La gestión de riesgos de seguridad TI es la práctica de identificar qué riesgos de seguridad existen para una organización y tomar medidas para mitigar esos riesgos. Esos pasos pueden incluir el uso de software, hardware y capacitación del personal para mantener un entorno seguro de múltiples vectores de amenazas.
Las mejores prácticas de gestión de riesgos de seguridad TI incluyen:
- Usando como guía los estándares de la industria
- Tener un conocimiento integral de los entornos TI de la organización,
- Conocer los riesgos de seguridad.
- Saber qué riesgos de seguridad son los más pertinentes.
- Desarrollar planes para responder a un evento de seguridad.
- Capacitar a todo el personal de la organización en prácticas de seguridad.
Mitigar los riesgos de seguridad TI
El proceso de gestión de riesgos variará según el entorno de TI. Una nube pública , la red privada de una organización, un centro de datos o una combinación de estos tendrá diferentes requisitos y factores de riesgo.
La gestión de riesgos de seguridad en una nube pública implica que las organizaciones protejan sus propios datos con software, mientras que el proveedor de la nube protege la infraestructura subyacente. Los factores de riesgo en la nube incluyen a otros clientes inseguros en la nube, el proveedor de la nube que no protege la infraestructura y los empleados internos que accidentalmente o intencionalmente difunden datos confidenciales.
Una red privada requiere seguridad de punto final, firewalls, cifrado de datos en tránsito y segmentación de tráfico para mitigar los riesgos de seguridad. Los factores de riesgo para una red privada incluyen los hackers que obtienen acceso a los dispositivos de los usuarios finales para establecerse en la red. El tráfico del hacker parecerá ser tráfico de red normal en este escenario, en lugar de tráfico anormal.
Para gestionar el riesgo en un centro de datos, las organizaciones pueden tener defensas perimetrales resistentes, así como programas de seguridad que inspeccionen el tráfico norte-sur y este-oeste. Los factores de riesgo del centro de datos incluyen ataques de denegación de servicio que bombardean centros de datos con tráfico norte-sur que abruma la infraestructura y hace que los datos no estén disponibles.
Los factores de riesgo para una red privada incluyen los hackers que obtienen acceso a los dispositivos de los usuarios finales para establecerse en la red.
En general, las organizaciones siempre deben seguir los fundamentos de seguridad. Eso significa cifrar los datos en todo momento, controlar el acceso a los datos y la red, tener una visibilidad total de las actividades en el entorno de TI y aprovechar la automatización para mantenerse al día con el escalado de recursos y la velocidad de la actividad.
Creación de un proceso de evaluación de riesgos y un marco de seguridad
Un proceso de evaluación de riesgos consiste en identificar los activos de la organización, los riesgos potenciales, el impacto de una violación y la probabilidad de que ocurra cada riesgo potencial.
Los activos pueden incluir datos, dispositivos de hardware, aplicaciones, software en general y empleados. Una vez que se identifican los activos, una organización tiene un mejor concepto de su entorno de TI.
La cuantificación del impacto de una violación debe realizarse tanto en términos de impacto financiero como de pérdida de reputación de la empresa y la marca. Una vez que se sabe, una organización puede comprender mejor lo que está en juego en caso de que ocurra una violación.
Los pasos generales que una organización puede tomar para mitigar estos riesgos incluyen:
- Encontrar y seguir un marco de seguridad
- Desarrollar y completar un proceso de evaluación de riesgos.
- Priorizar qué riesgos de seguridad proteger contra
- Desarrollar un plan de respuesta a incidentes.
- Monitoreo continuo del medio ambiente.
- Ejecución de planes de respuesta a incidentes en caso de incumplimiento
El marco de seguridad que utiliza una organización para asegurar sus activos puede depender de los estándares y regulaciones de la industria aplicables . Por ejemplo, un minorista puede seguir principalmente el marco del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS).
Una vez que una organización cumple con un marco como PCI DSS, sabe que tiene al menos un nivel de seguridad de línea de base suficiente para el tipo de datos que almacena y transmite.
Algunas características típicas de un marco incluyen un conjunto de principios que deben cumplirse, como la integridad de los datos; requisitos sobre qué tan avanzados deben ser los dispositivos de seguridad; o diferentes niveles de seguridad que una organización puede cumplir para diferentes escenarios. Es importante recordar que no existe una solución única para la seguridad TI, que es algo que se enfatiza en el Marco del Instituto Nacional de Estándares y Tecnología (NIST) para mejorar la ciberseguridad de la infraestructura crítica .
Para los otros puntos anteriores, una organización puede basar sus próximos pasos en la guía del marco de seguridad que elige seguir. Primero, una organización debe darse cuenta de que no tiene recursos ilimitados para protegerse de todas las amenazas en todo momento. Por lo tanto, los riesgos de seguridad deben priorizarse en función de la probabilidad y la cantidad potencial de daño que pueden infligir a una organización.
Una organización puede decidir en qué herramientas y planes de seguridad debe invertir, una vez que ha priorizado qué riesgos merecen la mayor atención. Las herramientas y los planes que una organización decide adoptar pueden usarse para monitorear el entorno, alertar a los administradores de seguridad sobre los ataques y responder a los ataques.
La Fundación Tecnológica
Una capa tecnológica fundamental permite a las organizaciones monitorear y recibir alertas sobre amenazas de seguridad, ataques e infracciones exitosas. Asegurar una sólida colección de herramientas de seguridad es una parte clave de la gestión de riesgos de TI.
