Un gran error en la gestión de riesgos de TI (tecnología de la información), especialmente cuando se trata de empresas con adopción de tecnologías nuevas, es subestimar la importancia de la priorización de riesgos. 

Sumergirse en la identificación y las evaluaciones sin un marco suficiente ágil, inhibe la priorización. Esto puede dar como resultado una mitigación de riesgos ineficaz y trabajo duplicado entre departamentos, o incluso riesgos graves que pasan desapercibidos.

Para que esto no suceda en tu empresa, la mejor alternativa es siempre estar un paso adelante en la prevención, y tener un buen sistema para saber jerarquizar y atacar cada una de estas amenazas. Aquí te contamos cómo hacerlo.

Importancia de priorizar los riesgos de TI

La posibilidad de “pasar por alto” un riesgo grave de TI siempre es preocupante, pero es imposible estar completamente seguro de todo lo que afecta a la organización en cada momento y situación. Por eso es tan importante el proceso de identificación y priorización de riesgos.

Ante esto, es importante pensar en el riesgo frente a la incertidumbre. Están estrechamente relacionados, pero no son lo mismo. 

La incertidumbre tiene un alcance más amplio. Es la falta de conocimiento sobre el resultado de un evento en particular, y existe para cada individuo y cada organización.

Parte del trabajo de un gerente de seguridad o control de riesgos es crear un plan de evaluación de riesgos para determinar cuáles son lo suficientemente probables y podrían tener un impacto lo suficientemente grave como para justificar la mitigación. 

Por otro lado, cuando una incertidumbre alcanza un determinado umbral de probabilidad e impacto, la empresa la reconoce como un riesgo que debe mitigarse.

La gestión de riesgos de seguridad tecnológica es la mejor manera de cuantificar y prepararse para un futuro incierto o, en otras palabras, gestionar hoy las sorpresas del mañana. 

En lugar de ser demasiado conservador con la identificación y evaluación de riesgos,  para evitar el desperdicio de recursos, es preferible mejorar la eficiencia y eficacia de todos los procesos de información y manejo de la data.

Riesgos y buenas prácticas  de TI

Los riesgos para el sector de TI pueden clasificarse en las siguientes ramas:

• Vulnerabilidades de la cadena de suministro de software o servicios en la nube.

• Ataques de denegación de servicio a gran escala.

• Interrupción de las actividades de comercio electrónico

• Capacidades débiles de detección de intrusos.

• Todos los peligros, incluidos los desastres naturales y

clima extremo.

Mejores Prácticas para el Sector TI

• Usar métricas de seguridad efectivas para demostrar implementación de buenos controles de seguridad.

• Participar en alianzas público-privadas.

• Promover una cultura consciente de seguridad cibernética básica.

• Priorizar los activos críticos para optimizar las protecciones.

• Evaluar los riesgos dentro del ecosistema de proveedores.

Beneficios de su aplicación

Los planes de gestión de riesgos forman la parte defensiva de la ingeniería de una empresa. Cuando estos sistemas se sincronizan con las debilidades o riesgos de una organización, brindarán capacidades por fases que promuevan los objetivos de la empresa y los resultados de la misión. 

Las áreas de riesgo de los sistemas pueden incluir la defensa, la financiación, los recursos, la confianza en el cronograma, la madurez técnica, la capacidad para cumplir con el rendimiento técnico, la capacidad de implementación operativa, entre otras. 

Entre los beneficios de los sistemas para prevención de riesgos, está la determinación de escalas para cada área de riesgo y cada alternativa se evalúa frente a todas las categorías. 

La evaluación de riesgos también puede incluir la consideración operativa de la amenaza y la vulnerabilidad. 

Al determinar el enfoque de evaluación de riesgos apropiado, es importante considerar la necesidad de información. Por ejemplo, la probabilidad de ocurrencia, el alcance, los costos, etc.

En el paso de priorización de riesgos, el conjunto general de eventos de riesgo identificados, sus evaluaciones de impacto y sus probabilidades de ocurrencia, se procesan para derivar un orden de clasificación de riesgos identificados de mayor a menor importancia. 

Un propósito importante de priorizar los riesgos es formar una propuesta para la asignación de recursos a tu área de tecnología.

Desarrolla un proceso para priorizar amenazas

Un marco de taxonomía de riesgos, estandarizará el enfoque de cada departamento para la priorización de riesgos. 

El uso de los mismos criterios y la misma escala permite que la información se recopile, agregue y compare en toda la empresa de una manera que sea accesible y comprensible para el personal que antes no participaba. 

Una escala estándar y una matriz de la raíces de cada riesgo, también revelará riesgos de alto nivel que afectan múltiples áreas comerciales, operativas y legales, lo que hace que la priorización sea sistemática.

A continuación te presentamos una serie de pasos que te ayudarán a desarrollar el proceso de priorización de amenazas en tu empresa.

Sistema de detección de amenazas efectivo

Al evaluar los riesgos, utiliza técnicas, herramientas y sistemas que sean adecuados para el análisis. Por ejemplo, si el proyecto es una plataforma de gestión empresarial o de supervisión organizacional, entonces el impacto del riesgo podría evaluarse de manera más adecuada frente a los objetivos en lugar del rendimiento técnico, el costo y el cronograma. 

Si la evaluación es para determinar el riesgo de las violaciones de seguridad, el enfoque de doble validación de ingreso podría ser el más adecuado.

