Teniendo en cuenta la cantidad de botnets, malware, gusanos y hackers que se enfrentan todos los días, las organizaciones necesitan una metodología coherente para priorizar y abordar los riesgos de seguridad cibernética.
Muchas organizaciones sufren "parálisis de seguridad", una condición en la cual es imposible priorizar áreas para la remediación debido a los recursos limitados. Otros intentan aplicar un conjunto de mejores prácticas con la esperanza de que lo que funcionó para otra organización funcione para ellos. Ninguno de estos enfoques es una estrategia racional para proteger los activos de información o maximizar el valor devuelto por las inversiones en seguridad, según el proveedor de soluciones de TI CDW-G.
Para muchas organizaciones, el mejor enfoque puede ser realizar una evaluación interna de riesgos de ciberseguridad. La compañía desarrolló un plan de cinco pasos para ayudar a las organizaciones a sentar las bases de una estrategia de seguridad significativa. Estos pasos, dijo la compañía, son ideales para organizaciones que requieren una guía simple para comenzar.
1. Identificar activos de información. Considere los tipos principales de información que maneja la organización (por ejemplo, números de Seguro Social, números de tarjetas de pago, registros de pacientes, diseños, datos de recursos humanos) y haga una lista de prioridades de lo que necesita ser protegido. Como guía, planifique no pasar más de una o dos horas en este paso.
2. Localice los activos de información. Identifique y enumere dónde reside cada elemento en la lista de activos de información dentro de la organización (por ejemplo, servidores de archivos, estaciones de trabajo, computadoras portátiles, medios extraíbles, PDA y teléfonos, bases de datos).
3. Clasificar los activos de información. Asigne una calificación a su lista de activos de información. Considere una escala de 1 a 5, con las siguientes categorías:
- Información pública (p. Ej., Campañas de marketing, información de contacto, informes financieros finalizados, etc.)
- Información interna, pero no secreta (p. Ej., Listas telefónicas, organigramas, políticas de oficina, etc.)
- Información interna sensible (por ejemplo, planes de negocios, iniciativas estratégicas, elementos sujetos a acuerdos de confidencialidad, etc.)
- Información interna compartimentada (por ejemplo, información de compensación, planes de despido, etc.)
- Información regulada (por ejemplo, datos del paciente, información clasificada, etc.)
4. Realizar un ejercicio de modelado de amenazas. Califique las amenazas que enfrentan los activos de información mejor calificados. Una opción es usar el método STRIDE de Microsoft, que es simple, claro y cubre la mayoría de las principales amenazas.
STRIDE:
- Spoofing of Identity - (Suplantación de identidad)
- Tampering with Data - (Manipulación de datos)
- Repudiation of Transactions - (Repudio de transacciones)
- Information Disclosure – (Divulgación de información)
- Denial of Service – (Negación del servicio)
- Elevation of Privilege – (Elevación de privilegios)
También vale la pena considerar utilizar un consultor externo con experiencia en esta área para facilitar la conversación. Desarrolle una hoja de cálculo para cada activo, enumerando las categorías de STRIDE en el eje X. En el eje Y, enumere las ubicaciones de datos identificadas en el Paso 2. Para cada celda, haga estimaciones de lo siguiente:
- la probabilidad de que esta amenaza se lleve a cabo realmente contra este activo en el lugar en cuestión
- El impacto que una explotación exitosa de una debilidad tendría en la organización
Use una escala de 1-10 para cada uno de los anteriores (por ejemplo, 1 es "poco probable" o "esto no tendría un gran impacto;" 10 es "bastante probable" o "catastrófico"). Luego, multiplica esos dos números y llénalos en las celdas. La hoja de cálculo debe llenarse con números del 1 al 100. Esta actividad probablemente tomará un día completo para las organizaciones más pequeñas y varios días para las más grandes.
5. Finalice los datos y comience a planificar. Multiplique todas las celdas en cada una de las hojas de trabajo por la clasificación de clasificación asignada al activo en el Paso 3. El resultado es una clasificación racional e integral de amenazas para la organización. Incluye tanto la importancia de los activos en juego como un amplio espectro de posibles contingencias, uno razonable al menos.
El plan de seguridad comenzará a abordar los riesgos identificados con los números más altos.
Muchas organizaciones establecen los umbrales de la siguiente manera:
1-250: no se centrará en las amenazas en este nivel
250-350: se centrará en estas amenazas a medida que el tiempo y el presupuesto lo permitan
350-450: abordará estas amenazas al final del próximo año presupuestario
450 -500: Centrará la atención inmediata en estas amenazas
Estos umbrales son solo ejemplos, y en la práctica, es probable que los resultados estén sesgados hacia la parte superior o inferior de la escala, por lo que las organizaciones deben ajustar las respuestas en consecuencia.
El objetivo del ejercicio de evaluación de riesgos es sentar las bases para una planificación de seguridad sensata. Realizar un ejercicio de evaluación de riesgos por sí solo no solucionará los problemas de seguridad; el trabajo real, construir soluciones protectoras y reductoras de riesgos, aún está por delante.
Las organizaciones deberían alinear el gasto en seguridad con amenazas específicas y centrarse en medidas rentables, dijo CDW-G. Tener una lista priorizada de amenazas permite a las organizaciones centrar sus esfuerzos en las áreas que más importan y evitar gastar en tecnologías o actividades de seguridad que son menos esenciales o irrelevantes para solucionar los problemas identificados.
Fuente: Government Technology
0 Comentarios