Skip to main content

Conozca la gestión de riesgos de ciberseguridad

Objetivos de aprendizaje

Después de completar esta unidad, podrá:

  • Describir los objetivos de un programa de gestión de riesgos de ciberseguridad.
  • Explicar la importancia de gestionar los riesgos de ciberseguridad.

¿Qué es la gestión de riesgos de ciberseguridad?

Su compañía acaba de cerrar una negociación para utilizar un nuevo servicio de informática en la nube. ¡Qué bien! Esta nueva tecnología facilita la automatización del desarrollo de aplicaciones y brinda nuevas oportunidades. Pero detengámonos un momento. ¿Ha considerado el impacto potencial si los datos procesados por esta nueva tecnología están en peligro por un atacante? ¿Ha pensado en los riesgos?

Aquí es donde entra en escena la gestión de riesgos de ciberseguridad. La gestión de riesgos de ciberseguridad es el proceso de gestionar los riesgos asociados a los activos digitales de negocio. Implica identificar, evaluar y mitigar los riesgos para proteger la confidencialidad, integridad y disponibilidad de los activos de una organización. Como gestor de riesgos de ciberseguridad, se esfuerza por mejorar la visibilidad de los riesgos a nivel de empresa, unidad de negocio y sistema, con el fin de reforzar la ciberresiliencia de una organización. La ciberresiliencia se refiere a la capacidad de una organización para prevenir, detectar, responder y recuperarse de las ciberamenazas. En un mundo en constante cambio, cada día surgen nuevos riesgos y amenazas cibernéticas. Permiten a su organización responder a los acontecimientos a tiempo, con el fin de minimizar la interrupción del negocio y las pérdidas financieras. Basta decir que es una función muy importante.

Si retomamos el ejemplo del principio, ¿cómo identifica usted, como gestor de riesgos cibernéticos, los riesgos de utilizar el nuevo servicio de informática en la nube? Para empezar, debe tener en cuenta la probabilidad de que las amenazas conocidas aprovechen las vulnerabilidades. Por ejemplo, ¿hay datos confidenciales de clientes almacenados en la nube que un atacante estaría interesado en robar? ¿Existen vulnerabilidades conocidas en las aplicaciones que se ejecutan en la nube que permitirían a un atacante acceder a la información? ¿Cuál es el posible impacto financiero, operativo y en la reputación de su compañía si se produce una vulneración de seguridad de este tipo? ¿Qué probabilidades hay de que este escenario ocurra realmente? Este es el tipo de preguntas que un gestor de riesgos se plantea cada día.

Nota

Una vulnerabilidad se define como el estado de estar expuesto a la posibilidad de un ataque. En ciberseguridad puede ser un fallo en el código de una aplicación que permite a un atacante cambiar el comportamiento de la aplicación y robar información confidencial.

Una vez identificado el riesgo de un determinado programa, sistema o tecnología, la organización toma medidas para protegerse del riesgo. Imagine que contrata un seguro médico. Cuando tiene un seguro médico, no tiene que preocuparse tanto por el costo de sus facturas médicas. Si tiene un accidente, sabe que puede recibir atención de buena calidad y recuperarse rápidamente. Cuando elige su plan de seguro, estudia detenidamente las prestaciones y los costos de cada plan para elegir el que mejor se adapte a sus necesidades médicas. Del mismo modo, como gerente de riesgos de ciberseguridad, usted compara los costos y beneficios de mitigar el riesgo cibernético mediante la implementación de protecciones, y asesora a la organización para implementar el mejor plan de acción.

Imagen de una persona comparando dos planes de atención médica rodeada de herramientas para gestionar el riesgo, como una calculadora, dinero, un estetoscopio, un termómetro, pastillas y una receta.

Al igual que la contratación de un seguro reduce el riesgo asociado a los accidentes, la gestión de riesgos cibernéticos "reduce" el impacto potencial si los datos se ven comprometidos por un atacante. Aunque es imposible eliminar por completo todos los riesgos, la gestión de riesgos cibernéticos minimiza la probabilidad de que un atacante pueda explotar una vulnerabilidad. Si un atacante consigue vulnerar un sistema, la gestión de riesgos puede minimizar la interrupción de la actividad y las pérdidas financieras, de modo que la organización pueda volver a su actividad más rápidamente. 

La importancia de gestionar los riesgos cibernéticos

A medida que su organización adquiere nuevos activos tecnológicos y está cada vez más conectada, las amenazas a los datos de sus clientes y de su empresa también aumentan. Es hora de poner en marcha un plan para ofrecer la cantidad adecuada de ciberprotección, para que sus clientes sepan que pueden confiar en su organización para proteger su información. Gestionar los riesgos cibernéticos significa tomar decisiones conscientes sobre la seguridad de la información confidencial.

Como gestor de riesgos cibernéticos, usted trabaja para facilitar la identificación y evaluación de riesgos, de modo que todo el mundo, desde su jefe hasta sus clientes, comprenda la tolerancia de la organización al riesgo, y las acciones y los costos asociados necesarios para gestionarlo. Aunque la gestión del riesgo de ciberseguridad no puede garantizar que siempre se tomen las decisiones correctas, sí garantiza que todo el mundo entienda quién es responsable de gestionar un riesgo determinado hasta niveles aceptables.

Todas las organizaciones son únicas en lo que respecta a los riesgos están dispuestas a asumir. Sin embargo, la gestión de los riesgos cibernéticos es una actividad importante para pequeñas y grandes organizaciones de todo el mundo y de todos los sectores, desde el financiero al de sanidad, desde la administración pública a la energía. Las compañías más pequeñas pueden externalizar las funciones de gestión de riesgos a un tercero. Puede que usted sea el encargado de trabajar con uno de estos proveedores. O incluso puede que trabaje para una compañía que vende servicios de gestión de riesgos de ciberseguridad. Como miembro del equipo de gestión de riesgos cibernéticos en una organización más grande, es posible que tenga que trabajar con muchos equipos en toda la empresa para comprender el riesgo de manera integral, incluida la integración con el equipo de gestión de riesgos empresariales. Este equipo gestiona los riesgos financieros, operativos, jurídicos y de otro tipo de la organización, además de los riesgos de ciberseguridad a nivel estratégico y empresarial. 

Comprobación de conocimientos

¿Listo para revisar lo que aprendió? La comprobación de conocimientos a continuación no está puntuada; solo es una forma sencilla de hacerse una prueba. Para comenzar, arrastre la descripción en la columna izquierda junto a la categoría correspondiente de la derecha. Cuando termine de hacer coincidir todos los elementos, haga clic en Enviar para comprobar su trabajo. Para volver a empezar, haga clic en Reiniciar.

¡Bien hecho! Recuerde que, independientemente del tipo de organización para la que trabaje, la clave está en encontrar el equilibrio adecuado entre las recompensas y la tolerancia al riesgo. En la siguiente unidad, aprenderá más sobre sus responsabilidades como gerente de riesgos de ciberseguridad para equilibrar el riesgo y las habilidades que lo ayudarán a tener éxito en la función. 

Recursos

Comparta sus comentarios de Trailhead en la Ayuda de Salesforce.

Nos encantaría saber más sobre su experiencia con Trailhead. Ahora puede acceder al nuevo formulario de comentarios en cualquier momento en el sitio de Ayuda de Salesforce.

Más información Continuar a Compartir comentarios