Los ciberdelincuentes están al acecho. ¿Qué hace tu organización para proteger la información?

¿No tienes tiempo para construir los documentos del Sistema de Gestión?

Kit de Certificación ISO 22000:2018

Kit de Certificación ISO 9001:2015

Kit de Certificación ISO 27001:2013

El enfoque basado en riesgos es una nueva visión integral en la cual el riesgo es una realidad latente considerada en todo momento y en todo proceso, logrando su identificación, gestión y control oportuno.

 

En la seguridad de la información los riesgos son inevitables, el sufrimiento es opcional. El fraude, las pérdidas financieras, la alteración de datos, los bloqueos del sistema, los malware, el hurto de contraseñas, los ataques cibernéticos, y otros riesgos están al asecho en todas partes y es tu decisión cómo enfrentarlos e imponerte antes ellos.

 

Para prevenir y mitigar los riesgos de la seguridad informática debes actuar de inmediato y adoptar medidas eficaces que garanticen la protección de los datos e información sensible para la organización.

 

Implementar un Sistema de Gestión ISO 27001 es una decisión estratégica para garantizar la integridad, disponibilidad y confidencialidad de la información, mantener la confianza de los clientes, fortalecer la reputación e imagen organizacional, cumplir con los requisitos normativos y ser un negocio rentable.

 

La organización debe prepararse y mantenerse alerta ante los peligros en seguridad de la información. El nuevo enfoque basado en riesgos es una alternativa que supera la efectividad de los métodos tradicionales que han sido descifrados y aprovechados por los ciberdelincuentes.

 

Hoy aprenderás cómo la ciberseguridad desde el enfoque de riesgos te permite como organización conseguir tus objetivos en seguridad informática ahorrando tiempo y dinero.

 

Empecemos!

 

¿Qué es la ciberseguridad con enfoque basado en riesgos?

 

Quiere decir que si tu organización adopta una ciberseguridad con enfoque basado en riesgos todas las decisiones se toman entorno a los riesgos por encima de otros factores.

 

Este tipo de enfoque se fundamenta en el cumplimiento, lo que significa que tu organización se preocupará por protegerse de los ciberataques, las violaciones a la seguridad de la información y mantener la conformidad del sistema, más que chulear casillas y completar listas de verificación.

 

Así mismo la proactividad y prevención son clave en el enfoque basado en riesgos. Tu organización destinará mayores recursos y esfuerzos en programas, software, contrafuegos y muchas otras medidas que logren prevenir todo riesgo de seguridad informática, en vez de invertir en solucionar consecuencias y reparar daños.

 

Es un enfoque realista cuyo objetivo es reducir significativamente los riesgos, más no garantizar la seguridad informática en su plenitud, de forma permanente y sin alteraciones, pues no sería posible teniendo en cuenta la incertidumbre en una organización, su contexto, procesos y mercado.

 

Elementos del enfoque de ciberseguridad basado en riesgos

 

  • Monitoreo continuo

 

El secreto del éxito de un enfoque de ciberseguridad basado en riesgos es el conocimiento del riesgo, fundamentándose en hechos más que en opiniones y tendencias. Como la seguridad informática es impredecible y cambiante los riegos deben actualizarse y para ello es indispensable el monitoreo contante.

 

Este enfoque no tolera ningún vacío que exponga y atente contra la seguridad de la información de tu negocio, de tal forma que las evaluaciones, inspecciones, controles y pruebas deben ser complementadas por otras acciones necesarias que eliminen estos puntos ciegos.

 

Para un monitoreo eficaz es muy importante que la organización defina los indicadores de seguridad informática teniendo como base el nivel de los riesgos y los intereses corporativo. Algunos ejemplos de métricas que puedes tener presente son:

 

1. Número de amenazas identificadas e informadas

Este es uno de los indicadores más importantes para la seguridad de la información, ya que refiere directamente las situaciones y riesgos sospechosos que afectan a la organización. Permite tomar decisiones asertivas para controlar y preservar los niveles de seguridad conformes a los intereses y requisitos aplicables.

 

Para que la información que proporcione este indicador sea completa en términos de gravedad, naturaleza y ocurrencia del riesgo se puede dividir en submétricas como malware, ciberataques, contraseñas inseguras, acceso no autorizado, etc.

2.Número de dispositivos sospechosos en la red

 

Todos los dispositivos diferentes a los de la organización cuyo control de seguridad como instalación de software antivirus, acceso controlado, parches actualizados, etc., se desconozca representan un riesgo para la protección de la información corporativa.

 

Los equipos móviles o portátiles de propiedad de los empleados se deben identificar y cuantificar, haciendo de esta práctica parte de los protocolos diarios que salvaguarden la seguridad de la información.

3.Tiempo de respuesta a la amenaza

 

Este indicador corresponde a medir la efectividad de los controles implementados por la organización. En el mercado el tiempo es dinero, así que entre más demores en resolver o hacer frente a los riesgos mayores serán las consecuencias para el negocio.

 

Lleva el registro del tiempo que la organización tarda en dar solución al inconveniente cibernético desde su identificación hasta el informe final.

4.Número de vulnerabilidades externas e internas

 

Vigilar las redes y sistemas organizacionales para detectar cualquier amenaza interna y externa es promover la seguridad de la información. Hacer esto permite conocer el nivel de debilidad y fallo de la organización para adoptar medidas efectivas para la integridad, disponibilidad y confidencialidad de los datos.

 

5.Costo

 

Permite comprender el costo que implica cada riesgo en ciberseguridad no sólo en su gestión, sino también sus consecuencias, impactos en producción, daños y perjuicios en la reputación, etc.

