Cómo definir la gestión de riesgos de TI y seguridad
La gestión de riesgos de TI y seguridad es un método de mitigación de riesgos que se suele usar en TI. De acuerdo con el marco de riesgos de TI de ISACA, la gestión de riesgos de TI y seguridad es el proceso por el cual las empresas identifican y abordan los riesgos que están asociados con el uso, la propiedad, las operaciones, la implicación, la influencia y la adopción de TI dentro de una empresa u organización.
Por su parte, la gestión de riesgos de TI y seguridad aborda una amplia gama de actividades y objetivos, entre los que se incluyen:
- La identificación de riesgos
- La evaluación de riesgos
- El tratamiento de riesgos
- La supervisión de riesgos
- El cumplimiento de leyes, normas, reglamentos y marcos
- La evaluación y auditoría del cumplimiento normativo y riesgos de TI
Todo programa de gestión de riesgos de TI y seguridad aborda el impacto negativo de las operaciones y servicios de TI a través de la mitigación de riesgos, al mismo tiempo que se apoya el impacto positivo de utilizar la tecnología para perfeccionar el negocio.
¿Por qué es importante la gestión de riesgos de TI y seguridad?
A raíz del cambio continuo hacia la gestión de riesgos digitales, lo que aumenta las obligaciones de cumplimiento normativo y la proliferación de tecnología en la nube, la gestión de riesgos de TI y seguridad es más relevante que nunca. Establecer y mantener un programa sólido de gestión de riesgos de TI y seguridad permite que las organizaciones puedan tener una buena postura de seguridad y permite que puedan aportar evidencias de cumplimiento normativo cuando sea necesario, un aspecto crucial para cualquier empresa.
Transformación digital y gestión de riesgos de TI y seguridad
Durante el último año, la dependencia del trabajo en remoto impulsó un auge bastante rápido de la transformación digital, lo que empujó a los equipos de seguridad a expandir las medidas de protección y exponer vulnerabilidades en un estrecho margen de tiempo. A medida que el mundo va volviendo a la normalidad, la cantidad de ciberataques y ransomware exitosos y a gran escala ha aumentado de manera astronómica (en concreto, un 62% en el último año).
Para combatir este máximo histórico de ciberataques y desarrollar una estrategia exitosa de gestión de riesgos de TI y seguridad, las organizaciones deben buscar de manera activa la forma de utilizar la tecnología en todo el negocio y de aplicar con consistencia medidas de protección.
¿Cómo pueden los responsables de seguridad de TI comprender los riesgos?
Existen dos enfoques amplios para la evaluación de riesgos: el descendente y el ascendente. La evaluación de riesgos descendente evalúa el riesgo desde el punto de vista del equipo ejecutivo, es decir, desde el punto de vista estratégico. Mientras tanto, una evaluación de riesgos ascendente analiza el riesgo desde el punto de vista de los empleados, es decir, desde una perspectiva más táctica. Y aunque no existe una sola manera de efectuar una evaluación de riesgos, la mayoría de las personas suele recomendar un enfoque mixto porque cada método tiene sus pros y sus contras.
En líneas generales, optar por una evaluación de riesgos descendente suele ser más fácil de ejecutar porque hay menos individuos involucrados, lo que a su vez ayuda a definir y estandarizar la calificación de riesgos con mayor facilidad. En definitiva, la evaluación de riesgos descendente permite que el equipo ejecutivo pueda centrarse en unos pocos riesgos clave en lugar de en una lista exhaustiva de riesgos.
En cambio, la evaluación de riesgos ascendente potencia todas las áreas de tu negocio para contribuir a la identificación, definición y priorización de riesgos. Este modelo analiza los riesgos desde la perspectiva de los empleados que están en primera línea, es decir, que están más acostumbrados a los procesos de negocio y a los riesgos asociados, en lugar del equipo ejecutivo, que está más centrado en los riesgos estratégicos de alto nivel. Por su parte, la evaluación de riesgos ascendente puede ser más complicada de ejecutar pero suele desembocar en un resumen más exhaustivo del riesgo.
