Por Mónica María Jiménez, en febrero 14, 2024
La ciberseguridad cada vez más es un tema que preocupa e interesa a las organizaciones de todo tipo de industrias y tamaños, de hecho, según el Estudio de Gestión de Riesgos en Latinoamérica 2024 que hicimos en Pirani, los riesgos asociados a esta y a la protección de datos son los principales a gestionar este año para las empresas de la región. Y en el Informe sobre Riesgos Globales 2024 del Foro Económico Mundial, ocupa la cuarta posición para los próximos dos años.
Teniendo en cuenta esta realidad y que los ataques cibernéticos siguen aumentando y son más profesionales, complejos y sofisticados, cada vez es más necesario saber cómo gestionar estos riesgos de manera adecuada y efectiva en las organizaciones, pues ninguna está exenta de ser víctima de los cibercriminales.
A continuación podrás conocer cuáles son las fases o etapas clave para una buena gestión de riesgos cibernéticos en tu organización.
Gestión de riesgos de ciberseguridad
Los servicios, los sistemas informáticos y en general toda la información que genera, administra y resguarda una organización es susceptible de verse afectada por un ataque cibernético. Por eso, se deben tomar las medidas y precauciones necesarias para protegerla lo mejor posible y la gestión de riesgos es un proceso estratégico que te ayudará a hacerlo.
Para una buena gestión de los riesgos de ciberseguridad, en general, se deben llevar a cabo las siguientes fases o etapas clave:
1. Identificación de los activos
En esta primera etapa es importante realizar un inventario de los activos de información con los que cuenta la organización, es decir, todos los elementos físicos o intangibles que constituyen la estructura de información y que son atractivos para ser atacados por los ciberdelincuentes. Aquí se pueden considerar, por ejemplo, activos como: hardware, software, servicios, redes de internet, personas, entre otros.
Y es clave calificar su criticidad teniendo en cuenta aspectos como: confidencialidad (acceso a la información), integridad, disponibilidad y trazabilidad. Esta clasificación permite conocer cuáles son los activos más críticos para la organización y representan un mayor riesgo.
2. Identificación y evaluación de los riesgos
Luego de tener el inventario de activos de información, se deben identificar y evaluar los diferentes riesgos potenciales que podrían afectarlos.
Para la identificación se pueden aplicar distintas técnicas, por ejemplo, entrevistas con los dueños de los procesos y los activos, planteamiento de escenarios (qué pasaría si…), conocimiento de lo que ha pasado o pasa en organizaciones de la misma industria u otra, etc.
Algunos de los riesgos a considerar son: interrupción del servicio, fuga de información, fallas en los sistemas, robo de documentos y equipos de cómputo, ciberataques como phishing, ransomware o denegación de servicio (DDoS), pérdida de control de acceso y cualquier otro que afecte el adecuado funcionamiento y continuidad de la organización.
Adicionalmente, en esta etapa se debe analizar y evaluar cada uno de los riesgos identificados, es decir, valorarlos en su probabilidad de ocurrencia (¿qué tan probable es que se materialice?) y en su impacto (consecuencias que tendría su materialización en el ámbito operativo, financiero, legal o reputacional).
Para la evaluación de la probabilidad y del impacto es común utilizar tanto variables cualitativas como cuantitativas. Y conocer los valores de estos dos elementos, que da como resultado el riesgo inherente, sirve para priorizar los riesgos y así poder establecer las medidas necesarias para tratarlos pronto.
3. Tratamiento de los riesgos
Una vez identificados y valorados los riesgos potenciales a los que están expuestos los activos de información, es necesario definir las medidas de tratamiento que se implementarán, esencialmente existen cuatro: mitigar, transferir, aceptar o evitar los riesgos.
La mitigación es una de las medidas más implementadas y se hace a través de los controles, que pueden ser preventivos, detectivos o correctivos y ser ejecutados de forma automática, manual o combinada. Además, los controles sirven, por un lado, para disminuir la probabilidad de ocurrencia del riesgo y por otro, para minimizar el impacto causado si este se llega a materializar.
La norma ISO 27001:2022 en su Anexo A incluye un total de 93 controles, organizados en cuatro secciones (organizaciones, físicos, tecnológicos y de personas), para la gestión de riesgos de seguridad de la información. Algunos de estos controles son: supervisión de la seguridad física, gestión de la configuración, enmascaramiento de datos, prevención de fuga de datos, filtrado web, capacitación de empleados, entre otros.
Con respecto a las demás opciones de tratamiento del riesgo, la transferencia generalmente implica la adquisición de un seguro, en este caso sería un seguro de ciber riesgos. La aceptación del riesgo significa reconocer que existe y decidir convivir con él considerando el apetito y tolerancia establecidos por la organización. Y finalmente, evitar el riesgo implica dejar de realizar las actividades que generan el riesgo.
4. Monitoreo constante y revisión
La gestión de riesgos de ciberseguridad debe ser un proceso continuo, por eso, en esta cuarta etapa se debe realizar un seguimiento periódico a los riesgos identificados y a los controles implementados.
El monitoreo a los riesgos sirve para conocer si se mantienen los mismos o hay nuevos riesgos que hay que incluir dentro de la gestión. Y en el caso de los controles, se les hace seguimiento para evaluar su efectividad y conocer si están cumpliendo el objetivo para el que fueron creados o por el contrario, es necesario realizar ajustes o implementar unos nuevos que permitan prevenir o mitigar las amenazas y riesgos cibernéticos a los que cada día está expuesta la empresa.
Adicional a estas cuatro fases o etapas clave para la gestión de riesgos de ciberseguridad, es fundamental comunicar y concientizar sobre estos riesgos a todas las partes interesadas de la organización, al igual que las medidas y buenas prácticas a implementar para prevenir en lo posible su materialización.
Entre otras es importante generar conciencia sobre: usar contraseñas robustas y seguras, realizar copias de seguridad (backup) frecuentemente, no compartir información de la empresa con cualquier persona, hacer buen uso de la información a la que se tiene acceso e informar oportunamente ante cualquier eventualidad y actividad sospechosa.
Gestiona los riesgos de ciberseguridad con Pirani
¿Sabías que a través del sistema de gestión de seguridad de la información de Pirani podemos acompañar a tu organización a realizar de manera simple la gestión de estos riesgos?
Con ISMS de Pirani van a poder:
- Identificar los activos de información y calificarlos en su criticidad.
- Identificar y evaluar los riesgos de ciberseguridad.
- Identificar y administrar las amenazas y vulnerabilidades.
- Definir y crear los controles para mitigar los riesgos.
- Reportar incidentes de seguridad.
- Crear planes de acción.
- Generar reportes para la toma de decisiones.
- Involucrar a los empleados en la gestión y lograr cultura de riesgos.
¿Qué esperas? Crea gratis tu cuenta en el Plan Free y conoce más de las funcionalidades de nuestro sistema ISMS. O también puedes agendar una reunión con uno de nuestros expertos para conocer más y resolver tus inquietudes.
Solicita ayuda aquí si eres cliente →
Somos Pirani → 
Escribe tu comentario