Español
English
Cada día que pasa el número de ciberamenazas incrementa, esto no es nada nuevo. Y nos cuesta adaptarnos, tecnologías cambiantes, entrada del teletrabajo, de la nube. Todo esto genera una infinidad de riesgos que afectan a los activos y datos de nuestras compañías y que intentamos atacar como podemos.
Y aún sabiéndolo, solemos gestionarlo mal. Algunos ejemplos son, no paran de llegar phishings, entonces trabajamos en poner un antispam mejor; descubrimos que tenemos publicada una base de datos legacy, vamos a actualizarla; ¿el CEO nos pide que cifremos la información? Trabajamos en cifrar la BBDD. Y cuando ya hemos cubierto todos esos “parches”, resulta que nos entra un atacante por un RDP que teníamos expuesto a internet, y no teníamos ni idea.
Las compañías suelen reaccionar reactivamente, y basan su estrategia de ciberseguridad en ir solucionando temas a medida que van surgiendo, pero muy pocas tienen una imagen real de todos los riesgos que existen en la compañía. En otras palabras, vemos las partes pero no el todo.
Pongamos un símil, imagina que te miras la cara al espejo, y te ves perfecto, sin embargo la gente se ríe de tí por la calle. No lo entiendes, te estás mirando la cara al espejo y no tienes nada raro. Un día decides comprarte un espejo de cuerpo completo y te das cuenta que vas sin pantalones, y toda esa inversión en tener tu cara bonita no ha servido de nada ya que no estabas viendo que el problema no estaba ahí.
Ese espejo de cuerpo completo sería un análisis de ciberriesgos, o cyber risk assessment en inglés. No, no es algo que debemos realizar para cumplir con cierto estándar, o porque nos lo piden los auditores. Es de hecho probablemente la herramienta más potente de cara a definir una estrategia de seguridad. Si se usa correctamente.
¿Que es un análisis de ciberriesgos?
Un análisis de ciberriesgos es un análisis que, de forma muy resumida, va a decir la probabilidad de que un ciberataque se perpetre con éxito en tu compañía, y te dirá qué tipo de ataque será, y por qué vulnerabilidad entrará. ¿Cómo lo hace? Pues analizando las diferentes amenazas existentes, analizando los diferentes controles que tienes implementados en tus sistemas, y creando una matriz de riesgos que juntará activos con amenazas y salvaguardas.
¿Y por qué dices que es la herramienta más potente?
Sencillo, sabiendo las amenazas clave, y los puntos concretos a mejorar, te permitirá asegurar que inviertas tanto económicamente como en tiempo en los lugares correctos, maximizando así el valor de tu inversión y estrategia de seguridad. Como dicen, para poder con tu enemigo, debes conocerlo primero.
Obviamente un análisis de riesgos es el primer paso. Una vez identificadas las amenazas más probables y los puntos donde hay que hacer hincapié, se debe pasar a la acción, desarrollando una estrategia de mitigación de riesgos que es el resultado del análisis de riesgos o cyber risk assessment.
Piensalo bien, ¿Cómo justificarías esa inversión potente en un producto antivirus de nueva generación si tu empresa jamás ha invertido en formación a los empleados y van a clicar en el primer phishing que se les plante? Y te la planteo al revés, ¿Cómo justificarías una inversión en formación a los empleados si luego sus ordenadores no tienen absolutamente ningún sistema de protección?
La respuesta a ambas es la misma, analiza primero donde flaqueas, qué es lo más probable que te pase, y entonces define tu estrategia. Y para ello es necesario un análisis de ciberriesgos. Y no vale con hacerlo una vez, debe hacerse periódicamente, dado el mundo tan cambiante tecnológicamente hablando, que nos ha tocado vivir.
Autor: Guillermo Sánchez