Cómo hacer una evaluación de riesgos de ciberseguridad de la manera correcta

A menudo consideramos «cómo defendernos» contra las amenazas y los ataques cibernéticos cuando hablamos de ciberseguridad.

Se trata de qué hacer para mantener la seguridad y qué hacer cuando las cosas se tuercen. Pero, ¿cómo sabe uno que será atacado? ¿Por qué serán atacados? ¿Cuánto costaría volver a poner en pie la organización tras un ciberataque?

Una evaluación de riesgos de ciberseguridad puede responder a todas estas preguntas. De ahí que la evaluación sea una de las cosas cruciales a la hora de elaborar una estrategia de ciberseguridad.

¿Qué es la evaluación de riesgos de ciberseguridad?

Una evaluación de riesgos de ciberseguridad es un proceso que ayuda a alinear el plan de ciberseguridad de una organización con sus objetivos y metas empresariales. También ayuda a comprender mejor los objetivos y a evaluar los activos disponibles/requeridos para mantener las cosas a flote.

El informe de evaluación cubrirá técnicamente todo tipo de cosas para su juego de ciberseguridad. También puede mejorar la resistencia cibernética de la organización.

Desde cuáles son las amenazas hasta el valor de los activos y las coberturas de seguro. Toda esta información debería ayudar a las partes interesadas y a la administración a tomar una decisión informada cuando exista el riesgo de un ciberataque (o después del incidente).

Importancia de la evaluación de riesgos en ciberseguridad

Importance-of-Risk-Assessment-in-Cybersecurity

Con una evaluación de riesgos, obtendrá un esquema de amenazas que le ayudará a conocer las posibilidades de ser atacado, el objetivo potencial de los actores maliciosos contra su organización y el daño que causarán.

No se limita a los tipos de amenazas contra su organización, sino que también es consciente de lo que pueden hacer y de cómo afectará a la organización.

Por lo tanto, le ofrece una visión completa de lo que puede hacer en caso de que se produzca un ciberataque contra su empresa.

En otras palabras, la evaluación de riesgos de ciberseguridad le hace darse cuenta del grado de riesgo asociado a un ciberataque. Y esto ayuda a la organización, a sus partes interesadas y a cualquiera de los responsables de la organización a prepararse para minimizar el riesgo y tener un plan sólido para todo.

Tipos de evaluaciones de riesgos

Aunque los pasos para las evaluaciones de riesgos de ciberseguridad siguen siendo estándar en su mayor parte, los tipos de evaluaciones difieren.

El tipo de evaluación le indica en qué se centra exactamente la organización para evaluar las necesidades de seguridad de su empresa.

#1. Evaluación genérica

Una evaluación basada en un cuestionario se ocupa de cosas sencillas pero eficaces que reducen los riesgos de seguridad.

Por ejemplo, el estado de la política de contraseñas, el tipo de cortafuegos implementado, los parches de seguridad periódicos y las políticas de autenticación/cifrado.

Aunque esto puede ser sencillo y sin complicaciones, puede que no se adapte a todo tipo de organizaciones. Esto podría convenir a una organización con activos limitados y datos menos sensibles.

#2. Evaluación cualitativa de riesgos

La evaluación cualitativa de riesgos podría ser un poco especulativa, ya que depende de quién (un individuo o un grupo de personas) revise y compruebe los antecedentes para discutir cosas como las violaciones de datos y los riesgos financieros.

No implica un informe especial, sino más bien una sesión de «tormenta de ideas» para las personas de alto nivel responsables de la organización.

#3. Evaluación cuantitativa del riesgo

Al considerar la evaluación cuantitativa, tratamos con datos y perspectivas y calculamos el riesgo.

Esta evaluación ayudará a cubrir una amplia gama de cosas para las organizaciones más grandes, donde el riesgo financiero es mayor y los activos de datos son más grandes y valiosos.

#4. Evaluación del riesgo específico del lugar

La evaluación de riesgos específica para un sitio se centra en un solo caso de uso. Ya se trate de una sección de la organización o de una ubicación concreta, podría considerar este tipo de evaluación como específica de un nicho.

