Los riesgos y los problemas relacionados con la seguridad representan una preocupación constante de las empresas, así como del campo de la ciberseguridad, pero con demasiada frecuencia las organizaciones no gestionan el riesgo de forma proactiva. La evaluación y el análisis de riesgos deben ser un ejercicio continuo y exhaustivo en cualquier organización. Como miembro del equipo de seguridad de una organización, trabajará a través de la evaluación de riesgos, el análisis, la mitigación, la corrección y la comunicación.

Hay muchos marcos y modelos utilizados para facilitar el proceso de gestión de riesgos, y cada organización hace su propia determinación de lo que constituye un riesgo y el nivel de riesgo que está dispuesta a aceptar. Sin embargo, existen puntos en común entre los términos, conceptos y habilidades necesarios para medir y gestionar el riesgo. Este módulo lo lleva a comenzar presentando la terminología fundamental y presentándole el proceso de gestión de riesgos.

En primer lugar, una definición de riesgo es una medida del grado en que una entidad se ve amenazada por una circunstancia o evento potencial. A menudo se expresa como una combinación de:

los impactos adversos que surgirían si ocurre la circunstancia o evento, y

la probabilidad de ocurrencia.

El riesgo de seguridad de la información refleja los posibles impactos adversos que resultan de la posibilidad de acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados de la información y/o los sistemas de información. Esta definición representa que el riesgo está asociado con las amenazas, el impacto y la probabilidad, y también indica que el riesgo de TI es un subconjunto del riesgo empresarial.

Terminología de gestión de riesgos

Los profesionales de la seguridad utilizan sus conocimientos y habilidades para examinar la gestión del riesgo operativo, determinar cómo utilizar los datos de riesgo de forma eficaz, trabajar de forma interdisciplinaria y comunicar información y hallazgos procesables a las partes interesadas en él. Términos como amenazas, vulnerabilidades y activos son familiares para la mayoría de los profesionales de la ciberseguridad.

Un activo es algo que necesita protección.

Una vulnerabilidad es una brecha o debilidad en esos esfuerzos de protección.

Una amenaza es algo o alguien que tiene como objetivo explotar una vulnerabilidad para frustrar los esfuerzos de protección.

El riesgo es la intersección de estos términos. Veámoslos más de cerca.

Amenazas

Una amenaza es una persona o cosa que toma medidas para explotar (o hacer uso de) las vulnerabilidades del sistema de una organización objetivo, como parte del logro o la promoción de su meta u objetivos. Para comprender mejor las amenazas, considere el escenario del vídeo de la página siguiente.

En el contexto de la ciberseguridad, los actores de amenazas típicos incluyen lo siguiente:

Personal de adentro de la organización o Insiders (ya sea deliberadamente, por simple error humano, o por incompetencia).

Individuos externos o grupos informales (ya sean planificados u oportunistas, descubriendo vulnerabilidad).

Entidades formales que no son políticas (como competidores comerciales y ciberdelincuentes).

Entidades formales que son políticas (como terroristas, estados-nación y hacktivistas).

Inteligencia o recolectores de información (podría ser cualquiera de los anteriores).

Tecnología (como bots de ejecución libre e inteligencia artificial, que podrían formar parte de cualquiera de las anteriores).

Vector de amenaza: Los medios por los cuales un actor de amenazas lleva a cabo sus objetivos.

Vulnerabilidades

Una vulnerabilidad es una debilidad o falla inherente en un sistema o componente, que, si se desencadena o se actúa sobre ella, podría causar que ocurra un evento de riesgo. Considere el escenario del carterista en la página siguiente.

El equipo de seguridad de una organización se esfuerza por disminuir su vulnerabilidad. Para ello, ven su organización con los ojos del actor de la amenaza, preguntándose: "¿Por qué seríamos un objetivo atractivo?" Las respuestas pueden proporcionar pasos a seguir que desalentarán a los actores de amenazas, harán que busquen en otra parte o simplemente dificultarán el lanzamiento exitoso de un ataque. Por ejemplo, para protegerse del carterista, puede llevar su billetera en un bolsillo interior en lugar del bolsillo trasero del pantalón o comportarse alerta en lugar de ignorar su entorno. La gestión de vulnerabilidades comienza con un simple paso: aprender cuáles son.

Probabilidad

Al determinar las vulnerabilidades de una organización, el equipo de seguridad tendrá en cuenta la probabilidad, o probabilidad, de que se explote una vulnerabilidad potencial dentro de la construcción del entorno de amenazas de la organización. La probabilidad de ocurrencia es un factor ponderado basado en un análisis subjetivo de la probabilidad de que una amenaza o un conjunto de amenazas determinado sea capaz de explotar una vulnerabilidad o un conjunto de vulnerabilidades determinados.

Por último, el equipo de seguridad tendrá en cuenta los resultados probables si se materializa una amenaza y se produce un evento. El impacto es la magnitud del daño que se puede esperar que resulte de las consecuencias de la divulgación no autorizada de información, la modificación no autorizada de la información, la destrucción no autorizada de la información o la pérdida de la información o la disponibilidad del sistema de información.

Piense en el impacto y la cadena de reacciones que pueden resultar cuando ocurre un evento volviendo a visitar el escenario de los carteristas en el siguiente artículo.

¡ESTAMOS AQUÍ PARA AYUDAR!

¡CLIC AQUÍ para una prueba de Dogma C3X en tu compañía totalmente gratis!

Dogma C3X es una Plataforma Inteligente de Consultoría de Negocios inspirada en el modelo de industria de las 3Cs, que ofrece una mirada estratégica a los pilares que toda empresa necesita para el éxito: Clientes – Compañía – Competidores. "Inteligente" porque mediante el uso de inteligencia artificial (IA) y aprendizaje automático (ML) puede recopilar, procesar y analizar el creciente tsunami de datos (estructurados y no estructurados) relacionados con las 3Cs, los cuales son increíblemente valiosos. Solo fortaleciendo, posicionando e integrando estos tres pilares (Clientes – Compañía – Competidores) podrás construir una ventaja competitiva sostenible.