La gestión del ciberriesgo es un enfoque de ciberseguridad proactivo centrado en predecir y mitigar los riesgos en toda la superficie de ataque.
La gestión del ciberriesgo es una forma de mejorar el conocimiento de la situación de ciberseguridad de una organización: identificar, priorizar y mitigar las amenazas. La gestión de la superficie de ataque (ASM) es un elemento esencial de la gestión del ciberriesgo.
La gestión del ciberriesgo se puede dividir en cuatro partes:
- Identificación de riesgos: Comprender la infraestructura de TI de su organización, saber dónde están las debilidades e identificar amenazas.
- Evaluación de riesgos: Evaluar la probabilidad de que se exploten las vulnerabilidades de su organización y evaluar el impacto que tendría la explotación.
- Mitigación de riesgos: La implementación de medidas, como controles técnicos, administrativos y físicos, ayudará a reducir el impacto de las amenazas. Más allá de esto, educar a su organización sobre las prácticas recomendadas de ciberseguridad y establecer directrices para las operaciones de seguridad y la respuesta ante incidentes fomentará una mayor resiliencia.
- Supervisión de riesgos: Observar y revisar continuamente el panorama de riesgos mediante evaluaciones periódicas, controles de supervisión y respuesta ante incidentes para identificar nuevas amenazas y evaluar la efectividad de las medidas de mitigación
La gestión del ciberriesgo abarca las mismas tres fases que la gestión de la superficie de ataque: descubrimiento, evaluación y mitigación. La fase de evaluación incluye la puntuación del riesgo para que la organización pueda comparar y supervisar su perfil de riesgo a lo largo del tiempo.
¿Qué son los ciberriesgos?
El Instituto Nacional de Estándares y Tecnología define el ciberriesgo de dos maneras distintas pero relacionadas:
- «El riesgo de depender de recursos cibernéticos (es decir, el riesgo de depender de un sistema o de elementos del sistema que existen en el ciberespacio o tienen una presencia intermitente en él)».
- «Riesgo de pérdida financiera, interrupción o daño operativo por el fallo de las tecnologías digitales empleadas para funciones informativas y/u operativas introducidas en un sistema de fabricación a través de medios electrónicos por el acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados del sistema de fabricación».
Ambas definiciones se aplican a la necesidad de que las organizaciones adopten e implementen un marco proactivo de gestión de ciberriesgos.
¿Por qué es importante la gestión del ciberriesgo?
La creciente superficie de ataque significa que las organizaciones se enfrentan a más riesgos cibernéticos que nunca. La escala y complejidad del entorno de amenazas han mantenido a muchos equipos de seguridad en modo reactivo durante años, sin la capacidad, visibilidad y conocimiento que necesitan para adelantarse a las amenazas y evitar que se produzcan filtraciones.
Como parte de un enfoque general para gestionar la superficie de ataque, la gestión de ciberriesgos proporciona al personal de seguridad una visión completa de los riesgos a los que se enfrentan sus organizaciones. Un buen marco de gestión de ciberriesgos también ayuda a determinar qué riesgos son más relevantes, lo que respalda la “toma de decisiones informada sobre riesgos” para reducir la exposición general a amenazas.
Con la información que obtienen, los equipos de seguridad pueden fortalecer las defensas, minimizar las vulnerabilidades e informar a los procesos generales de planificación estratégica y gestión de riesgos de sus organizaciones.
¿Cuáles son las implicaciones legales o reglamentarias de los ciberriesgos?
Las organizaciones que no gestionan los riesgos cibernéticos de forma efectiva podrían enfrentarse a multas o acciones legales, incluso procedimientos penales y sentencias de prisión. Muchas leyes y normativas incluyen requisitos para informar de filtraciones de datos de forma oportuna y para garantizar la privacidad y la seguridad de los datos personales y confidenciales. El Reglamento General de Protección de Datos (GDPR) de la UE y la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA) de EE.UU. son algunos de los marcos más conocidos y destacados.