Define la estrategia

Pensar en el riesgo de una manera más dinámica permite la participación de todos los empleados, y seleccionar el máximo o el mínimo de riesgos que influyen en cada una de sus áreas. Esto hace que la priorización de riesgos sea más fácil y acertada, lo que a su vez permite una asignación de recursos tecnológicos más específica.

La clave es implementar un sistema de ejecución que tenga sentido real para el negocio y que ayude con la priorización.

Realiza una evaluación

Al evaluar los riesgos identificados, recomendamos una escala que proporcione la mayor cantidad de niveles y detalles posibles. Incluso con los criterios asignados a cada «nivel», persiste cierta ambigüedad, por lo que debemos ser muy minuciosos. 

Un riesgo con una puntuación probablemente menor, por ejemplo, puede justificar menos esfuerzo de mitigación que un riesgo con una puntuación o nivel «grave».

Jerarquiza los riesgos

Realizar evaluaciones DAFO (fortalezas, debilidades, oportunidades y amenazas) puede ayudar a determinar los factores impulsores de los riesgos. 

Para algunos programas o proyectos, el riesgo en la empresa o en las metas y objetivos organizacionales son más significativos para la administración central.

Los riesgos se jerarquizan frente al posible impacto negativo en los objetivos de la empresa. El uso de herramientas de gestión de riesgos para la empresa y sus componentes puede ayudar con la coherencia de la clasificación del riesgo. 

La jerarquización se puede hacer bajo estos parámetros:

Probabilidad de la amenaza

Es importante documentar la justificación o fundamento de cada evaluación de impacto de riesgo y calificación de probabilidad de ocurrencia. 

Si las condiciones o el entorno cambian, es posible que sea necesario revisar la evaluación. La justificación a través de la probabilidad ayuda a comunicar la importancia del riesgo. 

Las simulaciones de Monte Carlo (métodos de simulación mediante un rango de valores), usan distribuciones de probabilidad para evaluar la posibilidad de lograr resultados particulares, como el costo o la fecha de finalización.

Grado de impacto de la amenaza

En este paso, se evalúa el impacto que cada evento de riesgo podría tener en el proyecto. Por lo general, esta evaluación considera cómo el evento podría afectar el costo, el cronograma o los objetivos de rendimiento técnico. 

Sin embargo, los impactos no se limitan a estos criterios; También es posible que sea necesario considerar las consecuencias políticas o económicas. También se evalúa la probabilidad de que ocurra cada evento de riesgo. 

Esto a menudo implica el uso de técnicas de evaluación de probabilidad subjetiva, particularmente si las circunstancias impiden una evaluación directa de la probabilidad mediante métodos objetivos (es decir, análisis de ingeniería, modelado, prueba o simulación). 

Como parte de la evaluación de impacto de los riesgos, es necesario identificar las dependencias e interdependencias de los riesgos y el marco temporal del impacto potencial (a corto, mediano o largo plazo). 

Para la gestión de software, los riesgos generalmente se evalúan en función de los objetivos de rendimiento técnico, cronograma y costo. 

Protege tus sistemas con proveedores de confianza

La evaluación y gestión de riesgos son funciones de la ingeniería de sistemas, especialmente a medida que los proyectos y software se vuelven más complejos e interdependientes. 

El riesgo atraviesa el ciclo de vida de la ingeniería de sistemas, y proveedores de almacenamiento en la nube y máquinas virtuales, como Google Cloud Platform (GCP) , proporcionan fácil acceso a herramientas de seguridad bien probadas, y a un equipo de apoyo y asesoría que permite adoptar un proceso de gestión de riesgos más sólido que el que obtendrías de otra manera. 

Relevancia de Google Cloud Platform en la mitigación de riesgos

Google Cloud Platform se enfoca en permitir que las organizaciones de todo el mundo transformen su negocio mediante la tecnología digital, reconociendo las necesidades de seguridad en el ciberespacio actual, y tomando grandes medidas de seguridad para mitigar los riesgos conocidos, y encontrar otros nuevos potencialmente devastadores. 

GCP cumple con varios estándares regulatorios y de cumplimiento, sin embargo, es importante tener en cuenta que esto solo significa que el producto de Google cumple con esos estándares, no significa que al usar los productos no tienes que implementar prácticas internas de cumplimiento. 

Muchas organizaciones usan GCP para desarrollar aplicaciones críticas. Estas aplicaciones trabajan con información confidencial que representa un riesgo para el negocio debido a la naturaleza confidencial de la información. Además, las aplicaciones de misión crítica requieren tiempo de actividad las 24 horas del día para satisfacer las necesidades de la organización. 

Conclusión

La evaluación del riesgo es el proceso de evaluar las probabilidades y las consecuencias de los eventos de riesgo si llegasen a suceder. 

Los resultados de esta evaluación se utilizan luego para priorizar los riesgos para establecer una clasificación de importancia de más a menos crítica. 

Clasificar y priorizar los riesgos en términos de su nivel crítico o importancia, proporciona información a la gestión del proyecto sobre dónde se pueden necesitar recursos tecnológicos para gestionar o mitigar la realización de eventos de riesgo de alta probabilidad o alta consecuencia.

GCP ayuda a extender las políticas y los procedimientos internos de seguridad y cumplimiento en las instalaciones en la nube, al mismo tiempo que mantiene a tu empresa encaminada para garantizar que se cumplan los estándares regulatorios y de protección de la información y sistemas.