Guía para la gestión del riesgo informático

Los datos son el motor vital de cualquier organización. Un uso incorrecto o inadecuado puede afectar gravemente tanto a las operaciones como a los resultados esperados. Es fundamental identificar, comprender y cuantificar los riesgos, y clasificarlos en categorías como evitar, transferir, mitigar, entre otras. Aceptar los riesgos relacionados con los datos y abordar sus consecuencias debe hacerse con plena conciencia y visión estratégica. En otras palabras, la gestión de riesgos basada en los datos es una capacidad imprescindible para cualquier organización.

La gestión del riesgo de los datos abarca todas las prácticas destinadas a identificar, evaluar y reducir los riesgos hasta un nivel aceptable. Aunque siempre ha sido importante, el impacto potencial es ahora mayor debido al trabajo remoto, las brechas de ciberseguridad y los riesgos vinculados a la seguridad en la nube.
El informe anual sobre violaciones de datos, elaborado por el Instituto Ponemon, indica que el coste medio por incidente ha alcanzado los 4,24 millones de dólares, el más alto en los 17 años de historia del estudio. Según Ponemon, la seguridad va por detrás del ritmo acelerado de cambios en TI, como el trabajo remoto y las operaciones en la nube, lo que conlleva consecuencias significativas. Casi el 20 % de las organizaciones encuestadas informó que el trabajo remoto fue un factor en la violación de seguridad, y dichas brechas costaron a las empresas una media de 4,96 millones de dólares (casi un 15 % más que la media). Las organizaciones que sufrieron una brecha durante un proyecto de migración a la nube registraron un coste un 18,8 % superior al promedio.

Teniendo en cuenta las tendencias anteriores y la realidad de que la nube y los trabajadores remotos están aquí para quedarse, deberá centrarse en protegerlos como parte de su estrategia de gestión de riesgos de datos. Esto implica comprender sus riesgos y amenazas potenciales, la probabilidad de que ocurran, su impacto potencial, su postura de seguridad actual y los pasos para mitigar dichos riesgos. Cada uno presenta desafíos únicos que deberá abordar. Los riesgos asociados a la nube se complican por la falta de visibilidad, los riesgos del big data, los riesgos de la migración de datos, los riesgos de seguridad del almacenamiento en la nube, los errores de configuración y otros problemas. Por otra parte, los riesgos del trabajo remoto incluyen la fuga de datos, la baja visibilidad de los usuarios que operan fuera de la red corporativa y los ataques de phishing, entre otros.

Gestión del riesgo de datos

Gestión del riesgo de los datos Es la práctica que utiliza una organización con la gouvernance, el proceso, los procedimientos y el cumplimiento para adquirir, almacenar, procesar, transformar y utilizar datos para gestionar y eliminar los riesgos de los datos. El análisis de riesgos implica examinar los activos de la organización, las posibles amenazas y las vulnerabilidades para determinar el riesgoy, a continuación,establecer contramedidas relativas a la gestión del riesgo.

El riesgo de datos se debe a:

• Mala gouvernance de los datos - Las organizaciones tienen que asegurarse de que sus datos son de alta calidad para respaldar las decisiones organizativas. Una buena gouvernance de los datos equilibra la necesidad de democratizarlos con la necesidad de conocerlos y utilizarlos.
• Mala gestión de los datos – Es fundamental proteger todo el ciclo de vida de los datos a medida que avanzan de una etapa a otra, incluyendo tanto los datos en reposo como los datos en tránsito. Todas las prácticas relacionadas con la adquisición, almacenamiento, transformación, carga y procesamiento de datos deben gestionarse de forma adecuada.
• Seguridad inadecuada de los datos - Las organizaciones tienen que mantenerse al día en la protección de su entorno frente a ciberataques y compromisos involuntarios de datos internos, con parches, educación, un modelo de confianza cero, etc.
• Mala gestión de los parches - Los parches del sistema tienen que estar actualizados y llegar a tiempo; si la gestión de los parches no se hace de forma eficaz y eficiente, puede producirse una ventana de oportunidad para los ciberataques. En la medida de lo posible, la gestión de parches debe basarse en boletines y estar automatizada.
• Diagnóstico y mitigación continuos (CDM) - De acuerdo con el US-CERT, las organizaciones deben implantar un programa de seguridad informática automatizado y basado en los riesgos, que cubra toda la infraestructura, las aplicaciones y los datos, tanto sur site como en sus despliegues en la nube. Rara vez el entorno del hardware o de las aplicaciones sufre daños permanentes o tiene ramificaciones posteriores impredecibles; no puede decirse lo mismo de los riesgos de los datos. Un análisis de riesgos Prevenir-Detectar-Responder debe centrarse en los riesgos de datos como núcleo de un programa de ciberseguridad de MDL.

