DEFINICIÓN:

El manejo de los riesgos de una empresa es un enfoque fundamental para el manejo de una organización. Basado en el trabajo destacado del Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) 2 en los años noventa, su seminario Enterprise Risk Management - Integrated Framework(Manejo de Riesgos de la Empresa - Framework Integrado. Se ha convertido en una herramienta fundamental para la gestión del riesgo organizacional. Los reguladores en los Estados Unidos han reconocido el valor de un enfoque de riesgo empresarial y lo ven como un requisito para la organización bien controlada. Dos ejemplos principales de esto son el cumplimiento de la Ley Sarbanes-Oxley de los Estados Unidos y la Ley de Portabilidad y Responsabilidad de los Seguros de Salud de los Estados Unidos (HIPAA), que requieren una evaluación periódica del riesgo. Aunque las regulaciones no instruyen a las organizaciones sobre cómo controlar o asegurar sus sistemas, sí requieren que esos sistemas sean seguros de alguna manera y que la organización pruebe a los auditores independientes que su infraestructura de seguridad y control está en su lugar y operando de manera efectiva. La metodología de evaluación del riesgo empresarial se ha convertido en un enfoque establecido para identificar y gestionar el riesgo sistémico para una organización. Y, cada vez más, este enfoque se está aplicando en campos tan diversos como el Superfund ambiental, la salud y las calificaciones corporativas. Clásicamente, el riesgo de seguridad de TI ha sido visto como la responsabilidad del personal de TI o de la red, ya que esos individuos tienen la mejor comprensión de los componentes de la infraestructura de control. Por otra parte, las evaluaciones del riesgo de seguridad se han realizado normalmente dentro del departamento de TI con poca o ninguna aportación de otros. Metodología de evaluación de riesgos de seguridad empresarial: Los procesos de evaluación del riesgo empresarial y de gestión del riesgo empresarial constituyen el núcleo del marco de seguridad de la información. Estos son los procesos que establecen las reglas y directrices de la política de seguridad al tiempo que transforman los objetivos de un marco de seguridad de la información en planes específicos para la implementación de controles y mecanismos clave que minimizan amenazas y vulnerabilidades. Cada parte de la infraestructura tecnológica debe ser evaluada para su perfil de riesgo. A partir de esa evaluación, se debe hacer una determinación para asignar de manera efectiva y eficiente el tiempo y el dinero de la organización para lograr las políticas de seguridad generales más apropiadas y mejor empleadas. El proceso de realizar tal evaluación de riesgo puede ser bastante complejo y debe tener en cuenta los efectos secundarios y otros de acción (o inacción) al decidir cómo abordar la seguridad para los diversos recursos de TI. Proceso El objetivo de una evaluación de riesgos es comprender el sistema y el entorno existentes e identificar los riesgos mediante el análisis de la información / datos recopilados. De forma predeterminada, debe considerarse toda la información pertinente, independientemente del formato de almacenamiento. Varios tipos de información que se recogen a menudo incluyen: Requisitos y objetivos de seguridad Arquitectura del sistema o de la red e infraestructura, como un diagrama de red que muestra cómo se configuran e interconectan los activos Información disponible al público o accesible desde el sitio web de la organización Los activos físicos, como el hardware, incluidos los del centro de datos, la red y los componentes y periféricos de comunicaciones (por ejemplo, equipos de sobremesa, portátiles, PDA) Sistemas operativos, como sistemas operativos para PC y servidores, y sistemas de gestión de redes Repositorios de datos, como sistemas de gestión de bases de datos y archivos Una lista de todas las aplicaciones Detalles de la red, como protocolos compatibles y servicios de red ofrecidos Sistemas de seguridad en uso, como mecanismos de control de acceso, control de cambios, antivirus, control de spam y monitoreo de redes Componentes de seguridad desplegados, como firewalls y sistemas de detección de intrusiones Procesos, tales como un proceso de negocio, proceso de operación de computadora, proceso de operación de red y proceso de operación de aplicación Mecanismos de identificación y autenticación Leyes y reglamentos gubernamentales relativos a los requisitos mínimos de control de seguridad Políticas documentadas o informales, procedimientos y directrices. El alcance y los objetivos del proyecto pueden influir en el estilo de análisis y en los tipos de entregables de la evaluación del riesgo de seguridad de la empresa. El alcance de una evaluación de riesgos de seguridad empresarial puede cubrir la conexión de la red interna con Internet, la protección de seguridad para un centro de computación, el uso de la infraestructura de TI de un departamento específico o la seguridad de TI de toda la organización. Por lo tanto, los objetivos correspondientes deben identificar todos los requisitos de seguridad pertinentes, como la protección al conectarse a Internet, identificar las áreas de alto riesgo en una sala de informática o evaluar el nivel general de seguridad de la información de un departamento. Los requisitos de seguridad deben basarse en las necesidades empresariales, que normalmente son impulsadas por la alta dirección, para identificar el nivel deseado de protección de seguridad. Un componente clave de cualquier evaluación de riesgos debe ser los requisitos reglamentarios pertinentes, como Sarbanes-Oxley, HIPAA, la Ley Gramm-Leach-Bliley de los Estados Unidos y la Directiva Europea de Protección de Datos. Las siguientes son tareas comunes que deben realizarse en una evaluación de riesgos de seguridad de la empresa (Tenga en cuenta que se enumeran sólo para referencia.) Las tareas reales realizadas dependerán del alcance de la evaluación de cada organización y de los requisitos del usuario. Identificar las necesidades del negocio y los cambios en los requisitos que pueden afectar la dirección general de TI y seguridad. Revisar