5 consejos para lograr una mejor gestión de riesgos de ciberseguridad - Calendae | Informática, Electrónica, CMS, Ciberseguridad

5 consejos para lograr una mejor gestión de riesgos de ciberseguridad

Hola, ¿qué tal colega?. En el teclado Eduardo Arroyo y en el día de hoy te voy a hablar sobre 5 consejos para lograr una mejor gestión de riesgos de ciberseguridad


InfoSec Insider

5 consejos para lograr una mejor gestión de riesgos de ciberseguridad

Casey Ellis, fundador, CTO y presidente de Bugcrowd, analiza una hoja de ruta para reducir el riesgo de ciberataques de la manera más efectiva.

Cuando piense en la gestión de riesgos de ciberseguridad, piense en la última vez que comparó pólizas de seguro médico. Cada póliza ofrece un medio para protegerse a usted y a su familia de pérdidas financieras (por ejemplo, de la cobertura hospitalaria), y muchas pólizas incluyen elementos diseñados para reducir la probabilidad de que esas pérdidas ocurran en primer lugar (por ejemplo, beneficios de acondicionamiento físico, atención médica preventiva, etc. ).

Si bien la compra de estas pólizas no garantiza que el asegurado sea inmune a «un mal día», sí brinda tranquilidad y caminos a seguir en caso de un evento negativo. La gestión de riesgos de seguridad cibernética es un concepto similar.

En el panorama empresarial actual, hay varias políticas básicas de ciberseguridad que son cada vez más importantes de adoptar. Ya sea que las empresas estén comenzando a implementarlos o se estén considerando expertos, hay algunos consejos que las organizaciones deben asegurarse de seguir para hacer que sus defensas cibernéticas sean lo más sólidas posible.

Los marcos de seguridad cibernética como ISO 27001, el marco internacional que define las mejores prácticas para un sistema de gestión de seguridad de la información (SGSI), pueden ayudar a las organizaciones a abordar los riesgos comerciales y mejorar la defensa cibernética en general.

Además de ISO 27001, hay muchos otros marcos a considerar, incluido el Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST CSF), que ofrece un apoyo profundo para ayudar a las empresas a identificar las acciones necesarias para abordar y reducir el riesgo. El Center for Internet Security (CIS) Critical Security Controls también publica CIS Critical Security Controls (CSC), que se compone de 20 controles de seguridad críticos desglosados ​​en recomendaciones clave y mejores prácticas para ayudar a las organizaciones a reducir la probabilidad de que un ciberataque tenga éxito.

Implementar un proceso de evaluación de riesgos significa definir claramente cómo la empresa preparará, conducirá y entregará los resultados clave de una evaluación de riesgos, así como cómo se mantendrá el proceso a lo largo del tiempo.

Los sistemas y redes de TI de una organización cambian constantemente a medida que las aplicaciones de software se actualizan y los usuarios se incorporan y se excluyen. Todo esto es un terreno fértil para la aparición de nuevas vulnerabilidades, y no faltan tanto cambios en estos sistemas como riesgos emergentes y nuevos que mantener bajo control.

Al prepararse para una evaluación de riesgos, las organizaciones deben seguir esta lista de verificación:

  • Describa estratégicamente el alcance de la evaluación, incluidas las suposiciones iniciales significativas o las limitaciones anticipadas;
  • Identificar las fuentes específicas de información que se utilizarán;
  • Describa los cálculos de riesgo y la metodología de análisis utilizada;
  • Asegúrese de incluir cualquier normativa de cumplimiento que afecte a su organización. Cada reglamento tiene su propio conjunto de requisitos para la evaluación y presentación de informes de riesgos.

Threat Intelligence ofrece datos oportunos sobre las amenazas clave que actualmente tienen más probabilidades de afectar su negocio. La inteligencia de amenazas puede permitir que los equipos de seguridad realicen cambios cruciales en el cuadro de indicadores de riesgo existente para evitar que se desarrollen nuevas amenazas.

Los datos de inteligencia de amenazas se recopilan, evalúan y analizan para proporcionar a los equipos de seguridad e inteligencia información que puede ayudarlos a tomar decisiones más rápidas sobre amenazas. Todo el proceso se basa en datos, como información sobre grupos de amenazas y las últimas tácticas, técnicas y procedimientos de ataque (TTP), vectores de ataque utilizados e indicadores de compromiso conocidos (IoC).

Al protegerse contra los ciberdelincuentes, las organizaciones deben rodearse de personas que piensen como un pirata informático y sean capaces de predecir y defender objetivos potenciales dentro de la empresa. Algunas empresas optan por hacer esto con escáneres de vulnerabilidades. Sin embargo, esta práctica automatizada tiende a perder vulnerabilidades descubiertas recientemente y puede tener problemas si los errores son demasiado complejos. Además, los falsos positivos son frecuentes, especialmente cuando se trata de una gran infraestructura.

El ingenio humano es clave a la hora de buscar vulnerabilidades, razón por la cual las empresas recurren cada vez más a las pruebas de penetración. Este método permite a las organizaciones involucrar a los investigadores de seguridad para «piratear» su sistema y red para obtener visibilidad de una variedad de vulnerabilidades. Estas personas son altamente especializadas y llevan a cabo la investigación con la aprobación total de la empresa. Realizar pruebas de penetración de forma regular es un componente crucial de la gestión del riesgo cibernético de una organización.

Un beneficio importante de la gestión del riesgo cibernético es la capacidad de las organizaciones para identificar brechas en el rendimiento y la cobertura, o incluso capas redundantes dentro de los controles de seguridad, a medida que buscan implementar completamente el proceso de gestión del riesgo cibernético. Los equipos de seguridad y TI deben aprovechar la oportunidad de optimizar las herramientas para expandir las capacidades operativas de ciberseguridad al menor costo posible.

Las organizaciones deben considerar establecer una ubicación de seguridad de destino y luego evaluar sistemáticamente su infraestructura de seguridad actual contra el destino. Cada dólar asignado a los controles de seguridad debe proporcionar la defensa que brinda la organización. Las herramientas redundantes que no son necesarias para gestionar el riesgo de la empresa pueden fusionarse, eliminarse o reestructurarse dentro de la empresa.

.

Deberías compartir en en tu Twitter y Facebook para que tus colegas opinen

??? ? ? ???

Comparte