Cómo empezar la gestión de riesgo

¿Qué es la gestión de riesgos? Cuando se tiene algo de valor – así como una red corporativa, un sitio web o una aplicación móvil-, existe el riesgo de administrar para poder protegerlo. A medida que las organizaciones innovan y cambian la forma en que utilizan la tecnología, los riesgos también cambian. Los enfoques tradicionales y los controles ya no son lo suficientemente buenos. Caroline Wong, vicepresidente de Estrategia de Seguridad de Cobalt, ofrece algunas sugerencias para gestionar el riesgo en el moderno entorno empresarial actual.

El primer paso para gestionar el riesgo es saber exactamente qué es lo que se desea proteger. Es posible que una organización necesite proteger los datos de sus clientes, la información de pago o la propiedad intelectual. Una vez que sepa lo que es importante y por qué, entonces puede comenzar a adaptar su enfoque de gestión de riesgos.

Es importante conocer todas las formas que tienen los cibercriminales de acceder o comprometer los activos más valiosos de una empresa. Para ello es necesario utilizar herramientas, consultores o una plataforma de seguridad. De esta manera, el mayor riesgo que corre no es el riesgo que no conoce.

Uno de los métodos que se deben seguir para comprobar la propia seguridad de una organización son las pruebas de penetración,  las cuales simulan la perspectiva del atacante. Gracias a esto la empresa puede ser consciente de los riesgos para poder tratarlos cuando sea necesario antes de que los malos exploten las vulnerabilidades y potencialmente comprometan las joyas de la corona. Aun así se debe tener en cuenta que encontrar estas amenazas mediante este tipo de pruebas no mejora la postura de riesgo de la organización; en cambio, solucionarlas o eliminarlas sí.

Hay una gran cantidad de tecnología disponible para ayudar a las organizaciones a proteger sus redes y aplicaciones. Eso sí, las herramientas no funcionan por sí mismas, es decir, los problemas identificados por las herramientas -por lo general- no se pueden arreglar sin la intervención humana. La creatividad humana es necesaria para identificar los defectos de seguridad más interesantes, clasificarlos por la probabilidad de explotación y el impacto potencial, y tratarlos en consecuencia.

La priorización es un componente clave para gestionar el riesgo porque los presupuestos son limitados y las vulnerabilidades pueden parecer interminables. La realidad es que no puedes hacer todo. Es tan importante decidir explícitamente lo que no harás como lo que harás. 

Claro que, si la forma en que una organización genera productos está cambiando, entonces los conjuntos de habilidades requeridos para gestionar el riesgo asociado también deben cambiar. Pero es importante tener en cuenta que a medida que las empresas cambian la forma en que construyen productos, los atacantes van evolucionando también la manera en que intentan atacar a las aplicaciones. A medida que los departamentos de TI trasladan sus operaciones a la nube, la gestión de riesgos debe centrarse más en las aplicaciones que en las redes.