Las herramientas de seguridad incluidas en esta capa base incluyen:
- Controles de acceso a la red
- Listas de control de acceso y gestión de acceso de identidad.
- Software de monitoreo
- Cortafuegos
- Programas antivirus y antimalware
- Autenticación multifactor
- Cifrado
- Confianza basada en silicio
Con todas estas herramientas de hardware y software que aseguran el entorno de TI, se recomienda que una organización invierta en un tablero que muestre toda la información de estos sistemas dispares en un solo lugar de forma digerible. Esto es importante porque puede haber mucho ruido o notificaciones que los administradores de seguridad deben analizar y priorizar. En una entrevista con SDxCentral , Sam Kassoumeh, COO y cofundador de SecurityScorecard, una compañía de calificación de seguridad, habló sobre la necesidad de una administración de seguridad simplificada.
“Cuando veas señales de malware durante meses y meses … podemos suponer que suceden algunas cosas. Primero, no existe una tecnología para detectar que [están] sucediendo cosas malas. O bien, la tecnología existe para detectar las cosas malas que están sucediendo, pero las notificaciones y las señales se pierden en el ruido. A menudo escuchas a la gente de TI decir: ‘Estoy inundado de correos electrónicos, alertas y sistemas en los que tengo que iniciar sesión’. Entonces, el antivirus está diciendo y diciendo: ‘Oye, hay algo malo en esta computadora’. Pero a nadie le está escuchando, a nadie le importa, o no hay un proceso para responder “.
El papel que juega la gente
Los programas de seguridad y otras soluciones tecnológicas son solo una base para el enfoque más amplio de gestión de riesgos de seguridad. Kassoumeh enfatizó la importancia de las personas en la gestión de riesgos de seguridad de TI.
“La gente maneja la tecnología de seguridad”, dijo. “Creo que las personas serán desproporcionadamente la utilidad más impactante que tiene una empresa. La tecnología no resuelve el problema solo. Requiere implementación. Necesita gestión. Y las herramientas deben configurarse y configurarse de manera que se puedan observar y detectar todos los activos que descubrimos “.
Esencialmente, Kassoumeh dice que se necesita gente para poner la tecnología en una posición en la que pueda hacer su trabajo de manera efectiva. Sin embargo, las personas (incluso aquellas sin malas intenciones) también son un riesgo para la seguridad y la razón por la que se necesitan herramientas de seguridad en primer lugar.
Por ejemplo, las personas suelen tener una mala higiene de contraseña. En un estudio de 2019 de HYPR , un proveedor de seguridad cibernética , el 72% de las personas informaron haber reutilizado contraseñas para uso personal. Sin embargo, cuando se trata de contraseñas de trabajo, el 51% creó contraseñas completamente nuevas cuando se le solicitó. Tener una contraseña deficiente para las cuentas de trabajo abre un importante vector de seguridad para la organización de la persona.
Es por eso que todos los miembros de una organización juegan un papel importante en la gestión de riesgos de seguridad de TI. Todos necesitan capacitación en prácticas de seguridad , y la cultura laboral debe centrarse en la seguridad. Esto reducirá el riesgo de ataques de phishing e ingeniería social exitosos.
Principales riesgos para prepararse
El recurso digital más valioso de una organización son sus datos. El robo u otra pérdida de estos datos es una de las principales preocupaciones de la mayoría de las organizaciones, dijo Kassoumeh. Las violaciones de datos, según el Informe de investigaciones de violación de datos de 2019 de Verizon , a menudo involucran piratería, ataques sociales y / o malware.
También hay ciertas tendencias que se suman a los riesgos de seguridad, dijo Kassoumeh. Por ejemplo, existe el cambio a la nube, la escasez de profesionales de seguridad, la creciente complejidad de los entornos de TI y el uso de terceros que están subcontratando tareas, como el almacenamiento de información de tarjetas de crédito, a terceros.
El cambio a la nube significa que las organizaciones tienen menos control sobre la seguridad de los datos y deben confiar en el proveedor de la nube para proteger la infraestructura subyacente. La creciente complejidad de los entornos de TI significa que las organizaciones tienen más dificultades para realizar un seguimiento de dónde están los datos confidenciales, quién está accediendo a ellos y cómo responder a la gran cantidad de ruido proveniente de la actividad en el entorno.
Finalmente, una organización puede estar haciendo todo a la perfección para asegurar sus datos, pero si está utilizando a un tercero para un servicio, y ese tercero está externalizando sus responsabilidades a un tercero que no está haciendo todo lo posible para proteger los datos, eso introduce Un punto débil significativo para todo el sistema.
Para prepararse para los piratas informáticos u otras formas de ataques contra estos sistemas potencialmente inseguros, una organización debe encontrar dónde reside la información más crítica y sensible, crear una estrategia para proteger esa información primero y usar los fundamentos de seguridad para protegerla.
Gestión de riesgos de seguridad TI: conclusiones clave
- Una organización necesita encontrar un marco de seguridad que se aplique a su industria y usarlo como guía para proteger el entorno de TI.
- La tecnología de seguridad, como los firewalls, es la base para monitorear el entorno y responder a eventos de seguridad.
- Las personas juegan un papel más importante en la gestión de riesgos de seguridad de TI que la tecnología.
- Las organizaciones deben confiar en los fundamentos de seguridad y la orientación de los marcos de seguridad para prepararse para los principales riesgos de seguridad.