El concepto de ciberseguridad basada en el riesgo es crucial para cualquier organización. Con la continua implementación y uso de la tecnología e Internet en nuestras vidas, es esencial tener una postura de seguridad clara a fin de entender los riesgos a los que nos enfrentamos.
La ciberseguridad a partir del riesgo se centra en la prevención de ataques mediante el robustecimiento de una estrategia de identificación, protección, detección, respuesta y recuperación ante un posible incidente. Muchas veces percibimos a los ciberataques como grandes incidentes que suelen incluso ser noticia en los medios, como los embates a los bancos, a empresas privadas de renombre o instituciones públicas, pero es importante tener claro que las compañías de todos los tamaños están expuestas.
Debemos estar conscientes de que ya no es un hacker en solitario el que puede poner en jaque la integridad de una organización. Las amenazas pueden provenir del interior cuando el personal. por omisión o desconocimiento, incurre en una práctica de riesgo que puede abrirles las puertas a grupos organizados para robar o secuestrar información.
Incluso el ecosistema de proveedores con los que una empresa trabaja pueden ser una ruta larga pero efectiva para penetrar a las redes y lo sistemas. Y es que muchos proveedores carecen de los controles de seguridad y no tiene el mismo nivel de madurez que las empresas con las que hacen negocio, a lo que se suma un pobre cumplimiento con las normativas de protección.
Con estas y otras amenazas en constante evolución y cada vez más sofisticadas, es esencial que las empresas comprendan mejor cómo deben aplicar las medidas que ayuden a minimizar los riesgos, y planear efectivamente los presupuestos que se destinarán a la ciberseguridad.
En los años recientes, la ciberseguridad va dejando de ser considerada únicamente como un centro de costos para darle la dimensión de un habilitador del negocio que se apega a los objetivos empresariales y que engloba, además de los aspectos tecnológicos, al factor humano, el manejo eficiente de información, la protección de datos sensibles y el cumplimiento regulatorio.
Por tanto, hay que entender a la ciberseguridad como una práctica constante que gestiona los riesgos asociados a los activos de información, que van desde dispositivos lógicos físicos y la identidad, hasta el metaverso y la nube.
Las bases
Como toda práctica, requiere de una estrategia basada en métodos estándar probados, como ISO 27032, ISO 27001/27002 e ISO 27005, que utilizan los responsables de la seguridad empresarial como guía para establecer una estrategia de Ciberseguridad basada en riesgos y con el apoyo de la implementación de un sistema de gestión de Seguridad de la información.
Tal estrategia contempla el entendimiento del contexto de la organización. Esto consiste en tener una dimensión precisa de los riesgos con los que se enfrenta la organización a partir del entorno en el que opera y hace negocios. Un banco es blanco común de fraudes y robo de identidades, mientras que una farmacéutica lo es de extracción de propiedad intelectual y ransomware.
Es también, sin duda, una fase primordial pues en ella se realiza la identificación, el análisis y la evaluación de riesgos, para posteriormente tratarlos y, finalmente, aceptar los riesgos residuales, así como las fases transversales que incluyen al monitoreo, el seguimiento, la comunicación y el reporteo.
ISO 27032, que los CISO y demás profesionales de la seguridad utilizan para establecer esta estrategia de ciberseguridad complementaria a la gestión de riesgos. La norma sigue cuatro fases clave:
- Entendimiento de la organización. Una inmersión en los procesos de la empresa para familiarizarse con el funcionamiento de éstos y el uso que hacen sus servicios del ciberespacio. Entre las acciones que se realizan en esta etapa está la revisión de productos y servicios, el marco normativo aplicable, la revisión de la documentación de seguridad, conocer los flujos de información y las medidas de seguridad adoptadas.
- Análisis de riesgos. Los controles y medidas de seguridad a implementar se basan en la gestión de los riesgos y el alineamiento con las necesidades de la empresa. El trabajo de evaluación de este análisis incluye factores como los activos críticos, las amenazas, las vulnerabilidades, el riesgo y su impacto, así como las responsabilidades.
- Plan de Acción. Como resultado de las fases previas, se estructura un plan que permite conocer la priorización y medidas que deberán desarrollarse para seguir con los lineamientos de la norma, con base en las demandas del negocio. Aquí se definen las políticas, se identifican roles, los métodos de implementación, los procesos en los que tiene influencia y los controles tecnológicos.
- Implementación. Esta fase considera el nivel de madurez de la gestión de la seguridad, la cual incluye aspectos como la existencia de una política de seguridad, los procedimientos correspondientes, los marcos para el intercambio de información, educación al personal, monitoreo de las TIC, y la gestión de incidentes, entre otros.
Si bien existen distintos enfoques para abordar una estrategia de ciberseguridad, estas estrategias basadas en el riesgo se encuentran entre las más eficaces para reducir las posibilidades de éxito de un ataque. La ciberseguridad basada en riesgos ayuda a identificar, analizar y gestionar las amenazas potenciales que podrían comprometer la seguridad de sus sistemas y datos. Cuando se complementa con un plan de seguridad integral y se aplican las contramedidas necesarias, se protegen los datos y se mantiene la operación de manera confiable.