:quality(75)/cloudfront-us-east-1.images.arcpublishing.com/elcomercio/AIIZJUAA6ZFB5J56DOCCH7NGV4.jpg)
El manejo de riesgos no es una actividad de una sola vez, pero muchas organizaciones cometen este error. Hacen una evaluación de riesgos y regresan a sus operaciones del día a día, cuando este debe ser un proceso continuo.
El fortalecimiento de la ciberseguridad en las empresas se ha convertido en una necesidad. Gracias al trabajo remoto, el panorama de red está mutando frecuentemente, convirtiendo a las empresas peruanas en un blanco fácil para los cibercriminales.
A continuación algunos conceptos a tener en cuenta sobre el riesgo en la red y la ciberseguridad, a cargo de Renee Tarun, VP de Seguridad de la Información en Fortinet.
El proceso de evaluación de ciber riesgos
El Instituto Nacional de Estándares y Tecnología recomienda que se realice el siguiente proceso de manejo de riesgos: 1.Evaluar el ciber riesgo, 2.Evaluar la respuesta ante él, 3.Monitorearlo, y 4.Repetir el proceso. A continuación, me gustaría añadir algunas opciones para contrarrestar este mal.
¿Qué es ciber riesgo?
Es definido como el riesgo de pérdidas financieras, disrupción o daño a la reputación de una organización debido a alguna falla de sus sistemas de tecnología de la información. Para determinar qué es un riesgo, los profesionales de TI utilizan una ecuación muy simple:
MIRA: Experian: 5 consejos para evitar las actividades fraudulentas y crímenes cibernéticos en la empresa
Amenaza X vulnerabilidad X consecuencia = Ciber Riesgo
Si bien esta es una fórmula estándar para determinar riesgos, las compañías necesitan preguntarse: ¿si nuestro sistema o datos se ven comprometidos, qué tanto daño habrá para nuestra reputación y operaciones?
Realizar evaluaciones de ciber riesgos, es la clave
Estas son utilizadas para identificar, estimar y priorizar riesgos para cada una de las operaciones, activos e individuos de una organización.
Hay ocho preguntas que una vez que son respondidas, proveerán a las organizaciones una guía para completar exitosamente una evaluación exhaustiva de ciber riesgos:
- Cuáles son los activos de TI más importantes para la organización
- Qué datos, si se ven comprometidos, tendrían un mayor impacto en la organización ya sea que provenga de malware, ciberataque o error humano
- Cuáles son las amenazas más relevantes y las fuentes de éstas para la organización
- Cuáles son las vulnerabilidades internas y externas
- Cuál es el daño potencial si esas vulnerabilidades son explotadas
- Cuál es la probabilidad de que esto suceda
- Qué ciber ataques, ciber amenazas, o incidentes de seguridad podrían afectar la habilidad del negocio para operar
- Cuál es el nivel de riesgo que la organización se siente cómoda tomando
No es responsabilidad de un solo equipo
En muchas organizaciones, se asume que la responsabilidad de manejar ciber riesgos es tarea de los equipos de TI y seguridad, pero esto no es cierto. Es responsabilidad de cada miembro porque, al final, la visibilidad a lo largo de toda la organización es crítica para un análisis de riesgos eficaz y profundo.
VIDEO RECOMENDADO
:quality(75)/cdn.jwplayer.com/v2/media/w1pqRTfa/poster.jpg)
:quality(75)/cloudfront-us-east-1.images.arcpublishing.com/elcomercio/3UV36RPSIVDLTNAQTVUCYIM3GU.png)
:quality(75)/cloudfront-us-east-1.images.arcpublishing.com/elcomercio/GVH5JTNJYREMXGRML7RBJSLBIY.png)
:quality(75)/cloudfront-us-east-1.images.arcpublishing.com/elcomercio/IUJMOOQSJZBGPI52XF4S5CNXB4.jpg)