Nick Denning, CEO de la consultora de TI Diegesis y veterano de múltiples proyectos de transformación de TI del sector público, comparte sus pensamientos sobre lo que hace que una estrategia de conciencia de riesgos sea exitosa.

La gestión de riesgos implica identificar, evaluar, mitigar y planificar posibles eventos que podrían afectar a una empresa. Este artículo explora la gestión de riesgos en la práctica, incluida la diferencia entre el riesgo operativo y el riesgo del proyecto. Destaca las características de una mala gestión de riesgos y las prioridades para una estrategia exitosa de concienciación sobre el riesgo cibernético.

Enfatiza la naturaleza dinámica de los riesgos cibernéticos, la necesidad de una vigilancia constante y la importancia de la capacitación práctica, la comunicación y las medidas proactivas para mitigar los riesgos.

La diferencia entre el riesgo operacional y el riesgo del proyecto

Los riesgos operacionales son aquellos que afectan a una organización en el desarrollo de sus actividades habituales y existen dos tipos. Se espera que los riesgos de frecuencia ocurran de forma regular y podemos predecir el costo de estos durante un período.  Los riesgos de catástrofe son inesperados y pueden ocurrir solo una vez cada 20 años, por ejemplo.

Los riesgos del proyecto se relacionan con un plan para obtener un resultado en particular.  Los riesgos externos pueden incluir un nuevo competidor que afecte el caso de negocio.  Los riesgos de entrega se relacionan con la capacidad de completar las tareas requeridas a tiempo, dentro del presupuesto y con las especificaciones necesarias.  Una simulación de Monte Carlo puede predecir el riesgo agregado en todas las tareas del proyecto y mostrar qué tareas de mitigación y contingencia pueden reducir el costo total.

El riesgo de seguridad cibernética es un problema de riesgo operativo

El riesgo de ciberseguridad es predominantemente un problema de riesgo operativo, donde las amenazas de seguridad persistentes, aunque cambiantes, están siempre presentes. La seguridad cibernética es aplicable a los proyectos en el sentido de que cualquier tecnología que se utilice o entregue en un proyecto debe adoptar la seguridad por diseño y cumplir con los estándares aplicables.

La defensa de una organización debe ser proporcional al nivel de riesgo. Debe equilibrarse de modo que una inversión importante en un área no sea eludida por debilidades en otras áreas. También necesita el compromiso de un alto nivel o de la junta directiva para garantizar que se tome en serio en toda la organización.

Estrategia de concienciación sobre los riesgos de ciberseguridad

Gestionamos el riesgo cibernético utilizando los mismos mecanismos que utilizamos para cualquier otra forma de gestión de riesgos.  Sin embargo, existen diferencias significativas en la naturaleza de los riesgos cibernéticos en comparación con otros riesgos. En la gestión de riesgos tradicional, los riesgos asociados con un requisito o función empresarial en particular tienden a cambiar lentamente con el tiempo. En el mundo cibernético el panorama es mucho más dinámico.

Los datos almacenados por una organización o departamento son atractivos para los delincuentes. Las nuevas tecnologías pueden introducir nuevas vulnerabilidades. Estos pueden ser explotados por los actores de amenazas antes de que se puedan implementar parches o correcciones de software. Estos factores requieren un enfoque más riguroso para la evaluación de riesgos cibernéticos. En lugar de llevar a cabo un ejercicio puntual, es posible que cada cambio de configuración, parche de producto o actualización deba ser evaluado y autorizado por la organización, posiblemente a través de un Consejo Asesor de Cambios.

Un elemento clave de una estrategia de gestión de riesgos cibernéticos es reconocer que algunos ataques tendrán éxito.  La creación de múltiples capas de protección con el monitoreo y las alertas adecuadas significa que se puede detectar un ataque exitoso en una capa, lo que da tiempo para promulgar planes de contingencia antes de que se penetre en la siguiente capa; y, como consecuencia, el ataque general es derrotado.

Conciencia efectiva del riesgo

Los ciberdelincuentes utilizan la psicología para manipular a las personas y engañarlas para que comprometan las medidas de seguridad.  Tenemos que asegurarnos de que el riesgo de ciberseguridad esté constantemente en la mente de las personas y de que se les recuerde regularmente cómo reconocer las amenazas.

Una estrategia eficaz de concienciación sobre el riesgo cibernético debe incluir:

  1. Capacitación de incorporación que incluye todos los temas de la política de seguridad de la organización en secciones digeribles relevantes por función laboral.
  2. Ejercicios regulares para verificar que el personal haya absorbido la capacitación y siga las políticas con recordatorios de las consecuencias.
  3. Estos ejercicios deben ser variados, interesantes y relevantes para cada individuo.
  4. Es necesario comunicar las reevaluaciones y los cambios en la probabilidad/magnitud de los impactos para que la gente se dé cuenta de cuándo hay un mayor nivel de riesgo.
  5. Involucre a todos para que informen de ataques o cuasi accidentes para actualizar el nivel de amenaza para que sus colegas puedan tomar medidas inmediatas.
  6. El personal debe entender que es su obligación denunciar los presuntos ataques sin culpa.

El mayor riesgo es la complacencia, lo que hace que las personas descarten la probabilidad de que un riesgo les afecte.

Características de la escasa conciencia del riesgo

Los signos reveladores de una estrategia deficiente de concienciación sobre el riesgo incluyen:

  • Una política ignorada, creando una sensación de falsa seguridad,
  • No hay ningún método para detectar si se están produciendo ataques,
  • No hay forma de difundir información,
  • Ningún oficial de seguridad efectivo que responda a las alertas y tome medidas.
  • Sin sistemas de apoyo,
  • Ausencia de un proceso de evaluación de la seguridad como parte de la contratación,
  • Un entrenamiento pobre y no renovado que cae en el descrédito,
  • No se realizan pruebas a los usuarios en su formación.

Prioridades para una estrategia exitosa de concienciación sobre el riesgo

El director de seguridad debe ser capaz de supervisar y auditar el cumplimiento de las políticas y tomar medidas si es necesario.

Para aumentar la protección, cree una «Lista blanca» de productos de software o aplicaciones aprobados. Cualquier otro software debe ser eliminado e investigadas las instalaciones incorrectas. A pesar de las instrucciones claras, las personas a menudo se olvidan de eliminar el software no aprobado. Para hacer frente a los desafíos de cumplimiento, utilice herramientas de evaluación de vulnerabilidades para detectar y eliminar o deshabilitar el software no conforme, el software obsoleto o el software que contiene nuevas vulnerabilidades.

Implemente una herramienta de administración del sistema que permita a los administradores eliminar el software no autorizado de forma remota. Tomar medidas concretas hace evidente para los empleados que el incumplimiento de las políticas es inaceptable y que una solución tecnológica será monitorear y mantener un entorno seguro.

EL AUTOR: Nick Denning es el fundador y director ejecutivo de Diegesis.
FUENTE: www.continuitycentral.com

Your email address will not be published.

You may use these <abbr title="HyperText Markup Language">HTML</abbr> tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Lang. »