Es crucial asegurarse de que la gestión de riesgos de ciberseguridad perdure en el tiempo. Existe la necesidad de una gestión continua de riesgos de ciberseguridad a medida que la empresa y el panorama de amenazas externas evolucionan después de que una evaluación inicial de riesgos de vulnerabilidad haya identificado todos los activos digitales de la organización y examinado las medidas de seguridad existentes. Por lo tanto, este artículo cubre todo lo que necesita saber sobre la gestión de riesgos de ciberseguridad.
¿Qué es la Gestión de Riesgos de Ciberseguridad?
La gestión de riesgos de ciberseguridad es el proceso constante de encontrar, analizar, evaluar y responder a las amenazas de ciberseguridad en su organización.
La gestión de riesgos de ciberseguridad es responsabilidad de todos en la organización, no solo del personal de seguridad. Los empleados y los líderes de las unidades comerciales con frecuencia consideran la gestión de riesgos como una actividad comercial separada. Lamentablemente, carecen del punto de vista completo y consistente requerido para enfrentar el riesgo.
Cada función tiene su propio objetivo, frecuentemente acompañado de una falta de comprensión y empatía por los demás. TI es pionera en nuevas ideas y tecnología, percibiendo continuamente la seguridad y el cumplimiento como obstáculos inconvenientes para el crecimiento. La seguridad es consciente de la seguridad, pero a menudo no está en contacto con la legislación y las tecnologías en evolución. El personal de ventas quiere mantener satisfechos a sus clientes y buscan una solución práctica para ejecutar los controles de seguridad. Cumplimiento trata de evitar que todos se metan en problemas al adherirse estrictamente a las regulaciones, pero con frecuencia opera sin una comprensión profunda de la seguridad.
Todas las funciones deben operar con roles y responsabilidades claramente definidos para gestionar eficazmente el riesgo de ciberseguridad. Los días de los departamentos aislados que avanzaban a tientas en un desconcierto inconexo quedaron atrás. El panorama de riesgos actual requiere un enfoque de gestión de riesgos cohesivo, coordinado, disciplinado y consistente. Los siguientes son algunos componentes críticos de acción de gestión de riesgos que todas las empresas deben recordar:
- Crear políticas y herramientas sólidas para evaluar el riesgo de los proveedores
- Identificar riesgos emergentes, como nuevas reglas con implicaciones comerciales.
- Se identifican fallas internas, como la falta de autenticación de dos factores.
- Mitigación de riesgos de TI, posiblemente a través de programas de capacitación, nuevas regulaciones y controles internos
- Pruebas generales de postura de seguridad
- Documentación de gestión de riesgos y seguridad de proveedores en preparación para auditorías reglamentarias o para tranquilizar a nuevos clientes
¿Cuáles son los beneficios de gestionar el riesgo de ciberseguridad?
Una empresa puede evitar que sus operaciones diarias traten la seguridad cibernética como una ocurrencia tardía al implementar la gestión de riesgos de seguridad cibernética. Un plan de gestión de riesgos de ciberseguridad garantiza que los protocolos y políticas se sigan regularmente y que la seguridad se mantenga actualizada.
Los siguientes peligros se monitorean, identifican y mitigan continuamente a través de la gestión de riesgos de ciberseguridad:
- detección de phishing,
- VIP y protección ejecutiva,
- Protección de marcas,
- Prevención del fraude,
- Monitoreo de fuga de datos confidenciales,
- Actividad en la dark web,
- Mitigación de amenazas automatizada,
- Monitoreo de credenciales filtradas,
- Identificación de aplicaciones móviles maliciosas,
- y los riesgos de la cadena de suministro son solo algunos ejemplos.
Marco de Gestión de Riesgos de Ciberseguridad
Para los líderes de seguridad de todas las naciones y empresas, un marco de seguridad cibernética ofrece un lenguaje común y un conjunto de estándares que les permiten comprender sus posturas de seguridad y las de sus proveedores. Un marco hace que sea mucho más simple especificar los pasos de su organización para evaluar, administrar y reducir el riesgo de ciberseguridad.
Un marco de seguridad cibernética puede servir como un punto de referencia importante.
La base para incorporar la gestión de riesgos de seguridad cibernética en su gestión del rendimiento de seguridad y las estrategias de gestión de riesgos de terceros la proporcionan los marcos de seguridad cibernética, que a menudo son necesarios. Obtendrá información crucial sobre su mayor riesgo de seguridad al usar un marco como su brújula, y se sentirá cómodo diciéndole al resto de la organización que está dedicado a la excelencia en seguridad.
