🔐 Gestionando los riesgos en el ámbito de la ciberseguridad

/ 📰 DespachoGeek, 📲 Tecnología / Por

gestionando-riesgos-ciberseguridad-codigo-seguro

Sean todos bienvenidos una vez más a Código Seguro. En el día de hoy, estimados lectores, les hablaré acerca del papel que tiene la gestión de riesgos en la ciberseguridad. A medida que las organizaciones aceleran la transformación digital con dispositivos móviles, servicios en la nube, redes sociales y servicios del internet de las cosas, la ciberseguridad se ha convertido en una prioridad clave en la gestión de riesgos empresariales. Si bien la mejora de la ciberseguridad genera mayores niveles de confianza de los clientes y mayores oportunidades de ingresos, la rápida evolución de la normativa sobre protección de datos y privacidad ha complicado la gestión de la ciberseguridad. Recientemente, un ataque de ransomware paralizó las operaciones de una importante de un grupo de hospitales a nivel global, dejando a miles de pacientes sin acceso a sus registros médicos. Este incidente subraya la importancia de una gestión de riesgos efectiva en el ámbito de la ciberseguridad.

En este sentido, la gestión de riesgos es el proceso de identificarevaluar y mitigar los riesgos asociados con la seguridad de la información y los sistemas de TI. Con el aumento de las amenazas cibernéticas, es esencial para las organizaciones proteger sus activos digitales y garantizar la continuidad de sus procesos. Según un informe de 2024 de la Agencia Europea de Ciberseguridad (Enisa), los ciberataques han aumentado un 30% en el último año, con pérdidas económicas que superan los seis billones de dólares a nivel mundial. Las amenazas más comunes incluyen el ransomware, el phishing y los ataques de denegación de servicio (DDoS), que pueden causar sanciones, daños a la reputación, violaciones del cumplimiento normativo, violaciones de la privacidad e interrupciones significativas en los servicios y pérdidas financieras sustanciales.

La instalación de cortafuegos, software antivirus y tecnologías de cifrado cumple una función básica de seguridad al salvaguardar los recursos informáticos de las organizaciones de ciberataques e intrusiones, pero no es suficiente para satisfacer las necesidades actuales de ciberseguridad. A medida que un número creciente de organizaciones utilizan la nube pública y los servicios móviles, el alcance de la gestión de la ciberseguridad va más allá de los límites de la organización.

Por otra parte, esta gestión debe abordar los aspectos técnicos y humanos de forma holística. En la actualidad, existen varios marcos de ciberseguridad (por ejemplo, el Marco de Ciberseguridad del NIST, la norma ISO/IEC 27001, los Objetivos de Control para la Información y Tecnología Relacionada (COBIT), la ANSI/ISA-62443-3-3 (99.03.03)-2013), entre otros. Sin embargo, el primero es una guía voluntaria creada a través de la colaboración entre la industria y el sector gubernamental para que las organizaciones gestionen mejor y reduzcan los riesgos de ciberseguridad. Este se centra principalmente en el aspecto tecnológico de la ciberseguridad que implica a atacantes y defensores, informando de las actividades por etapas que los defensores pueden llevar a cabo contra un ataque organizado de ciberseguridad.

Varias son las empresas que han implementado estrategias de gestión de riesgos que les han permitido mitigar los efectos de los ciberataques. Las pequeñas y medianas empresas (pymes) también están en riesgo, y muchas veces carecen de los recursos necesarios para protegerse adecuadamente. No obstante algunos principios básicos de estas estrategias  incluyen las siguientes tareas:

  • Identificación de activos: Determinar qué activos (datos, sistemas, infraestructura) son críticos para la organización.
  • Evaluación de amenazas y vulnerabilidades: Identificar posibles amenazas (hackersmalware, errores humanos) y vulnerabilidades en los sistemas.
  • Análisis de impacto: Evaluar el impacto potencial de diferentes tipos de incidentes de seguridad.

También el elemento organizativo desempeña el papel central en la definición de sus estrategias de ciberdefensa y mitigación. Una encuesta a gran escala muestra que las actitudes positivas hacia las políticas de ciberseguridad están relacionadas con comportamientos más seguros. El apoyo sostenido de la alta dirección es crucial para garantizar la existencia de planes de acción que mitiguen el riesgo de ciberataques. El establecimiento de una política de ciberseguridad basada en las mejores prácticas y la supervisión de su cumplimiento fortalecen y refuerzan las prácticas de seguridad.

Los empleados, también conocidos como el elemento persona, se centran en la concienciación, motivación y comportamiento sobre los riesgos de ciberseguridad. Estos interactúan con el ciberecosistema y presumiblemente apoyan los objetivos de la organización. En muchas organizaciones, el factor humano dentro de la ciberseguridad es uno de los eslabones más débiles. La sensibilización y la formación en materia de ciberseguridad son fundamentales para promover las mejores prácticas de ciberseguridad e integrarlas en las tareas cotidianas. También es necesario desarrollar lugares de trabajo centrados en la seguridad de las personas, donde los comportamientos de seguridad deseables se difundan entre los empleados.

