Proteger la organización al gestionar los riesgos de ciberseguridad
Objetivos de aprendizaje
Después de completar esta unidad, podrá:
- Aprovechar los marcos existentes para diseñar e implementar un programa de gestión de riesgos de ciberseguridad.
- Describir cómo mitigar, transferir o aceptar riesgos.
- Explicar los tipos de asociaciones necesarias para gestionar el riesgo cibernético.
Diseñar e implementar un programa de gestión de riesgos cibernéticos
En la unidad anterior, formuló las preguntas adecuadas para identificar los riesgos cibernéticos en un contexto de negocio y obtuvo la información necesaria para comprender la tolerancia al riesgo de la organización. Ahora debe gestionar los riesgos de ciberseguridad.
Un marco adecuado facilita la protección de la organización. Puede desarrollar e implementar su propio marco o aprovechar los marcos y las metodologías de la industria. Existen muchos marcos nacionales, internacionales y específicos de la industria entre los cuales puede elegir. El Foro Económico Mundial (FEM) elaboró un documento técnico sobre la Progresión de la ciberresiliencia, que contiene un marco para la gestión del riesgo cibernético. El marco abarca diversos activos informáticos, como la propiedad intelectual, los activos financieros y los activos de seguridad física, y evalúa la repercusión de una pérdida de confidencialidad, integridad o disponibilidad en el negocio.
Otro marco que se usa con frecuencia es el Marco de ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST), el cual organiza las actividades de ciberseguridad y los resultados deseados en cinco funciones: Identificar, Proteger, Detectar, Responder y Recuperar. Las funciones proporcionan una visión de alto nivel de la madurez de la gestión de riesgos de una organización y se pueden adaptar a organizaciones de los sectores público y privado de todos los tamaños a nivel mundial.
Los 20 controles de seguridad más importantes de Center for Internet Security es otro recurso que se usa en gran medida para gestionar los riesgos cibernéticos. Las organizaciones aprovechan los controles para proteger su información crítica y reducir las posibilidades de peligro.
Otros marcos de uso común son las normas ISO/IEC 27001/2 en el marco de la gestión de la seguridad de la información, la metodología Análisis cuantitativo de riesgos de seguridad de la información (FAIR), y estándares específicos de la industria, como Estándar de seguridad de datos en la industria de tarjetas de pago (PCI DSS) en la industria financiera y la Ley de Responsabilidad y Movilidad del Seguro de Salud (HIPAA) en la industria sanitaria. Independientemente del marco que elija, tenga en cuenta que el cumplimiento de un marco, normativa o política es necesario pero no suficiente. Como gerente de riesgos de ciberseguridad, debe gestionar el riesgo a un nivel acorde con la tolerancia al riesgo de su organización.
En función del tamaño de la organización, es posible que la gestión del riesgo cibernético requiera la integración con un equipo de gestión de riesgos empresariales (ERM). Esta función más sólida de gestión de riesgos considera los riesgos financieros y reglamentarios, además de los riesgos operativos a nivel organizativo y estratégico. Por ejemplo, la función de ERM de una compañía farmacéutica podría considerar los riesgos financieros si no se aprueba el nuevo medicamento que está desarrollando. La empresa también podría verse afectada de manera negativa si un atacante que trabaja en nombre de un competidor vulnera los sistemas de la compañía y roba la fórmula secreta del medicamento. En la gestión del riesgo general de la organización, se tienen en cuenta tanto el riesgo de ciberseguridad como el riesgo financiero.
Una vez que seleccione y adapte los marcos relevantes para su organización, debe utilizarlos para realizar evaluaciones continuas de sus unidades de negocio, programas, sistemas y proveedores de terceros. Para comprender los riesgos de su entorno, es importante identificar y recopilar a diario datos que se puedan utilizar como indicador de las tendencias de riesgo. Por ejemplo, el Gobierno Federal de los Estados Unidos recopila de manera trimestral las mediciones de la Ley Federal de Gestión de Sistemas de la Información (FISMA) del director general de información (CIO) para ayudar a los departamentos y organismos a gestionar el riesgo cibernético, apoyar la toma de decisiones y priorizar las mejoras.
Si conoce la situación de riesgo de referencia de la organización y sus objetivos de mejora, podrá asesorarla sobre los cambios necesarios en su estrategia, políticas y estándares de ciberseguridad. Como gerente de riesgos de ciberseguridad, también debe informar las decisiones sobre qué controles y medidas correctivas priorizar. Analicemos detalladamente su asesoramiento respecto a la implementación de controles técnicos.
Mitigar, transferir o aceptar riesgos
Evaluar las dimensiones de cada riesgo lo ayuda a priorizarlos y abordarlos. Como gerente de riesgos de ciberseguridad, su trabajo no consiste en ocuparse personalmente de cada riesgo, sino en asesorar a los propietarios de los riesgos en las decisiones que sean necesarias. El propietario de un riesgo puede decidir abordarlo de tres maneras: mitigarlo, transferirlo o aceptarlo. Analicemos cada una de ellas.
Mitigar el riesgo
El propietario del riesgo trabaja con un propietario del control para implementar controles de seguridad que reduzcan el riesgo en función de la confidencialidad del sistema. Por ejemplo, un administrador de base de datos de un hospital trabaja con el equipo de gestión de accesos para implementar la autenticación de dos factores en el acceso a los datos confidenciales de los pacientes. El equipo exige a los empleados que accedan a la base de datos mediante un nombre de usuario y una contraseña, así como una tarjeta de identificación que se inserta en la computadora con un chip inteligente y un PIN. Esto ayuda al administrador a reducir el riesgo de que un atacante robe las credenciales de los empleados a través de un email de phishing y obtenga acceso no autorizado a los datos de los pacientes.
