Identificar riesgos de ciberseguridad y repercusiones en el negocio
Objetivos de aprendizaje
Después de completar esta unidad, podrá:
- Describir cómo identificar los riesgos de ciberseguridad.
- Explicar cómo identificar la tolerancia al riesgo de ciberseguridad de la organización y utilizar una metodología de clasificación de riesgos.
- Describir cómo priorizar las vulnerabilidades de ciberseguridad para su corrección.
Identificar los riesgos cibernéticos en un contexto de negocio
A veces, la identificación de riesgos puede ser similar a mirar una bola de cristal. Sin embargo, el primer paso en la gestión de riesgos es identificar los activos de información que pueden verse afectados por un ciberataque. Al investigar los riesgos, recopila datos para comprender las amenazas a las que se enfrentan el hardware, el software, los datos de clientes, la propiedad intelectual y los usuarios de la organización.
Al analizar los riesgos, resulta útil seguir una secuencia de eventos para identificar el riesgo en todas sus formas y desde todos los ángulos. Para comprender una amenaza específica, puede usar el análisis de amenazas. Por ejemplo, un atacante puede realizar espionaje para un estado nación que quiere robar información confidencial de investigación de antecedentes sobre sus empleados. Otra posibilidad es que un hacktivista en desacuerdo con las campañas de promoción de su organización desfigure su sitio web. ¿Cuáles son las vulnerabilidades de su entorno que pueden explotar los atacantes y cuál sería el impacto? Este ejercicio lo ayudará a priorizar los riesgos en función de las mayores amenazas.
Es fundamental considerar los riesgos de ciberseguridad dentro de un contexto de negocio. El riesgo se compone de dos dimensiones: probabilidad e impacto. La probabilidad es la posibilidad de que se produzca el riesgo. El impacto es la forma en que el riesgo puede afectar al negocio, ya sea en términos de pérdidas financieras, operativas o de reputación. Además, los gerentes de riesgos también evalúan en qué medida los controles (medidas de seguridad/contramedidas) establecidos contribuyen a reducir la probabilidad o el impacto. Para obtener más información sobre el impacto de la pérdida de reputación y la importancia de la tecnología y la confianza en el negocio, consulte Confianza digital en el ciclo de vida de desarrollo de software.
La gestión de riesgos puede ser muy similar a hacer malabarismos con varias pelotas en el aire a la vez. Al considerar los riesgos, el objetivo final es decidir si su mitigación tiene sentido para el balance final del negocio y cómo se deben priorizar las mitigaciones de riesgos. Al analizar los riesgos para tomar esta determinación, las organizaciones desarrollan su propia metodología o usan herramientas de evaluación de riesgos disponibles a través de proveedores especializados en análisis de riesgos de ciberseguridad. A continuación, abordaremos cómo un gerente de riesgos de ciberseguridad puede ayudar a la organización a evaluar qué nivel de riesgo puede gestionar.
Comprender la tolerancia al riesgo y utilizar una metodología de clasificación de riesgos
Tanto la vida como la ciberseguridad consisten en gestionar los riesgos. Como gerente de riesgos de ciberseguridad, su trabajo consiste en ayudar a los líderes a evaluar qué nivel de riesgo puede gestionar la organización, lo que también se conoce como tolerancia al riesgo de la organización. Al hacerlo, ayudará a la organización a reflexionar sobre sus activos informáticos más valiosos y a decidir cómo asignar el tiempo, los recursos humanos y financieros limitados para mejorar su postura de ciberseguridad.
Annie trabaja en el equipo de ciberseguridad de un hospital. Es responsable de la protección de la organización contra diversas amenazas a la seguridad de los sistemas de información del hospital. Una posible amenaza es que un atacante lance un ransomware contra la red informática del hospital e impida que el personal acceda a las máquinas que utiliza para gestionar la información de los pacientes. También le preocupan los ataques de phishing que pueden comprometer las credenciales de inicio de sesión de un médico y destruir o alterar los datos médicos del paciente. Además, considera el riesgo de que un atacante explote una vulnerabilidad en un dispositivo médico inteligente para alterar su funcionalidad. Este ataque puede provocar fácilmente la muerte. Si bien ningún paciente resultó herido como consecuencia de un incidente de ciberseguridad, una vulnerabilidad en un dispositivo médico podría permitir que usuarios no autorizados emitan órdenes a un dispositivo y provoquen daños a pacientes.
