Imagine que está solicitando un préstamo. Uno de los principales criterios para obtener la aprobación es la calificación crediticia. Cuanto más alta sea la calificación crediticia, mayores serán sus posibilidades de obtener un préstamo.
Del mismo modo, imagine que vende un producto en un sitio web. Los compradores potenciales juzgan la calidad de su producto basándose en las reseñas o valoraciones que ha recibido de otros clientes. Cuanto más altas sean las valoraciones, más posibilidades habrá de que la gente compre sus productos o servicios.
¿Qué pasarÃa si estos sistemas de valoración no existieran? La sola idea de no tenerlos es inquietante. Este tipo de proceso de calificación también se aplica a las operaciones de TI de una empresa. No tener calificaciones adecuadas para evaluar el riesgo de la pila de TI de una organización puede ser desastroso.
Dado que las organizaciones ahora se centran más en la escalabilidad de las operaciones mediante la adopción de la computación en nube, a menudo no cuantifican el riesgo que conlleva el proceso, ni la capacidad de su arquitectura de TI para afrontar estas amenazas.
La puntuación de riesgo cibernético ayuda a evaluar la tolerancia al riesgo de las organizaciones, en base a la cual se pueden tomar decisiones informadas. Las organizaciones deben evaluar con frecuencia su postura de seguridad y calificar los activos crÃticos en función del riesgo que entrañan. Los activos con puntuaciones de riesgo más altas se deben monitorear de cerca para evitar posibles amenazas.
Una vez que todos los activos han sido calificados individualmente, basándose en la postura de seguridad de la organización, se puede determinar la puntuación de riesgo cibernético.
La necesidad de evaluar la postura de seguridad
Toda organización tendrá que compartir datos y colaborar con diferentes organizaciones en algún momento, por razones comerciales. Al evaluar las diferentes oportunidades, el riesgo cibernético es uno de los últimos parámetros que se tienen en cuenta. Sin embargo, no deberÃa ser el caso teniendo en cuenta el aumento en el número de ataques de terceros que se producen en estos dÃas.
Las puntuaciones de riesgo también ayudan a una organización a tomar decisiones crÃticas cuando participa en un acuerdo operativo con otra organización. Por ejemplo, para cumplir con los requisitos de la cadena de suministro, la organización A, una gran empresa, entra en una asociación estratégica con la organización B, una empresa de logÃstica.
Mientras que A tiene una fuerte postura de ciberseguridad, B es una empresa más pequeña que no tiene una estrategia de seguridad adecuada. Ahora, con esta alianza, A se ha puesto en una posición en la que un atacante puede capitalizar las vulnerabilidades que existen en la red de B para obtener acceso a su red más grande.
Aquà es donde la puntuación de riesgo cibernético se vuelve importante. Si B tuviera una puntuación de riesgo cibernético, A podrÃa haber evaluado hasta qué punto puede defenderse de un ataque sin precedentes que resultara de la colaboración. Una puntuación de riesgo cibernético es un criterio crucial para determinar si se sigue adelante con un acuerdo operativo o no.
Los recientes incidentes de seguridad, como la brecha de seguridad de Saudi Aramco ocurrida el año pasado, y la de Toyota ocurrida este año, ponen de manifiesto la importancia de establecer una puntuación de riesgo cibernético para evaluar la posición de seguridad de las organizaciones.
Fuentes que pueden contribuir a una puntuación de riesgo cibernético
Descubrir los activos de TI que contribuyen a la puntuación de riesgo es vital para la puntuación de riesgo. Aunque cada activo dentro del perÃmetro de la red de la organización contribuye a una cierta cantidad de riesgo, las siguientes son algunas de las fuentes de datos más importantes que pueden tener un gran impacto en la puntuación de riesgo.
-
Nube: Sin duda la computación en nube ha revolucionado la forma de trabajar de las organizaciones. La escalabilidad y la capacidad de compartir recursos de la nube han impresionado a las organizaciones. Sin embargo, la nube trae consigo una enorme cantidad de riesgos cibernéticos teniendo en cuenta la complejidad de la configuración y utilización de las capacidades de la nube.
-
Dispositivos dentro de la red: Aunque la mayorÃa de las organizaciones proporcionan los activos de TI necesarios, algunas organizaciones animan a los usuarios a traer sus propios dispositivos. Esto ciertamente aumenta la cantidad de riesgo involucrado. Además, la mayorÃa de los empleados suelen ignorar las actualizaciones de seguridad que aparecen incluso en los sistemas proporcionados por las organizaciones.
-
Terceros: La subcontratación se ha convertido en la opción a la que recurren las organizaciones que gestionan actividades empresariales periféricas como la logÃstica y el almacenamiento de datos. Aunque las organizaciones suelen reforzar la seguridad de su red, no evalúan la postura de seguridad de las organizaciones con las que se asocian. Los riesgos de los terceros han aumentado drásticamente en los últimos tiempos.
-
Servidores: A menudo los servidores son vÃctimas de ciberataques tanto internos como externos. Las organizaciones deben dar prioridad al monitoreo de servidores a la hora de evaluar las puntuaciones de riesgo.
Hacia el futuro
El sector de TI ha demostrado una y otra vez la necesidad de establecer una puntuación de riesgo cibernético. Dado que los ciberataques evolucionan dÃa a dÃa, y los atacantes están adoptando nuevas técnicas de ataque para explotar las redes, las organizaciones deben asegurarse de evaluar su postura de seguridad con regularidad y calificar las vulnerabilidades que existen en su red. A largo plazo, esto ayudará a las organizaciones que pretenden establecer relaciones a garantizar que el riesgo que se corre está dentro de su tolerancia al riesgo.
