Qué es la gestión de riesgos de TI?

Murphy tiene dos leyes y ambas se aplican cuando se trata de la gestión de riesgos de TI. “Todo lo que pueda salir mal, saldrá mal” es la primera ley de Murphy, que se considera precisa porque, con el tiempo suficiente, existe una alta probabilidad de que algo salga mal. ¡Debe estar preparado para cualquier cosa! La segunda ley de Murphy establece que "nada es tan fácil como parece", y esto también es cierto cuando se trata de gestionar el riesgo empresarial. 

Estas son las dos razones por las que las empresas recurren a un Proveedor de Servicios Administrados (MSP, por sus siglas en inglés) para que las ayude a identificar, evaluar, priorizar y remediar los riesgos. Si es un MSP, siga leyendo y descubra cómo puede ayudar a sus clientes a mitigar el riesgo y garantizar la protección de sus sistemas y datos.

El riesgo de TI se define como el potencial de pérdida o daño cuando una amenaza explota una vulnerabilidad en los recursos de información de una organización, incluida la infraestructura, las aplicaciones y los datos de TI. Es un término amplio que cubre cualquier tipo de riesgo, ya sea un riesgo de seguridad cibernética, un corte de energía, un desastre, un error humano, una falla de software/hardware, etc., cualquier cosa que pueda interrumpir un negocio y dependa de la Tecnología de la Información (TI) de alguna manera.

La gestión de riesgos de TI es el proceso de analizar una amenaza a la infraestructura de TI de una empresa mediante la evaluación del nivel de riesgo que una empresa está dispuesta a aceptar. La industria se refiere a esto como un "apetito por el riesgo". Si la empresa no puede asumir un riesgo específico, entonces debe determinar si el riesgo se puede reducir y cómo.

A continuación, se muestran algunos ejemplos de escenarios de riesgo y el apetito por el riesgo que una empresa está dispuesta a asumir:

• En caso de un desastre natural, la comunicación por correo electrónico de una empresa estará inactiva durante 24 horas. La empresa acepta este nivel de riesgo porque el impacto en la empresa es mínimo y los desastres ocurren con poca frecuencia.
• En caso de impacto de un asteroide, las oficinas y los edificios de la empresa serán destruidos. La empresa acepta este nivel de riesgo porque la probabilidad de que un asteroide impacte es poco probable, aunque los resultados sean catastróficos.
• Si una empresa experimenta un ataque de ransomware, puede derribar las operaciones de TI por un período indefinido. Este tipo de evento es común y puede devastar una empresa y la empresa no acepta este nivel de riesgo. 

La gestión de riesgos no siempre significa reducir el riesgo a cero, sino minimizar el riesgo cuando el impacto es grande. 

Una empresa debe conocer y evaluar los riesgos que enfrenta para conocer sus debilidades, determinar si la empresa está sobreexpuesta, priorizar las brechas y mitigar el riesgo. Si está sobreexpuesta, una empresa debe tomar medidas en función de los recursos disponibles y las prioridades de riesgo, que se determinan utilizando el cálculo de riesgo que se analiza a continuación. 

El proceso de gestión de riesgos de TI es una tarea que una empresa puede realizar internamente mediante el proceso de cinco pasos que se analiza a continuación o una evaluación de riesgos externa, como la ISO 27005. Este es un estándar internacional que describe cómo realizar una evaluación de riesgos de seguridad de la información de acuerdo con los requisitos de ISO 27001.

Estos son los 5 pasos que debe seguir una empresa para identificar los riesgos de TI.

