La evaluación de riesgos de ciberseguridad es esencial para cualquier organización en cualquier etapa de su proceso de transformación digital. Casi todas las empresas tienen alguna infraestructura de TI y conectividad a Internet, lo que las hace vulnerables a las ciberamenazas hasta cierto punto. Las prácticas de evaluación de riesgos de ciberseguridad identifican qué activos son más vulnerables a las amenazas cibernéticas, qué tan significativo es el riesgo y qué se debe hacer para mitigarlo. Los riesgos como incendios e inundaciones que se considerarían en una evaluación de riesgos estándar no están dentro del alcance. La evaluación de riesgos de ciberseguridad se centra únicamente en las ciberamenazas.
Al reducir los riesgos encontrados durante la evaluación, será posible evitar problemas legales y de cumplimiento, así como costosos incidentes de seguridad y filtraciones de datos. Todos en una organización deben considerar cómo las amenazas de seguridad cibernética pueden afectar los objetivos de la empresa como parte del proceso de evaluación de riesgos, promoviendo una cultura de conciencia de riesgos. Ahora profundicemos más para aclarar las cosas. ¿Qué es una evaluación de riesgos de ciberseguridad?
Índice del contenido
¿Qué es una evaluación de riesgos de ciberseguridad?
Los objetivos comerciales principales de una organización y los activos de tecnología de la información necesarios para lograr esos objetivos deben identificarse para realizar una evaluación de riesgos de seguridad cibernética. El siguiente paso es determinar qué ataques cibernéticos podrían dañar esos activos, la probabilidad de que sucedan y qué tipo de efectos podrían tener; en otras palabras, proporcionar una imagen completa del entorno de amenazas para un conjunto determinado de objetivos comerciales. Como resultado, las partes interesadas y los equipos de seguridad están mejor equipados para decidir cómo y dónde adoptar los controles de seguridad, lo que reduce el riesgo total a niveles que la organización puede tolerar.
Diferentes marcos de evaluación de riesgos de ciberseguridad
Conozcamos ahora dos marcos principales de evaluación de riesgos de ciberseguridad.
Marco de Ciberseguridad NIST
El marco de ciberseguridad del NIST, que utilizan principalmente las empresas estadounidenses, se creó en cooperación con organizaciones gubernamentales y el sector privado. Identificar, detectar, proteger, reaccionar y recuperar son solo algunos de los componentes cruciales de ciberseguridad que aborda el marco NIST. Aunque las recomendaciones completas se desarrollaron pensando en las empresas que administran infraestructura crítica, muchas empresas de nivel empresarial las usan y las ponen en uso en sus propias iniciativas de ciberseguridad.
ISO 27000
El marco ISO 27000, que es miembro de una familia más amplia y en expansión de estándares de sistemas de gestión de seguridad de la información, es uno de los favoritos entre las organizaciones multinacionales. Este marco, que fue creado por la Organización Internacional de Normalización, incluye información de proveedores internos y externos. Cambia constantemente como un documento vivo para satisfacer las nuevas demandas de información y ofrece un asesoramiento permanente.
Cuatro herramientas de evaluación de riesgos de ciberseguridad que su organización puede usar
Para minimizar los silos de gestión de amenazas y reducir la posibilidad de falsos positivos, debe buscar tecnologías que puedan incorporarse a su arquitectura de seguridad actual al seleccionar herramientas de evaluación de riesgos de ciberseguridad.
Puede utilizar las siguientes cuatro herramientas de evaluación de riesgos de ciberseguridad para mejorar los procedimientos de seguridad en su empresa:
Cuestionarios
Los cuestionarios que utiliza para analizar el riesgo que representan los terceros son una parte crucial de las evaluaciones de riesgos de ciberseguridad. Se necesitan muchos recursos para crear y enviar encuestas, y confirmar los resultados puede ser un desafío. Mediante el desarrollo de encuestas específicas de proveedores que se pueden emitir y rastrear a escala, una plataforma de cuestionarios automatizados como Atlas de SecurityScorecard ayuda a abordar estos problemas. Como resultado, la comunicación entre usted y sus proveedores es transparente porque puede monitorear sus preguntas en tiempo real y administrar los cuestionarios de manera más eficiente.
La brecha de seguridad masiva de Uber causa un gran revuelo en la comunidad de ciberseguridad
Calificaciones de seguridad
Las calificaciones de seguridad son cruciales para evaluar los riesgos cibernéticos, ya que ofrecen una perspectiva imparcial basada en datos de la postura de seguridad cibernética de una empresa. Aunque las clasificaciones de seguridad se usaron principalmente para evaluar el riesgo de terceros, muchas empresas comenzaron a usarlas para realizar un seguimiento de sus operaciones de seguridad interna. Estos son particularmente útiles ya que ofrecen una excelente perspectiva de una variedad de temas relacionados con la seguridad, como la gestión de la superficie de ataque y la identificación de amenazas. Los sistemas con calificaciones de seguridad se pueden usar para verificar las respuestas de los cuestionarios de los proveedores, lo que permite a las empresas administrar el riesgo de los proveedores de manera sistemática.
