Un plan estratégico para la evaluación proactiva de riesgos y la seguridad de los datos

El proceso de evaluación de riesgos implica una identificación exhaustiva de los activos, un análisis de las amenazas y una evaluación de las vulnerabilidades para establecer una comprensión integral de los riesgos potenciales. Este paso fundamental es crucial para guiar a los profesionales de TI en la toma de decisiones informadas sobre la mitigación de riesgos, la asignación, la evitación o la aceptación de los mismos. También requiere una comunicación clara con los interesados sobre sus roles proactivos en la gestión y prevención de estos riesgos.

Comprender las particularidades de los riesgos de seguridad de datos, especialmente a través de la identificación de las operaciones de procesamiento de datos y la evaluación de los posibles impactos en el negocio, es fundamental. Esto sienta las bases para determinar la probabilidad de las amenazas y evaluar los riesgos, garantizando que los datos se protejan de manera efectiva, aprovechando tanto los controles organizativos como técnicos en una estrategia de gestión de seguridad cohesionada.

Las cuatro fases clave de la gestión de riesgos de seguridad 

Evaluación de riesgos

La primera fase, que abordamos en este artículo, es la Evaluación de Riesgos. Existen muchos métodos de evaluación de riesgos con distintos niveles de costo y complejidad. El proceso básico consiste en:

• Identificación de activos: Identificar todos los activos de la organización (tanto tangibles como intangibles) que requieren protección, incluyendo el valor cuantitativo (como costo o contribución a los ingresos) y/o cualitativo (como importancia relativa) de los activos.
• Análisis de amenazas: Definir posibles circunstancias o eventos adversos naturales y/o provocados por el hombre, el impacto o consecuencias potenciales, y la probabilidad y frecuencia de ocurrencia.
• Evaluación de vulnerabilidades: Determinar qué salvaguardas y/o controles están ausentes o son débiles en un activo, lo que hace que una amenaza sea potencialmente más dañina, costosa, probable o frecuente.

Otras fases clave 

Tratamiento de riesgos: Después de evaluar los riesgos, los administradores de IT tienen varias opciones:

• Mitigación de riesgos: Reducir el impacto o la probabilidad de la amenaza mediante políticas y controles.
• Asignación de riesgos: Transferir el riesgo a un tercero, como un asegurador.
• Evitación de riesgos: Eliminar el riesgo por completo mejorando, desechando el activo o deteniendo la actividad que introduce el riesgo.
• Aceptación del riesgo: Es la aprobación formal por parte de la dirección de las medidas de tratamiento del riesgo implementadas y la aceptación de cualquier riesgo residual (o restante) que no se pueda mitigar, asignar o evitar de manera adicional o práctica.

Comunicación de riesgos: Es necesario que los interesados pertinentes sean informados sobre cualquier decisión relacionada con el tratamiento y/o aceptación de riesgos, incluidas sus funciones y responsabilidades individuales con respecto a riesgos específicos.

Comprender el proceso de evaluación de riesgos: La evaluación de riesgos es la primera fase del proceso de gestión de riesgos. Una evaluación de riesgos consiste en identificar sus activos, analizar amenazas y evaluar vulnerabilidades.

Comprender el proceso de evaluación de riesgos 

La evaluación de riesgos es la primera fase del proceso de gestión de riesgos. Una evaluación de riesgos consiste en identificar sus activos, analizar amenazas y evaluar vulnerabilidades.

Evaluar específicamente los riesgos de seguridad de datos implica:

• Identificar sus operaciones de procesamiento de datos (para determinar cómo y dónde sus activos de datos son utilizados por tu negocio)
• Determinar el impacto potencial en el negocio (si sus datos se ven comprometidos)
• Identificar posibles amenazas y evaluar la probabilidad (de ocurrencia, incluida la frecuencia)
• Evaluar el riesgo (para determinar qué salvaguardas o controles deben implementarse para proteger sus datos)

Paso 1: Identificar las operaciones de procesamiento de datos

Los datos dentro de una organización tienen diferentes perfiles de riesgo, no solo en función del contenido de los datos, sino también debido a la forma en que se utilizan dentro de la organización. Por lo tanto, es importante comprender cómo se procesan los datos dentro de tu empresa al comenzar el proceso de evaluación de riesgos. Por ejemplo, una PYME típica podría tener algunos o todos los siguientes tipos de operaciones de procesamiento de datos:

• Recursos humanos, como la gestión de nóminas de empleados, reclutamiento y retención, registros de capacitación, acciones disciplinarias y evaluaciones de desempeño.
• Gestión de clientes, marketing y proveedores, como información de clientes, órdenes de compra y venta, facturas, listas de correo electrónico, datos de marketing y publicidad, y contratos con proveedores.
• Seguridad del personal y seguridad física, como registros de acceso de seguridad de empleados, registros de visitantes y monitoreo por video.