Sólo evalúa una red concreta, una tecnología y cosas estáticas similares. No puede esperar que sea útil para el resto de la organización.

#5. Evaluación dinámica de riesgos

La evaluación dinámica de riesgos se enfrenta a los riesgos que cambian en tiempo real.

Para que sea eficaz, la organización tiene que vigilar y hacer frente a las amenazas/ataques a medida que se producen.

Pasos para realizar una evaluación de riesgos de ciberseguridad

Los pasos para realizar la evaluación dependen de la organización y de los recursos de que disponga para llevarla a cabo.

Aunque es casi lo mismo, pueden existir algunos retoques para las distintas organizaciones. Por ejemplo, el número de pasos y cómo clasifican y priorizan cada uno de ellos.

A continuación, analizamos los nueve pasos que nos permiten abordar todos los detalles esenciales, que deberían ayudarle a realizar correctamente una evaluación de riesgos de ciberseguridad.

#1. Identifique sus activos

Identificar los activos de su organización es fundamental y debería ser la prioridad.

Los activos pueden incluir hardware (ordenadores portátiles, teléfonos, unidades USB), software (libre o con licencia), archivos, documentos PDF, infraestructura para la electricidad y otros como documentos en papel.

De vez en cuando, puede que tenga que incluir los servicios en línea de los que dependen las organizaciones como uno de los activos porque éstos influyen indirecta/directamente en algunas de las operaciones de la organización.

Por ejemplo, la solución de almacenamiento en la nube que utiliza para guardar documentos.

#2. Identifique sus amenazas

Según sus activos, puede identificar las amenazas potenciales que estarían asociadas a ellos.

Pero, ¿cómo hacerlo? La forma más sencilla es mantenerse al día de las tendencias y noticias sobre ciberamenazas. Así, una organización puede estar al tanto de todo lo que hay en la superficie.

Después, pueden utilizar las bibliotecas de amenazas, las bases de conocimientos y los recursos del gobierno o de las agencias de seguridad para conocer todo tipo de ciberamenazas.

Por último, también puede recurrir a la ayuda de marcos de trabajo como la cibercadena asesina para evaluar qué medidas debe tomar para proteger sus activos de esas amenazas.

#3. Evalúe sus vulnerabilidades

Ahora que conoce sus activos y sus amenazas potenciales, ¿cómo puede un atacante acceder a ellos?

Por supuesto, si sus dispositivos, red o cualquier activo tiene vulnerabilidades, podría permitir que un actor malicioso las explotara para obtener acceso no autorizado.

Las vulnerabilidades pueden estar en el sistema operativo de un ordenador portátil, en un teléfono, en la página web de un portal de empresa o en una cuenta en línea. Cualquier cosa puede abrir vulnerabilidades. Incluso una simple contraseña fácil de descifrar cuenta como vulnerabilidad.

Puede consultar el catálogo de vulnerabilidades explotadas por el gobierno para saber más.

En general, tanto si se trata de algo de dentro del sistema como de algo de fuera, las vulnerabilidades pueden estar en cualquier parte. Por lo tanto, tomar medidas para eliminar las vulnerabilidades comunes/conocidas debería ayudar.

#4. Calcule su riesgo

El riesgo se calcula según la amenaza, la vulnerabilidad y el valor del activo.

Riesgo = Amenaza x Vulnerabilidad x Valor

Cuando evalúa el riesgo, se refiere a la probabilidad de que una amenaza afecte a la organización.

No es ninguna ciencia espacial que cuanto mayor sea la probabilidad, mayor será el riesgo. Pero no puede predecirse con exactitud porque el panorama de las amenazas cambia continuamente.

Así que, en su lugar, debe calcularse el nivel de riesgo, que dice lo importante que es el riesgo -si algo se explota. El nivel puede determinarse discutiendo qué activo es más valioso, y si el mismo activo se ve comprometido o es robado, ¿qué impacto tendría en la organización?

