Murphy tiene dos leyes y ambas se aplican cuando se trata de la gestión de riesgos de TI. “Todo lo que pueda salir mal, saldrá mal” es la primera ley de Murphy, que se considera precisa porque, con el tiempo suficiente, existe una alta probabilidad de que algo salga mal. ¡Debe estar preparado para cualquier cosa! La segunda ley de Murphy establece que “nada es tan fácil como parece”, y esto también es cierto cuando se trata de gestionar el riesgo empresarial.
Estas son las dos razones por las que las empresas recurren a un MSP, para que ayude a identificar, evaluar, priorizar y remediar los riesgos. Si es un MSP, descubra cómo puede ayudar a sus clientes a mitigar el riesgo y garantizar la protección de sus sistemas y datos.
Qué es un riesgo de TI?
El riesgo de TI es el potencial de pérdida o daño cuando una amenaza explota una vulnerabilidad en los recursos de información de una organización. Incluyendo la infraestructura, las aplicaciones y los datos de TI. Es un término amplio que cubre cualquier tipo de riesgo, ya sea un riesgo de seguridad cibernética, un corte de energía, un desastre, un error humano, una falla de software/hardware, etc., cualquier cosa que pueda interrumpir un negocio y dependa de la Tecnología de la Información (TI) de alguna manera.
Cuales son los procesos de la gestión de riesgos de TI?
La gestión de riesgos de TI es el proceso de analizar una amenaza a la infraestructura de TI de una empresa. Se realiza mediante la evaluación del nivel de riesgo que una empresa está dispuesta a aceptar. La industria se refiere a esto como un “apetito por el riesgo”. Si la empresa no puede asumir un riesgo específico, entonces debe determinar si el riesgo se puede reducir y cómo.
A continuación, se muestran algunos ejemplos de escenarios de riesgo y el apetito por el riesgo que una empresa está dispuesta a asumir:
- En caso de un desastre natural, la comunicación por correo electrónico de una empresa estará inactiva durante 24 horas. La empresa acepta este nivel de riesgo porque el impacto en la empresa es mínimo y los desastres ocurren con poca frecuencia.
- En caso de impacto de un asteroide, las oficinas y los edificios de la empresa serán destruidos. La empresa acepta este nivel de riesgo porque la probabilidad de que un asteroide impacte es poco probable, aunque los resultados sean catastróficos.
- Si una empresa experimenta un ataque de ransomware, puede derribar las operaciones de TI por un período indefinido. Este tipo de evento es común y puede devastar una empresa y la empresa no acepta este nivel de riesgo.
La gestión de riesgos no siempre significa reducir el riesgo a cero, sino minimizar el riesgo cuando el impacto es grande.
Por qué es importante la gestión de riesgos de TI?
Una empresa debe conocer y evaluar los riesgos que enfrenta para conocer sus debilidades, determinar si la empresa está sobreexpuesta, priorizar las brechas y mitigar el riesgo. Si está sobreexpuesta, una empresa debe tomar medidas en función de los recursos disponibles y las prioridades de riesgo, que se determinan utilizando el cálculo de riesgo que se analiza a continuación.
El proceso de identificación de un riesgo de TI
El proceso de gestión de riesgos de TI es una tarea que una empresa puede realizar internamente mediante el proceso de cinco pasos que se analiza a continuación o una evaluación de riesgos externa, como la ISO 27005. Este es un estándar internacional que describe cómo realizar una evaluación de riesgos de seguridad de la información de acuerdo con los requisitos de ISO 27001.
Estos son los 5 pasos que debe seguir una empresa para identificar los riesgos de TI.
- Identifique las vulnerabilidades. El departamento de TI debe definir todas las posibles debilidades y los riesgos en la infraestructura de TI.
- Etiquete y clasifique los datos de la organización. Este es un paso crítico porque una empresa solo puede proteger los datos si sabe qué datos proteger. Este paso brinda una oportunidad para que la empresa identifique datos personales y confidenciales, que son los datos más cruciales para asegurar y proteger.
- Priorice las vulnerabilidades. Esta tarea debe realizarse en una reunión conjunta con la Línea de Negocio (LOB, por sus siglas en inglés), que puede identificar los sistemas críticos que deben estar siempre en funcionamiento, y el departamento de TI, que puede determinar si los servicios críticos están protegidos. Durante este paso, TI y LOB también realizarán:
- Análisis de riesgo para determinar la frecuencia con la que ocurrirá un evento, la probabilidad de que ocurra y las consecuencias.
- Evaluación de riesgos. La “fórmula” para calcular un riesgo es: Riesgo = amenaza x vulnerabilidad x consecuencia. Esta no es una fórmula matemática, pero debe usarse como guía.