Independientemente del enfoque de tu evaluación de riesgos, debe tratarse de una experiencia intuitiva para los usuarios que participen y para los que agreguen resultados. También posibilita que los equipos de seguridad y riesgo de TI puedan producir resultados más rápido, lo que a efectos generales mejorará tu postura de seguridad en toda la organización y, además, garantizará una comprensión generalizada de los procesos en todos los niveles de la empresa.
Cómo facilitar el uso de tu programa de gestión de riesgos de TI y seguridad
Garantizar que tu programa de gestión de riesgos es fácil de usar tiene su punto de partida al formar a los empleados para que entiendan qué es un riesgo y cómo hacerse cargo, responder y actuar sobre este. Dicho esto, aunque medir y administrar riesgos es una operación bastante técnica, que está dirigida por profesionales con formación en la materia, cada nivel de la organización es responsable de la gestión de riesgos y debe comprender claramente su papel. Por su parte, los responsables en materia de riesgos y cumplimiento normativo que implementen una solución de primera línea deben abordar la naturaleza subjetiva de los riesgos:
- Comunicando los riesgos que tengan impacto sobre la línea de negocio de manera clara y concisa.
- Evaluando los riesgos en tiempo real utilizando un lenguaje que sea comprensible para tu línea de negocio.
- Generando informes y describiendo con precisión a los responsables el contexto empresarial de los riesgos.
- Empoderando a todas las áreas de tu organización para que tomen parte en la mitigación de los riesgos.
Ejecutar un programa de gestión de riesgos de primera línea requiere que mejores la visibilidad para tus responsables del riesgo. De esta forma, junto con un entendimiento claro de los riesgos en tu negocio, podrás sentar las bases para que tus empleados puedan responsabilizarse con los riesgos. A su vez, las iniciativas de riesgo y cumplimiento normativo deben comunicarse y comprenderse con claridad en toda tu línea de negocio, y los empleados deben tener acceso regular a la hora de actualizar o revisar estado de los riesgos.
Aplicar los principios de arriba te ayudará a tender puentes para la gestión de los riesgos. El siguiente paso es dejar a un lado las hojas de cálculo y las herramientas de GRC heredadas para crear una mejor experiencia de usuario para todas las partes involucradas. Con ayuda de una solución de gestión de riesgos de TI y seguridad de primera línea, puedes simplificar el proceso de evaluación de riesgos de TI y centralizar el acceso a la información sobre riesgos y los flujos de trabajo. Esto permite que puedas compartir información clave y actualizaciones de calado sobre los riesgos para que tu línea de negocio se mantenga informada y se responsabilice de los riesgos a lo largo de los procesos, activos y relaciones que se gestionen.
Para saber más sobre una buena estrategia de gestión de riesgos de TI y seguridad, consulta la publicación de nuestro blog.
Cómo ajustarse a los marcos y normas de ciberseguridad más comunes
Otro factor a la hora de desarrollar tu programa de Gestión de riesgos de TI y seguridad es ajustarse a los marcos y normas del sector. Hay muchos marcos y normas que son relevantes y pueden usarse para informar sobre los esfuerzos en gestión de riesgos de TI y seguridad; de hecho, el 84 % de las organizaciones utilizan un marco de ciberseguridad, y el 44 % más de uno. Sin embargo, en lo que respecta a tu negocio, ¿cómo puedes detectar el marco que necesitas? Bueno, pues en primer lugar, tienes que determinar qué marco se ajusta mejor a las necesidades de tu empresa y a los requisitos del sector. Dicho esto, estos son los 5 marcos más comunes a tener en cuenta:
Con OneTrust DataGuidance®, puedes profundizar mucho más en los marcos, las regulaciones y las leyes que son relevantes para la gestión de riesgos de TI y seguridad.
