Twitter Linkedin Facebook-f Instagram Youtube Spotify
Twitter Linkedin Facebook-f Instagram

La gestión de riesgos de la información en cinco pasos

COMUNIDAD AXITY- BLOG

La gestión de riesgos comprende todas aspectos como políticas, procedimientos y tecnologías que utiliza una organización para identificar las amenazas sobre nuestros activos que pueden ser aprovechados actores malintencionados; esta identificación nos ayuda a tratar las vulnerabilidades de la tecnología de la información que afectan negativamente la confidencialidad, la integridad y la disponibilidad de los datos.

El riesgo de la información es un cálculo basado en la probabilidad de ocurrencia combinado con el impacto de una posible afectación tenga consecuencias la seguridad, nos entrega una calificación para todos los nuestros riesgos. De esta forma, debes tener en consideración el cumplimiento de los siguientes criterios, para llevar a cabo una correcta gestión de riesgos:

  • Confidencialidad: es fundamental establecer controles de autorización apropiados para que tengan acceso solo los usuarios que necesitan la información.
  • Integridad: implementar controles que impidan modificar la información sin la aprobación del dueño del proceso.
  • Disponibilidad: poner en práctica controles que eviten que los sistemas, las redes y el software queden fuera de servicio.

A continuación, exploraremos la importancia de cada uno de los pasos que debes tener en cuenta al momento de implementar un programa eficaz de gestión de riesgos de TI en tu organización.

Business man writing and planning on notebook and searching information plan and checklist concept
Network or Computer Vulnerability concept
1. Identifica los posibles puntos de vulnerabilidad

En principio identificar las ubicaciones de los datos pareciera una tarea bastante simple, de hecho, la mayoría de las organizaciones comienzan con sus bases de datos o aplicaciones colaborativas. Sin embargo, a medida que más empresas adoptan estrategias basadas en la nube o solo en la nube, los datos se vuelven más dispersos y vulnerables a ciberataques.

En la actualidad las organizaciones ya no almacenan datos únicamente en servidores locales. Otra de las nuevas formas de recopilar datos es a través de portales web, correo electrónico o los servicios de mensajería orientados al cliente, migrando cada vez más a ubicaciones de almacenamiento sin servidor o basadas en la nube. Estos canales también cambian la forma en que las organizaciones comparten información con las partes interesadas internas y externas.

Estas ubicaciones de almacenamiento y transferencia de datos basadas en la nube presentan un mayor riesgo de robo ya que las organizaciones frecuentemente carecen de visibilidad sobre la efectividad de sus controles. Al participar en una evaluación de riesgos de la información, debes identificar la cantidad de ubicaciones y usuarios que usan la información de tu organización.

2. Analiza todos los tipos de datos

Una vez has verificado dónde se encuentran los datos de tu organización, es imprescindible saber qué datos se recopilan. Por ejemplo, la información de identificación personal incluye datos como el nombre, la fecha de nacimiento, teléfonos de contacto y hasta la dirección IP. Este tipo de información se convierte en un activo de alto riesgo y bastante atractivo para los ciberdelincuentes, mismos que suelen vender esta en la Dark Web.

Por otro lado, tienes información de bajo riesgo. Si un ciberdelincuente obtiene una copia de una publicación de blog, por ejemplo, no podrían venderla en línea. Por lo tanto, identificar los tipos de datos que almacena tu organización y alinearlos con las ubicaciones donde se almacena la información actúa como base para tu análisis de riesgos.

Smart architects working with plans while talking of their new design business in the office.
Student setting up 3D printer, using laptop
3. Evalúa y prioriza el riesgo de la información

Ahora que has revisado todos los activos de datos y los has clasificado, debes analizar el riesgo. Dado que cada tipo de activo de datos se encuentra en una ubicación particular, debes determinar el riesgo que cada uno superpone a un ataque potencial de un ciberdelincuente. La manera adecuada de calcular el riesgo es:

Nivel de riesgo = Probabilidad de ocurrencia del evento* Impacto financiero, operacional y/o de reputación para la organización.

Un informe de IBM reveló que el costo promedio de las violaciones de datos aumentó casi un 3 % entre 2021 y 2022 a nivel mundial, alcanzando un valor de 4,35 millones de dólares . Dependiendo de sector al que tu organización pertenezca es fundamental establecer cuáles datos se consideran de riesgo alto, moderado o bajo y estimar el impacto financiero.

4. Establece la tolerancia al riesgo

Establecer la tolerancia al riesgo significa decidir si aceptar, transferir, mitigar o rechazar el riesgo. Un ejemplo de un control para transferir el riesgo podría ser la compra de un seguro de responsabilidad civil por riesgo cibernético, pero si la estrategia es mitigar el riesgo la solución podría ser instalar una solución de firewall para evitar el acceso a la ubicación donde se encuentran los datos.

Los firewalls o la encriptación actúan como obstáculos para los ciberdelincuentes, pero incluso los controles de mitigación más avanzados pueden fallar. Las estadísticas hablan por sí solas: los ataques cibernéticos continúan aumentando, solo en la primera mitad de 2021 hubo un incremento del 125 % en el volumen de incidentes año tras año, según Accenture.

Freelancer engineer coding firewall program
Computer Security, data security protection concept
5. Monitorea continuamente el riesgo

Los ciberdelincuentes nunca dejan de desarrollar nuevas estrategias para lucrarse con la información. A medida que las organizaciones mejoran en el proceso de identificación y protección contra nuevos tipos de ransomware, los ciberdelincuentes se han movido hacia las criptomonedas y ataques de phishing. En otras palabras, los controles efectivos de hoy pueden ser las debilidades de mañana.

Casi el 90 %  de los propietarios de pequeñas y medianas empresas creen que son vulnerables a los ciberataques. Sin embargo, tan solo uno de cada cinco tiene un seguro cibernético, y un programa de gestión de riesgos cibernéticos está lejos de ser común.

En muchos sentidos, la gestión de riesgos cibernéticos es idéntica a cualquier otro tipo de gestión de riesgos. Identificar el riesgo, el impacto, la amenaza y el actor de amenazas proporciona la base para crear un programa integral de mitigación y gestión de vulnerabilidades que se debe llevar a cabo de forma continua.

En esta entrada de blog hemos comprobado que todas las empresas, grandes y pequeñas, enfrentan algún grado de riesgo informático. La pregunta para muchas organizaciones en el pasado era: ¿Mi empresa necesita una infraestructura de ciberseguridad o un ciberseguro? Ahora la pregunta en el futuro será: ¿Cuánto de ambos elementos necesita mi organización para abordar la nueva generación de amenazas?

¿Quieres saber cómo los servicios de Axity ofrecen una solución integral para implementar una estrategia sólida de gestión de riesgos de la información en tu organización? Haz clic aquí para más información

¡Hablemos!

TECNOLOGÍA PARA TODOS

Soluciones Tecnológicas para tu empresa en el nuevo normal

Ingresar Portal Automatización
Contacto

¡Hablemos!

PORTAFOLIO

HABLEMOS

Contáctanos
MX: +52 (1) 55 5046 9200
CO: +57 (1) 638 1800
CL: +56 (2) 22 4287 300
USA: +1 646 974 8550
PE: +51 9 4032 1850

Política de privacidad
Integridad Corporativa
Buzón Axity

Síguenos en nuestras redes sociales

Twitter Linkedin Facebook-f Instagram Youtube Spotify
©️ 2022 Axity todos los derechos reservados

FORMULARIO CONTACTO