Existen diversas metodologías de evaluación de riesgos. Vamos a centrarnos en una para este ejemplo. Annie utiliza un marco que tiene en cuenta la probabilidad y el impacto. Una serie de metodologías generales de evaluación de riesgos informáticos utilizan estos componentes. Para cuantificar la evaluación, asigna un puntuaje. Puede usar una escala como alta-media-baja o 1-100. El puntuaje permite priorizar los riesgos y determinar cuáles se deben abordar primero. Cuando se usa un proceso cualitativo, como clasificar un riesgo como alto/medio/bajo, Annie puede determinar la probabilidad, el impacto y el puntuaje general al examinar indicadores cuantitativos, como el número de compañías similares que se enfrentaron a un riesgo determinado, o indicadores cualitativos, como conversaciones con propietarios de sistemas y analistas de inteligencia sobre amenazas.
Riesgo |
Probabilidad |
Impacto |
Puntuaje general |
---|---|---|---|
Un ataque de ransomware limita la capacidad del personal para acceder a los datos de los pacientes en la red. |
Media |
Alta |
Media |
Un ataque de phishing compromete las credenciales de inicio de sesión de un médico, lo que permite a un atacante robar información confidencial de los pacientes. |
Alta |
Alta |
Alta |
Un atacante aprovecha una vulnerabilidad en un dispositivo médico para alterar su funcionalidad. |
Baja |
Alta |
Media |
Luego de revisar los datos y hablar con las partes interesadas, Annie determina que el puntuaje general del riesgo de phishing es alto. Entonces decide abordar esta cuestión con carácter prioritario. También trabajará con los propietarios del sistema para corregir los demás riesgos, pero como este riesgo es de alta probabilidad y alto impacto, lo abordará primero.
Al identificar los riesgos, Annie considera las leyes, normativas, políticas y estándares que se aplican a su industria, como el mandato de la Ley de Responsabilidad y Movilidad del Seguro de Salud (HIPAA) sobre la protección de los datos de los pacientes. Debe prestar mucha atención porque el incumplimiento de los estándares aplicables expone a su organización a riesgos legales y normativos.
Identificar vulnerabilidades y priorizar su corrección
El siguiente es un chiste sobre los gerentes de riesgos: "Consideramos todos los riesgos posibles, excepto el riesgo de evitar todos los riesgos". Todos los negocios digitales operan con cierto nivel de riesgo cibernético. Una vez que conozca los riesgos que afectan a la seguridad de su organización, el siguiente paso es establecer una base de referencia de su situación actual en materia de riesgos.
En el caso de Annie, ¿qué protecciones existen para evitar un ataque de phishing a la cuenta de email de un médico? ¿En qué se diferencian del estado de seguridad ideal? A continuación, trabaja con los propietarios del sistema y la dirección del hospital para identificar objetivos a corto y largo plazo en relación con la tolerancia general al riesgo y la estrategia de seguridad. Le sugiere al propietario del sistema que considere la posibilidad de implementar tecnología de filtrado de email y contrate a un tercero que imparta una capacitación sobre simulación de phishing para el personal. Mediante este ejercicio, ayuda al hospital a identificar un camino hacia el estado deseado de exposición al riesgo, en el que el riesgo de que un ataque de phishing comprometa los datos de los pacientes es extremadamente bajo.
Comprobación de conocimientos
¿Listo para revisar lo que aprendió? La comprobación de conocimientos no se puntúa; solo es una forma sencilla de comprobar sus conocimientos. Para empezar, seleccione la palabra correcta de las opciones que aparecen en el menú desplegable dentro del párrafo. Cuando termine de seleccionar todas las palabras, haga clic en Enviar para comprobar su trabajo. Para volver a empezar, haga clic en Restablecer.
Bien hecho. Entonces, ¿cómo tomar la decisión final sobre el tipo de protección a implementar? ¿Cómo puede la organización mantener un conocimiento de su postura de seguridad? ¿Cómo equilibrar todos los riesgos existentes en un entorno informático? Analizaremos cada una de estas preguntas en detalle en la siguiente unidad, Proteger la organización al gestionar los riesgos de ciberseguridad.
Recursos
-
Sitio externo: Riesgos de ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST)
-
Sitio externo: Amenazas a la ciberseguridad de Center for Internet Security (CIS)
-
Sitio externo: Marco de gestión de riesgos del NIST
-
Sitio externo: Guía para realizar evaluaciones de riesgos del NIST