1. Identifique las vulnerabilidades. El departamento de TI debe definir todas las posibles debilidades y los riesgos en la infraestructura de TI.
2. Etiquete y clasifique los datos de la organización. Este es un paso crítico porque una empresa solo puede proteger los datos si sabe qué datos proteger. Este paso brinda una oportunidad para que la empresa identifique datos personales y confidenciales, que son los datos más cruciales para asegurar y proteger.
3. Priorice las vulnerabilidades. Esta tarea debe realizarse en una reunión conjunta con la Línea de Negocio (LOB, por sus siglas en inglés), que puede identificar los sistemas críticos que deben estar siempre en funcionamiento, y el departamento de TI, que puede determinar si los servicios críticos están protegidos. Durante este paso, TI y LOB también realizarán:

• Análisis de riesgo para determinar la frecuencia con la que ocurrirá un evento, la probabilidad de que ocurra y las consecuencias.
• Evaluación de riesgos. La "fórmula" para calcular un riesgo es: Riesgo = amenaza x vulnerabilidad x consecuencia. Esta no es una fórmula matemática, pero debe usarse como guía.

A continuación, se muestran algunos ejemplos de cómo evaluar el riesgo mediante la "fórmula".

Si una empresa no realiza copias de seguridad de sus sistemas, la probabilidad de que un error humano, un desastre natural o provocado por el hombre o un ataque malintencionado provoque la caída de sus sistemas es alta y las consecuencias de la pérdida de datos son importantes. Esta vulnerabilidad sería de alto riesgo y requeriría una reparación inmediata. La empresa reconoce que los anuncios de correos electrónicos no deseados pueden ser una molestia para los usuarios. Si bien esto es algo común, el impacto no es significativo, por lo que se consideraría una segunda prioridad para la remediación. Por otro lado, la empresa reconoce que los ataques de phishing (suplantación de identidad) pueden robar la contraseña de un usuario. Esta es una ocurrencia común y el impacto puede ser grande, por lo que se consideraría una prioridad máxima que requiere una reparación inmediata.

     4. Aborde los riesgos. Ahora que la empresa conoce los riesgos, debe abordarlos en función de la priorización, el apetito por el riesgo y la tolerancia.      5.Realice un seguimiento continuo de los riesgos. El proceso de identificación de un riesgo de TI es un proceso continuo, ya que el panorama de la seguridad siempre está cambiando debido a fuerzas externas e internas.

Es fundamental para una empresa monitorear continuamente su infraestructura, incluida su cadena de suministro y las aplicaciones basadas en la nube, para detectar nuevos riesgos. Por ejemplo, antes de la pandemia, existía un riesgo bajo de filtraciones y brechas de datos para los teletrabajadores. Sin embargo, con la migración masiva al trabajo remoto en 2020, la seguridad de los datos es un alto riesgo, ya que la mayoría de los empleados trabajan desde casa. Esto significa una mayor probabilidad de que se pierdan los ordenadores portátiles, que otra persona pueda acceder a los ordenadores portátiles desatendidos en el hogar (lo que aumenta el riesgo de malware), etc. La pandemia también ha creado más riesgo a medida que los ciberdelincuentes explotan el miedo al COVID-19 para propagar malware.

La empresa debe asegurarse de monitorear los riesgos asociados con los proveedores, socios, cualquier individuo (por ejemplo, contratistas) o cualquier otra empresa con la que trabaje. Por ejemplo, la brecha de SolarWinds ocurrió porque los delincuentes piratearon el sistema de software Orion y agregaron código malicioso. Luego, ese malware se propagó a los 18.000 clientes de SolarWinds cuando la empresa envió actualizaciones del sistema. Fue un evento catastrófico que puso a muchas organizaciones en alto riesgo.

Cualquier negocio sujeto a requisitos regulatorios, como el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) de la UE, la Ley de Privacidad del Consumidor de California (CCPA, por sus siglas en inglés), el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS, por sus siglas en inglés), la Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA, por sus siglas en inglés) o ISO 27001, también debe monitorear continuamente el cumplimiento de las regulaciones y el cumplimiento de la empresa. 