Marco NIST para la ciberseguridad
La orden ejecutiva del expresidente, Mejora de la ciberseguridad de la infraestructura crítica, pedía una mayor cooperación entre los sectores público y privado para identificar, evaluar y gestionar el riesgo cibernético. En respuesta, se creó el marco de ciberseguridad del NIST. NIST se ha convertido en el estándar de oro para evaluar la madurez de la seguridad cibernética, identificar brechas de seguridad y cumplir con las regulaciones de seguridad cibernética, aunque el cumplimiento es opcional.
Normas ISO 27002 y 27001
Las certificaciones ISO 27001 e ISO 27002, creadas por la Organización Internacional de Normalización (ISO), se consideran el punto de referencia mundial para verificar un programa de ciberseguridad internamente y con partes externas. Con una certificación ISO, las empresas pueden demostrar a la junta directiva, los clientes, los socios y los accionistas que están haciendo lo correcto para gestionar el riesgo cibernético. Del mismo modo, si un proveedor tiene la certificación ISO 27001/2, es un buen indicador (aunque no el único) de que tiene prácticas y controles de ciberseguridad maduros.
NERC-CIP
Presentado para mitigar el aumento de los ataques a la infraestructura crítica de EE. UU. y el creciente riesgo de terceros, la Corporación de Confiabilidad Eléctrica de América del Norte - Protección de Infraestructura Crítica (NERC CIP) es un conjunto de estándares de seguridad cibernética diseñados para ayudar a los sectores de servicios públicos y energía a reducir la seguridad cibernética. riesgo y asegurar la confiabilidad de los sistemas eléctricos a granel.
El marco requiere que las organizaciones afectadas identifiquen y mitiguen los riesgos cibernéticos en sus cadenas de suministro. En NERC-SIP se describen varios controles, como la clasificación de sistemas y activos críticos, capacitación del personal, respuesta y planificación de incidentes, planes de recuperación para activos cibernéticos críticos, evaluaciones de vulnerabilidad y más. Obtenga más información sobre las estrategias de cumplimiento de NERC-CIP que funcionan.
Salario de Gestión de Riesgos de Ciberseguridad
El salario anual promedio para un administrador de riesgos cibernéticos en los Estados Unidos es de $ 102,856 por año a partir del 19 de diciembre de 2022.
Suponga que necesita una calculadora de salario rápida que cuesta alrededor de $ 49.45 por hora. Esto equivale a $1,978 por semana o $8,571 por mes.
Si bien ZipRecruiter tiene ganancias anuales tan altas como $ 167,000 y tan bajas como $ 29,500, la mayor parte de los salarios de gestión de riesgos cibernéticos en los Estados Unidos ahora oscilan entre $ 74,500 (percentil 25) a $ 126,500 (percentil 75), y los que más ganan (percentil 90) ganan $ 156,000 . El rango de salario promedio para la gestión de riesgos cibernéticos varía sustancialmente (hasta $ 52,000), lo que implica que puede haber numerosas perspectivas de promoción y mayores ingresos según el nivel de habilidad, la ubicación y los años de experiencia.
Según publicaciones recientes de ZipRecruiter, el mercado laboral de gestión de riesgos cibernéticos en Atlanta, GA y sus alrededores está activo. Un administrador de riesgos cibernéticos en su área gana un salario anual promedio de $ 101,973, que es $ 883 (1%) menos que el salario anual promedio nacional de $ 102,856. Georgia ocupa el puesto 49 entre 50 estados con respecto al salario de gestión de riesgos cibernéticos.
ZipRecruiter revisa regularmente su base de datos de millones de trabajos activos anunciados localmente en todo Estados Unidos para generar el rango de salario anual más preciso para los puestos de gestión de riesgos cibernéticos.
Esta posición es crucial para prevenir catástrofes de seguridad al detectar posibles puntos débiles en sus sistemas de información. Estos expertos evalúan las medidas de seguridad implementadas y previenen posibles ataques a las computadoras, redes y datos de su empresa.
Salario de un ingeniero de seguridad cibernética
Con salarios promedio de ciberseguridad que van desde $ 120,000 a $ 210,000, el puesto de ingeniero de ciberseguridad también genera uno de los salarios más altos en el sector de la seguridad.
Las empresas contratan a estos expertos por sus habilidades y experiencia porque son los principales responsables de varias tareas de ingeniería de seguridad, como diseñar, desarrollar e implementar soluciones de red seguras para protegerse contra ataques cibernéticos sofisticados, intentos de piratería y amenazas persistentes.