la adecuación de las políticas, normas, directrices y procedimientos de seguridad existentes. Analizar activos, amenazas y vulnerabilidades, incluyendo sus impactos y probabilidad. Evaluar la protección física aplicada al equipo informático y otros componentes de la red. Realizar análisis técnico y de procedimientos y análisis de la arquitectura de red, protocolos y componentes para asegurar que se implementan de acuerdo con las políticas de seguridad. Revise y compruebe la configuración, implementación y uso de sistemas de acceso remoto, servidores, cortafuegos y conexiones de red externas, incluida la conexión a Internet del cliente. Revise el acceso lógico y otros mecanismos de autenticación. Revisar el nivel actual de conciencia de seguridad y compromiso del personal dentro de la organización. Revisar acuerdos que involucren servicios o productos de proveedores y contratistas. Elaborar recomendaciones técnicas prácticas para abordar las vulnerabilidades identificadas y reducir el nivel de riesgo de seguridad. Evaluación de impacto Una evaluación de impacto (también conocida como análisis de impacto o evaluación de consecuencias) calcula el grado de daño o pérdida global que podría ocurrir como resultado de la explotación de una vulnerabilidad de seguridad. Los elementos de impacto cuantificables son los de ingresos, beneficios, costos, niveles de servicio, regulaciones y reputación. Es necesario considerar el nivel de riesgo que puede tolerarse y cómo, qué y cuándo los activos podrían verse afectados por dichos riesgos. Cuanto más graves sean las consecuencias de una amenaza, mayor será el riesgo. Por ejemplo, si los precios en un documento de oferta están comprometidos, el costo para la organización sería el producto de la pérdida de beneficios de ese contrato y la pérdida de carga en los sistemas de producción con el porcentaje de probabilidad de ganar el contrato. Trampas / lecciones aprendidas Uno de los principales peligros de llevar a cabo una evaluación de riesgo de seguridad de la empresa es asumir donde están todos los riesgos. Es importante, al estructurar una evaluación de riesgo de seguridad empresarial, incluir al mayor número posible de interesados. En una evaluación reciente, sólo se entrevistó a la dirección de TI, con la excepción de algunos miembros de la organización de auditoría interna. Aunque ciertamente tenían muchas preocupaciones válidas, el grupo no tenía la amplitud de la experiencia para formar una imagen completa del riesgo dentro de la organización. Al incluir una selección más amplia de gestión operativa, financiera y de recursos humanos, se pueden identificar potencialidades de alto riesgo en áreas como investigación y desarrollo, cumplimiento de HIPAA y administración de ventas. Es importante incluir personal que no sólo tiene experiencia en las complejidades de sistemas y procesos, sino que también tiene la capacidad de investigar áreas de riesgo. Una lista de verificación es una buena guía, pero es sólo el punto de partida en el proceso. Con un entrevistador experimentado, el proceso puede ser tan educativo para el entrevistado como para identificar riesgos. Los ejecutivos de la organización tienen un tiempo limitado, ya menudo es difícil conseguir en sus calendarios. Hay tres pasos clave para facilitar esta parte del proceso: Solicitar que el patrocinador ejecutivo se dirija directamente a los entrevistados anunciando el propósito de la evaluación del riesgo y su importancia para la organización. En el plazo de 48 horas de esa comunicación, tenga la agenda de la oficina del patrocinador la entrevista inicial. Envíe una lista de verificación adaptada al ejecutivo antes de la entrevista y pídale que la revise. Este último paso consiste en prepararlo para las áreas temáticas de la evaluación de riesgos, de modo que cualquier aprensión o reserva se disipen según entienda los límites de la entrevista. Es importante no subestimar el valor de un facilitador experimentado, particularmente para las entrevistas de alto nivel y el proceso de determinar la clasificación de la probabilidad de riesgo. Se debería considerar el uso de recursos externos experimentados para aportar aún más objetividad a la evaluación. Conclusión Un marco de seguridad de la información es importante porque proporciona una hoja de ruta para la implementación, evaluación y mejora de las prácticas de seguridad de la información. A medida que una organización implemente su marco, será capaz de articular objetivos y conducir la propiedad de ellos, evaluar la seguridad de la información en el tiempo y determinar la necesidad de medidas adicionales. Un elemento común en la mayoría de las mejores prácticas de seguridad es la necesidad de contar con el apoyo de la alta dirección, pero pocos documentos aclaran cómo se debe dar ese apoyo. Esto puede representar el mayor desafío para las iniciativas de seguridad en curso de la organización, ya que aborda o prioriza sus riesgos. Específicamente, una evaluación de riesgo de seguridad de la empresa pretende ser adecuada para lo siguiente, que podría ser específico para cualquier organización: Una forma de garantizar que los riesgos de seguridad se gestionan de manera rentable Un marco de proceso para la implementación y gestión de controles para asegurar que se cumplan los objetivos específicos de seguridad de una organización Definición de nuevos procesos de gestión de la seguridad de la información Utilización por la dirección para determinar el estado de las actividades de gestión de la seguridad de la información Uso por auditores internos y externos para determinar el grado de cumplimiento con las políticas, directivas y normas adoptadas por la organización Para la implementación de la seguridad de la información Proporcionar información relevante sobre la seguridad de la información a los clientes En general, una organización debe tener una base sólida para su marco de seguridad de la información. Los riesgos y las vulnerabilidades de la organización cambiarán con el tiempo; Sin embargo, si la organización continúa siguiendo su marco, estará en una buena posición para abordar cualquier nuevo riesgo o vulnerabilidad que surja.