Acronis Cyber Protect Cloud es una solución única en su tipo que detecta y previene malware avanzado, ofrece capacidades de remediación e investigación y brinda protección total de los datos de sus clientes. Combine antimalware basado en firmas y comportamiento, gestión de protección de puntos finales, copias de seguridad y recuperación ante desastres en una sola solución. Con una sola consola y un solo agente, Acronis Cyber Protect Cloud ofrece una integración y automatización inigualables para reducir la complejidad, mejorar su productividad y disminuir los costos operativos. Con Acronis Cyber Protect Cloud, puede mejorar su servicio de copia de seguridad con protección cibernética esencial sin costo alguno. También puede ampliar su servicio con paquetes de protección avanzada, que incluyen:

Seguridad avanzada:

• Antimalware de próxima generación, que utiliza tecnologías basadas en Inteligencia de Máquinas (MI, por sus siglas en inglés) para prevenir malware nuevo o emergente
• Monitoreo global de amenazas y alertas inteligentes de Acronis Cyber Protection Operation Centers (CPOC), para que pueda mantenerse bien informado sobre malware, vulnerabilidades, desastres naturales y otros eventos globales que pueden afectar la protección de datos de sus clientes, para que pueda tomar medidas para prevenirlos
• Copia de seguridad forense que le permite recopilar datos de pruebas digitales, incluirlos en copias de seguridad a nivel de disco que se almacenan en un lugar seguro para protegerlas de las amenazas cibernéticas y utilizarlas para futuras investigaciones

Gestión avanzada:

• Gestión de parches para Microsoft y software de terceros en Windows, lo que le permite programar fácilmente o implementar parches manualmente para mantener seguros los datos de sus clientes
• Estado de la unidad (disco duro) mediante tecnología de MI para predecir problemas de disco y alertarle para que tome medidas de precaución y proteja los datos de sus clientes y mejore el tiempo de actividad
• Recopilación de inventario de software con escaneos automáticos o bajo demanda para brindar una visibilidad profunda del inventario de software de sus clientes
• Parches a prueba de fallas mediante la generación de una copia de seguridad de la imagen de los sistemas de sus clientes para permitir una fácil recuperación en caso de que un parche haga que el sistema de su cliente sea inestable

Copia de seguridad avanzada:

• Protección para más de 20 tipos de cargas de trabajo desde una sola consola, incluidos Microsoft Exchange, Microsoft SQL Server, clústeres de aplicaciones reales de Oracle DBMS y SAP HAN
• Un mapa de protección de datos que rastrea la distribución de datos en las máquinas de sus clientes, monitorea el estado de protección de los archivos y utiliza los datos recopilados como base para los informes de cumplimiento
• Protección de datos continua que garantiza que no perderá los cambios de datos de sus clientes que se realizan entre las copias de seguridad programadas

Recuperación ante desastres avanzada:

• Organización de recuperación ante desastres mediante runbooks, un conjunto de instrucciones que definen cómo poner en marcha el entorno de producción de su cliente en la nube, para proporcionar una recuperación rápida y confiable de las aplicaciones, sistemas y datos de sus clientes en cualquier dispositivo, desde cualquier incidente

Seguridad avanzada del correo electrónico:

• Bloquee las amenazas de correo electrónico, incluido el correo no deseado, el phishing, el Comprometimiento del Correo Electrónico Empresarial (BEC, por sus siglas en inglés), el malware, las Amenazas Persistentes Avanzadas (APT, por sus siglas en inglés) y los días cero antes de que lleguen a los buzones de correo de Microsoft 365, Google Workspace u Open-Xchange de los usuarios finales. Aproveche la solución de seguridad de correo electrónico basada en la nube de próxima generación, puesta en marcha por Perception Point.

Con Acronis Cyber Protect Cloud, puede proporcionar a sus clientes múltiples capas de protección para sus puntos finales, garantizar que sus datos, aplicaciones y sistemas estén siempre disponibles y protegidos, y proporcionar el menor tiempo posible para recuperar sus datos y sistemas sin importar lo que suceda.