Además de incurrir en sanciones, las organizaciones que gestionan mal el ciberriesgo y sufren una brecha o pérdida también pueden experimentar una pérdida de confianza y un daño a su reputación entre clientes, socios y empleados.
Dada la gravedad potencial de las consecuencias, muchos consejos corporativos están tomando un interés activo en la gestión de ciberriesgos de la empresa. De hecho, muchos directores tienen que rendir cuentas de su actuación en materia de ciberseguridad.
¿Cómo funciona la gestión de ciberriesgos?
La gestión del ciberriesgo consiste en adoptar un enfoque estratégico de ciberseguridad que se adapte a las necesidades de la organización y promueva una sólida postura de cumplimiento. Tiene seis componentes principales o áreas de actividad, todos los cuales son necesarios en combinación. Son:
- Clasificación e identificación de activos basada en el riesgo: Obtener una visión completa de toda la superficie de ataque para que todos los activos y datos se conozcan y puedan protegerse frente a ciberataques.
- Análisis de vulnerabilidades basado en riesgos: escanear activos y probar vulnerabilidades de forma regular y continua, centrándose en las vulnerabilidades que presentan los mayores riesgos.
- Evaluación de amenazas basada en el riesgo: Análisis de los riesgos en el conocimiento del entorno de amenazas en evolución y determinación de qué amenazas son potencialmente más peligrosas para los activos críticos de la organización.
- Priorización de riesgos: Comprender qué riesgos son más urgentes y potencialmente graves para fundamentar las decisiones y orientar las inversiones en ciberseguridad.
- Controles basados en el riesgo de confianza cero: Adoptar marcos y arquitecturas de confianza cero para reducir la superficie de ataque general y limitar el riesgo.
- Supervisión y mejora continuas: Centralización de la visibilidad en toda la superficie de ataque para permitir una continua gestión de riesgos y adaptación al panorama de amenazas en evolución.
¿Qué es un marco de gestión de ciberriesgos?
Un marco de gestión de ciberriesgos proporciona a las organizaciones una forma estructurada de identificar, evaluar y mitigar proactivamente los riesgos de ciberseguridad. Implica políticas y procedimientos que requieren una plataforma de ciberseguridad empresarial.
El Instituto Nacional de Estándares y Tecnología (NIST) de EE.UU. ha compartido públicamente su marco de ciberseguridad para servir como modelo para otras organizaciones. El marco del NIST se centra en los resultados, ayudando a las organizaciones a determinar lo que desean lograr específicamente gestionando el ciberriesgo, en lugar de dictar cómo se debe realizar la gestión del ciberriesgo.
En última instancia, el marco del NIST permite a las organizaciones comprender y evaluar su estado de seguridad actual, priorizar los riesgos y las acciones a realizar y establecer una forma común o compartida de comunicar las actividades de ciberseguridad, tanto interna como externamente.
¿Cómo podemos implementar la gestión de ciberriesgos?
Los organismos del sector público en muchos países han descrito enfoques escalonados para implementar marcos de gestión de ciberriesgos. El Centro Nacional de Ciberseguridad del Reino Unido, por ejemplo, propone un método de ocho pasos:
- Establecer el contexto de la organización
- Identificar a los responsables de la toma de decisiones, procesos de gobernanza y restricciones
- Definir los desafíos de riesgo de ciberseguridad
- Seleccione un enfoque
- Comprender los riesgos y cómo gestionarlos
- Comunicarse y consultar
- Implementar y garantizar
- Supervisar y revisar
El modelo del Reino Unido subraya la importancia de comprender no solo la superficie de ataque y el panorama de amenazas, sino también el contexto y las condiciones únicas de la propia organización. Esto incluye el enfoque y los valores de la empresa, las principales partes interesadas y los riesgos específicos. Por ejemplo, una empresa del sector de los servicios financieros tendrá que cumplir unos requisitos antifraude y contra el blanqueo de capitales que probablemente no tendrá un fabricante. Sin embargo, un fabricante podría necesitar gestionar los ciberriesgos en su cadena de suministro.
