La ciberseguridad es un área muy importante dentro de la empresa. Tú como oficial de seguridad conoces esta realidad, pero también sabes lo difícil que es para los demás integrantes de la compañía entender esto.
En tiempos en el que la tecnología se ha vuelto parte fundamental de la vida de la mayoría de las personas, las empresas llevan la delantera en la digitalización de sus procesos. Esta tendencia tiene muchos beneficios, pero también implica altos riesgos.
Esto porque como todo en la vida, hay personas que no tienen buenas intenciones. En el caso de la ciberseguridad, podríamos definir como villanos a los ciberdelincuentes. Estos individuos son quienes desde sus computadores intentan encontrar vulnerabilidades e ingresar a distintas instituciones.
La lista de organizaciones que han sido alguna vez víctimas de un ciberataque es larga, va desde organismos estatales, entidades bancarias, etc. Incluso han sido blanco de este tipo de criminales, instituciones de salud.
Los ciberdelincuentes no tienen escrúpulos y los ciberataques se registran a toda hora, por lo que el encargado de la ciberseguridad siempre debe estar alerta a esta situación. Si te interesa conocer más sobre este tema, puedes leer el artículo “Ciberataques sin tregua”.
La amenaza es latente para todas las empresas, pero el nivel de riesgo que tiene cada uno es diferente. Es aquí cuando tú como CISO y tu equipo entran en el juego. Tú conoces bien el peligro que supone tener una infraestructura tecnológica y la que se debe resguardar de forma rápida y precisa.
Pero también conoces bien la realidad de los altos volúmenes de información que se manejan dentro de las empresas y aunque el objetivo es siempre corregir toda vulnerabilidad y todo peligro que se encuentre en la infraestructura. Cuando éstos son miles, se hace muy difícil.
Un ejemplo es el número de vulnerabilidades que tiene la banca, que va desde los cuatro a diez mil en un año, según un informe elaborado por Camel Secure. Esta información refleja uno de los desafíos que tienes como encargado de Ciberseguridad.
Pero además la misma empresa tiene distintos tipos de riesgo dentro de la infraestructura TI, en el que influyen distintos factores, como la funcionalidad que tiene para la empresa, las vulnerabilidades, los incidentes, etc.
Para poder enfrentar esta situación es que es importante realizar el cálculo del Riesgo tecnológico en la infraestructura TI de una empresa. Este índice te da una claridad de cuáles son los lugares más críticos para la organización y necesitan decisiones más urgentes.
Conocer cada rincón
Para poder priorizar tus acciones en base al riesgo tecnológico, primero que todo debes saber calcularlo. Para realizar este cálculo tus primeros pasos tienen que tener relación al reconocimiento de toda tu infraestructura TI.
Tú sabes que la visibilidad total es algo muy poco común dentro de las empresas. Por lo general los oficiales de seguridad trabajan sobre una infraestructura que conocen parcialmente y con una parte, que no saben siquiera la dimensión de ésta y que desconocen.
Esto además de generarte mucho estrés, es un peligro para la empresa, ya que tienes una parte de la infraestructura TI sin proteger y que puede ser encontrada por un ciberdelincuente, que no desperdiciara la oportunidad de ingresar a la información de la compañía.
Es por esto que lo primero que tienes que realizar es un discovery de infraestructura, esto te permite tenerla reconocida en su totalidad, incluso las máquinas que ya no funcionan o que prestan baja utilidad.
Pero el conocimiento total no puede quedar ahí, porque después de este paso es cuando se recomienda realizar un scan de vulnerabilidades, las que con la base del reconocimiento de toda la infraestructura TI, podrá dar un informe de todas las que encuentre.
Este informe como bien lo sabes, consta de muchísimas vulnerabilidades, las que tienes que corregir, pero debes empezar por una, pero la pregunta que queda aquí es ¿Por cuál comenzar?
Conversación Clave
En el momento en que tienes todo reconocido y tu información es muy grande, te encuentras con la problemática de cuáles deberían ser las primeras acciones. En este momento se necesita apelar a la habilidad comunicacional del CISO.
¿Qué quiere decir esto? Tú como oficial de seguridad, en conjunto con tu equipo conoces muy bien todo lo que tiene que ver con la ciberseguridad, aunque a veces te agobie y te estrese, te apasiona. Pero para poder calcular el Riesgo Tecnológico de la infraestructura TI tienes que utilizar la comunicación con los demás integrantes de la empresa.
La clave para esto es conversar con tu cliente interno, saber cuáles son los servicios tecnológicos que son prioritarios para ellos, de cuáles no pueden prescindir y si no funcionan el negocio se encontraría en graves problemas.
Claramente los otros integrantes de la empresa no te hablarán con un lenguaje tecnológico y con conocimientos en ciberseguridad, no te dirán qué máquina es la importante, ni nada por el estilo.
Por lo que tú debes también hablar con un lenguaje simple, que permita a ellos conectar con la importancia de la ciberseguridad sin entrar en palabras técnicas. Para poder graficar esta situación te mencionaremos un ejemplo.
En una automotora el ingreso de nuevos clientes y potenciales ventas es principalmente por el sitio web de la empresa. Si tú hablas con el gerente de marketing de esta compañía te dirá que ese es el servicio más importante para él y que lo necesita siempre seguro.
Así también sucede en otras empresas, de distintos rubros. Es el cliente interno el que tiene la información clave de dónde se deben priorizar los esfuerzos en relación a la ciberseguridad y tú como CISO debes ser capaz de entender y atender a esta necesidad.
Ponderar información
Para poder realizar el cálculo del riesgo tecnológico de tu infraestructura TI debes tomar en consideración la probabilidad de que algo suceda y el impacto que tendría si esto ocurriera.
Cuando aplicas esto a ciberseguridad, la probabilidad es un componente objetivo de toda esta operación y es todo lo que podría amenazar el funcionamiento de un servicio tecnológico. Mientras que el impacto viene desde lo subjetivo, es el aporte que realiza el cliente interno al nombrar cuáles son las tecnologías más importantes para él.
Cuando realizas una ponderación de estos factores encuentras tu nivel de riesgo tecnológico de la infraestructura TI. Lo que se considera un cálculo probabilístico y matemático.
Con esta información puedes comenzar a priorizar tus acciones comenzando por los más riesgosos y delegando las tareas a quien tenga que realizarlas dentro de tu equipo y de la empresa.
Resumen
Cuando tienes que trabajar sobre la seguridad de la información las tareas son muchísimas, con altos volúmenes de información. ¿Cómo sabes por dónde comenzar?
Para poder tomar esta decisión y sean acciones eficientes y eficaces para la empresa es que puedes apoyarte en el cálculo del riesgo tecnológico de la infraestructura TI. Con esta información puedes priorizar y saber cuáles son los servicios tecnológicos que requieren más cuidado y atención.
Camel Secure te facilita esta tarea con la implementación de la clasificación de servicios de negocios, en las que ingresas la información de cada servicio tecnológico, en conjunto con quienes son los responsables y entrega el resultado matemático del riesgo de cada uno. Lo que permite que el trabajo del oficial de seguridad sea más preciso.