Algunas ventajas de gestionar los riesgos de los datos:

• Reducir el coste para una organización de muchas maneras, incluidas las multas reglamentarias, el tiempo perdido, la retención de clientes y muchas otras formas.
• Reduzca el riesgo siendo proactivo en lugar de reactivo con una estrategia para gestionar todos los riesgos.
• Aumentar la agilidad de la organización para moverse con rapidez. La evaluación y gestión del riesgo de los datos es una práctica proactiva para respaldar la disponibilidad empresarial de la organización basada en reaccionar con rapidez ante los retos.
• La longevidad de una organización se mantiene gracias a su capacidad para prestar y respaldar servicios y productos. Sin una gestión adecuada del riesgo de los datos, las organizaciones corren peligro de fracasar.
• La satisfacción del cliente depende de la capacidad de una organización para operar con seguridad, protegiendo los datos compartidos necesarios para el desarrollo del negocio. Las encuestas de satisfacción y las puntuaciones netas de recomendación (NPS) se basan, en última instancia, en la capacidad de la organización para gestionar adecuadamente el riesgo asociado a los datos.

La ventaja de gestionar adecuadamente el riesgo de los datos compensa con creces los costes asociados. Cuando esta práctica se integra como disciplina dentro de una organización, contribuye significativamente al éxito empresarial. La siguiente guía de gestión del riesgo de los datos ofrece recomendaciones y consejos sobre cómo implementar esta práctica de forma eficaz en su organización.

Guía para la gestión del riesgo informático

La gestión del riesgo de los datos no puede ser un aspecto secundario dentro de una organización. Para que sea eficaz, debe existir una intención estratégica, apoyo por parte de la dirección y un cambio cultural. El primer paso consiste en crear un equipo con responsabilidades claras en materia de riesgos relacionados con los datos. Elabore una matriz RACI general vinculada a la política de gestión del riesgo de datos. Asimismo, designe a un Responsable de Protección de Datos (DPO) que se encargue de establecer un marco de gestión de riesgos, en el que se definan metas, objetivos y métricas claras.

Algunas tareas, consejos y orientaciones para la gestión del riesgo de datos:

• Identifique el riesgo, la amenaza y la vulnerabilidad: realice una evaluación de riesgos del centro de datos.
• Evaluar la probabilidad y el impacto: realizar un análisis del impacto en la empresa. Abordar las implicaciones financieras y el impacto a lo largo del tiempo para determinar las prioridades y acciones para hacer frente a los riesgos de datos.
• Definir la gobernanza, las políticas, las normativas y las necesidades de cumplimiento, incluyendo la identificación y adopción de las mejores prácticas para la gestión del riesgo de los datos.
• Evaluar los controles existentes y realizar esta actividad de forma continua en relación con el cambiante panorama de riesgos. Implantar controles en prácticas, procesos e instrucciones de trabajo en toda la organización.
• Estrategia y plan de respuesta al riesgo - Evitación, mitigación, transferencia, aceptación. Contratar un seguro de ciberseguridad es una forma de transferir el riesgo derivado de los ciberataques. Asegúrese de tener un plan para cada aspecto de la gestión de riesgos.
• Ponga a prueba el plan para asegurarse de que funciona; si no es así, ajústelo y redefina cualquier otro aspecto de la gestión del riesgo de datos.
• Supervise el riesgo y proporcione información, utilice herramientas automatizadas en la medida de lo posible y obtenga información de personas de toda la organización.
• Plan y actividades de mejora continua, la gestión de riesgos es para siempre una capacidad necesaria de la organización.

Algunos riesgos potenciales que hay que identificar y gestionar:

