Sergey Nivens - Fotolia
Gestión de riesgos de seguridad de la información: Comprensión de los componentes
Una empresa tiene que saber qué riesgos enfrenta. El experto Peter Sullivan explica por qué un plan de gestión de riesgos de seguridad de la información es crucial para la preparación en ciberseguridad.
Hay objetivos fundamentales de ciberseguridad que las organizaciones tienen que cumplir para considerarse listas en ciberseguridad. La preparación para la seguridad cibernética es el estado de ser capaz de detectar y responder eficazmente a las brechas e intrusiones de seguridad informática, los ataques de malware, los ataques de phishing y el robo de datos y propiedad intelectual, tanto de fuera, como dentro de la red.
Este artículo aborda el riesgo principalmente porque afecta la información y los sistemas de información. Proteger la información es un problema empresarial en el que la solución es mucho más que implementar tecnología como firewalls y gateways antivirus, y esperar lo mejor. Las empresas deben adoptar un enfoque proactivo para identificar y proteger sus activos más importantes, incluida la información, la tecnología de la información y los procesos críticos del negocio. La gestión del riesgo de seguridad de la información permite a una organización evaluar lo que está tratando de proteger, y por qué, como elemento de apoyo a la decisión en la identificación de medidas de seguridad. Una evaluación integral del riesgo de seguridad de la información debería permitir a una organización evaluar sus necesidades y riesgos de seguridad en el contexto de sus necesidades empresariales y organizativas.
Es importante tener en cuenta que el propósito de los sistemas de información y los datos que contienen es apoyar los procesos de negocios, que a su vez apoyan la misión de la organización. En un sentido muy real, la información es un elemento fundamental que apoya al negocio y su misión, y contribuye a la capacidad de una organización para sostener las operaciones.
Definición de riesgo
Según la metodología de evaluación de riesgos OCTAVE, del Instituto de Ingeniería de Software de la Universidad Carnegie Mellon, el riesgo es: "La posibilidad de sufrir daños o pérdidas". La amenaza es un componente del riesgo, y se puede considerar como: Un agente de amenazas, ya sea humano o no humano, toma alguna acción, como identificar y explotar una vulnerabilidad, que da lugar a algún resultado inesperado y no deseado, es decir, pérdida, modificación o divulgación de información, o pérdida de acceso a la información. Estos resultados tienen impactos negativos en la organización. Estos impactos pueden incluir: Pérdida de ingresos o clientes, pérdida de diferenciación de mercado, los costos de respuesta y recuperación por el incidente, y el costo de pagar multas y sanciones regulatorias.
Componentes del riesgo de seguridad de la información
El riesgo de seguridad de la información tiene varios componentes importantes:
- Agente de amenaza: Entidad humana o no humana que explota una vulnerabilidad;
- Vulnerabilidad: Lo que explota el actor de la amenaza;
- Resultados: El resultado de la explotación de una vulnerabilidad; e
- Impacto: Consecuencias de los resultados no deseados. No confunda los resultados con los impactos.
El último y más importante componente del riesgo de seguridad de la información es el activo –información, proceso, tecnología– que fue afectado por el riesgo. Suponiendo que el activo en riesgo no puede ser eliminado, el único componente del riesgo de seguridad de la información que puede ser controlado es la vulnerabilidad. Solo hay algunas cosas que se pueden hacer para controlar una vulnerabilidad:
- Eliminar la vulnerabilidad. Si no existe, entonces no puede ser explotada;
O, si la vulnerabilidad no puede ser eliminada:
- Reducir la probabilidad de explotación de la vulnerabilidad;
- Reducir la gravedad del impacto resultante de la explotación de la vulnerabilidad; o
- No hacer nada, aceptar el riesgo.
Un caso problemático es el de la vulnerabilidad de día cero, pues, por definición, una organización no puede protegerse contra los resultados e impactos específicos de esa vulnerabilidad desconocida, y no tiene la oportunidad de crear estrategias para reducir la probabilidad y el impacto.
Gestión de riesgos
Por lo tanto, la gestión de riesgos de seguridad de la información es el proceso de identificar, comprender, evaluar y mitigar los riesgos –y sus vulnerabilidades subyacentes– y el impacto en la información, los sistemas de información y las organizaciones que dependen de la información para sus operaciones. Además de identificar los riesgos y las medidas de mitigación del riesgo, un método y proceso de gestión del riesgo ayudará a:
- Identificar los activos críticos de información. Un programa de gestión de riesgos puede ampliarse para identificar también a personas críticas, procesos de negocio y tecnología.
- Comprender por qué los activos críticos escogidos son necesarios para las operaciones, la realización de la misión y la continuidad de las operaciones.
Para cumplir con la gestión de riesgos como componente de preparación para la ciberseguridad, una organización debe crear un sólido programa de evaluación y gestión del riesgo de la seguridad de la información. Si ya existe un programa de gestión del riesgo empresarial (ERM), un programa de gestión de riesgos de seguridad de la información puede soportar el proceso de ERM.
Los recursos para la construcción de un programa de gestión de riesgos de seguridad de la información incluyen:
- Publicación Especial NIST 800-39, Gestión del Riesgo de Seguridad de la Información.
- Publicación Especial NIST 800-30, Guía para la Realización de Evaluaciones de Riesgo.
Otros elementos que apoyan un programa de gestión de riesgos de seguridad de la información incluyen:
- Un programa de gestión de activos,
- Un programa de gestión de la configuración, y
- Un programa de gestión del cambio.