Sergey Nivens - Fotolia
Entendiendo los componentes de gestión del riesgo de seguridad de la información
Una empresa tiene que saber qué riesgos enfrenta. El experto Peter Sullivan explica por qué un plan de gestión de riesgos de seguridad de la información es crucial para la preparación de la seguridad cibernética.
La premisa de esta serie sobre la preparación para la seguridad cibernética es que hay objetivos fundamentales de ciberseguridad que las organizaciones tienen que cumplir para considerarse listas en ciberseguridad. La preparación para la seguridad cibernética se define como el estado de ser capaz de detectar y responder eficazmente a las brechas y las intrusiones de seguridad informática, los ataques de malware, los ataques de phishing, y el robo de datos y propiedad intelectual, tanto desde dentro como desde fuera de la red.
Este artículo aborda el riesgo, principalmente porque afecta a los sistemas de información y de información. Proteger la información es un problema empresarial en el que la solución es mucho más que implementar tecnología como firewalls y gateways antivirus, y esperar lo mejor. Las empresas deben adoptar un enfoque proactivo para identificar y proteger sus activos más importantes, incluida la información, la tecnología de la información y los procesos críticos del negocio. La gestión del riesgo de seguridad de la información permite que una organización evalúe lo que intenta proteger, y por qué, como elemento de apoyo a la toma de decisiones en la identificación de medidas de seguridad. Una evaluación integral del riesgo de seguridad de la información debería permitir a una organización evaluar sus necesidades y riesgos de seguridad en el contexto de sus necesidades empresariales y organizativas.
Es importante tener en cuenta que el propósito de los sistemas de información y los datos que contienen es apoyar los procesos de negocios, que a su vez apoyan la misión de la organización. En un sentido muy real, la información es un elemento fundamental que apoya al negocio y su misión, y contribuye a la capacidad de una organización para sostener sus operaciones.
Definición de riesgo
Según la metodología de evaluación de riesgos OCTAVE del Instituto de Ingeniería de Software de la Universidad Carnegie Mellon, el riesgo es: "La posibilidad de sufrir daños o pérdidas". La amenaza es un componente del riesgo y puede ser pensada como: Un agente de amenaza –ya sea humano o no humano– toma alguna acción, como identificar y explotar una vulnerabilidad, que resulta en algún resultado inesperado y no deseado, es decir, pérdida, modificación o divulgación de información, o pérdida de acceso a la información. Estos resultados tienen impactos negativos en la organización. Estos impactos pueden incluir: Pérdida de ingresos o clientes, pérdida de diferenciación del mercado, los costos de respuesta a incidentes y recuperación, y el costo de pagar multas y sanciones regulatorias.
Componentes del riesgo de seguridad de la información
El riesgo de seguridad de la información tiene varios componentes importantes:
- Agente de amenaza: Entidad humana o no humana que explota una vulnerabilidad;
- Vulnerabilidad: Lo que explota el actor de la amenaza;
- Resultados: El resultado de la explotación de una vulnerabilidad; e
- Impacto: Consecuencias de los resultados no deseados. No confunda los resultados con los impactos.
El último y más importante componente del riesgo de seguridad de la información es el activo –información, proceso, tecnología– que fue afectado por el riesgo. Suponiendo que el activo en riesgo no puede ser eliminado, el único componente del riesgo de seguridad de la información que puede ser controlado es la vulnerabilidad. Solo hay algunas cosas que se pueden hacer para controlar una vulnerabilidad:
- Eliminar la vulnerabilidad. Si no existe, entonces no puede ser explotada;
O, si la vulnerabilidad no puede ser eliminada:
- Reducir la probabilidad de explotación de la vulnerabilidad;
- Reducir la gravedad del impacto resultante de la explotación de la vulnerabilidad; o
- No hacer nada, aceptar el riesgo.
Un caso problemático es el de la vulnerabilidad de día cero, donde, por definición, una organización no puede protegerse contra los resultados e impactos específicos de esa vulnerabilidad desconocida, y no tiene la oportunidad de crear estrategias para reducir la probabilidad y el impacto.
Gestión de riesgos
Por lo tanto, la gestión de riesgos de seguridad de la información es el proceso de identificar, comprender, evaluar y mitigar los riesgos –y sus vulnerabilidades subyacentes– y el impacto en la información, los sistemas de información y las organizaciones que dependen de la información para sus operaciones. Además de identificar los riesgos y las medidas de mitigación del riesgo, un método y proceso de gestión de riesgos ayudará a:
- Identificar los activos críticos de la información. Un programa de gestión de riesgos puede ampliarse para identificar personas, procesos de negocio y tecnología críticos.
- Comprender por qué los activos críticos escogidos son necesarios para las operaciones, la realización de la misión y la continuidad de las operaciones.
Para cumplir con el objetivo de ciberseguridad de la gestión de riesgos como componente de la preparación para la seguridad cibernética, una organización debe elaborar un sólido programa de evaluación y gestión del riesgo para la seguridad de la información. Si ya existe un programa de gestión de riesgos empresariales (ERM), un programa de gestión de riesgos de seguridad de la información puede soportar el proceso de ERM.
Los recursos para la construcción de un programa de gestión de riesgos de seguridad de la información incluyen:
- Publicación Especial NIST 800-39, Gestión del Riesgo de Seguridad de la Información.
- Publicación Especial NIST 800-30, Guía para la Realización de Evaluaciones de Riesgo.
Otros elementos que apoyan un programa de gestión de riesgos de seguridad de la información incluyen:
- Un programa de gestión de activos,
- Un programa de gestión de la configuración, y
- Un programa de gestión del cambio.