Las cibertecnologías se utilizan para proteger de las ciberamenazas tres grandes categorías de activos y servicios informáticos: aplicaciones, redes y datos. Las cibertecnologías son fundamentales para proteger a las organizaciones de las amenazas debido al uso de tecnologías de comunicación inalámbricas utilizadas en diversos sistemas, a los agujeros de seguridad desconocidos de los activos y servicios de TI y a la conectividad a Internet. Para que la gestión de la ciberseguridad tenga éxito, las organizaciones deben evaluar continuamente las ciberamenazas que pesan sobre los activos y servicios informáticos para poner en marcha y desmantelar diversas cibertecnologías.

Para desplegar cibertecnologías para aplicaciones y redes, una organización necesita analizar cómo se utilizan las tecnologías y cuáles son las amenazas a las vulnerabilidades de las aplicaciones y redes. Los datos son otra consideración importante en el despliegue de cibertecnologías. El crecimiento explosivo de los datos distribuidos no estructurados aumenta las amenazas y las vulnerabilidades para las organizaciones. Comprender qué datos se generan, cómo se utilizan y qué datos son objetivo de ciberataques es importante para la adopción de cibertecnologías específicas para la seguridad de los datos.

De igual forma, los dispositivos móviles y el IoT se han convertido en objetivos populares de los ciberdelincuentes. Las políticas Bring-your-own-device (BYOD, “trae tu propio dispositivo”), relacionadas con la rápida difusión de los dispositivos móviles, han introducido riesgos de seguridad para la movilidad en las organizaciones. Los empleados traen sus teléfonos inteligentes personales, tabletas y ordenadores portátiles para acceder rutinariamente a los sistemas informáticos corporativos a través de redes inalámbricas públicas/privadas. Muchos de estos dispositivos están plagados de riesgos de seguridad, ya que los usuarios se preocupan menos por la autenticación y el cifrado de datos de la mayoría de los dispositivos móviles y menos por proteger sus dispositivos de los ciberataques. Las redes wifi públicas falsas y las estafas de smishing son otras amenazas crecientes para la seguridad móvil, como ya hemos hablado en otras ocasiones.

Ahora bien, ¿Qué pasos debemos seguir cuando estamos gestionando nuestros riesgos? Este autor recomienda:

  1. La identificación del riesgo, que señala las posibles amenazas, vulnerabilidades y ataques a la ciberseguridad.
  2. La cuantificación del riesgo, que cuantifica la magnitud y la frecuencia de los ciberataques y prioriza los tipos de ataque. Para esto se requiere medir las frecuencias de los tipos de ciberataques, calcular la magnitud de las consecuencias de las ciberinfracciones derivadas de los ataques y priorizar los ciberataques utilizando una matriz de riesgos.
  3. Análisis de la ciberinversión, que examina la relación coste-beneficio de la ciberinversión y la toma de decisiones de inversión en la ciberinfraestructura.

Según la literatura científica, existen diversas formas de establecer el proceso de gestión de riesgos, no obstante, de manera general todos concluyen en las siguientes actividades:

  • Comunicación y consulta: Involucrar a todas las partes interesadas para asegurar una comprensión común de los riesgos.
  • Establecimiento del contexto: Definir el alcance y los criterios para la gestión de riesgos.
  • Valoración de riesgos: Evaluar la probabilidad y el impacto de los riesgos identificados.
  • Tratamiento de riesgos: Implementar medidas para mitigar, transferir, aceptar o evitar los riesgos.
  • Monitoreo y revisión: Revisar y actualizar regularmente el plan de gestión de riesgos para adaptarse a nuevas amenazas y cambios en el entorno.

Junto con lo anterior, la inteligencia artificial y el aprendizaje automático han estado revolucionando la ciberseguridad, permitiendo la detección y mitigación de amenazas en tiempo real. Además, es crucial que las organizaciones establezcan políticas claras y procedimientos para la gestión de riesgos. La capacitación continua y la concienciación son esenciales para mantener una postura de seguridad robusta.

A pesar de los avances tecnológicos, las organizaciones enfrentan desafíos significativos, como la escasez de personal capacitado y la rápida evolución de las amenazas. Sin embargo, se espera que la gestión de riesgos en ciberseguridad continúe evolucionando, con nuevas tecnologías y enfoques que mejoren la protección de los activos digitales.

Como estrategias de mitigación pueden establecerse:

  • Controles preventivos: Implementar medidas como firewalls, antivirus y políticas de seguridad para prevenir incidentes.
  • Controles detectivos: Utilizar sistemas de detección de intrusos y monitoreo continuo para identificar incidentes en tiempo real.
  • Controles correctivos: Establecer planes de respuesta y recuperación para minimizar el impacto de los incidentes.

La gestión de riesgos en ciberseguridad es un proceso continuo y vital para proteger los activos digitales de las organizaciones. Esto debe adaptarse a las nuevas amenazas y tecnologías. También es fundamental que tanto empresas grandes como pequeñas tomen medidas proactivas para enfrentar las amenazas cibernéticas y asegurar la continuidad de sus operaciones. Una gestión efectiva de riesgos puede proteger los activos de la organización, mantener la confianza de los clientes y cumplir con las regulaciones legales. Por hoy es todo lo que les tenía preparado. Hasta la próxima semana.

Información de Cubadebate

Autor

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *