Estrategia de seguridad basada en riesgos

Una estrategia de seguridad basada en riesgos es aquella en la que una organización identifica precauciones de seguridad específicas que deben tomarse en un entorno de tecnología de la información (TI) y documenta cuándo y dónde deben aplicarse esas precauciones. Las estrategias de seguridad basadas en riesgos ayudan a las organizaciones a identificar qué activos digitales requieren la mayor protección. Tres áreas esenciales que una empresa debe abordar con una estrategia de seguridad basada en riesgos son; cuáles son sus activos de información clave, quién tiene acceso a esos activos / cómo están protegidos y quién puede querer robar o dañar esos activos. 

La seguridad basada en riesgos debe planificarse cuidadosamente y monitorearse continuamente para garantizar que las estrategias respalden un enfoque integral y profundo de la ciberseguridad. Las prácticas de seguridad basadas en riesgos más eficaces complementan las demás estrategias de gestión de riesgos empresariales (ERM) de la organización. 

Elementos de la estrategia de seguridad basada en riesgos

Hay cinco pasos básicos de la estrategia de seguridad basada en riesgos que una organización debe seguir cuando practica la seguridad basada en riesgos. Estos pasos incluyen:

  1. Valoración de activos - En este paso, una organización debe determinar qué y dónde están sus activos clave y quién los posee. Este paso también debe incluir cualquier impacto comercial y los costos que vienen con la integridad o disponibilidad de un activo comprometido evaluado. El objetivo es garantizar que los activos más importantes para el funcionamiento diario de una organización tengan una alta prioridad.
  2. Identificación de amenazas - La organización debe identificar a los actores malintencionados que quieran robar información o dañar activos. Esto incluye competidores, empleados enojados o amenazas no hostiles como trabajadores no capacitados. Otras amenazas potenciales a tener en cuenta incluyen desastres naturales como inundaciones o incendios. A cada amenaza se le debe asignar un nivel de amenaza que se base en la probabilidad de que ocurra.
  3. Identificar vulnerabilidades - Este paso consiste en identificar posibles vulnerabilidades de red y software. Las pruebas de penetración y las herramientas automatizadas de escaneo de vulnerabilidades pueden ayudar en esto.
  4. Perfiles de riesgo - Este paso evalúa la probabilidad de que una amenaza aproveche una vulnerabilidad. Las actividades de elaboración de perfiles evalúan las salvaguardas existentes y miden el riesgo de activos específicos. El objetivo es asignar a cada activo su propia puntuación de riesgo.
  5. Tratamiento de riesgo - Este paso implicó decidir si tolerar, tratar o terminar los riesgos. Es importante que cada decisión esté documentada, con las razones dadas para cada elección. Deben utilizarse pruebas de penetración para simular cada amenaza y garantizar la seguridad de activos específicos. Este proceso debe repetirse para cada amenaza que se haya identificado.

Implementación de la estrategia de seguridad basada en riesgos

Aunque la implementación de la seguridad basada en riesgos puede ser una tarea que requiere mucho tiempo, garantizará la seguridad de los activos de información y alineará los esfuerzos de seguridad con los objetivos comerciales. Las discusiones entre los profesionales de seguridad y los gerentes comerciales deben comenzar identificando las amenazas potenciales y la probabilidad de que ocurra una amenaza potencial. Esto permitirá a las partes interesadas comenzar a asignar niveles de riesgo a cada amenaza y vulnerabilidad potencial.

Una vez que se ha completado este trabajo, los administradores de red pueden revisar sus políticas de control de acceso para verificar que la organización esté aplicando el principio de privilegio mínimo (PoLP). Una vez que se lleva a cabo una auditoría de los controles técnicos para garantizar que todo funcione como se esperaba, se pueden iniciar pruebas para simular cada amenaza.

Este video explica por qué es importante obtener apoyo ejecutivo al implementar estrategias de seguridad basadas en riesgos.