carloscastilla - Fotolia
Cinco pasos para determinar el riesgo residual durante el proceso de evaluación
Incluso los mejores controles de seguridad tienen lagunas en la gestión de datos que crean riesgos. Estos son los pasos para identificar y compensar el riesgo residual durante una evaluación.
Los riesgos residuales relacionados con el gobierno, el riesgo y el cumplimiento son factores de riesgo que quedan después de que una organización aplica controles de seguridad para garantizar el cumplimiento de las leyes y regulaciones. Es importante recordar que estos riesgos residuales pueden ser aceptables con respecto a una regulación, pero no a otras.
Los riesgos residuales podrían eventualmente volverse más tolerables debido a cambios en los requisitos de datos de cumplimiento y/o metodologías de gestión de riesgos. Por ejemplo, los controles de seguridad para compensar el riesgo pueden ser más rentables y/o tecnológicamente avanzados a medida que evolucionan las evaluaciones de riesgos, reduciendo así el nivel de amenaza.
Las organizaciones pueden determinar mejor los riesgos residuales después de realizar los siguientes esfuerzos de mitigación de riesgos:
- Identificar los activos de gobernanza, riesgo y cumplimiento (GRC), incluido el nivel de sensibilidad de los datos, el software y el hardware;
- identificar vulnerabilidades y amenazas;
- completar el proceso inicial de evaluación de riesgos;
- identificar los controles de seguridad actuales utilizados para compensar el riesgo;
- determinar si esos controles de riesgo son preventivos, de detección, correctivos, centrados en la recuperación, directivas o disuasorias; y
- evaluar las fortalezas y debilidades de cada control de seguridad.
Para completar la evaluación de riesgos, las organizaciones deben emprender pasos de mitigación e informar los resultados, incluido el estado de cualquier instancia de riesgo residual, al liderazgo corporativo y luego revisar los riesgos residuales y actualizarlos en consecuencia.
Aquí hay cinco pasos para manejar los riesgos residuales como parte del proceso de evaluación de riesgos.
Paso 1. Identifique los riesgos residuales
Primero, es importante identificar los riesgos iniciales, ya sea que los haya calificado como débiles, moderados o altos. Una vez que se haya completado, puede implementar controles de seguridad.
Debe considerar que los riesgos residuales son altos si los controles de seguridad para los riesgos iniciales son débiles; moderados si los controles de seguridad para los riesgos iniciales altos son adecuados o si los controles de seguridad para los riesgos iniciales bajos son débiles; y bajo si los controles de seguridad para los riesgos iniciales altos, medios o bajos son fuertes o si los controles de seguridad para los riesgos iniciales de calificación media o baja son adecuados.
Paso 2. Identifique los requisitos GRC relevantes
Debe determinar los requisitos de GRC de su organización al verificar las regulaciones relevantes de la empresa. Algunos ejemplos de requisitos reglamentarios incluyen los de la Ley Sarbanes-Oxley, la Ley Gramm-Leach-Bliley y la HIPAA. Si es relevante, se deben considerar las regulaciones de cumplimiento de privacidad, como el GDPR de la UE y la Ley de Privacidad del Consumidor de California.
Cada una de estas regulaciones, y muchas otras, tienen diferentes requisitos de retención de datos para diferentes tipos de documentos. Las organizaciones deben determinar qué requisitos de datos específicos se les aplican.
Paso 3. Identifique los controles de seguridad
El siguiente paso es identificar los controles de seguridad aplicados y cualquier riesgo residual resultante. Estos controles de riesgo incluyen los siguientes:
- Controles de seguridad preventivos, que están diseñados para evitar divulgaciones de información o alteración de información sensible a GRC. Los ejemplos de controles de seguridad preventivos incluyen autenticación biométrica multimodal, servidores agrupados, cifrado, firewalls anidados para bloquear redes no autorizadas y políticas para prohibir conexiones de red no autorizadas.
- Controles de seguridad de detectives, que identifican actividades no autorizadas o no deseadas después de un evento. Los ejemplos incluyen sistemas de detección de intrusos, monitoreo de registros automatizado, auditorías de sistemas, escáneres de virus y verificadores de integridad de archivos.
- Controles de seguridad correctivos, que responden y se recuperan de un incidente, así como también previenen sucesos futuros. También limitan el daño adicional de un ataque. Los controles de seguridad correctivos incluyen sistemas de respuesta a incidentes, procedimientos para eliminar un virus del sistema infectado y reglas de firewall actualizadas para bloquear una dirección IP atacante.
- Controles de seguridad centrados en la recuperación, que devuelven el sistema al modo de producción después de un incidente.
- Controles de seguridad directivos, que describen las acciones que deben tomarse para proteger la información confidencial. Los ejemplos incluyen políticas, procedimientos y pautas.
- Controles de seguridad disuasivos, que desalientan las violaciones de seguridad. Un ejemplo es una política que establece que el acceso a los servidores se supervisa en un intento de desalentar el acceso no autorizado.
Paso 4. Determine cómo manejar los riesgos residuales inaceptables
Una vez que haya revisado los controles de seguridad y determinado sus riesgos residuales, compense estas amenazas considerando las siguientes opciones:
- Reemplazar los controles de seguridad que han quedado obsoletos o que ya no están disponibles;
- transferir la gestión del riesgo residual a otras partes, incluidas las agencias de ciberseguros;
- verificar los cálculos para determinar la probabilidad de que ocurran los riesgos iniciales; y
- actualizar la evaluación de riesgos de una organización para reflejar los cambios si las actualizaciones de los controles de seguridad, hardware y software son importantes debido a un riesgo residual.
Paso 5. Aplique cualquier cambio al estado de riesgo residual
Determine la tolerancia al riesgo reuniendo una lista de riesgos residuales que son inaceptables después de haber aplicado controles de seguridad a los riesgos iniciales. Para cada uno de estos riesgos residuales, verifique periódicamente cualquier cambio en los controles de seguridad aplicados.
Luego, compare los controles de seguridad alternativos y más baratos de los proveedores actuales y nuevos. Determine el ROI de cada uno y, si es posible, aplique los cambios de control de seguridad con el ROI más alto.
Seguir estos cinco pasos puede ayudarlo a determinar si debe aceptar o rechazar el riesgo residual. Recuerde mantener los ojos abiertos: los controles de seguridad rentables que actualmente no están disponibles pueden estar en el mercado durante su próxima ronda de evaluaciones de riesgos.