This post is also available in: Português Español
Una pregunta recurrente entre gerentes de empresas de diferentes tamaños y áreas es si su empresa está bien segura contra amenazas digitales ¿Qué tipo de ataques soportaría? ¿Qué vulnerabilidades tiene? ¿Realizamos acciones que están dejando los datos más expuestos? Preguntas así pueden ser respondidas con el assessment de seguridad. Traducido, significa Evaluación de seguridad, y es un servicio que básicamente evalúa los riesgos de seguridad de la información en los procesos y tecnologías de una empresa.
Una parte fundamental del assessment de seguridad es identificar específicamente las amenazas potenciales a los sistemas de información, dispositivos, aplicaciones y redes. Se realiza un análisis de riesgo para cada riesgo que se identifica, y los controles de seguridad se identifican para reducir o eliminar estas amenazas.
Además, es necesario no solo para la seguridad cibernética, sino también para cumplir con leyes de Protección de Datos y otras leyes de responsabilidad de Seguros (HIPAA – de EUA) y de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), que exigen la evaluación periódica de riesgos.
Elementos de la evaluación de riesgos
La Publicación Especial 800-53 del Instituto Nacional de Estándares y Tecnología (NIST), Guía para la realización de evaluaciones de riesgo, proporciona un marco para el proceso de evaluación de riesgos. A diferencia de las evaluaciones de vulnerabilidad, las evaluaciones de riesgo toman en consideración elementos que van más allá de los vectores de ataque y los activos vulnerables. Generalmente, los modelos de evaluación de riesgo contiene los siguientes elementos:
- Identificación
Las evaluaciones de riesgos de seguridad permiten señalar los activos de tecnología cruciales para la empresa y los datos confidenciales que esos dispositivos crean, almacenan o transmiten. Esa información es crucial para crear procesos de gestión de riesgos adaptados a las necesidades específicas de la empresa.
- Creación del perfil de riesgo
Son análisis de riesgos potenciales asociados a activos individuales, que permiten determinar el impacto de esos activos en su escenario general de riesgos. Los perfiles de riesgo facilitan la creación de requisitos de seguridad para activos de información física o digital, y reducen los costos de implementación de estándares de seguridad en la empresa.
- Mapa de Activos Cruciales
Determinar el flujo de trabajo y el proceso de comunicación entre los activos críticos crea una perspectiva distinta de la gestión de riesgos, que está enfocada en el mantenimiento de operaciones de negocios en caso de ataques cibernéticos. Además, de entender la comunicación, almacenamiento y distribución de información confidencial facilita la formulación de medidas de protección para evitar filtraciones de datos.
- Priorización de activos
Con tantas amenazas de seguridad descubiertas a diario, la empresa inevitablemente sufrirá un ataque cibernético o filtración de datos en algún momento. No es más que una cuestión de “si”, sino de “cuando”. Así, la priorización de activos facilita la recuperación de sus procesos empresariales cuando se produce un evento inesperado, como una catástrofe natural o una invasión de crackers.
- Plan de mitigación
La información recogida en el assessment servirá de base para la protección cuando se elaboren las medidas de protección. La segmentación de la infraestructura de TI, las políticas de copias de seguridad, la recuperación de desastres y los planes de continuidad de negocios son ejemplos de estrategias de reducción de riesgos que utilizan los informes de evaluación de riesgos para gestionar el impacto de los eventos adversos.
- Prevención de riesgos de vulnerabilidad y ciberseguridad
Es fundamental evaluar el impacto de las políticas de corrección en su postura de seguridad. Por ejemplo, controles de acceso, metodologías avanzadas de autenticación, firewalls, análisis de vulnerabilidad y pentest pueden proteger las infraestructuras de alto riesgo de las ciberamenazas.
- Monitoreo Constante
Incluso si las evaluaciones de riesgo se llevan a cabo con regularidad, algunas medidas pueden tomarse para supervisar pasivamente su red e identificar las amenazas y prevenir incidentes de seguridad. Por ejemplo, scanners de vulnerabilidad pasivos o scanners antivirus que realizan un seguimiento continuo y facilitan la gestión de la seguridad de la información.
Observación: El modelo de evaluación de riesgos puede variar en función de las necesidades de cada empresa, pudiendo ser modificado en su alcance.
Cómo hacerlo
El trabajo de assessment de seguridad debe abarcar el mayor número posible de áreas de negocio. También está orientado que el proceso sea guiado por metodología, adaptada a la realidad de empresa. Abajo, algunas sugerencias de etapas para guiar el proceso.