 

 

  • Priorización

 

Un sistema de gestión de seguridad de la información con un verdadero enfoque de riesgos debe contar con una metodología eficaz que priorice el cumplimiento de los requisitos y las necesidades de seguridad de la información partiendo de la significancia y ocurrencia de las amenazas.

 

Priorizar implica tener en cuenta dos elementos principales: Primero el conocimiento del riesgo y segundo el conocimiento del objetivo. Bajo este enfoque tu organización mantiene un proceso de identificación, análisis y actualización continuo para conocer y comprender los riesgos de ciberseguridad y los sistemas que podrían afectar.

 

Algunas tareas que puedes priorizar inicialmente son:

1.Comprender los datos e información sensible que debes proteger. Quizá sea necesario que pienses por un momento como un ciberdelincuente y te preguntes sobre qué querrías robar, entonces encontrarás la información confidencial y de valor para la organización.

 

Lo ideal es hacer un inventario de los activos de la información sensible, es decir, aquellos datos que al ser hurtados las consecuencias sean fatales, en este documento se debe especificar la naturaleza del activo, el lugar de almacenamiento y el responsable.

2.Priorizar esfuerzos para proteger la información más sensible. Tras comprender los datos, es necesario clasificarlos según su grado de sensibilidad, así podrás priorizar los recursos y esfuerzos a las principales necesidades en seguridad.

3.Priorizar la participación activa de la alta dirección

 

El liderazgo de la alta dirección es muy importante para que se logre y mantenga la seguridad de los datos, por ello establecer la buena relación con los directivos y responsables de la ciberseguridad es una prioridad.

 

Principalmente el compromiso debe manifestarse con la asignación de recursos suficientes para el logro de los objetivos, la alineación de los programas de seguridad con los intereses corporativos y la supervisión de los resultados.

4.Prioriza la comprensión del contexto organizacional

 

Responder efectivamente a las amenazas y riesgos de seguridad de la información sólo es posible si conoces el entorno en que se desarrolla tu negocio, identificas los riesgos y priorizas esfuerzos.

5.Priorizar el compromiso del personal

 

Además de la relación con los directivos, el apoyo y la motivación de los empleados es indispensable para lograr los objetivos en seguridad. Las prácticas del personal pueden ser una amenaza a los principios de la ciberseguridad, siendo prioridad establecer alianzas de comunicación, sensibilización y comprensión del valor de los activos y datos de la organización.

 

  • Análisis benchmarking

 

 

Para comprender holísticamente los riesgos de seguridad de la información, existe el análisis benchmarking que te permite comparar la situación en ciberseguridad de otras organizaciones para dar una idea del nivel de vulnerabilidad en el que se encuentra tu negocio y la efectividad de los controles implementados, todo  esto en términos cualitativos y cuantitativos.

 

Las fases para llevar a cabo este análisis, pueden, pero no se limitan a:

1.Fase de identificación. Define el riesgo de seguridad de la información que debes controlar o mejorar.

2.Fase de investigación. Establece un punto de referencia o comparación, que puede ser:

 

  • Interno: Comparando áreas, elementos, controles y/o medidas de la misma organización.

 

  • Competitivo: Comparando tu organización con la competencia.

 

  • Funcional: Comparando tu organización con otras que no representan la competencia.

 

  • Genérico: Comparando tu organización con un negocio que ha superado problemas en seguridad similares a los tuyos.

3.Fase de definición de métricas. Aquí debes definir lo que medirás, es decir, establecer las variables con las que se efectuará la comparación.

4.Fase de planificación del trabajo de campo. Estructurar un cronograma con fechas, horas, recursos, responsables y elementos que se emplearán para recolectar la información que se necesita.

5.Fase de ejecución. Es hora de llevar la teoría a la práctica. Debes medir los datos de la competencia que te sean útiles, la precisión es clave para un diagnóstico completo y real de situación en seguridad, de esta forma las decisiones que tomes serán asertivas y fundamentadas en evidencia objetiva.

6.Fase de comparación. En este momento debes comparar la información que has obtenido de la competencia u otro punto de referencia con la propia de tu organización, así identificarás las fortalezas y debilidades de ambas partes.

7.Fase de mejora continua. Una vez concluida la fase de comparación tienes los elementos necesarios para definir e implementar controles y buenas prácticas que fortalezcan el sistema de seguridad de la información de tu organización.

 

Recuerda que si una estrategia de la competencia te parece buena no debes imitarla, o ideal es adaptarla a las características e intereses de tu organización antes de aplicarla.

8.Fase de control. Tras implementar los cambios es necesario evaluar y hacer seguimiento a los resultados. De ser necesario puedes hacer las modificaciones pertinentes que perfeccionen el sistema.

 

 

Conclusión

 

Muchas organizaciones gastan millones en software de seguridad sofisticados que al final son violados por ciberdelincuentes que aprovechan los errores del usuario por falta de capacitación.

 

El enfoque basado en riesgos ayuda a tu negocio a ir un paso adelante y prevenir cualquier situación amenazante a la seguridad de la información.

 

Además, tu organización será competente para evaluar, controlar y mantener internamente la eficacia de los programas de seguridad, librándote de gastar cantidades teatrales en asesores externos.

 

Ahora que sabes lo rentable que es prevenir, no esperes más para implementar un Sistema de Gestión de Seguridad de la Información con enfoque en los riesgos.

Si este post te ha sido de utilidad me gustaría que lo compartas en tus redes sociales.

 

Nos vemos en breve!

Talvez te interese leer más sobre:

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *