La gestión de riesgos no es una actividad de única ocasión, sin embargo en muchas organizaciones se comete el error de analizarlo una sola vez. El ciber riesgo existe siempre porque el panorama de amenazas evoluciona de modo rápido y constante. Con una exposición a las amenazas tan dinámica, las organizaciones deben medir el riesgo continuamente.
Así lo indica la publicación del sitio CIO México, la cual también menciona lo siguiente:
El proceso de evaluación de ciber riesgos
El Instituto Nacional de Estándares y Tecnología (NIST) recomienda que se lleven a cabo las evaluaciones dentro del manejo de riesgos de la siguiente manera:
1. Evaluar el ciber riesgo.
2. Evaluar la respuesta ante él.
3. Monitorearlo.
4. Repetir el proceso.
¿Qué es el ciber riesgo?
Es el riesgo de pérdidas financieras, disrupción o daño a la reputación de una organización debido a alguna falla de sus sistemas de tecnología de la información. Para determinar qué es un riesgo, los profesionales de TI utilizan una ecuación muy simple: Amenaza x Vulnerabilidad x Consecuencia= Ciber riesgo.
Esta es una fórmula estándar para determinar riegos, aunque algunos expertos remplacen “consecuencia” por “impacto”. Tal vez, la mejor palabra para sustituir ambos términos de la ecuación es “daño”. Así que cuando se trata de definir ciber riesgo, el equipo necesita preguntarse lo siguiente: ¿si nuestro sistema o datos se ven comprometidos, que tanto daño habrá para nuestra reputación y operaciones?
Realizar evaluaciones de ciber riesgos, es la clave
Estas son utilizadas para identificar, estimar y priorizar riesgos para cada una de las operaciones, activos e individuos de una organización. El racional de las evaluaciones de ciber riegos es que puedan ayudar a las organizaciones a:
• Evitar intrusiones e incidentes de seguridad.
• Reducir costos a largo plazo.
• Prepararse para futuras inversiones.
• Mejorar la colaboración.
Hay ocho preguntas que al responderse proveen a las organizaciones la guía necesaria para completar exitosamente una evaluación exhaustiva de ciber riesgos:
- ¿Cuáles son los activos de TI más importantes para la organización?
- ¿Qué datos, si se ven comprometidos, tendrían un mayor impacto en la organización ya sea que provenga de malware, ciberataque o error humano?
- ¿Cuáles son las amenazas más relevantes y las fuentes de estas para la organización?
- ¿Cuáles son las vulnerabilidades internas y externas?
- ¿Cuál es el daño potencial si esas vulnerabilidades son explotadas?
- ¿Cuál es la probabilidad de que esto suceda?
- ¿Qué ciber ataques, ciber amenazas, o incidentes de seguridad podrían afectar la habilidad del negocio para operar?
- ¿Cuál es el nivel de riesgo que la organización se siente cómoda tomando?
Existen varias trampas comunes que podrían obstaculizar o socavar los esfuerzos de una organización para llevar a cabo un análisis de riesgos acertado. Entre éstas se encuentran no tomar en cuenta riesgos que pueden venir de terceros y tener una visión de túnel acerca del alcance, enfocándose en un área en particular. Otros posibles errores: analizar sin contexto, no hacerlo periódicamente, no incorporar ciber riesgo en el riesgo general de la organización y confiar solamente en las herramientas de análisis, en ocasiones necesitamos hablar directo con las personas.
No es responsabilidad de un solo equipo
En muchas organizaciones, se asume que la responsabilidad de manejar ciber riesgos pertenece solamente a los equipos de TI y seguridad, pero esto no es cierto. Prevenir los ciber riesgos es responsabilidad de cada miembro de la organización.
Es sumamente crítico determinar quién lleva a cabo estos análisis. Muchas organizaciones los dejan a cargo de los equipos de TI ya que este tipo de actividades requieres un conocimiento profundo del funcionamiento de la infraestructura digital y de red. Algunas empresas tienden a buscar un servicio tercerizado para los análisis. Sin embargo, es importante que los ejecutivos de alto rango y los mismos dueños de las empresas entiendan los flujos de información involucrados, al final la visibilidad a lo largo de toda la organización es crítica para un análisis de riesgos eficaz y profundo.
Fuente https://cio.com.mx/conceptos-fundamentales-para-gestionar-el-ciber-riesgo-en-las-companias/
–Renee Tarun, VP de Seguridad de la Información en Fortinet