Transferir el riesgo
Usted piensa que el riesgo requiere una solución técnica demasiado complicada para su pequeña organización o que sus funciones principales no pueden abordar, por lo que decide transferirlo a otro equipo o compañía. Como ejemplo, tomemos el caso de Joe que trabaja en una empresa de contabilidad con tres empleados. Joe sabe que es importante que su empresa tenga una conexión segura a la Internet pública para evitar que los atacantes pongan en peligro la información financiera de sus clientes mediante una conexión insegura. Sin embargo, Joe no es un experto en seguridad en Internet. Por lo que decide contratar un servicio de protocolo de Internet de confianza para que gestione la seguridad de su conexión a Internet con servicios de cortafuegos, detección/prevención de intrusiones y antivirus. En el contrato con el proveedor, incluye una cláusula sobre los estándares de seguridad que espera que cumpla, pero transfiere al tercero el riesgo de operar una conexión segura a Internet.
Aceptar el riesgo
Dado que todas las organizaciones tienen recursos limitados, es imposible eliminar todos los riesgos por completo. Quizás luego de realizar una evaluación de riesgos, decide que un riesgo es tan poco probable que no merece la pena destinar tiempo y dinero a eliminarlo por completo. O es posible que su proyecto no disponga del presupuesto necesario para actualizar el sistema a una tecnología más segura. En este caso, puede aceptar el riesgo, ya sea por tiempo indefinido o con un cronograma específico para mitigarlo. La clave es documentar la decisión y el cronograma asociado para una posible mitigación. De este modo, garantiza que la unidad de negocio gestiona el riesgo de una manera reflexiva, y realiza un seguimiento de los riesgos y su impacto en la postura general de riesgo cibernético de la organización. Este ejercicio también se puede utilizar para justificar recursos presupuestarios o de personal adicionales de un proyecto específico si se descubre que el riesgo es más urgente de lo que se había identificado previamente.
Ahora ya conoce los tres métodos para gestionar los riesgos. A continuación, abordemos cómo los gerentes de riesgos de ciberseguridad pueden aprovechar las asociaciones para gestionar los riesgos en toda la organización de manera eficaz.
Aprovechar asociaciones para gestionar los riesgos de manera eficaz
La gestión en equipo de los riesgos cibernéticos refuerza la postura de ciberseguridad de su organización. Al igual que el capitán no puede ganar un partido de fútbol importante sin el resto del equipo, es necesario trabajar con personas de toda la organización para proteger el negocio y alcanzar un objetivo de seguridad. Si bien es posible que desempeñe una función principal al decidir las jugadas que permitirán el éxito de la organización, sin la creación de asociaciones y una cultura de ciberseguridad, la organización nunca podrá ganar el partido más importante.
Marita gestiona los riesgos de ciberseguridad en un banco. Utiliza sus habilidades de comunicación, trabajo en equipo y defensa para fomentar la participación, la concienciación y la responsabilidad en la mejora de la gestión de riesgos en toda la organización. Solicita la opinión de los equipos de negocios y de tecnología, y se asegura de que el personal comprenda su función en la implementación y el monitoreo de los controles de ciberseguridad. Trabaja con el personal de negocios para comprender la importancia de los distintos sistemas y sus datos, y con los ingenieros de seguridad de sistemas para recomendar e implementar medidas de mitigación. Además, trabaja con el equipo de privacidad y el equipo de continuidad de negocios, entre otros, para garantizar una visión holística del riesgo en todo el banco.
Marita también aprovecha el equipo de inteligencia sobre amenazas para comprender mejor el panorama actual de las amenazas en relación con su industria. Trabaja con el equipo que gestiona los riesgos de terceros para garantizar una visibilidad continua de los riesgos transferidos a proveedores externos. También trabaja con el equipo jurídico para mantenerse informada sobre los cambios en la normativa que puedan afectar al cumplimiento de la organización, y con el equipo de concienciación y capacitación para garantizar que todos comprendan los objetivos de seguridad. Sabe que incluir diversos puntos de vista de estos y otros equipos de la organización ayuda a proteger mejor a la organización en su totalidad.
¿Listo para revisar lo que aprendió? La comprobación de conocimientos no se puntúa; solo es una forma sencilla de comprobar sus conocimientos. Para comenzar, arrastre la función en la columna izquierda junto a la categoría correspondiente de la derecha. Cuando termine de hacer coincidir todos los elementos, haga clic en Enviar para comprobar su trabajo. Para volver a empezar, haga clic en Reiniciar.
Comprobación de conocimientos
¡Bien hecho! En la siguiente unidad, aprenderá más sobre cómo los gerentes de riesgos de ciberseguridad detectan los riesgos, y responden y se recuperan de los incidentes. ¡Vamos a ello!
Recursos
-
Trailhead: Desarrollo del programa de ciberresiliencia
-
Trailhead: Explorar el Marco de trabajo de ciberseguridad NIST
-
Sitio externo: NIST: Descripción general del marco de gestión de riesgos (RMF)
-
Sitio externo: Center for Internet Security: Donde se encuentran los riesgos y los controles