Determinar, priorizar y mitigar los riesgos requiere planificación, trabajo en equipo, capacitación y paciencia.
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
Una de las principales responsabilidades del personal de ciberseguridad es anticipar y mitigar los riesgos emergentes. Constantemente se desarrollan y aparecen nuevas amenazas de seguridad en el panorama de amenazas, y depende de los profesionales de la seguridad anticipar esos riesgos y reducir los daños potenciales.
El primer paso para determinar los riesgos emergentes es tener una comprensión profunda de lo que hace la organización que está protegiendo. Evalúe su empresa haciendo preguntas como:
- ¿Cómo maneja la entidad su negocio?
- ¿Cuáles son sus metas y objetivos principales?
- ¿Cómo logra esto?
- ¿Dónde opera y dónde tiene presencia física?
- ¿Cuál es la configuración de la red y las conexiones?
- ¿Con quién se asocia?
- ¿Cómo va la organización al mercado, gana dinero y se relaciona con proveedores, socios y clientes?
Además, es fundamental estar al tanto de lo que sucede diariamente en el sector de ciberseguridad, como el panorama de lo que está sucediendo en el país contra lo que sucede de forma global y mezclar eso con las tendencias.
Otro punto importante es la priorización y saber hacia dónde se dirige la empresa, qué está tratando de hacer y dónde se encuentra ya.
Esta evaluación inicial es necesaria antes de comenzar a pensar en mitigar los riesgos, porque de no hacerlo, se puede poner mucho dinero en lugares equivocados, lo cual no tendrá impacto porque no se entenderán cuáles son esos riesgos específicos, cómo podrían afectar la empresa y qué puede hacer para mitigarlos.
En primer lugar, hay que considerar priorizar el riesgo emergente teniendo en cuenta aquello que puede dañar a las personas. En segundo lugar, considerar lo que va a dañar a la organización hasta el punto de que podría quedar incapacitada.
Además, se debe tener un plan respaldado por la gerencia que tenga parámetros realistas y razonables y que, además, cree conciencia sobre los riesgos.
Hay cuatro principios que puede usar cuando se trata de riesgos: evitar, reducir, transferir o aceptar. Evitar el riesgo a menudo implica políticas, mientras que reducir el riesgo recae más en el lado del procedimiento. Transferir el riesgo generalmente implica contratar a un proveedor o contratista profesional para transferir dicho riesgo a otra organización que se especialice en administrarlo.
En cuanto a aceptar riesgos, las empresas exitosas toman riesgos inteligentes porque no hay recompensa sin ellos. Todas las empresas van a correr riesgos, solo tienen que estar bien informadas sobre la evaluación de estos y en qué se están metiendo realmente.
Es igualmente crítico crear un equipo que sea representativo de las funciones y áreas de su empresa para analizar los riesgos de más alto nivel, tanto actuales como emergentes. Esto es benéfico porque un equipo multidisciplinario sabe lo que está haciendo la empresa, así como hacia dónde va y dónde ya está.
Los equipos informados y multifuncionales permiten una discusión saludable sobre los riesgos específicos relacionados con la organización y sus iniciativas.
Otro punto a destacar, debido a que el riesgo es principalmente financiero, puede ser difícil convencer a los líderes ejecutivos para que gasten dinero en una posibilidad. Esto requiere que los profesionales de la seguridad hagan documentos de negocio extremadamente sólidod usando números y estadísticas puros.
Y ya que muchos puntos de vista diferentes intervienen en las decisiones a nivel ejecutivo, es fundamental comprender exactamente cuál puede ser la oposición a su próximo proyecto de mitigación de riesgos y encontrar un beneficio mutuo.
Y tal como se ha señalado anteriormente, cuanto más capacitadas estén las personas sobre el riesgo, mejor podrán apoyar.
Tenemos que estar preparados, tenemos que mantenernos relevantes y participar en organizaciones que se mantienen al tanto de lo que está sucediendo en todos los ámbitos en términos de ciberseguridad. Esto nos mantienen alerta. Confíe en las personas de su red para obtener información y hágala más amplia. Nunca se sabe dónde estará la próxima oportunidad.
Para más información, visite: https://www.silikn.com/