ISO 27001, ISO 27005 e ISO 27002
El catálogo ISO de marcos se encuentra entre los marcos de gestión de riesgos más demandados. Por su parte, la ISO 27001 es uno de los estándares más reconocidos y adoptados a nivel mundial por la comunidad de seguridad de la información. Este marco ofrece directrices y controles de seguridad para el tratamiento de datos financieros, propiedad intelectual, detalles de los empleados o información que un tercero te haya confiado. De acuerdo con la ISO 27001, la ISO 27005 es un estándar internacional que describe cómo realizar una evaluación de riesgos de seguridad de la información. Por su parte, la ISO 27002 es una variación de la ISO 27001 para que las instituciones puedan establecer un sistema de gestión de seguridad de la información de acuerdo con la ISO/IEC 27001. Además, proporciona detalles exhaustivos sobre los objetivos de los controles para ayudar a las organizaciones a la hora de implementar los mejores marcos de acuerdo con sus operaciones.
Certificación del modelo de madurez de ciberseguridad
En enero de 2020, el Departamento de Defensa de los EE. UU. publicó la certificación del modelo de madurez de ciberseguridad. Este modelo establece un nuevo método para evaluar los programas de ciberseguridad de los proveedores al medir tanto los controles técnicos que hay implementados como los procesos en marcha con objeto de revisar y mejorar cualquier práctica existente. Por su parte, la certificación del modelo de madurez de ciberseguridad adopta un enfoque colaborativo al comparar las prácticas entre los marcos de gestión de riesgos de TI, seguridad en la nube, etc. más comunes con el fin de ofrece un modelo exhaustivo que se base en la información clave más reciente de la comunidad.
NIST 800-53
El Instituto Nacional de Estándares y Tecnología (NIST) publica una serie de directrices y marcos de gestión de riesgos de TI, entre los que destacan el NIST 800-53 y el marco de ciberseguridad. Asimismo, el NIST 800-53 documenta un sólido catálogo de controles y objetivos de seguridad y privacidad para los sistemas de información federales de los EE. UU. con objeto de apoyar las mejores normas de ciberseguridad.
Marco de ciberseguridad del NIST
Otro marco destacado es el marco de ciberseguridad del NIST, que consiste en una serie de normas, directrices y prácticas. El marco de ciberseguridad del NIST sienta sus bases en marcos como el NIST 800-53 y la ISO 27000, aunque también ofrece una serie de controles y una explicación con todo lujo de detalles para los ejecutivos y empleados que no dispongan de bagaje técnico.
SOC 2 del AICIPA
El SOC2, que fue desarrollado y publicado por el AICPA, define los criterios para administrar datos de clientes de acuerdo con cinco principios clave: la seguridad, la disponibilidad, el tratamiento, la integridad, la confidencialidad y la privacidad.
En lugar de proporcionar un marco detallado de gestión de riesgos de TI de controles predefinidos, las organizaciones pueden definir su conjunto de controles de servicio y organización (SOC), incorporar controles en sus políticas corporativas, auditar su efectividad y realizar los diseños pertinentes para evaluar cómo de bien el modelo de los controles cumple con los cinco principios en función de las operaciones del negocio.
Marco de cumplimiento normativo unificado
El marco de cumplimiento normativo unificado deriva de la necesidad del sector de simplificar el ámbito, la definición y el mantenimiento del cumplimiento normativo a lo largo del tiempo. Este marco reconoce el carácter permanente de las obligaciones regulatorias y de cumplimiento normativo al reconocer los puntos en común entre la legislación ya existente y nueva. En última instancia, esto reduce la presión sobre el negocio a medida que van surgiendo nuevas leyes.
Marco de controles seguros
Con 100 marcos y miles de requisitos, el marco de controles seguros empodera a los profesionales de seguridad para que comprendan de modo más integral las disciplinas de privacidad y seguridad. El marco de controles seguros proporciona un punto de referencia integral para los profesionales gracias a un enfoque de cuatro columnas que aborda las obligaciones jurídicas, reglamentarias, contractuales y las prácticas principales.
Cómo cuantificar el riesgo
En resumen, la cuantificación de riesgos es el proceso de evaluación de los riesgos identificados y de desarrollo de los datos necesarios para tomar decisiones. Los elementos de datos que utilices o tengas disponibles determinarán:
- La repetibilidad. Es esencial para la cuantificación del riesgo. Establecer una fórmula común para la calificación de riesgos permite que tu organización sea consistente con la calificación de riesgos. Esta estandarización permite que la organización pueda comparar los riesgos en toda la empresa.
