Qué es la gestión de riesgo de TI?

Murphy tiene dos leyes, y ambas se aplican cuando se trata de la gestión de riesgo de TI. “Cualquier cosa que pueda salir mal, saldrá mal” es la primera ley de Murphy, la que se considera como precisa, ya que, con el tiempo suficiente, existe una alta probabilidad de que todo salga mal. ¡Debe estar preparado para cualquier cosa! La segunda ley de Murphy declara que “nada es tan fácil como parece”, y esto también es cierto cuando se trata de gestionar el riesgo empresarial. 

Existen dos razones por las que las empresas buscan un proveedor de servicios administrados (MSP) para ayudarles a identificar, evaluar, priorizar y rectificar riesgos. Si usted es un MSP, continúe leyendo y descubra como puede ayudar a nuestros clientes a mitigar el riesgo y garantizar la protección de sus sistemas y datos.

El riesgo de TI se define como la posibilidad de pérdida o daño cuando una amenaza se aprovecha de una vulnerabilidad en los recursos informáticos de una organización, incluida la infraestructura de TI, las aplicaciones y datos. Es un término amplio que abarca cualquier tipo de riesgo, ya sea un riesgo de ciberseguridad, una baja de energía, un desastre, error humano, falla de software/hardware, etc., cualquier cosa que puede perturbar una empresa y dependa de la tecnología de la información (TI) de alguna manera.

La gestión de riesgo de TI es el proceso de analizar una amenaza para la infraestructura de TI de una empresa evaluando qué nivel de riesgo una empresa está preparada para asumir. La industria se refiere a esto como “apetito de riesgo”. Si la empresa no puede asumir un riesgo específico, entonces necesita determinar si el riesgo puede reducirse y cómo hacerlo.

Estos son algunos ejemplos de situaciones de riesgo y el apetito de riesgo que una empresa está dispuesta a asumir:

• En el caso de un desastre natural, la comunicación por correo electrónico de una empresa estará inactiva por 24 horas. La empresa acepta este nivel de riesgo debido a que el impacto en el negocio es mínimo, y los desastres ocurren con frecuencia.
• En el caso de que caiga un asteroide, las oficinas de la empresa y los edificios serán destruidos. La empresa acepta este nivel de riesgo debido a que la probabilidad de que un asteroide caiga es improbable incluso cuando los resultados sean catastróficos.
• Si una empresa experimenta un ataque de ransomware, este puede derrumbar las operaciones de TI por un tiempo indefinido. Este tipo de evento es común y puede devastar una empresa, por lo tanto, la empresa no acepta este nivel de riesgo. 

La gestión de riesgos no siempre implica llevar el riesgo a cero, sino minimizar el riesgo cuando el impacto sea mayor. 

Una empresa necesita conocer y evaluar los riesgos que enfrenta para conocer sus debilidades, determinar si la empresa se ha visto sobreexpuesta, dar prioridad a brechas y mitigar el riesgo. En caso de sobreexposición, una empresa necesita emprender acciones en base a los recursos disponibles y las prioridades de riesgo, las que se determinan usando el cálculo de riesgo descrito más adelante. . 

El proceso de gestión de riesgo de TI es una tarea que una empresa puede realizar desde casa utilizando el proceso de cinco etapas discutido a continuación, o una evaluación de riesgos externas, como la ISO 27005. Este es un estándar internacional que describe cómo realizar una evaluación de riesgos de seguridad de la información de conformidad con los requerimientos de ISO 27001.

Estos son los 5 pasos que una empresa debería seguir para identificar los riesgos de TI.

1. Identificar las vulnerabilidades. El departamento de TI debe definir todas las debilidades posibles y los riesgos en la infraestructura de TI.
2. Etiquetar y clasificar los datos de la organización. Este es un paso fundamental debido a que una empresa puede solo proteger los datos si es consciente de cuáles son los datos que debe proteger. Este paso proporciona una oportunidad para que la empresa identifique datos personales y sensibles, que son los datos de mayor relevancia que deben proteger y resguardar.
3. Priorizar vulnerabilidades. Esta tarea debería realizarse en una reunión conjunta con el área de negocio (LOB), quienes pueden identificar los sistemas críticos que necesitan estar siempre listos y funcionando, y el departamento de TI, que puede determinar si los servicios críticos están protegidos. Durante este paso, TI y LOB también realizarán un:

• Análisis de riesgos para determinar con qué frecuencia ocurre un evento, qué tan probable es que ocurra y las consecuencias.
• Evaluación de riesgo. La “fórmula” para calcular un riesgo es: Riesgo = amenaza x vulnerabilidad x consecuencia.  Esta no es una fórmula matemática, pero debe usarse como una pauta.

Estos son algunos ejemplos de cómo evaluar un riesgo usando la “fórmula”.

Si una empresa no respalda sus sistemas, la probabilidad de que un error humano, un desastre natural o causado por el hombre, o un ataque malicioso derrumbe sus sistemas es alta, y las consecuencias de perder datos son significativas. Esta vulnerabilidad debería ser un alto riesgo y requiere de rectificación inmediata.

La empresa reconoce que los anuncios de spam pueden ser una molestia para los usuarios. Mientras que esto es un suceso común, el impacto no es relevante, por lo que esto se consideraría una prioridad secundaria para fines de rectificación.

Por otro lado, la empresa reconoce que los ataques de phishing pueden sustraer la contraseña de un usuario. Esto es un suceso común y el impacto puede ser importante, por lo que esto se consideraría una prioridad principal que requiere de rectificación inmediata.

     4. Abordar los riesgos. Ahora que la empresa conoce los riesgos, debe abordarlos en base a la priorización, apetito de riesgo y tolerancia.      5. Realizar monitoreo de riesgo constante El proceso de identificar un riesgo de TI es un proceso constante a medida que el panorama de seguridad siempre cambia debido a fuerzas externas e internas.  

