¿Cómo se puede identificar y evaluar los riesgos asociados con la ciberseguridad?
Entrevista extraída de la Edición especial de ciberseguridad de la revista TrendTIC.CL
Cada vez nos enteramos de nuevos incidentes, de nuevos ciberataques a nivel global y Chile no es la excepción, por lo que en este escenario, administrar el riesgo y saber cómo gestionar de manera eficiente un incidente, son desafíos que abordamos en esta edición con distintos especialistas del ecosistema de ciberseguridad nacional, que aportan su mirada diversa.
Evitar, reducir, transferir, aceptar, compartir, explotar, monitorear o diversificar, son algunos de los enfoques que podemos tener en la gestión del riesgo, dependiendo su naturaleza, de la industria y la cultura de la organización.
Identificación y evaluación de los riesgos en la ciberseguridad
Frente a este escenario de amenazas complejas y desafíos continuos, la identificación y evaluación de riesgos en ciberseguridad es un proceso crucial para proteger la información y los sistemas de una organización.
Para Carlos Serrano, Director de Avalora para Latinoamérica, “en el entorno digital actual, las organizaciones se enfrentan a diversas amenazas cibernéticas. La estrategia Zero Trust ha surgido como un principio fundamental para proteger activos y datos críticos, basándose en la premisa de no confiar automáticamente en nada ni en nadie, incluso dentro de la propia red.
La implementación de Zero Trust incluye la identificación y segmentación de la superficie de ataque, considerando usuarios, dispositivos y aplicaciones como posibles puntos de compromiso. Se establecen políticas de acceso detalladas para usuarios internos y externos, respaldadas por evaluaciones continuas que permiten una respuesta inmediata a posibles amenazas.
En este contexto de alta seguridad, las herramientas de scoring también desempeñan un papel crucial al asignar puntuaciones a riesgos y amenazas, facilitando la cuantificación y priorización efectiva. Estas puntuaciones actúan como faros que iluminan áreas de alto riesgo, permitiendo a las organizaciones centrarse en las mayores preocupaciones y aplicar controles específicos.
La identificación de la superficie de ataque y la evaluación detallada de riesgos son pasos fundamentales. Esto implica identificar puntos de exposición, realizar evaluaciones de riesgos considerando la probabilidad de compromiso y el impacto potencial, y priorizar áreas críticas.
La administración de riesgos en la superficie de ataque es central en la estrategia Zero Trust, exigiendo una comprensión profunda de las amenazas en cada punto de exposición. La identificación de vulnerabilidades y la aplicación de controles adecuados son esenciales para mitigar riesgos”.
En resumen, Serrano destaca que “la estrategia Zero Trust, respaldada por herramientas de scoring y una gestión de riesgos efectiva, proporciona una defensa robusta y adaptable en un entorno cibernético dinámico. Este enfoque se erige como un faro de seguridad en el vasto océano de la ciberseguridad, ofreciendo una defensa esencial para la protección de activos y datos críticos en un paisaje de amenazas en constante evolución”.
También te puede interesar: See what a Hackers sees: Monitorización continua y no intrusiva con SecurityScorecard
Fabián Vega de Trend Micro, recuerda los cuatro pasos que recomienda NIST para la evaluación del riesgo, indicando que “el primer paso es prepararse para la evaluación identificando el propósito, alcance, supuestos, limitaciones, fuentes de información que se utilizarán el modelo de riesgo y los enfoques analíticos que se emplearán. El modelo de riesgo define los factores de riesgo clave y la relación entre ellos. Los factores de riesgo incluyen probabilidad, así como la impacto, además de la amenaza, la vulnerabilidad la condición predisponente, y el activo valor empresarial.
Tras la preparación, el segundo paso hacia la evaluación de riesgos es llevar a cabo la evaluación. Esto incluye identificar fuentes de amenazas relevantes, los eventos que pueden ser producidos por esas fuentes, y vulnerabilidades que podrían explotarse a través de esos eventos. Además, es cuando se determinan la probabilidad y los impactos adversos.
El tercer paso consiste en comunicar los resultados de la evaluación de riesgos y compartir la información para ayudar a otras actividades de gestión de riesgos. Por último el cuarto paso del enfoque recomendado por el NIST es supervisar continuamente con los objetivos internos, sino también con las regulaciones y estándares externos. Este marco debe ser adaptable, capaz de evolucionar con las cambiantes regulaciones globales y locales.
Un componente vital adicional es la capacitación y concienciación de los empleados. Los individuos en todos los niveles de la organización deben ser equipados con el conocimiento necesario para actuar como primera línea de defensa, identificando posibles amenazas y respondiendo adecuadamente. Esta cultura de conciencia de seguridad debe ser fomentada continuamente a través de educación y entrenamiento regulares.
Por último, pero no menos importante, está la respuesta a incidentes y la recuperación. Un programa de gestión de riesgos debe estar equipado no solo para prevenir brechas de seguridad, sino también para actuar rápidamente y eficazmente en caso de que ocurran. Esto implica tener planes de respuesta a incidentes y continuidad de negocio claramente definidos y probados regularmente, asegurando que la organización pueda recuperarse con la menor interrupción posible.
Gracias Revista TrendTIC.cl por difundir el trabajo que hacemos desde Avalora.
