La evaluación de riesgos de ciberseguridad no se ajusta a unas únicas directrices o procedimientos estándar. Cada organización enfrenta sus propias amenazas de seguridad de la información porque estas dependen de su contexto.
Por eso, antes de realizar la evaluación de riesgos de ciberseguridad, o de seguridad de la información en general, ISO/IEC 27001 solicita a las organizaciones que definan su contexto tanto interno como externo.
Realizar evaluaciones de riesgos de ciberseguridad es una tarea desafiante, pero indispensable. Por eso, a continuación, proponemos una guía para hacerlo en cinco pasos, empezando por definir lo que es exactamente una evaluación de riesgos de ciberseguridad.
¿Qué es una evaluación de riesgos de ciberseguridad?
Es el proceso que permite a una organización identificar los riesgos a los que está expuesta la información que es tratada por medios digitales o informáticos, para evaluarlos, categorizarlos y priorizarlos.
La evaluación de riesgos de ciberseguridad permite optimizar el uso de recursos, emprender proyectos que impliquen tratamiento de datos y de información sobre un marco seguro, generar confianza y credibilidad en inversores, clientes y empleados, entre otras partes representativas.
¿Cómo hacer una evaluación de riesgos de ciberseguridad?
Antes de iniciar la evaluación de riesgos de ciberseguridad conviene conformar un equipo de trabajo que integren profesionales en el área de TI, gestión de riesgos y seguridad de la información.
Este equipo debe ser avalado por la Alta Dirección y por el área de Recursos Humanos. Es importante que en este grupo participe alguien experto en protección de datos, especialmente en el RGPD de la UE.
Los profesionales que velan por el cumplimiento normativo y corporativo dentro de la organización también tienen algo que aportar a esta iniciativa. Cuanto más diverso y multidisciplinario resulte el equipo, mejor. Marketing, área comercial, legal y producción, también pueden perfectamente trabajar en este equipo de protección contra riesgos de ciberseguridad.
Una vez conformado el equipo, la evaluación de riesgos de ciberseguridad se desarrolla en cinco pasos:
1. Hacer un inventario de los activos de información
Los activos de información son todos aquellos elementos físicos o intangibles, que conforman la estructura que trata información digital o informática. Estos activos son el objetivo principal de un ataque cibernético.
Entre estos activos podemos mencionar ordenadores, periféricos, servidores, software, soluciones en la nube, cables y canales de transmisión de datos, redes de internet y, en general, toda la infraestructura de TI.
Dentro de este inventario de activos de información, también deben aparecer los activos que utilizan proveedores, contratistas, outsourcing y todos aquellos que realizan tareas tercerizadas o tienen una relación con la organización, que implica compartir datos o información.
Un ordenador, por el solo hecho de serlo, no necesariamente es un activo de información. Para establecerlo es conveniente preguntar:
- ¿Qué información trata la organización?
- ¿Dónde se almacena la información?
- ¿Qué personas intervienen en el tratamiento de esa información?
- ¿Terceros o proveedores externos intervienen en los procesos?
- ¿Existen privilegios de acceso?
- ¿Dónde se almacena la información?
- ¿Hay transmisión de un punto a otro de la información, dentro de la misma organización?
- ¿Cuántas redes de transmisión existen considerando en primera instancia internet?
- ¿Existen procesos manuales y quién los ejecuta?
2. Identificar y evaluar los riesgos
En el primer paso, básicamente se identifica el lugar en el que se buscarán las amenazas y las personas que están a cargo de los procesos que implican riesgo. Ahora, corresponde identificar los riesgos.
Es un procedimiento en el que se realizan entrevistas, se observan procesos, se hacen pruebas, se revisan informes de infracciones e incluso, se pueden comparar los resultados con organizaciones similares de la misma industria.
Es importante en esta etapa definir qué tipo de información es más sensible y en qué puntos existen mayores riesgos. Del inventario de activos definido en el punto uno, se establece cuáles de ellos representan un mayor riesgo por su exposición, por su ubicación o por las características del empleado que los tiene bajo su control.
3. Analizar y priorizar los riesgos
Como en otra evaluación de amenazas, en cualquier otra área, lo que sigue es establecer la probabilidad y el impacto. Estos son los dos factores que permiten priorizar riesgos.
Muchos modelos de análisis y herramientas de evaluación sirven para calificar y priorizar los riesgos. El objetivo es obtener una lista con las amenazas más probables y con mayor impacto negativo, para asignar recursos y diseñar acciones de tratamiento efectivas con la mayor celeridad posible.
4. Diseñar e implementar controles de seguridad
Algunos de los riesgos priorizados podrán ser eliminados implementando una acción correctiva. Otros, requerirán controles que actuarán en adelante de forma constante.
Los controles son esenciales para minimizar o eliminar el impacto y la probabilidad de un riesgo. Muchos de esos controles efectivos forman parte del Anexo A del estándar de Gestión de Seguridad de la Información en ISO/IEC 27001.
La asignación de perfiles de acceso con privilegios, es uno de esos controles. La capacitación de empleados, el uso de antivirus o software antimalware o antiransomware, también forman parte de esos controles destinados a evitar o minimizar el impacto de riesgos de ciberseguridad.
5. Monitorizar, revisar y corregir
La evaluación de riesgos de ciberseguridad es una tarea que no se detiene. Una vez concluido un ciclo, es necesario hacer una evaluación de efectividad, monitorizar el rendimiento de los controles y de las acciones correctivas implementadas y corregir lo que ha salido mal.
Luego, el ciclo se reinicia, esperando que cada vez aparezcan menos amenazas y con menor poder lesivo.
En un mundo corporativo que hoy no puede prescindir de la tecnología, la transformación digital aparece como una oportunidad. Pero, también plantea riesgos. Las organizaciones que aprovechan la misma tecnología para prevenir amenazas, digitalizando sus Sistemas de Gestión, podrán alcanzar resultados mucho más rápidos y más definitivos.
Diplomado de Seguridad de la Información ISO/IEC 27001 [Actualización 2022]
La norma de Seguridad de la Información, ISO/IEC 27001, ha sido revisada y la actualización se publicó este año. El Diplomado de Seguridad de la Información ISO/IEC 27001:2022, ya incorpora los últimos cambios del estándar, las variaciones en los requisitos y las modificaciones en los controles.
Este es un programa que forma profesionales expertos en Seguridad de la Información, en la implementación de Sistemas de Gestión de SI, pero también auditores cualificados que tienen la oportunidad de obtener el certificado ERCA y trabajar así en cualquier país de Europa o de América Latina. Este Diplomado es tu oportunidad para avanzar en tu carrera profesional: empieza ahora.