Es fundamental para una empresa monitorear su infraestructura, incluida su cadena de suministro y las aplicaciones basadas en la nube, en caso de nuevos riesgos. Por ejemplo, antes de la pandemia, existía un bajo riesgo de filtraciones de datos y brechas para los teletrabajadores. Sin embargo, con la migración masiva al trabajo a distancia en 2020, la seguridad de los datos implica un alto riesgo ya que la mayoría de los empleados trabajan desde casa. Esto supone una mayor probabilidad de que los ordenadores portátiles puedan perderse, de que alguien más pueda acceder a los equipos portátiles que se dejan sin atender en casa (aumentando el riesgo de malware), etc. La pandemia también ha creado más riesgo a medida que los cibercriminales aprovechan el temor al COVID-19 para esparcir malware.

La empresa debe asegurarse de monitorear los riesgos asociados a los proveedores, socios, cualquier individuo (por ej., contratistas) o cualquier otra compañía con la que la empresa haga negocios. Por ejemplo, la violación en SolarWinds ocurrió debido a que los criminales hackearon el sistema del software Orion y añadieron código malicioso. Luego ese malware se esparció a los 18.000 clientes de SolarWinds cuando la compañía envió actualizaciones de sistema. Fue un evento catastrófico, que puso a muchas organizaciones en alto riesgo.

Cualquier empresa sujeta a requerimientos normativos, tal como el Reglamento General de Protección de Datos (GDPR), Ley de Privacidad del Consumidor de California (CCPA), Estándar de Seguridad de Datos Industriales de Tarjeta de Pago (PCI DSS), la Ley de Transferibilidad y Responsabilidad del Seguro de Salud (HIPAA), o ISO 27001, también debe monitorear las normativas de cumplimiento y la adherencia de la compañía. 

Acronis Cyber Protect Cloud es una solución única que detecta y evita el malware avanzado, ofrece capacidades de corrección e investigación y proporciona una protección total de los datos de sus clientes. Unifica antimalware conductual y basado en firma, gestiona la protección de punto final, ofrece servicios de respaldo y recuperación ante desastres en una única solución. Con una consola y agente individuales, Acronis Cyber Protect Cloud ofrece una integración y automatización sin precedentes para reducir la complejidad, mejorar su productividad y aminorar los costos operativos. Con Acronis Cyber Protect Cloud, usted mejora su servicio de respaldo con una ciberprotección fundamental sin costo. También puede expandir su cartera de servicios con paquetes de protección que incluyen:

Seguridad avanzada:

• Antimalware de próxima generación, que utiliza tecnologías basadas en inteligencia mecánica (MI) para evitar la presencia de malware nuevos/emergentes
• Monitoreo de amenazas internacionales y alertas inteligentes de Acronis Cyber Protection Operation Centers (CPOC) para que pueda mantenerse bien informado acerca de los malware, vulnerabilidades, desastres naturales y otros eventos globales que puedan afectar la protección de datos de sus clientes, de modo que pueda adoptar medidas para prevenirlas
• Respaldo forense que le permite reunir datos de evidencia digital, incluirlos en los respaldos a nivel de disco que se almacenan en un lugar seguro para protegerlos contra ciberamenazas y usarlos para futuras investigaciones

Gestión avanzada:

• Gestión de parches para software de Microsoft y de terceros en Windows, permitiéndole programar con facilidad o implementar manualmente parches para mantener la protección de datos de sus clientes
• Monitoreo de estado de unidad (disco duro) utilizando tecnología MI para predecir problemas de disco y alertarle para adoptar medidas de precaución para proteger los datos de sus clientes y mejorar la disponibilidad
• Recopilación de inventario de software con escaneos automáticos o a petición para ofrecer una exhaustiva visibilidad del inventario de software de sus clientes. 
• Parchado a prueba de fallas mediante la generación de una copia de seguridad de imagen de los sistemas de sus clientes para permitir una fácil recuperación en caso de que un parche inhabilite el sistema de su cliente

Copia de seguridad avanzada:

• Protección para más de 20 tipos de carga de trabajo desde una consola individual, incluido Microsoft Exchange, Microsoft SQL Server, clústeres de Oracle DBMS Real Application y SAP HAN
• Un mapa de protección de datos que rastrea la distribución de datos en los equipos de sus clientes, monitorea el estado de protección de los archivos y utiliza los datos reunidos como base para informes de cumplimiento
• Protección de datos constante que le garantiza que usted no perderá los cambios en los datos de sus clientes que se realicen entre copias de seguridad programadas

Recuperación ante desastres avanzada:

• Orquestación de recuperación ante desastres mediante runbook: un conjunto de instrucciones que define cómo acelerar el entorno de producción de su cliente en la nube; para proporcionar una recuperación rápida y confiable de las aplicaciones, sistemas y datos de su cliente en cualquier dispositivo, en caso de que ocurra algún incidente

Seguridad de correo electrónico avanzada:

• Bloquea amenazas de correo electrónico, incluido spam, phishing, BEC (vulneración del correo electrónico de empresas), malware, amenazas persistentes avanzadas (ATP) y días cero antes de que alcancen las bandejas de entrada de Microsoft 365, Google Workspace u Open-Xchange de los usuarios finales. Aprovecha la solución de seguridad de correo electrónico basada en la nube de próxima generación impulsada por Perception Point.

Con Acronis Cyber Protect Cloud, usted puede ofrecer a sus clientes múltiples capas de protección para sus puntos finales (endpoints), garantizar que sus datos, aplicaciones y sistemas siempre estén disponibles y protegidos, y proporcionar el menor tiempo posible para recuperar sus datos y sistemas, independiente de lo que ocurra.