La creación de un marco de gestión de ciberriesgos común y tener una visión única del entorno de riesgo (la superficie de ataque) son cruciales para implementar un marco de gestión de ciberriesgos. Ambos dependen de un par de capacidades clave. Uno, como se mencionó anteriormente, es adoptar un enfoque de confianza cero para la ciberseguridad. La otra es implementar tecnología de detección y respuesta extendidas (XDR) para recopilar y analizar datos de la superficie de ataque.
La adopción de una plataforma de ciberseguridad puede respaldar el cambio a confianza cero. Una plataforma completa también incluirá operaciones de seguridad como XDR, proporcionando los requisitos previos esenciales para la gestión de ciberriesgos.
¿Cómo encaja la gestión de la superficie de ataque con la gestión de ciberriesgos?
La gestión de la superficie de ataque (ASM) es un aspecto clave de la gestión general del ciberriesgo. Como su nombre indica, la gestión de la superficie de ataque se ocupa específicamente de la superficie de ataque: el conjunto total de vulnerabilidades, puntos de acceso y vectores de ataque que pueden explotarse para obtener acceso no autorizado a los sistemas y datos de una organización.
ASM se centra en descubrir, evaluar y mitigar los riesgos relacionados con la superficie de ataque, idealmente en un proceso continuo.
El descubrimiento consiste en definir la superficie de ataque y todos los activos que la componen. Esto requiere una solución de gestión de la superficie de ataque que pueda analizar el entorno de TI para identificar todos los dispositivos, software, sistemas y puntos de acceso conocidos y desconocidos. Descubrimiento también tiene como objetivo identificar aplicaciones de TI en la sombra, tecnologías de terceros conectados y tecnologías que no han formado parte de inventarios anteriores.
La evaluación es el proceso de determinar la urgencia y la gravedad potencial de los riesgos asociados con todos los activos descubiertos. Esto implica la cuantificación y puntuación de riesgos , formas de priorizar y clasificar vulnerabilidades y riesgos de forma objetiva.
La mitigación consiste en tomar medidas para hacer frente a las vulnerabilidades que se descubren. Eso podría significar ejecutar actualizaciones de software o instalar parches, configurar controles de seguridad y hardware, o implementar marcos de protección como confianza cero. También podría incluir deshacerse de sistemas y software antiguos.
¿Dónde puedo obtener ayuda con la gestión de ciberriesgos?
Trend Micro Research creó el Cyber Risk Index (CRI) con el Ponemon Institute para investigar los ciberriesgos e identificar áreas clave para mejorar la ciberseguridad. El CRI, que se actualiza periódicamente, mide la diferencia entre la postura de seguridad actual de la organización y la probabilidad de que sufra ataques. Utilice la calculadora de CRI aquí para determinar la puntuación de riesgo de su organización.
Trend Vision One to ofrece una solución de gestión de exposición y ciberriesgo (CREM) que garantiza que las organizaciones puedan ir más allá de solo ASM para reducir su huella de ciberriesgo. CREM adopta un enfoque revolucionario combinando capacidades clave, como la gestión de superficie de ataque externo (EASM), la gestión de superficie de ataque de activos cibernéticos (CAASM), la gestión de vulnerabilidades y la gestión de postura de seguridad, en la nube, los datos, la identidad, las API, la IA, el cumplimiento de normativa y las aplicaciones SaaS en una solución potente y fácil de usar. No se trata solo de gestionar amenazas, sino de desarrollar una verdadera resiliencia ante riesgos.
Obtenga más información sobre cómo la gestión de exposición a ciberriesgos puede ayudarle a identificar, priorizar y mitigar amenazas.