Responder a los Riesgos de Seguridad Informática Después de una Evaluación
Evaluación del riesgo
Las evaluaciones se realizan principalmente por dos razones. La primera es que la organización pueda encontrar las deficiencias prácticas de su postura de seguridad y abordarlas. En segundo lugar, las evaluaciones son a menudo una estipulación del entorno regulatorio y deben completarse para mantener algún tipo de estándar de cumplimiento legal o profesional. El resultado del ejercicio suele presentarse en forma de una lista categorizada de hallazgos con clasificaciones de los riesgos observados. La mayoría de las veces se clasifican en Bajo > Medio > Alto > Crítico o de forma similar. La organización receptora deberá elaborar un documento de respuesta oficial que indique cómo abordará cada uno de los hallazgos. Los riesgos de nivel alto o superior generalmente se dividen en cinco tipos de respuesta.
Tipos de respuesta
Mitigación de riesgos
La mitigación del riesgo es la respuesta más directa y simplemente significa que la organización introducirá medidas para reducir o eliminar el riesgo. Estos pueden tomar la forma de cambios en el entorno técnico o político. Ejemplos de mitigaciones técnicas son un conjunto de reglas de firewall más restrictivas, la introducción de un nuevo código de programación más seguro en las aplicaciones internas o el cifrado de los discos duros de todas las computadoras portátiles y tabletas. Ejemplos de mitigación de políticas podrían ser no permitir que los usuarios conecten dispositivos personales a la red o no permitir que los usuarios tengan acceso administrativo a sus PC (esto es muy recomendable).
Disuasión de riesgos
Implementar estrategias de disuasión de riesgos significa crear contraincentivos para que un actor de amenazas no aproveche una exposición que de otro modo no podría mitigarse. El elemento disuasorio más común es la pantalla de presentación de una página de inicio de sesión que dice algo como “este recurso está destinado exclusivamente al uso de XYZ Corp y cualquier uso indebido será perseguido con todo el peso de la ley”. Existen muchas otras técnicas, incluida la identificación de la dirección IP del usuario u otros datos rastreables durante una sesión, observar que todo el tráfico se monitorea y registra, o hacer que un usuario ingrese algún tipo de datos de identificación antes de usar un sistema.
Transferencia de riesgos
La transferencia de riesgo significa compartir el riesgo con un tercero. Esto generalmente se correlaciona con la obtención de una póliza de seguro. El seguro cibernético se ha convertido en una opción cada vez más popular y las ofertas se han estandarizado a medida que las disciplinas de tecnología y seguros han tenido suficientes instancias para clasificar las opciones de cobertura y los costos. Al igual que con cualquier oferta de seguros, la clave más importante es asegurarse de que se comprendan completamente las ofertas de cobertura disponibles. Por ejemplo, existen distinciones importantes entre lo que normalmente cubre una póliza de seguro cibernético y lo que cubre una póliza contra delitos. La mayoría de las pólizas de seguro cibernético cubrirían a un pirata informático que irrumpiera y se llevara los datos de propiedad de una organización. Un caso de compromiso de un correo electrónico empresarial en el que un actor malintencionado engaña a un funcionario financiero para que transfiera fondos a una cuenta bancaria fraudulenta no entraría, sino que más bien, entraría en el ámbito de la política criminal.
Existen algunos beneficios de mantener una política cibernética que no se conocen bien. Lo más importante es la disponibilidad de recursos de terceros que el proveedor de seguros podrá utilizar en caso de incumplimiento. Los miembros del equipo especializados que tienen experiencia en informática forense, legalidades del robo de identidad y comunicaciones de crisis generalmente cuentan con una póliza de seguro cibernético. En el contexto de una respuesta de evaluación, el equipo debe asignar cuidadosamente el hallazgo dado en la evaluación a un elemento de cobertura de la póliza. Una última nota sobre los seguros: a medida que el equipo avanza en los hallazgos de la evaluación y algunos hallazgos se abordan con una mitigación, esas actualizaciones en la postura de seguridad de la organización a veces se pueden aprovechar para negociar una mejor prima cuando llega el momento de renovar la póliza cibernética.
Evitación de riesgo
Evitar riesgos significa limitar o eliminar la actividad o cualquier cosa que esté creando la exposición. La evitación como estrategia es principalmente un ejercicio de proceso de negocios y generalmente implica la aprobación de decisiones a nivel ejecutivo, ya que es probable que un grupo de trabajo vea un aumento en la dificultad del trabajo o que la organización limite o elimine un área de servicio que brinda a sus clientes. o los electores. Un ejemplo de esto es que un importante operador de telefonía celular interrumpió su servicio a los clientes por transferir datos entre teléfonos antiguos y nuevos después de que algún contenido inapropiado en el teléfono de un cliente fuera alojado brevemente en el equipo del operador, creando un importante problema de responsabilidad para el operador.
Aceptación de riesgos
Elegir la opción de aceptación de riesgos es funcionalmente la decisión más sencilla. Pero no es lo mismo simplemente ignorar el problema o posponer indefinidamente la decisión. Una empresa debe comprender que, en ocasiones, la aceptación del riesgo puede ser la decisión correcta. No se debe mitigar un hallazgo en una evaluación sobre algo que representa un riesgo de baja probabilidad y un alto costo de remediar. Estas decisiones deben ser asumidas en el nivel correcto de la organización y anotadas oficialmente en la respuesta de la evaluación. Extraoficialmente, estas pueden ser las decisiones más difíciles de tomar internamente dentro de una organización. Es una realidad desafortunada que los miembros del equipo ejecutivo puedan sentirse cómodos aplazando decisiones (lo que equivale a elegir informalmente aceptar un riesgo) en lugar de aprobar una decisión de aceptación de riesgo porque temen que, si el riesgo se materializa, habrán creado la percepción de haber puesto a la organización en una mala situación, incluso cuando se trata de una decisión empresarial acertada.
Resumen de la lección
Una respuesta de evaluación documentará las intenciones de la organización con respecto a un conjunto de hallazgos. Las respuestas se dividen en cinco categorías.
- La mitigación indica que la organización tomará medidas para reducir o eliminar el riesgo.
- La disuasión consiste en implementar medidas para disuadir a una amenaza de aprovechar un área de riesgo.
- Transferencia significa que el riesgo se compartirá, normalmente mediante acuerdos de seguro.
- La evitación es la decisión de la organización de realizar cambios en los procesos de negocio relacionados para evitar el riesgo.
- La aceptación significa decidir formalmente no tomar ninguna medida contra el riesgo señalado.
Articulos relacionados
- ¿Cuáles son los Riesgos de Invertir en Acciones? Un Análisis Exhaustivo
- ¿Cuáles son los Riesgos del Embarazo Tardío?
- ¿Qué opciones existen después de terminar la ESO?
- ¿Qué riesgos existen durante el embarazo en adolescentes?
- ¿Cómo se integró Buenos Aires al resto del país después de la Confederación?
- ¿Cuáles son los riesgos asociados a la minería a cielo abierto?
- Capa de Transporte del Modelo OSI: Funciones, Seguridad y Protocolo
- Resistencia Muscular y Fuerza: Evaluación y diferencias
- Seguridad de los Datos: Amenazas, soluciones y gestión
- Seguridad agrícola: consejos y estadísticas