Gestión del ciber riesgo, ¿conozco cuán vulnerable es mi organización? Parte 2

Si leíste mi último artículo, recordarás que hablamos de la estrategia conocida como Gestión del Ciber Riesgo, que busca básicamente permitir a las compañías conocer cuál es la exposición al ciber riesgo, cuáles son los activos digitales que tienen mayor riesgo para impactar la operación y en esta misma línea, ejecutar las acciones necesarias para eliminar, reducir o aceptar los riesgos identificados. En este artículo quiero profundizar un poco más en el proceso que se debe implementar para gestionar de manera eficiente el ciber riesgo.

Etapa 1: inventariar todos los activos digitales de la organización

El punto de partida clave porque de esta forma entendemos cuáles dispositivos, identidades y datos intervienen en la operación de la compañía y posteriormente identificar su nivel de riesgo en la operación. Del mismo modo, recalco que no se trata de un listado de equipos estático, existente en un archivo actualizable anualmente en el mejor de los casos, sino que debe ser tan dinámico o automatizado como el negocio.

Otro punto relevante es que este inventario debe incluir las identidades que hoy por hoy, se han vuelto la llave de acceso para los ciberdelincuentes tener acceso a los activos más importantes de una organización, porque encapsulan los derechos y privilegios para acceder a la información de la empresa.

Etapa 2. Identificar las vulnerabilidades, amenazas y consecuencias

En este punto quiero que ampliemos la definición de vulnerabilidades, amenazas y consecuencias. Las vulnerabilidades son las debilidades de todos los activos digitales identificados en la primera etapa y esto no solo incluye sistemas obsoletos, software sin parche sino también, malas configuraciones.

Las amenazas son todos los actores o eventos que tienen un potencial para causar daño aprovechando las vulnerabilidades, los cuales pueden ser internos (empleados descontentos) o externos (grupos cibercriminales). Las consecuencias es lo que desemboca que una amenaza se aproveche de una vulnerabilidad e impacte la operación normal de la compañía. Concluyendo esta etapa, la intersección de estos tres elementos, definiría lo que llamamos Riesgo Cibernético.

Etapa 3. Calcular el riesgo de cada activo digital es muy importante, porque le permite a la compañía enfocar sus esfuerzos en gestionar el ciber riesgo

Esta etapa dista mucho de los mapas de calor o archivos de Excel que definen un nivel de riesgo, los cuales son subjetivos y estáticos respectivamente. En esta etapa se busca tener un nivel de riesgo cuantificable (valor absoluto) y dinámico, que dependerá de la variación y evaluación continua de los tres factores de la etapa anterior, sumados al dinamismo del negocio.

Te preguntas, ¿Quién define la fórmula matemática para definir ese nivel de riesgo?, importante pregunta, la respuesta es el framework de NIST, porque precisamente este framework nos guía y permite sustentar el proceso de cuantificar el riesgo de un activo digital y por ende, de una compañía.

Etapa 4. Mitigar o reducir el nivel de riesgo de cada activo digital con las herramientas o controles existentes

Es importante entender que las organizaciones tienen controles o productos de seguridad que les ayuda en momentos defensivos contra ciberdelincuentes (reactivo), pero cuando se identifica un nivel de ciber riesgo, es posible que esté asociado o se pueda reducir, con parametrizaciones correctas y adecuadas en los controles existentes, de tal forma que se convierten en acciones proactivas.

Por último y como todo proceso, la medición del ciber riesgo debe ser continuo y permanente, desembocando al mismo tiempo, en la ejecución de acciones que permitan controlar y mantener el ciber riesgo en niveles aceptables para la compañía.