Sea proactivo: 3 pasos de gestión de riesgos a seguir antes de un ciberataque


La gestión de riesgos es más que la recuperación de un ciberataque. Aprenda cómo la gestión de riesgos puede ayudar a su empresa a descubrir brechas en la seguridad, así como a manejar las consecuencias de un evento de ciberseguridad.

Evaluación de riesgos financieros / concepto de gestión y protección de riesgos de cartera: el hombre de negocios sostiene un paraguas blanco, protege una bolsa de un dólar en la balanza básica, defiende el dinero de trampas o fraudes

Imagen: William_Potter, Getty Illustrations or photos / iStockphoto

Los expertos están impulsando la gestión de riesgos como el camino a seguir cuando se trata de mantener la ciberseguridad. A primera vista, eso podría interpretarse como renunciar a la tecnología real, pero ese no es el panorama completo.

La gestión de riesgos es una forma de disponer de todo lo humanamente posible para reducir las consecuencias de un evento de ciberseguridad, y eso es algo bueno. Otra función igualmente importante de la gestión de riesgos es que puede considerarse una metodología proactiva utilizada para identificar riesgos en el marco de ciberseguridad de una organización.

Los propietarios y gerentes de negocios tienen una mentalidad muy diferente a la de los ciberdelincuentes. Los márgenes suficientes y la reducción de costos llenan los días de los líderes. Los ciberdelincuentes están mucho más concentrados: simplemente buscan formas de ganar dinero ilegalmente, ya sea robando datos lucrativos y vendiéndolos, o extorsionando el dinero del rescate de una empresa cifrando archivos digitales importantes. Cuando ninguna de las partes considera a la otra, suelen suceder cosas malas.

VER: Lista de verificación: evaluación de riesgos de seguridad (TechRepublic High quality)

El artículo de EconoTimes «Uso de la gestión de riesgos para identificar brechas en ciberseguridad«outline la gestión de riesgos como una mentalidad proactiva que intenta dificultar las cosas a los ciberdelincuentes:

«La evaluación de riesgos permite al equipo de seguridad identificar amenazas y riesgos. Esto les permite cerrar cualquier brecha y brindar la seguridad adecuada a los datos confidenciales. La evaluación también aborda los requisitos de cumplimiento y reglamentarios para PCI DSS y HIPAA».

Application de escaneo automatizado

La mayoría de las empresas se están ejecutando financieramente esbeltas y tener un proveedor externo que realice una evaluación de gestión de riesgos es costoso y de alcance limitado, según el artículo. El autor del artículo sugiere: «Las empresas pueden optar por realizar evaluaciones de riesgo internamente. Las plataformas SaaS lo han hecho posible al ofrecer pruebas, informes y monitoreo automatizados. Uno de los mejores enfoques para la gestión de riesgos es el uso de application de escaneo automatizado».

Este tipo de computer software ofrece lo siguiente:

  • Herramientas de escaneo capaces de detectar riesgos en la red, el hardware y las bases de datos de la empresa

  • herramientas de simulación de ataques y violaciones y

  • plataformas de evaluación de vulnerabilidades.

Del artículo: «Las herramientas informarán los problemas descubiertos y ofrecerán sugerencias sobre cómo combatirlos». El autor agregó que al elegir una herramienta de evaluación de riesgos, es importante considerar con qué frecuencia se actualiza la herramienta, qué tan fácil es actuar sobre los resultados y qué tan bien la herramienta interactúa con otras herramientas de ciberseguridad.

VER: Política de protección contra robo de identidad (TechRepublic Quality)

Todos los departamentos deben participar

La única forma en que la evaluación de riesgos va a funcionar es si todos los departamentos están involucrados, así como los actores clave de la administración.

«Aunque este proceso puede llevar mucho tiempo, no lo omita», escribió el autor del artículo de EconoTimes, y agregó que se debe prestar especial atención a los departamentos que tratan directamente con datos de consumidores y empresas.

El objetivo de este tipo de gestión de riesgos es identificar proactivamente los riesgos de ciberseguridad y eliminarlos si es posible si eso no es posible, desarrolle respuestas que reduzcan el impacto si ocurre un ciberataque. Sobre cómo lograr esto, aquí hay algunos consejos del artículo de EconoTimes.

Desarrollar una cultura: Las empresas no tienen la costumbre de pensar de forma cibernética y eso tiene que cambiar, dijo. En distinct, todos los empleados deben aceptar la cultura de seguridad de una organización.

Educar a los empleados: El autor del artículo dice que la ciberseguridad no es solo responsabilidad del departamento de TI: todo el personalized debe reconocer cuándo se está produciendo un ataque y conocer sus funciones para mitigar el daño. El autor va un paso más allá y cree que es very important que todos los empleados comprendan que un ciberataque grave podría significar la pérdida del empleo si la empresa tiene que cerrar sus puertas. Del artículo de EconoTimes: «Comunique sus planes sobre mitigación de riesgos a todas las partes interesadas y manténgalos involucrados».

Crea un marco de ciberseguridad: Los Instituto Nacional de Estándares y Pruebas (NIST) explain un marco de ciberseguridad como «Orientación voluntaria, basada en estándares, directrices y prácticas existentes para que las organizaciones gestionen y reduzcan mejor el riesgo de ciberseguridad. Además de ayudar a las organizaciones a gestionar y reducir los riesgos, se diseñó para fomentar el riesgo y la ciberseguridad comunicaciones de gestión entre las partes interesadas internas y externas de la organización «.

El artículo del autor afirma que el marco de ciberseguridad adecuado es importante. Del artículo: «Sus estándares dictarán el marco adecuado. La mayoría de las empresas adoptan PCC DSS, CIS Vital Stability Controls e ISO 27001/27002».

Como parte de ese marco, cada empresa debe crear una matriz de evaluación de riesgos, que incluya revisiones de riesgos cuantitativas y cualitativas. «La evaluación debe brindarle un análisis detallado y destacar los riesgos que pueden ocurrir», dice el autor del artículo de EconoTimes, quien sugiere que las partes interesadas internas y externas participen en las revisiones.

Mitigar los riesgos de ciberseguridad

El artículo de EconoTimes presenta un buen argumento de que la gestión de riesgos es más que cómo recuperarse de un evento de ciberseguridad también es una forma de reducir proactivamente el riesgo de convertirse en una víctima cibernética. Cuanto más sepa acerca de los riesgos de su empresa, más probabilidades tendrá de mitigarlos.

Ver también



Enlace a la noticia primary