- La fiabilidad. Es crucial para confiar en tus datos y que estos muestren todo el contexto. La subjetividad o pasar por alto cualquier dato relevante son motivos comunes por los que algunas calificaciones de riesgos no se consideran fiables.
- La generación de informes.Es decir, tu habilidad a la hora de extraer información clave sobre riesgos cuando creas informes sobre tu postura de riesgo. La cuantificación de riesgos fuera de contexto hace que sea extremadamente difícil comprender y priorizar los riesgos de la manera adecuada. Esto permite que la organización pueda obtener información clave sobre la postura de riesgo y proporciona visibilidad sobre cualquier laguna presente.
La cuantificación de riesgos puede ayudar a que tu organización vaya más allá de la calificación tradicional de acuerdo con la matriz de riesgos, de aplicar valores a los factores que contribuyen al riesgo y de calcularlos a lo largo de cargas de datos masivas. Esto permite que la organización pueda obtener información relevante sobre la postura de riesgo y aportar visibilidad sobre cualquier laguna existente. En última instancia, la cuantificación de riesgos permitirá que tu organización pueda administrar mejor el riesgo mientras se impulsan iniciativas estratégicas para la organización.
Los desafíos clave de la gestión de riesgos de TI y seguridad
Las empresas se enfrentan a una gran cantidad de desafíos a la hora de administrar los riesgos de TI. Aquí se muestran algunos de los desafíos más comunes sobre los que hay que estar al tanto en materia de gestión de riesgos de TI y seguridad:
- Tecnología en evolución:con el tiempo, las unidades de negocio adquieren de manera individual sus propias herramientas y tecnologías para resolver necesidades específicas (p. ej., mejorar la productividad, estructurar los procesos empresariales, etc.). Y lo mismo pasa con tus prácticas empresariales internas fuera de TI. A su vez, esto ha resultado en una descentralización de la identificación y mitigación de los riesgos operativos y de TI y, en muchos casos, en un aumento de la TI en la sombra. Identificar y reducir los riesgos empresariales puede llegar a ser casi imposible sin un punto de referencia central para los procesos y la validación de los datos.
- Multitud de leyes, normas, marcos y reglamentos: un desafío adicional es que muchas organizaciones tienen una amplia variedad de obligaciones debido a leyes, normas y marcos con requisitos y objetivos que pueden o no solaparse. A menudo, los equipos de cumplimiento normativo y riesgo de TI traducen los requisitos de estos marcos y leyes en determinaciones cualitativas de impacto bajo vs. elevado, mientras que otras partes requieren que la organización determine una calificación cuantitativa según la combinación de la probabilidad de que ocurra un suceso y del impacto correspondiente para la organización. Sin embargo, a medida que los riesgos son cada vez más especializados, es posible que estas interpretaciones dejen de ser universales para todos los dominios de riesgo, como el cumplimiento normativo sobre privacidad o proveedores.
- Panorama de riesgos en evolución: El panorama de riesgos en cambio constante, como la seguridad y las operaciones, ha dejado a muchas organizaciones expuestas frente a amenazas. Desde ese momento, estas empresas han creado prácticas de mitigación de riesgos y gobernanza que van más allá de los marcos y regulaciones que les afectan. Los marcos se actualizan con muy poca frecuencia y las regulaciones necesitan años para aprobarse a medida que van avanzando en el congreso y los parlamentos. Más allá de seguirle el ritmo a una transformación digital sin precedentes, los marcos y regulaciones más importantes están diseñados para aplicarse a escala en empresas de todos los tamaños, nivel de madurez y sector. Esto significa que los responsables de la organización y los equipos de cumplimiento normativo en materia de riesgos de TI deben identificar, medir y administrar los riesgos para su organización más allá de lo dispuesto por el gobierno o los organismos del sector.