A continuación, se muestran algunos ejemplos de cómo evaluar el riesgo mediante la “fórmula”.
Si una empresa no realiza copias de seguridad de sus sistemas, la probabilidad de que un error humano, un desastre natural o provocado por el hombre o un ataque malintencionado provoque la caída de sus sistemas es alta y las consecuencias de la pérdida de datos son importantes. Esta vulnerabilidad sería de alto riesgo y requeriría una reparación inmediata. La empresa reconoce que los anuncios de correos electrónicos no deseados pueden ser una molestia para los usuarios. Si bien esto es algo común, el impacto no es significativo, por lo que se consideraría una segunda prioridad para la remediación. Por otro lado, la empresa reconoce que los ataques de phishing (suplantación de identidad) pueden robar la contraseña de un usuario. Esta es una ocurrencia común y el impacto puede ser grande, por lo que se consideraría una prioridad máxima que requiere una reparación inmediata.
4. Aborde los riesgos. Ahora que la empresa conoce los riesgos, debe abordarlos en función de la priorización, el apetito por el riesgo y la tolerancia.
5.Realice un seguimiento continuo de los riesgos. El proceso de identificación de un riesgo de TI es un proceso continuo, ya que el panorama de la seguridad siempre está cambiando debido a fuerzas externas e internas.
Mejores Prácticas Para Gestionar Los Riesgos De TI
Es fundamental para una empresa monitorear continuamente su infraestructura, incluida su cadena de suministro y las aplicaciones basadas en la nube, para detectar nuevos riesgos. Por ejemplo, antes de la pandemia, existía un riesgo bajo de filtraciones y brechas de datos para los teletrabajadores. Sin embargo, con la migración masiva al trabajo remoto en 2020, la seguridad de los datos es un alto riesgo, ya que la mayoría de los empleados trabajan desde casa. Esto significa una mayor probabilidad de que se pierdan los ordenadores portátiles, que otra persona pueda acceder a los ordenadores portátiles desatendidos en el hogar (lo que aumenta el riesgo de malware), etc. La pandemia también ha creado más riesgo a medida que los ciberdelincuentes explotan el miedo al COVID-19 para propagar malware.
La empresa debe asegurarse de monitorear los riesgos asociados con los proveedores, socios, cualquier individuo (por ejemplo, contratistas) o cualquier otra empresa con la que trabaje. Por ejemplo, la brecha de SolarWinds ocurrió porque los delincuentes piratearon el sistema de software Orion y agregaron código malicioso. Luego, ese malware se propagó a los 18.000 clientes de SolarWinds cuando la empresa envió actualizaciones del sistema. Fue un evento catastrófico que puso a muchas organizaciones en alto riesgo.
Cualquier negocio sujeto a requisitos regulatorios, como el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) de la UE, la Ley de Privacidad del Consumidor de California (CCPA, por sus siglas en inglés), el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS, por sus siglas en inglés), la Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA, por sus siglas en inglés) o ISO 27001, también debe monitorear continuamente el cumplimiento de las regulaciones y el cumplimiento de la empresa.
Evite los riesgos cibernéticos con la solución todo en uno de Acronis
Acronis Cyber Protect Cloud es una solución única en su tipo que detecta y previene malware avanzado, ofrece capacidades de remediación e investigación y brinda protección total de los datos de sus clientes. Combine antimalware basado en firmas y comportamiento, gestión de protección de puntos finales, copias de seguridad y recuperación ante desastres en una sola solución. Con una sola consola y un solo agente, Acronis Cyber Protect Cloud ofrece una integración y automatización inigualables para reducir la complejidad, mejorar su productividad y disminuir los costos operativos. Con Acronis Cyber Protect Cloud, puede mejorar su servicio de copia de seguridad con protección cibernética esencial sin costo alguno. También puede ampliar su servicio con paquetes de protección avanzada, que incluyen:
- Protección para más de 20 tipos de cargas de trabajo desde una sola consola, incluidos Microsoft Exchange, Microsoft SQL Server, clústeres de aplicaciones reales de Oracle DBMS y SAP HAN
- Un mapa de protección de datos que rastrea la distribución de datos en las máquinas de sus clientes, monitorea el estado de protección de los archivos y utiliza los datos recopilados como base para los informes de cumplimiento
- Protección de datos continua que garantiza que no perderá los cambios de datos de sus clientes que se realizan entre las copias de seguridad programadas
Recuperación ante desastres avanzada:
- Organización de recuperación ante desastres mediante runbooks, un conjunto de instrucciones que definen cómo poner en marcha el entorno de producción de su cliente en la nube, para proporcionar una recuperación rápida y confiable de las aplicaciones, sistemas y datos de sus clientes en cualquier dispositivo, desde cualquier incidente