Evaluación de riesgos

En ciberseguridad, una evaluación de riesgos es un análisis integral de una organización para identificar vulnerabilidades y amenazas. El objetivo de una evaluación de riesgos es identificar los riesgos de una organización y hacer recomendaciones para mitigarlos. Las evaluaciones de riesgos pueden solicitarse después de un detonante específico, para completar una evaluación antes de avanzar como parte de procesos más amplios de gobierno y gestión de riesgos, o para evaluar periódicamente un portafolio como parte del cumplimiento de un objetivo de gestión de riesgos empresariales o de conformidad.

Dos marcos de evaluación de riesgos populares son el Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST) y la norma 27001:2022 de la Organización Internacional de Normalización/Comisión Electrotécnica Internacional (ISO/IEC).

Las evaluaciones de riesgos pueden basarse en diferentes metodologías: cualitativa, cuantitativa, o una combinación de ambas. Una evaluación cuantitativa proporciona datos concretos que incluyen la probabilidad y el impacto potencial de una amenaza con base en la recolección de datos y el análisis estadístico. Una evaluación cualitativa ofrece una visión más subjetiva y generalizada, y muestra qué ocurriría con las operaciones y la productividad de diferentes equipos internos si uno de los riesgos se presentara.

Una evaluación de riesgos debe incluir un inventario actualizado de los sistemas, proveedores y aplicaciones dentro del alcance de la evaluación. Esta información ayuda a los líderes de gestión de riesgos de seguridad a comprender el riesgo asociado con:

• La tecnología en uso
• Cómo los procesos de negocio dependen de esos activos
• Qué valor empresarial proporcionan

Una evaluación de riesgos única ofrece una instantánea en un momento específico de los riesgos actuales presentes y cómo mitigarlos. Las evaluaciones de riesgos continuas o permanentes brindan una visión más holística del cambiante panorama de riesgos que existe en la mayoría de las organizaciones.

Las evaluaciones de riesgos también ayudan a las organizaciones a evaluar y priorizar los riesgos para su información, incluidos sus datos y sus sistemas de información. Una evaluación también ayuda a los líderes de seguridad y tecnología a comunicar los riesgos en términos de negocio a las partes interesadas internas, específicamente al equipo ejecutivo y al consejo de administración. Esta información les ayuda a tomar decisiones informadas sobre qué áreas del programa de ciberseguridad deben priorizarse y cómo asignar recursos en alineación con los objetivos del negocio.

El crecimiento de los negocios digitales y los activos relacionados requiere una mejor gestión de entornos tecnológicos complejos, que hoy incluyen:

• El Internet de las cosas (IoT)
• Inteligencia artificial (IA)
• Aprendizaje automático (ML)
• Modelos de entrega en la nube
• Ofertas como servicio

>También crea un volumen creciente de datos, tipos de datos y activos tecnológicos. Una evaluación integral de riesgos debe incluir estos activos, permitiendo que una organización obtenga visibilidad de todos sus datos, proporcione información sobre si alguno de esos datos está expuesto e identifique cualquier problema grave de seguridad. Una evaluación de riesgos de datos puede ayudar a una organización a proteger y minimizar la exposición de datos sensibles al ofrecer una visión holística de los datos sensibles, identificar accesos excesivamente permisivos y descubrir datos obsoletos y fantasma.