Soluciones de terceros
Los proveedores de terceros y cuartos que ofrecen soluciones de red con frecuencia ofrecen herramientas que le permiten verificar sus productos en busca de vulnerabilidades. Pregunte acerca de las herramientas proporcionadas por proveedores si trabaja con proveedores externos; con frecuencia son de uso gratuito. Por ejemplo, Google ofrece una gama de herramientas de seguridad gratuitas destinadas a evaluar la postura de seguridad de las computadoras conectadas a Internet. Estos se pueden usar con las herramientas de evaluación de seguridad actuales para determinar su perfil de riesgo general.
Proveedores de evaluación de vulnerabilidades
Una evaluación de vulnerabilidades busca identificar vulnerabilidades en su infraestructura de TI al evaluar y examinar sus procedimientos de seguridad actuales. El informe de evaluación ayuda a las organizaciones a desarrollar un marco para la priorización de amenazas al permitirles comprender mejor el riesgo asociado con cada vulnerabilidad en su red. También puede examinar el desempeño del proveedor realizando una evaluación de vulnerabilidad independiente, que puede fortalecer los vínculos comerciales con terceros.
¿Cómo realizar una evaluación de riesgos de ciberseguridad?
Los cinco pasos principales de una evaluación de riesgos de seguridad cibernética son el alcance, la identificación de riesgos, el análisis de riesgos, la evaluación de riesgos y la documentación.
Lista de verificación de evaluación de riesgos de ciberseguridad:
- Identificar el alcance de la evaluación de riesgos de ciberseguridad
- Identificar riesgos
- Analizar riesgos
- Priorizar amenazas potenciales
- Documentación
Identificar el alcance de la evaluación de riesgos de ciberseguridad
Determinar lo que cubre la evaluación es el primer paso en una evaluación de riesgos. Puede ser toda la empresa, pero esto suele ser un gran esfuerzo. Por lo tanto, es más probable que se trate de un departamento, área o características particulares de la empresa, como el procesamiento de pagos o una aplicación web. Todas las partes interesadas cuyas actividades caen dentro del alcance de la evaluación deben participar plenamente, ya que su aporte será crucial para determinar qué activos y procesos son los más importantes, identificar riesgos, evaluar impactos y definir niveles de tolerancia al riesgo. Es posible que necesiten la asistencia de un tercero con experiencia en evaluaciones de riesgos para realizar esta tarea que requiere muchos recursos.
Para garantizar que todos los involucrados tengan un conocimiento compartido de cómo se presenta el riesgo, todos deben conocer los términos utilizados en las evaluaciones de riesgo, como probabilidad e impacto. ISO/IEC TS 27100 ofrece una introducción útil a las ideas de seguridad cibernética para personas sin experiencia. Es importante evaluar marcos y estándares como ISO/CEI TS 27110 y SP 800-37 del NIST antes de realizar una evaluación de riesgos porque pueden mostrar a las empresas cómo estructurar sus evaluaciones de riesgos para la seguridad de la información y asegurarse de que sus medidas de mitigación sean apropiadas y efectivas.
Numerosas regulaciones y leyes, incluidas HIPAA, Sarbanes-Oxley y PCI DSS, exigen que las corporaciones realicen evaluaciones estandarizadas de riesgos de seguridad cibernética y, con frecuencia, incluyen instrucciones y sugerencias sobre cómo hacerlo. Evite un enfoque de lista de verificación centrado en el cumplimiento cuando realice una evaluación de riesgos, ya que simplemente cumplir con los requisitos de cumplimiento no significa que una empresa no esté expuesta a ningún riesgo.
Identificar riesgos
Hay tres pasos simples que debe seguir al identificar los riesgos:
Activos
El siguiente paso es identificar y compilar un inventario de todos los activos físicos y lógicos que caen dentro del alcance de la evaluación de riesgos porque no puede proteger lo que no conoce. Al determinar los activos, es crucial no solo determinar aquellos que se consideran las joyas de la corona de la organización (activos cruciales para la operación y que probablemente sean el objetivo principal de los atacantes), sino también los activos de los que los atacantes podrían querer tomar el control, como un activo. Servidor de directorio, archivo de imágenes o sistemas de comunicaciones.
Supuestos problemas de ciberseguridad de Twitter están causando un dolor de cabeza a la firma
El siguiente paso de identificación de riesgos se simplifica mediante la creación de un diagrama de arquitectura de red a partir de la lista de inventario de activos, que ayuda a visualizar las vías de conexión y comunicación entre activos y procesos, así como los puntos de entrada a la red.
