pixel_dreams - Fotolia
Mapeo de riesgos, clave para la seguridad y la integración de negocios
Las herramientas de mapeo de riesgos pueden ayudar a identificar amenazas y vulnerabilidades, y comunicarlas mejor a la gente de negocios.
No es ningún secreto que la protección de datos se ha convertido en parte integral del éxito de línea de fondo para las empresas digitales. Como resultado, es hora de que los profesionales de seguridad de la información se arrastren fuera de sus cuevas y comiencen a comunicarse con el resto del negocio, dijo Tom Kartanowicz, jefe de seguridad de la información de Natixis, Norteamérica, en la reciente Cumbre CISO de CDM Media.
Para facilitar esta comunicación, el idioma que usarán estos profesionales es el lenguaje del riesgo de seguridad, dijo Kartanowicz.
"Como profesionales de la seguridad, si queremos ser tomados en serio, tenemos que poner lo que hacemos en la lente de riesgo para hablar con el negocio, para que ellos entiendan el impacto y cómo estamos tratando de reducir el impacto de los tipos de amenazas que estamos viendo", dijo Kartanowicz.
Por ejemplo, a pesar de que el jefe de seguridad de la información y el director de riesgos pueden parecer como dos islas diferentes en una organización, son parte del mismo equipo, recordó a la audiencia.
El negocio es el puente que los une, así que, en vez de trabajar en silos, los profesionales de la seguridad deben esbozar lo que Kartanowicz llama un "plan de amigos y familia" que forma aliados con otros departamentos de su organización. El departamento de recursos humanos puede ayudar a disciplinar a alguien que podría ser una amenaza interna a la organización, las comunicaciones corporativas pueden ayudar a hablar con los medios y los clientes cuando hay incidentes como DDoS y ataques de malware, y el departamento jurídico puede ser un aliado valioso cuando es tiempo de tomar medidas contra los malos actores, explicó.
"Como el CISO o como el jefe de seguridad de la información, usted se está perdiendo un montón de inteligencia valiosa si no está hablando con todos estos equipos diferentes", subrayó.
El mapeo de riesgos –una herramienta de visualización de datos que describe los riesgos específicos de una organización– es una manera eficaz para identificar amenazas y vulnerabilidades, y luego comunicarlas al negocio, dijo. El mapeo del riesgo ayuda a una organización a identificar las áreas donde va a gastar su presupuesto de seguridad, cómo implementar soluciones y, lo que es más importante, ayuda a identificar casos específicos de reducción de riesgo, dijo.
Kartanowicz dijo que hay dos cosas a considerar al evaluar y determinar la probabilidad de un riesgo: qué tan fácil es de explotar y con qué frecuencia ocurre.
"Si las vulnerabilidades requieren habilidades técnicas de un 1% de la población, va a ser bastante difícil de explotar", dijo. "Si, por otro lado, cualquiera en la calle puede explotarlas, va a ser bastante fácil".
Es hora, entonces, de abordar los riesgos específicos, dijo.
"En el mundo de la gestión de riesgos empresariales, la empresa puede aceptar los riesgos, evitar los riesgos o [trabajar para] mitigar los riesgos –aquí es donde la seguridad de la información entra– o transferir los riesgos", dijo.
El uso de herramientas tales como el marco de seguridad cibernética del NIST puede ayudar a la seguridad de la información a reducir los riesgos, dijo. Es importante que las organizaciones vinculen sus estrategias de recuperación de desastres, respaldo, la continuidad del negocio y la gestión de crisis en cualquier marco que ellos elijan, agregó. Las organizaciones también deben asegurarse de que tienen controles básicos para ayudar a minimizar el riesgo de una violación de datos, agregó.
Pero, a medida que las amenazas evolucionan y las vulnerabilidades cambian, sugirió que el mapa de riesgos sea reevaluado anualmente. Las necesidades empresariales están en constante evolución y las organizaciones siempre están entrando en diferentes mercados, pero las empresas deben estar constantemente conscientes del panorama de la amenaza, añadió.
"Los incidentes siempre ocurrirán; el riesgo no se va a ir", dijo. .