Lo que no debe olvidar al abordar la gestión de riesgo

Prepararse para una gestión de riesgo con múltiples frentes es el primer paso para no abrumarse.

CIO AMÉRICA LATINA | Por Elibeth Eduardo | @ely_e

Quizás lo más importante al iniciar una gestión es evaluar todo lo que tiene que defender. Después de todo, el diablo está en los detalles.

Recordar que no sólo la página web, el servidor de correos y los físicos son blancos sino que, también, las aplicaciones que ha creado… Y las que usa será importante para enfrentar el riesgo exitosamente. Cada vez que identifique algo que tiene valor, debe haber una gestión que administrar para protegerlo.

El problema con esto es que el riesgo no es estable. Cambia. Y, mientras más innovaciones cree o incorpore en su organización, mayor serán las variaciones del riesgo.

Veamos algunos consejos para gestionar el riesgo, ahora que los controles tradicionales parecen quedarse cortos.

1. Las joyas de su corona

Tener las dimensiones de lo que – exactamente – necesita proteger es fundamental.

Suelen haber algunas constantes como los datos de los clientes, la información de pago o la propiedad intelectual.

Es bastante claro por qué no quiere (y necesita proteger) estas cosas. A partir de allí, puede identificar la amenaza y los riesgos, así como las primeras medidas defensivas.

2. Establezca el perímetro y área

Después de jerarquizar dónde están sus prioridades, en bueno que tenga claro el área que eso representa y que debe resguardar.

¿Conoce todas las formas en que los malos pueden potencialmente acceder o comprometer los activos más valiosos de su empresa? Para determinar esto puede valerse de herramientas, consultores, o una plataforma de seguridad crowdsourced, que puede ser bastante útil porque son otros pensando en sus defensas “primarias”.

Asegúrese de que sus pruebas cubran toda la cartera de solicitudes, por lo que su mayor riesgo es que no conoce.

3. Más allá de las herramientas

Un riesgo que no puede perder de vista es el de la confianza “excesiva” en las herramientas que tiene disponible y a la mano.

Hay una gran cantidad de gran tecnología disponible para ayudar a las organizaciones a proteger sus redes y aplicaciones.

No obstante, recuerde que las herramientas no funcionan por sí mismas y los riegos identificados, en general, no se pueden establecer sin la intervención humana.

La creatividad humana es necesaria para identificar los defectos de seguridad más interesantes. Por ejemplo, las fallas de la lógica empresarial de la aplicación. También es su capacidad y la de su equipo la que permite clasificarlos por la probabilidad de ser explotado y el impacto potencial.

4. Alerta: esto no es un simulacro

El colocar a toda la estructura y equipo en condiciones de ataque puede ser una manera excepcional de ver las “brechas” humanas antes de que sea demasiado tarde.

Los programas de pruebas de penetración y de recompensas por encontrar fallos simulan la perspectiva del atacante.

Quieres que los buenos te hackéen para que puedas ser consciente de los riesgos y tratarlos cuando sea necesario, antes de que los malos exploten esas (u otras) vulnerabilidades y, potencialmente, comprometan las joyas de la corona.

Finalmente, son usted y su equipo quienes tendrán que tratar de resolver el fallo así como encarar las consecuencias. No desmerezca, entonces, el valor de su personal (y el suyo) en esto.

There are 1 comments

  1. Pingback: Más elementos que debe evaluar en su gestión de riesgo

Comments are closed.