Amenazas
Las amenazas son las estrategias, tácticas y procedimientos empleados por los actores de amenazas que pueden dañar los recursos de una organización. Utilice una biblioteca de amenazas, como la MITRE ATT & CK Base de conocimientos o recursos de la Alianza de amenazas cibernéticas, que proporcionan información actualizada y de alta calidad sobre amenazas cibernéticas, para ayudar a identificar posibles riesgos para cada activo. Documentos gubernamentales y advertencias de proveedores de seguridad, como los del Agencia de Seguridad de Infraestructura y Ciberseguridad, puede ser una gran fuente de información sobre nuevos peligros que están apareciendo en determinados mercados, sectores, ubicaciones o tecnología.
Escenarios potenciales
Este proceso implica especificar las repercusiones de una amenaza identificada que ataca un activo dentro del alcance mediante la utilización de una vulnerabilidad.
Es más sencillo para todas las partes interesadas comprender los riesgos a los que se enfrentan en relación con objetivos comerciales importantes cuando esta información se resume en escenarios sencillos como este, y también es más fácil para los equipos de seguridad identificar las mejores prácticas y las medidas adecuadas para abordar el riesgo.
Analizar riesgos
Ahora se debe determinar la posibilidad de que los escenarios de riesgo realmente sucedan y su impacto en la organización. La probabilidad de riesgo, o la probabilidad de que una amenaza particular pueda explotar una vulnerabilidad determinada, debe evaluarse en una evaluación de riesgos de seguridad cibernética basada en la capacidad de descubrimiento, explotación y repetibilidad de amenazas y vulnerabilidades en lugar de eventos anteriores. Esto se debe a que las amenazas a la seguridad cibernética son dinámicas, lo que implica que la probabilidad no está tan estrechamente relacionada con la frecuencia de ocurrencias anteriores como lo están, por ejemplo, los terremotos y las inundaciones.
El impacto es un término utilizado para describir el alcance del daño que experimentará una organización debido a una amenaza que se aprovecha de una vulnerabilidad. Cada escenario debe evaluarse por su efecto sobre el secreto, la integridad y la disponibilidad, y el escenario con el mayor impacto se utiliza como puntuación final. Debido a la naturaleza subjetiva de este componente de evaluación, la participación de las partes interesadas y de los expertos en seguridad es crucial.
Priorizar amenazas potenciales
Cada escenario de riesgo se puede categorizar utilizando una matriz de riesgo como la que se muestra a continuación, donde el nivel de riesgo es "Probabilidad multiplicada por el impacto". El nivel de riesgo para nuestro escenario hipotético sería "Muy alto" si se pensara que un ataque de inyección SQL es "Probable" o "Muy probable".
Cualquier escenario que exceda el umbral de tolerancia predeterminado debe priorizarse para reducir su riesgo a un nivel aceptable para la organización.
Siempre existe algún riesgo porque ningún sistema o entorno puede hacerse completamente seguro. Las partes interesadas de alto nivel deben aceptar formalmente este riesgo residual como un componente de la estrategia de evaluación de riesgos de seguridad cibernética de la organización.
Documentación
Todos los escenarios de riesgo detectados deben registrarse en un registro de riesgos. Esto debe revisarse y actualizarse con frecuencia para garantizar que la administración siempre reciba la información más reciente sobre sus amenazas de ciberseguridad.
Redondeando
Para fortalecer las medidas de ciberseguridad, las organizaciones deben asignar tiempo y recursos a una evaluación de riesgos de ciberseguridad integral y continua. A medida que surjan nuevas amenazas cibernéticas y se implementen nuevos sistemas o actividades, será necesario repetirlas. Sin embargo, supongamos que se hace bien la primera vez. En ese caso, proporcionará un proceso repetible y una plantilla para evaluaciones futuras, lo que disminuirá la probabilidad de que un ataque cibernético tenga un impacto negativo en los objetivos comerciales.
No solo las grandes corporaciones corren el riesgo de los ciberdelincuentes; de acuerdo a IBM, las filtraciones de datos dañaron a las pequeñas empresas en 2.98 millones de dólares en 2021.
Además de los costosos peligros que plantean los ataques cibernéticos, algunas empresas deben cumplir con las reglas de cumplimiento de seguridad cibernética específicas de la industria, como FERPA para instituciones educativas, PCI DSS para empresas que aceptan pagos con tarjeta de crédito y débito e HIPAA para empresas de atención médica.
Las empresas deben destinar dinero a la ciberseguridad. El daño financiero y reputacional sustancial causado por la pérdida de datos de clientes y empresas podría significar el fin de su empresa.
- Coinsmart. El mejor intercambio de Bitcoin y criptografía de Europa.Haga clic aquí
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://dataconomy.com/2022/11/cybersecurity-risk-assessment/