Esto puede variar entre organizaciones. Por ejemplo, un archivo PDF para una empresa específica podría ser información disponible públicamente, y para otras, podría ser altamente confidencial.

#5. Priorice sus riesgos

Una vez que haya calibrado los niveles de riesgo, es fácil priorizarlos.

¿En qué debería centrarse en proteger primero? El tipo de ataque que tiene más probabilidades de producirse y el que puede causar más daño, ¿verdad?

Como todo, puede ser subjetivo. Pero, si puede categorizar los riesgos, puede tener un orden de prioridad para ellos.

Puede ser uno de los siguientes:

Prioriza los riesgos según el valor asociado a ellos.
Filtre los riesgos en función del hardware, el software y otros factores externos como sus proveedores, los servicios de envío, etc.
Filtre los riesgos prediciendo el curso de acción futuro si un determinado riesgo se convierte en realidad.

Permítame aclarar estos tres puntos:

Si un riesgo se valora en 1 millón de dólares, otro riesgo tiene un valor de 1.000 millones. Por supuesto, se presta más atención a este último.

A continuación, si sus objetivos empresariales dependen del hardware más que de factores externos, se les da más prioridad.

Del mismo modo, si un riesgo concreto requiere una gran empresa, deberá tener una mayor prioridad.

#6. Implantar controles

Cuando hablamos de implementar controles, nos referimos a las medidas de seguridad que ayudan a gestionar los riesgos.

Los controles pueden ayudar a reducir el riesgo y, a veces, a eliminarlos.

Ya se trate de aplicar un control de acceso, una política estricta de contraseñas o un cortafuegos, todas las medidas le ayudan a gestionar el riesgo.

#7. Supervisar y mejorar

Todos los activos, los parches de vulnerabilidad y los riesgos potenciales deben supervisarse para identificar cualquier margen de mejora.

Teniendo en cuenta que las amenazas a la ciberseguridad evolucionan y pueden acabar derrotando una estrategia de seguridad sólida, es esencial que toda la preparación se revise con regularidad.

Sí, las auditorías de seguridad ayudan, pero no se puede dejar de vigilar después de obtener buenos resultados en una auditoría.

Si no se supervisa, se baja la guardia frente a las ciberamenazas.

#8. Cumplimiento y normativas

Aunque completar una evaluación de ciberseguridad hace que su organización se adhiera naturalmente a normas y leyes específicas, es posible que desee comprobar más al respecto.

No debe hacer su evaluación por un requisito de cumplimiento, en su lugar, haga la evaluación y luego haga ajustes para cumplir con los requisitos de cumplimiento que le permitan operar sin romper ninguna ley o norma.

Por ejemplo, el cumplimiento de la HIPAA es necesario si su organización maneja información sanitaria en Estados Unidos.

Puede explorar los requisitos normativos en la ubicación geográfica de su empresa/organización y luego trabajar en ellos.

#9. Mejora continua

No importa lo buenas que sean las medidas, los controles y la investigación de amenazas: siempre se reduce a un esfuerzo constante por mejorarlos.

Si una organización no quiere volver a revisar, mejorar o hacer cambios sutiles para arreglar/mejorar las cosas, la estrategia de ciberseguridad puede fracasar antes de lo esperado.

La evaluación de los riesgos de ciberseguridad es esencial

La evaluación de riesgos de ciberseguridad es crucial para todo tipo de organizaciones.

Ya sea grande o pequeña, dependa de menos servicios en línea o de más; es importante. La evaluación ayudará al administrador, a las partes interesadas o a los proveedores asociados a la organización a conocer los recursos necesarios para mantener la seguridad y estar preparados para minimizar los daños tras cualquier ciberataque.

También puede explorar Lista de comprobación de ciberseguridad para pequeñas y medianas empresas.

Ankush Das
Colaborador
- LinkedIn
Ankush es licenciado en informática y un apasionado de la seguridad, Linux y la privacidad. Cuando no está escribiendo, suelen ser sus gatos los que le mantienen ocupado.