- Identificación y prioridad de activos
Ejemplos de activos: Servidores, información de contacto de los clientes, documentos críticos de socios, secretos comerciales y otros. Se debe hacer una lista amplia de todos los activos para saber lo que debe ser protegido. Lo ideal es reunir la siguiente información para cada activo:
- Softwares
- Hardwares
- Datos
- Protección de almacenamiento de información
- Ambiente de seguridad física
- Políticas de seguridad de TI
- Comercial
- Personal de apoyo
- Controles técnicos de seguridad
- Misión o propósito
- Requisitos funcionales
- Interfaces
- Arquitectura de seguridad de TI
Será necesario limitar el alcance de las fases restantes a los activos de misión crítica; em caso contrario, el proceso puede ser muy largo. A medida que la empresa adquiere más experiencia con estas técnicas, el alcance puede ampliarse.
En este contexto, es necesario establecer criterios para calcular el valor de cada elemento. El valor monetario del activo, el estatus legal y la relevancia para la empresa. Una vez definidos los criterios e incluidos formalmente en la política de seguridad de la evaluación de riesgos, utilícelos para clasificar cada activo como crítico, primario o secundario.
- Descubriendo amenazas
Una amenaza puede ser cualquier evento que cause daños a los activos o procesos organizacionales. Las amenazas pueden ser internas o externas, así como maliciosas o accidentales. Muchas pueden ser exclusivas para su empresa, y otras son comunes a todo el sector. Por eso es esencial realizar un análisis completo de todas las amenazas potenciales.
- Identificación de vulnerabilidades
Una vulnerabilidad es una falla que puede colocar en riesgo los procedimientos de la empresa. Análisis, informes de auditoria, banco de datos de vulnerabilidades, datos de proveedores, métodos de test y evaluación de seguridad de la información (ST&E), tests de penetración y tecnologías automatizadas de verificación de vulnerabilidades se pueden usar para identificar vulnerabilidades.
Sin embargo, no se debe dejar esos análisis solo a riesgos técnicos, porque también existen fallas físicas y humanas. Por ejemplo, colocar los servidores en la planta baja hace que la empresa sea más vulnerable en caso de inundaciones. Además, no educar a los empleados sobre los peligros de los ataques de phishing, por ejemplo, hace que todo sea más susceptible al malware. Es importante observar qué entrenamientos de ese tipo deben realizarse cada semestre como mínimo, para ir en vanguardia con las evoluciones de los métodos de ataque de cibercriminales – que usualmente abandonan las técnicas ya conocidas para desarrollar nuevas formas de atacar.
- Análisis de controles
Analiza las medidas aplicadas para reducir o eliminar la probabilidad de que una amenaza explote una vulnerabilidad. La criptografía, las técnicas de detección de intrusos y las soluciones de identidad y autenticación son ejemplos de controles técnicos. Las políticas de seguridad, las medidas administrativas y los procesos físicos y ambientales son ejemplos de controles no técnicos.
Ambos controles pueden definirse como preventivos o de detección. Los preventivos hacen honor a su nombre, Tratando entonces de anticiparse y evitar que se produzcan problemas. Los controles de detección, incluyendo auditorías y sistemas de detección de intrusos, se utilizan para señalar los riesgos que ya se han producido o están en curso.
- Determinación de la Probabilidad del Incidente
Evaluar la probabilidad de que una vulnerabilidad sea explotada. Los factores a considerar incluyen el tipo de vulnerabilidad, la capacidad y la finalidad de la fuente de la amenaza así como la existencia de controles internos. Muchas empresas usan una escala de alto, medio o bajo riesgo para estimar la probabilidad de un evento adverso.
- Evaluación de impacto
También debe evaluar el impacto de estas amenazas en las operaciones de su empresa en caso de que se materialicen, juntamente con posibles efectos en cascada o daños colaterales. Del mismo modo, este impacto puede clasificarse como alto, medio o bajo.
- Priorización
En la fase del assessment, la gravedad de cada amenaza está determinada de acuerdo con su probabilidad de ocurrencia e impacto. El cálculo del valor dará una escala de prioridades de riesgo, que permitirá que los equipes de seguridad se concentren en aquellos con mayor gravedad.
- Recomendación de Medidas
Según la escala de gravedad, se pueden recomendar medidas de mitigación o prevención (como controles internos) para garantizar el mejor resultado en función de la rentabilidad, la fiabilidad, la normativa aplicable, la efectividad, la confiabiliadad y el impacto operativo.
- Informe de evaluación
Por último, se crea un informe de evaluación de riesgos para ayudar al equipo de gestión de riesgos a tomar las decisiones más favorables para proteger a la empresa. Para cada amenaza, debe visualizarse la vulnerabilidad correspondiente, los activos en riesgo, el impacto, la probabilidad de ocurrencia y las recomendaciones.
This post is also available in: Português Español
