Blog de Camel Secure

Complejidades al calcular el riesgo en Ciberseguridad

Escrito por Camel Secure | 29-07-2020 15:26:43

Tu trabajo como oficial de seguridad o CISO de la empresa siempre implica un desafío, el que debes sortear todos los días. Resguardar la infraestructura tecnológica de la empresa es fundamental para la organización, pero como bien sabes, muchos no son conscientes de ello.

La poca concientización sobre la importancia de la ciberseguridad es un problema dentro de tu lista de desafíos, pero está lejos de ser el que más dolores de cabeza te da.

Los problemas a nivel operacional son los que te demandan más tiempo y te preocupan mucho más, como por ejemplo el desconocimiento de la infraestructura, el no saber con certeza cual es todo tu campo de trabajo, como también no tener reconocidas las vulnerabilidades y un largo etc.

Además de enfrentarse al desconocimiento, los altos volúmenes de información es otro de los desafíos, con los que te debes enfrentar en tu trabajo a diario.

Toda esta situación resulta en un estrés constante, que hasta en algunos momentos parece ser uno de tus mejores amigos y te acompaña a diario en tu trabajo e incluso veces te persigue hasta tu casa. Porque claro, el CISO en muchas ocasiones no tiene horario.

A pesar de esta situación sabemos que te gusta y apasiona tu trabajo, siempre estás en búsqueda de las mejores herramientas y técnicas para mejorar tu desempeño y la seguridad de la empresa. Incluso sacrificando tu tiempo.

Una de las herramientas en las que te puedes apoyar para poder optimizar la cibergestión es el cálculo del riesgo tecnológico de tu infraestructura TI. Lo que te permitirá tener una mejor visión de lo que es más relevante y urgente para la empresa.

Para poder lograr realizar el cálculo del riesgo tecnológico debes seguir ciertos pasos que te detallaremos en este artículo y que buscan mejorar los resultados en ciberseguridad, como también la situación del CISO.

Reconocer todo

Para poder comenzar con el cálculo del riesgo tecnológico, lo primero que se debe tomar en consideración es el conocimiento de la situación en lo que respecta a la ciberseguridad en la empresa.

Es importante dejar atrás el desconocimiento que caracteriza a muchas empresas. Reconocer toda la infraestructura tecnológica es el primer paso relevante. La forma en la que lo realices es una decisión más bien personal, pero lo más recomendable es realizar un discovery de infraestructura, en el que se obtenga la información completa y se logre total visibilidad de la infraestructura TI.

Cuando ya tienes este conocimiento, el paso siguiente para tener un conocimiento total es descubrir cuáles son las vulnerabilidades de la infraestructura TI que ya reconociste.

Para esto puedes recurrir a un Scan de Vulnerabilidades, el que te dará toda la información sobre las vulnerabilidades que posee tu infraestructura. Este documento puede llegar a ser de gran volumen, con miles de vulnerabilidades encontradas.

La importancia del contexto

Cuando ya se deja atrás uno de los principales problemas como es el desconocimiento y se logra la visibilidad total de la infraestructura TI, como también se reconocieron todas las vulnerabilidades de esta, el paso siguiente es contextualizar esta información.

Quizás te estés preguntando ¿a qué se refieren con contextualizar la infraestructura? La verdad es que este proceso tiene que ver más bien con el comportamiento de la empresa en la que estás trabajando como oficial de seguridad.

Cuando logras la visibilidad total te enfrentas a lo que podría ser una montaña de información, que por sí sola no ayuda a mejorar la cibergestión. Es por eso que debes darle un contexto a la infraestructura y reconocer cuáles son los servicios tecnológicos más importantes.

Para poder realizar esta acción debes hablar con los demás departamentos que componen la empresa, es ahí donde encontrarás la información que te ayudará a contextualizar lo que tienes.

Hablar con tu cliente interno es la clave para este proceso, son ellos quienes te hablaran con claridad de cuáles son los servicios más críticos, aunque claro no con palabras técnicas.

