Ha cambiado la mentalidad de las empresas y empiezan a concienciarse que la inversión en la ciberseguridad es imprescindible a corto plazo tanto para su economía, como para su posicionamiento? La disminución del riesgo a ser atacado por agentes externos es real y la utilización de métodos para interceptarlos y minimizarlos es fundamental para la empresa ya sea pequeña, mediana o grande.
Artículo publicado por Securityweek.com:
http://www.securityweek.com/cyber-risk-reduction-all-about-business
Traducción Google:
Durante el año pasado, usted puede haber notado un cambio en la forma en que los profesionales de seguridad y hablar sobre la seguridad cibernética.
Históricamente, los cortafuegos, DLP, antivirus, SIEM y otras soluciones de punto técnicos han sido el centro de las conversaciones de seguridad, pero el modo de pensar se está desplazando lentamente de la tecnología de riesgo.
El objetivo de detener todos los ataques y prevenir todo impacto en el negocio ha sido reconocida como una empresa descabellada, y se ha desplazado a la medición del riesgo y la minimización de los impactos comerciales. La seguridad informática es cada vez más visto como un problema de gestión del riesgo, alineado con o, en muchos casos superan los otros riesgos operacionales en las listas de prioridades de las empresas. De acuerdo con un reciente informe de placa , el 89 por ciento de los miembros de la junta dicen que están muy involucrados en la toma de decisiones de riesgo cibernético, el ranking de mayor riesgo cibernético como la más alta prioridad.
Un cambio en la forma de pensar es sólo el comienzo. En realidad la ejecución de sus estrategias y tácticas en función del riesgo es una historia completamente diferente. Para entender realmente el riesgo, las empresas tienen que comenzar con la identificación de sus aplicaciones más valoradas, su impacto en el negocio potencial si la confidencialidad, integridad o disponibilidad (CIA) se vieron comprometidas. A partir de ahí, hay un par de enfoques diferentes.
Los primeros esfuerzos en el cálculo de una cantidad en dólares ajustada por el riesgo al que está expuesta la empresa, también conocida como «valor en riesgo», se basó en los modelos tradicionales de riesgo financiero y operacional. Se requiere expertos para trabajar con los equipos informáticos y de negocio para tratar de guestimate probabilidades de eventos particulares y su capacidad de compromiso de la CIA de cada aplicación. Un obstáculo para este enfoque es que hay muy pocos datos históricos sobre la que basar tales guestimates con precisión. Los otros desafíos son que, aunque se haya podido guestimate probabilidades con precisión, es sólo un único punto en el tiempo, y es difícil de perforar abajo a un nivel de detalle que puede ayudar a impulsar las decisiones y acciones diarias allá de la protección en general, centrándose en aquellas aplicaciones con el mayor riesgo teórico.
Un enfoque más factible y viable que está evolucionando es utilizar los datos de activos y pérdida de información mencionado impacto en concierto con sus datos de amenazas y vulnerabilidad existentes para comprender el potencial de compromiso y dar prioridad a sus actividades en consecuencia. Este enfoque utiliza los acontecimientos reales que se producen dentro de la organización, junto con los datos de inteligencia contra amenazas externas, para medir el potencial de compromiso y de pérdida de estimación de impactos que pueden resultar de esas exposiciones. La ventaja de este enfoque es que se basa en las condiciones reales «sobre el terreno» y se pueden agregar / descompone para impulsar las decisiones de asignación de prioridades de los respondedores de primera línea de todo el camino hasta el consejo de administración.
¿Cómo se puede utilizar un valor de la aplicación en riesgo?
La mayoría de los equipos de seguridad de la empresa hacen un buen trabajo la identificación de amenazas y vulnerabilidades, un trabajo demasiado bueno. Los equipos de seguridad están inundados con un sinnúmero de alertas de amenazas y vulnerabilidades identificadas diaria. Con todos esos datos, dando prioridad a los esfuerzos de remediación es el verdadero reto. La respuesta es entender lo que las acciones de remediación dará lugar a la gran reducción en el valor en riesgo. Mediante la comprensión de la relación entre las acciones de remediación y los resultados, las empresas pueden conducir un programa de gestión de riesgos cibernéticos más centrado y transparente, donde los actores pueden ser considerados responsables de una manera medible por sus acciones o falta de ella.
potencial de asignación de valores pérdida financiera para las exposiciones de seguridad también permite una mejor toma de decisión de la junta. A medida que la seguridad se ha hecho la transición a una cuestión de gestión de riesgos, también ha surgido una brecha de comunicación entre los líderes de seguridad y los consejos de administración. Mientras que los líderes de seguridad están acostumbrados a hablar en el idioma de la tecnología; miembros de la junta hablan el lenguaje del riesgo. Sin embargo, si los líderes de seguridad pueden entrar en una sala de juntas con valor real en las medidas de riesgo que muestran la cantidad de dinero que la empresa podría haber perdido si una vulnerabilidad no parcheada y cuánto el equipo de seguridad reducido que el valor en riesgo mediante la adopción de medidas, ambas partes se se habla el mismo idioma. Juntas entienden impacto financiero y pueden tomar mejores decisiones si saben la cantidad potencial de dólares en juego.
En muchas otras partes de la empresa, los métodos de gestión de riesgos que utilizan métricas de impacto financiero para impulsar la toma de decisiones ha sido business-as-usual para el tiempo y el monumento. Como los cambios de la industria a un enfoque basado en el riesgo, seremos capaces de cambiar la conversación de tratar de remediar todas las amenazas y la vulnerabilidad en un esfuerzo por proteger a todas las aplicaciones en igualdad de condiciones, a las acciones a tomar para mejor minimizar el impacto de los riesgos cibernéticos en el negocio.
Latest posts by Jose Miguel (see all)
- Curso básico de Ciberseguridad: Módulo 4 - 28 diciembre, 2024
- Curso Básico de Ciberseguridad. Módulo 3 - 21 diciembre, 2024
- Episodio 7: Qué es el ‘Scareware’ - 29 noviembre, 2024
- Curso Básico de Ciberseguridad. Módulo 2 - 23 noviembre, 2024
- Episodio 6: Implementar la seguridad en conexiones remotas. - 22 noviembre, 2024