La importancia de las integraciones
A medida que tu negocio se va expandiendo y tus departamentos especializando, también lo hacen las aplicaciones que estos utilizan. Un pilar fundamental de cualquier estrategia de GRC es tener una visión centralizada de los datos y los controles en los sistemas y dispositivos de la empresa. Aun así, muchas operaciones a nivel empresarial se ejecutan a través de sistemas inconexos y procesos manuales en silos. Por ello, las integraciones ayudan a conectar la tecnología de la empresa con tu solución de gestión de riesgos de TI y seguridad. Entre los supuestos prácticos de integración más comunes en lo que respecta a la gestión de riesgos de TI y seguridad se incluyen:
- La visualización de datos y generación de informes
- Herramientas de colaboración
- Suites de productividad
- Gestión de incidentes
- Gestión de proyectos y seguimiento de incidencias
- Análisis de amenazas y vulnerabilidades
- CMDBs
- SIEM/SOAR
- Localización de datos
Las integraciones ayudan a obtener con mayor celeridad la información clave sobre riesgos, mejorar la calidad de los datos y reducir la duplicación de datos en múltiples sistemas. El objetivo es conectar sistemas de manera fluida y sin sacrificar una experiencia funcional ni la eficiencia operativa en tus aplicaciones de gestión de riesgos de TI y seguridad y de tu línea de negocio.
En la actualidad, conectar sistemas no tiene que ser un trabajo complejo o técnico. De hecho, muchos proveedores de soluciones ofrecen una galería de integraciones de complementos del sistema prediseñados que son compatibles. Por ejemplo, un generador de integraciones visuales podría simplificar la conexión y el intercambio de datos entre sistemas empresariales, ahorrar recursos y minimizar el mantenimiento del sistema.
Prácticas recomendadas para la gestión de riesgos de TI y seguridad
Al ser el ámbito que cubre la gestión de riesgos de TI y seguridad bastante amplio y los desafíos considerables, es de gran utilidad tener en cuenta las prácticas recomendadas. Seguir las prácticas de abajo ayudará a tu organización a la hora de implementar una estrategia de gestión de riesgos de TI y seguridad que garantice la seguridad de toda tu organización.
- Calcular y generar informes sobre riesgos.Las organizaciones deben poder medir e informar sobre sus riesgos tanto de modo cualitativo como cuantitativo. Esto depende de los marcos, el organismo regulador o las auditorías a las que estén sujetos.
- Metodologías de calificación según el tipo de riesgo. Las organizaciones deben poder adaptar sus metodologías de calificación a los cambios en los tipos de riesgo a los que se enfrenten a medida que va evolucionando el sector. Por ejemplo, la pandemia de COVID-19 cambió la forma en que las organizaciones operaban en general y lo que clasificaban como riesgos y activos críticos.
- Utiliza un lenguaje consistente.La organización debe utilizar un lenguaje y unos baremos que sean consistentes. La calificación de riesgo de una unidad de negocio debe poder compararse dentro de la misma escala que la de otra unidad para que los profesionales de este campo e, incluso responsables dentro de la cadena, puedan priorizar los riesgos a escala. Por ejemplo, el valor numérico «4» debe significar el mismo nivel de impacto y probabilidad para el equipo de cumplimiento normativo de privacidad que para el equipo de seguridad de TI. No puede haber discrepancias. Además, una calificación de riesgo cuantitativa de «10» de la que un equipo financiero esté llevando un seguimiento debe ser inmediatamente equivalente a un riesgo cualitativo «alto» o «bajo» para el equipo de contabilidad.
- Automatización. OneTrust GRC IT & Security Risk Management te aporta las funciones, la capacidad y la automatización que necesitas para que tu equipo pueda ahorrar tiempo y madurar tu programa. Algunas de las oportunidades de automatización que nuestro producto de gestión de riesgos de TI y seguridad ofrece son:
- Agregación y cálculo de las calificaciones de riesgo
- Gestión de flujos de trabajo del ciclo de vida de los riesgos
- Tolerancia al riesgo de los análisis comparativos de los activos
- Distribución de evaluaciones de riesgos