Para cada operación de procesamiento de datos, considera lo siguiente:

• ¿Qué datos personales se están procesando?
• ¿Cuál es el propósito del proceso?
• ¿Dónde ocurre el procesamiento?
• ¿Quién es responsable del proceso?
• ¿Quién tiene acceso a los datos?

Paso 2: Determinar el impacto potencial en el negocio

A continuación, debes determinar el impacto potencial de una vulneración o compromiso de datos. Una vulneración o compromiso puede afectar la confidencialidad (por ejemplo, acceso no autorizado) de los datos, la integridad de los datos (por ejemplo, modificación no autorizada) o la disponibilidad de los datos (por ejemplo, un ataque de ransomware).

Las organizaciones deben proteger la confidencialidad, integridad y disponibilidad de los datos. En seguridad de la información, esto se conoce como la triada C-I-A.

En una evaluación de riesgos típica, el impacto potencial de un riesgo se expresa típicamente en términos de daño a la organización, como la pérdida o destrucción de un activo físico (por ejemplo, un servidor, una fotocopiadora o un vehículo).

El impacto de un riesgo para la seguridad de los datos en el negocio es similar a otros impactos de riesgo, pero el impacto puede ser indirecto. En el caso de datos personales sensibles, la persona cuyos datos se han vulnerado o comprometido es la víctima directa. En tales casos, la identidad o los activos financieros de una persona pueden ser robados y/o su privacidad vulnerada. El impacto en el negocio es menos directo, pero sigue siendo muy costoso e incluye (entre otros):

• Pérdida de clientes e ingresos
• Daño a la marca y relaciones públicas adversas
• Multas regulatorias y litigios
• Notificaciones de vulneraciones y servicios de monitoreo de crédito
• Análisis forense y recuperación

El impacto en el negocio puede clasificarse como Bajo, Medio o Alto. Sin embargo, la definición real de cada uno de estos niveles de impacto será única para cada negocio y debe involucrar medidas tanto objetivas (cuantitativas) como subjetivas (cualitativas).

Paso 3: Identificar posibles amenazas y evaluar la probabilidad

Una amenaza puede ser cualquier evento o circunstancia, ya sea natural o provocada por el hombre, que tenga el potencial de afectar negativamente la confidencialidad, integridad o disponibilidad de datos personales o sensibles. Esto puede incluir ataques cibernéticos, pérdida o divulgación accidental, amenazas internas, incendios e inundaciones, terremotos y tsunamis, clima severo (como un huracán o tornado), disturbios civiles, disputas laborales y más.

Las empresas deben identificar posibles amenazas para sus operaciones de procesamiento de datos y evaluar la probabilidad (incluida la frecuencia de ocurrencia) de cada posible amenaza. Asegúrate de cubrir amenazas en áreas bien definidas, incluidas amenazas de recursos técnicos y de red (software/hardware) que se utilizan para el procesamiento de datos, amenazas de procesos y procedimientos relacionados, amenazas de recursos humanos involucrados y amenazas por la escala del procesamiento. Para cada amenaza identificada, la probabilidad puede clasificarse de la misma manera que el impacto en el negocio: Bajo, Medio o Alto.

Paso 4: Evaluar el riesgo

Una vez que hayas identificado todas tus operaciones de procesamiento de datos (y los datos que se procesan), determinado el impacto potencial en el negocio de una vulneración o compromiso, e identificado posibles amenazas y la probabilidad y frecuencia de ocurrencia, puede evaluar el riesgo asociado con cada operación y determinar los controles de protección organizativos y de proceso apropiados.

Según la valoración del riesgo, se deben implementar controles organizativos y de proceso para asegurar adecuadamente tus negocios y operaciones de procesamiento de datos utilizando un enfoque basado en el riesgo.

Explorando controles organizativos y de proceso

Un enfoque preventivo efectivo requiere más que soluciones técnicas. Necesita establecer controles administrativos y organizativos para garantizar que los controles técnicos se implementen, configuren y operen correctamente en apoyo de una estrategia de gestión de seguridad cohesionada.   

Algunos ejemplos de controles organizativos incluyen:

• Datos personales privados y sensibles: Utiliza controles técnicos como el cifrado y el software de prevención de pérdida de datos (DLP) con discreción.
• Documentación y auditoría de datos: Documenta por qué se recopilan los datos, cómo se utilizan y cómo se protegen.
• Políticas de seguridad: Define claramente los roles y responsabilidades individuales relacionados con la protección de datos personales.
• Recursos humanos: Asegúrate de que los datos personales recopilados por recursos humanos estén debidamente protegidos.
• Uso de un modelo de madurez de seguridad: Determina tus capacidades de seguridad en áreas específicas e identifique cualquier brecha entre dónde se encuentra y dónde necesita estar.
• Capacitación y pruebas de sus empleados: Proporciona capacitación en concientización sobre seguridad y evalúe a los empleados.