Manufactura industrial
Internet industrial de las cosas | Materiales industriales | Mantenimiento y reparación de equipos | Programación industrial |
home  MfgRobots >> Manufactura industrial >  >> Industrial Internet of Things >> Tecnología de Internet de las cosas

Evaluación de su riesgo de TI:cómo y por qué

Michael Aminzade de Trustwave

Asegurar una protección completa contra los ciberdelincuentes puede ser una tarea prácticamente imposible, pero las organizaciones pueden darse la mejor oportunidad de evitar un ataque realizando evaluaciones periódicas de riesgos de TI. El panorama actual de amenazas es turbulento y la evaluación de los procesos de gestión de riesgos para garantizar que abordan los desafíos específicos de una organización debería ser una prioridad. Una vez que se han identificado los mayores riesgos, puede comenzar la implementación del nivel óptimo de seguridad que aborde las necesidades específicas de la empresa, dice Michael Aminzade, vicepresidente de Servicios de Riesgo y Cumplimiento Global en Trustwave .

El resultado final de realizar una evaluación de riesgos de seguridad de la información es identificar dónde están las mayores deficiencias y desarrollar un plan que las reconozca y pueda trabajar para mitigar las amenazas. Es necesario comprender claramente los objetivos de una empresa antes de comenzar una evaluación de riesgos. Las amenazas potenciales, la probabilidad de compromiso y el impacto de una pérdida deben establecerse inicialmente. La realización de entrevistas en profundidad con la alta dirección, los administradores de TI y las partes interesadas que involucren a todos los aspectos de la organización puede ayudar a determinar dónde se encuentran las brechas en la seguridad.

El clásico CIA La tríada (confidencialidad, integridad y disponibilidad) se utiliza a menudo como base para realizar una evaluación y es un modelo de orientación útil para la seguridad cibernética. Un buen equilibrio entre la tríada puede ser difícil de lograr:es probable que un enfoque en la disponibilidad comprometa la confidencialidad y la integridad, mientras que un énfasis excesivo en la confidencialidad o la integridad también afectará la disponibilidad.

Una vez que se ha realizado una evaluación exhaustiva, el siguiente paso es determinar qué controles de seguridad son los más adecuados para mitigar el riesgo empresarial. Estos pueden incluir una combinación de tecnología, políticas, procesos y procedimientos.

Marcos de evaluación de riesgos

Al realizar una evaluación de riesgos de seguridad, hay una serie de marcos de seguridad que puede elegir para ayudarlo. Los cinco más comunes son ISO 27000x Series, OCTAVE, COBIT, NIST 800-53 y NIST Cybersecurity Framework. De los cinco marcos, NIST (el Instituto Nacional de Estándares y Tecnología) ha emergido como el más favorecido, con empresas, instituciones educativas y agencias gubernamentales que lo utilizan con regularidad.

NIST es una unidad del Departamento de Comercio de EE. UU. Y ha elaborado los documentos de orientación de forma gratuita. El Cybersecurity Framework (CSF) fue diseñado para ayudar a organizaciones de todos los tamaños y cualquier grado de sofisticación en ciberseguridad a aplicar las mejores prácticas de gestión de riesgos.

El marco se compone de tres componentes:perfil del marco, núcleo del marco y niveles de implementación del marco. El marco está diseñado para ser flexible y se puede utilizar junto con otros procesos de gestión de riesgos de ciberseguridad, como las normas ISO (Organización Internacional de Normalización), por lo que también es relevante para las evaluaciones de riesgos fuera de los EE. UU.

NIST 800-53 fue diseñado para respaldar el cumplimiento de los Estándares Federales de Procesamiento de Información (FIPS) de EE. UU. Y es el predecesor del Marco de Ciberseguridad (CSF) del NIST. Esta publicación especial proporciona a los funcionarios de la organización evidencia sobre la efectividad de los controles implementados, indicaciones de la calidad de los procesos de gestión de riesgos utilizados e información sobre las fortalezas y debilidades de los sistemas de información.

Prácticas recomendadas

Con la comercialización del delito cibernético, muchas organizaciones están pasando del cumplimiento puro a una estrategia de protección de datos y mitigación de riesgos mucho más amplia. La metodología de evaluación de riesgos siempre se ha dirigido a toda la cadena de suministro y no solo a los sistemas internos. Sin embargo, recientemente estamos viendo un mayor enfoque en evaluar los riesgos del acceso de proveedores externos a los sistemas internos también.

De manera similar, la tendencia BYOD (traiga su propio dispositivo) ha llevado a una mayor necesidad de centrarse en la seguridad de los terminales y en la consideración del impacto de los terminales en el perfil de riesgo de una organización. Con la complejidad adicional, vale la pena considerar los beneficios de trabajar con un proveedor de servicios de seguridad administrados (MSSP). Su amplio conocimiento y experiencia pueden ayudar a las organizaciones a comprender la mejor manera de asegurar una red en constante expansión.

Al desarrollar un modelo de evaluación de riesgos, es fundamental que cuente con el apoyo de la alta dirección, que debe comprender y aceptar los riesgos que son inherentes a la organización o tener un plan para mitigarlos y volver a alinear la postura de riesgo con las organizaciones. niveles esperados.

Idealmente, el CISO o CIO debería supervisar el cronograma de evaluación de riesgos y los hallazgos, así como cualquier plan de remediación y proporcionar actualizaciones periódicas al resto de la gerencia ejecutiva, pero todos los empleados deben recordar que también comparten la responsabilidad cuando se trata de la seguridad del negocio.

Se debe brindar capacitación sobre cómo reconocer riesgos, como correos electrónicos maliciosos, y cuál es el procedimiento si sospechan que identificaron uno. En última instancia, las empresas deben reconocer que no existe la seguridad perfecta y que el objetivo debe ser tener el nivel óptimo de seguridad para la organización.

La configuración de un marco de riesgos y la realización de evaluaciones de riesgos de TI ayudarán a identificar el nivel adecuado de seguridad para su organización. Una vez que se han identificado las debilidades, se pueden abordar, manteniendo su negocio lo más seguro posible.

Cuando se combina la evaluación de riesgos con las evaluaciones de madurez de la seguridad, una organización puede crear una estrategia de inversión para una hoja de ruta de seguridad, así como demostrar el rendimiento para la empresa de la inversión aprobada.

El autor de este blog es Michael Aminzade, vicepresidente de Servicios de Riesgo y Cumplimiento Global de Trustwave


Tecnología de Internet de las cosas

  1. Cómo (y por qué) comparar el rendimiento de su nube pública
  2. ¿Qué es la seguridad en la nube y por qué es necesaria?
  3. Cómo IoT está abordando las amenazas a la seguridad en el petróleo y el gas
  4. Seguridad inteligente:cómo proteger sus dispositivos domésticos inteligentes de los piratas informáticos
  5. ¿Qué es una red inteligente y cómo podría ayudar a su empresa?
  6. Cómo alimentar y cuidar sus redes de sensores inalámbricos
  7. Cómo implementar la autenticación multifactor y por qué es importante
  8. ¿Qué grado de madurez tiene su enfoque del riesgo de los productos básicos?
  9. Por qué y cómo realizar una auditoría de vacío
  10. Cómo reparar y conservar las ruedas de su grúa
  11. Inspecciones de grúas:¿cuándo, por qué y cómo?