• Los datos pueden corromperse en cualquier momento, durante su lectura, escritura, transmisión, carga, procesamiento, etc. Asegúrese de identificar la replicación, duplicación, copia de seguridad y recuperación de los datos y gestione el riesgo relacionado con cada etapa del ciclo de vida degestion des données .
• El fallo de los dispositivos en las instalaciones y en la nube donde residen los datos es esencial. Las organizaciones deben comprender la pila completa de dispositivos de TI y los datos asociados y preparar planes y acciones de riesgo de datos.
• El cumplimiento normativo en materia de datos debe garantizar que se respeten las regulaciones aplicables tanto a clientes como a socios, así como aquellas específicas del sector, la región o el país. Entre ellas se incluyen el Reglamento General de Protección de Datos (RGPD), la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), los Servicios de Información de Justicia Penal (CJIS), la Ley de Derechos Educativos y Privacidad de la Familia (FERPA), el Reglamento sobre Tráfico Internacional de Armas (ITAR) y la Ley de Privacidad del Consumidor de California (CCPA). Es imprescindible gestionar adecuadamente la privacidad de los datos y la confianza, teniendo en cuenta los riesgos asociados. Todas estas normativas subrayan la importancia de contar con una estrategia de gestión del riesgo de los datos.
• La dependencia de un proveedor para la gestion des données puede ser costosa. Revise los contratos y comprenda el coste en relación con el valor.
• La remanencia de datos mediante prácticas de retirada de datos, si no se hace correctamente, puede suponer un riesgo para la organización. Asegúrese de verificar que esto está ocurriendo adecuadamente.
• La identificación de fallos y debilidades de seguridad puede hacerse con auditorías. Las auditorías de datos son siempre una buena práctica en las organizaciones para gestionar los riesgos.
• El almacenamiento y la gestión a largo plazo de datos no utilizados son costosos. Los datos que no se utilizan no tienen valor y, si se gestionan sin un propósito, son una pérdida de tiempo y esfuerzo. Esto incluye cuestiones de gouvernance y cumplimiento.
• Política y comportamiento de las personas: malware, phishing, spyware, etc.
• Deben identificarse y gestionarse los riesgos de SaaS, PaaS e IaaS en la nube para cada servicio. Muchas organizaciones no utilizan todos los servicios en la nube, pero aun así deben ser conscientes de cómo pueden afectarles los demás servicios relacionados con la gestión del riesgo de los datos.
• Deben identificarse y planificarse planes de contingencia para casos de denegación de servicio, violación de datos, pérdida de datos y otros problemas.
• La respuesta a incidentes graves es fundamental cuando se produce un problema de gestion des données . Esta actividad también debe practicarse o simularse para garantizar su eficacia.
• La seguridad física debe identificarse y comprenderse siempre en relación con posibles vulneraciones humanas o del entorno, incluyendo tanto la seguridad física en las instalaciones como en la nube. Las organizaciones no solo deben ser conscientes de sus propios protocolos, sino también de cómo sus proveedores abordan la seguridad física, especialmente en entornos de oficina que alternan entre el trabajo en remoto y el regreso presencial.
• Debe identificarse el riesgo de software e infraestructuras de terceros. Cualquier proveedor^externo está expuesto a una violación de datos que puede afectar a sus clientes. Las violaciones de datos que resultan en software pirateado y luego instalado en los entornos de sus clientes pueden tener efectos duraderos en la organización. Todas las organizaciones deben saber cómo protegen sus datos sus proveedores, especialmente los datos sobre sus clientes.

Algunas áreas de gestion des données que hay que tener en cuenta:

• No se puede subestimar la importancia de las copias de seguridad para la organización y para nosotros personalmente. Permiten recuperar los datos en caso de corte del suministro eléctrico, piratería informática, catástrofes medioambientales, errores humanos, etc. Esto es esencial para gestionar el riesgo de los datos.
• La redundancia mejora la disponibilidad de su organización para hacer negocios. La redundancia de datos ayuda a gestionar el riesgo de pérdida de datos por cortes inesperados y esperados que puedan producirse.

Los riesgos relacionados con las personas en la gestión de los datos deben ser identificados y gestionados. Una táctica clave consiste en formar al personal para que sepa cómo gestionar los riesgos de datos dentro de la organización. Es fundamental asegurarse de que las personas comprendan estos riesgos y sepan cómo actuar cuando sea necesario. Las buenas prácticas que adquieren en el entorno laboral también pueden ayudar a prevenir fugas de datos personales y otros riesgos relacionados con la información personal.

Hoy en día, a medida que las organizaciones adoptan tecnologías y prácticas de Big Data, es fundamental contar con una estrategia de gestión del riesgo de datos para hacer frente a los riesgos asociados. Cada organización debe revisar sus arquitecturas de Big Data e identificar los riesgos asociados a los datos en entornos locales, en la nube y en nubes híbridas. Es importante analizar cuidadosamente los riesgos de migración de datos a la nube y los riesgos de seguridad del almacenamiento en la nube. En algunos casos, será necesario ajustar la arquitectura en la nube para mitigar tanto los riesgos como los costes. La gestión de riesgos en Big Data debe formar parte de una estrategia integral de gestión del riesgo de los datos.

Conclusión

La gestión del riesgo de los datos es responsabilidad de todas las funciones de las líneas de negocio, marketing, ventas, recursos humanos, operaciones, aplicaciones, jurídico, etc. Adoptar un enfoque proactivo identificando el riesgo, añadiendo controles y preparándose para la acción puede suponer una gran diferencia cuando sea necesario. No convierta la gestión del riesgo de los datos en una ocurrencia tardía en la que no merece la pena invertir. La gestión del riesgo de los datos forma parte del coste de hacer negocios y debe entenderse como tal. Tenga cuidado con los atajos y no sea estratégico y exhaustivo con el enfoque.

Además, debe buscar marcos y mejores prácticas; en particular, el NIST es uno de los principales referentes en gestión de riesgos, y ofrece amplios marcos para ciberseguridad, gestión de riesgos, integración de la ciberseguridad con la gestión de riesgos empresariales (ERM), privacidad y mucho más. El documento NIST Guidelines for Managing the Security of Mobile Devices in the Enterprise (Borrador NIST SP 800-124 Rev. 2, Guidelines for Managing the Security of Mobile Devices in the Enterprise) es otro recurso reciente que puede servirle como punto de partida. También puede consultar la Guía maestra de DBIR 2021 (2021 DBIR Master’s Guide | Verizon).