El lenguaje de quienes no están relacionados a la ciberseguridad es distinto al tuyo, ellos no te dirán cual es la máquina y a cual servicio pertenece la que más les interesa. Lo que ellos te dirán por ejemplo, que si se cae la página web su negocio se ve realmente afectado. ¿Por qué?, porque sus principales clientes llegan a través de ese medio.

Con esta información tú puedes contextualizar en torno a los niveles de importancia que tiene la infraestructura TI y cuáles necesitan más atención, soluciones más urgentes.

Correlacionar información

Después de la conversación con el cliente interno, que te ayuda a tener una claridad de cómo es que el negocio se sostiene y cuáles son los servicios más importantes, debes relacionar esta información con cada servicio tecnológico.

También para esto puedes utilizar la clasificación de servicio de negocio, en la que pondrás todo lo que incide en el funcionamiento de éste, como son las vulnerabilidades, los incidentes, los documentos, etc. Todo lo que influya en cómo funciona determinado servicio.

Es importante considerar este paso, ya que es el que te dará claridad en cómo debes distribuir los servicios de negocios y todo lo que afecte a ellos, incluso los activos.

Un cálculo probabilístico y matemático

El proceso del cálculo del riesgo tecnológico de la infraestructura TI es el paso final para poder mejorar y optimizar la cibergestión. Pero primero debemos tener en consideración qué es lo que significa la palabra riesgo y cómo la aplicaremos a la ciberseguridad.

Primero debemos entender que el riesgo es la ponderación entre la probabilidad que algo suceda y el impacto que ocurra determinado problema. Aplicándolo a la ciberseguridad, la probabilidad es el componente objetivo de esta operación y es todo lo que podría afectar al funcionamiento de un servicio de negocios.

Mientras que el impacto es un componente claramente subjetivo y que afecta de distintas maneras a cada empresa, es lo que significa para el cliente interno ser protagonista de cierto problema y en el servicio de negocios específico.

Cuando ponderas estos dos factores, el resultado es el nivel de riesgo tecnológico de cada servicio de negocio de tu infraestructura TI. Lo que es un cálculo probabilístico y matemático.

Finalmente esto te permite orientar todos tus esfuerzos a las necesidades específicas de la empresa en la que estás trabajando y permite ser más eficaz y eficiente.

Resumen

La ciberseguridad es uno de los pilares fundamentales para el buen funcionamiento de la empresa. El oficial de seguridad lo tiene más que claro, pero dentro de este trabajo hay muchísimos desafíos que debe enfrentar para poder resguardar la información confidencial de la organización y sea lo más segura posible.

Una de las formas en las que puede hacer su trabajo aún más efectivo y mejora las condiciones en torno al desconocimiento al que se ve enfrentado el oficial de seguridad es el cálculo del riesgo tecnológico de la infraestructura TI.

Para poder realizar este cálculo hay que tener una visibilidad total de la infraestructura tecnológica, como también reconocer todas las vulnerabilidades de ésta. Tener un conocimiento absoluto de lo que se enfrenta en la empresa en torno a la ciberseguridad.

Pero no basta solo con eso, ya que los niveles de información pueden ser muy altos, por lo que es importante darle un contexto a la infraestructura TI de acuerdo a lo que el cliente interno exprese como los servicios tecnológicos más críticos para él.

Esto permitirá clasificar esta información por cada servicio de negocios y poder realizar el cálculo de riesgo tecnológico de la infraestructura TI. Ponderando la probabilidad y el impacto de que suceda algo en la empresa en torno a la ciberseguridad.

Este cálculo tiene un componente objetivo en relación a la probabilidad que algo suceda, mientras que se habla de subjetividad en lo que tiene que ver con el impacto de esto, ya que esto es una interpretación que cada empresa tiene con respecto a lo que podría pasar.

La ponderación de estos conceptos claves por cada servicio de negocio te permite tener el conocimiento del riesgo tecnológico de la infraestructura y poder orientar los esfuerzos a las necesidades particulares de la organización en la que eres responsable de la ciberseguridad.