridad.
El panorama de amenazas más amplio también evoluciona constantemente. Cada mes, se agregan aproximadamente 2,000 vulnerabilidades nuevas a la Base de datos nacional de vulnerabilidades del NIST (el enlace reside fuera de ibm.com). Miles de nuevas variantes de malware se detectan mensualmente (el enlace reside fuera de ibm.com) se detectan mes con mes y ese es solo un tipo de amenaza cibernética.
Sería poco realista y financieramente imposible que una empresa cierre todas las vulnerabilidades y contrate todas las amenazas. La gestión del riesgo cibernético puede ofrecer a las empresas una forma más práctica de manejar el riesgo al centrar los esfuerzos de seguridad de la información en las amenazas y vulnerabilidades con mayor probabilidad de afectarlas. De esa manera, la empresa no aplica controles costosos a activos de bajo valor y no críticos.
Las iniciativas de gestión de riesgos cibernéticos también pueden ayudar a las organizaciones a cumplir con el Reglamento General de Protección de Datos (GDPR), la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS) y otras regulaciones. Durante el proceso de gestión de riesgos cibernéticos, las empresas consideran estos estándares al diseñar sus programas de seguridad. Los informes y datos generados durante la fase de supervisión pueden ayudar a las empresas a demostrar que actuaron con la diligencia debida durante las auditorías y las investigaciones posteriores a la violación.
A veces, es posible que las empresas deban seguir con estas infraestructuras/marcos específicos de gestión de riesgos. Las agencias federales de EE. UU. deben cumplir tanto con el NIST RMF como con el NIST CSF. Los contratistas federales también pueden necesitar cumplir con estas infraestructuras/marcos, ya que los contratos del gobierno a menudo utilizan estándares NIST para establecer requisitos de ciberseguridad.
Supere los ataques con una suite de seguridad conectada y modernizada La cartera de QRadar está integrada con IA de nivel empresarial y ofrece productos integrados para seguridad de endpoint, gestión de registros, SIEM y SOAR, todo ello con una interfaz de usuario común, información compartida y flujos de trabajo conectados.
La caza proactiva de amenazas, el monitoreo continuo y una investigación profunda de las amenazas son solo algunas de las prioridades que enfrenta un departamento de TI ya ocupado. Tener un equipo de respuesta a incidentes confiable en espera puede reducir el tiempo de respuesta, minimizar el impacto de un ciberataque y ayudarlo a recuperarse más rápido.
Gestione el riesgo de TI estableciendo estructuras de gobernanza que aumenten la madurez de la ciberseguridad con un enfoque integrado de gobernanza, riesgo y cumplimiento (GRC)
El informe sobre el costo de una filtración de datos comparte los últimos insights sobre el panorama de amenazas en expansión y ofrece recomendaciones sobre cómo ahorrar tiempo y limitar las pérdidas.
Encuentre insights procesables que le ayuden a comprender cómo los actores de amenazas están librando ataques y cómo proteger proactivamente a su organización.
La gestión de riesgos es el proceso de identificar, evaluar y controlar los riesgos financieros, legales, estratégicos y de seguridad para el capital y las ganancias de una organización.