Salario de un ingeniero de seguridad de aplicaciones
Los ingenieros de seguridad de aplicaciones son los terceros profesionales de seguridad cibernética mejor pagados, con salarios anuales que oscilan entre $ 130,000 y $ 200,000.
Contratar a un ingeniero de seguridad de aplicaciones es esencial si su empresa utiliza soluciones de software ofrecidas o alojadas por terceros, como AWS o Azure de Microsoft, o incluso si desarrolla sus soluciones desde cero.
Estos expertos protegerán todas las aplicaciones comerciales y el software utilizado por su fuerza laboral y garantizarán que todos los requisitos de privacidad y cumplimiento se incorporen al software y se cumplan.
Sueldo de un analista de seguridad cibernética
El salario promedio para este puesto en ciberseguridad oscila entre $95,000 160,000 y $XNUMX XNUMX, y bien vale la pena.
Estos expertos en seguridad ayudan a desarrollar, organizar e implementar medidas de seguridad para proteger su infraestructura.
Están especialmente equipados para identificar vulnerabilidades antes de que los hackers tengan la oportunidad. Tienen el conocimiento y la experiencia para colaborar con los evaluadores de penetración y los gerentes de seguridad de la información para mitigar y evitar ataques cibernéticos que podrían dañar gravemente su negocio.
¿Cuándo se deben contratar los gerentes de seguridad de la información?
¿Estaba buscando proteger los datos de los clientes y mantenerse alejado de los costos y sanciones asociados con el compromiso o el robo de su información privada? Hágase un favor y ocupe este puesto antes de que su negocio sufra. Se ve obligado a presupuestar costosas multas por no proteger los datos de los clientes, como Uber, que recibió una sanción de $ 148 millones por violar las leyes estatales que requieren la notificación de violación de datos.
Plan de Gestión de Riesgos de Ciberseguridad
Dependiendo de los requisitos y objetivos de su organización, elija el mejor enfoque, que puede ser cuantitativo, cualitativo o una combinación de ambos.
Un enfoque cuantitativo le brinda información sobre el impacto financiero que conlleva un riesgo particular, mientras que un enfoque cuantitativo le brinda visibilidad sobre el impacto organizacional en términos de productividad.
Según la Publicación especial NIST 800-30, se puede realizar una evaluación de riesgos a nivel táctico o estratégico.
Hacer un inventario de todos los activos y organizarlos según la prioridad, la importancia y el tipo de información que se evalúa es el primer y más importante paso en el proceso de evaluación de riesgos de seguridad.
Obtenga el apoyo de todas las partes interesadas y decida cómo categorizar los activos de información.
#1. Ordenar los riesgos de ciberseguridad por prioridad
Determine qué datos son accesibles, para quién y cómo se pueden violar.
Con la ampliación del panorama de TI y las organizaciones que adoptan tecnologías más nuevas y diferentes modos de hacer negocios, como infraestructura compartida o servicios de terceros que se ejecutan sobre una pila de software existente, pueden existir lagunas en los datos en los territorios más inesperados.
Además del panorama cambiante, muchas políticas de cumplimiento y prácticas regulatorias refuerzan la importancia de identificar cada posible incidente de seguridad o violación de datos que pueda surgir en la red de infraestructura.
Una vez que haya identificado y clasificado los activos de información, identifique los posibles canales de amenazas.
A medida que avanzamos en el panorama dinámico de amenazas, es importante que nos mantengamos actualizados sobre los desencadenantes y los controles y evolucionemos para diseñar diferentes estrategias para contrarrestar estas amenazas con las necesidades cambiantes.
Los incidentes de seguridad de datos van desde ataques externos, usuarios y software maliciosos, vulnerabilidades introducidas como resultado de negligencia, desastres naturales y amenazas internas.
Las fallas de seguridad resultan en pérdida de ingresos, daño a la reputación, repercusiones legales, interrupción de la continuidad del negocio y una larga lista de otros efectos negativos.
A través del escaneo, las pruebas de penetración y los controles de auditoría, encuentre las vulnerabilidades de la red.
Las vulnerabilidades viven en la red o en la aplicación y son puntos débiles que pasan desapercibidos debido a la supervisión y la falta de agilidad para detectar las fallas del sistema.
Con más y más empresas que alojan y ejecutan sus aplicaciones en la nube, las posibilidades de introducir estos puntos débiles son altas.
Las amenazas que apuntan a tales vulnerabilidades son externas, internas, estructuradas y no estructuradas.
#2. Determinar Estrategias de Prevención y Mitigación de Riesgos para la Ciberseguridad
Es hora de desarrollar mecanismos para evitar las amenazas que es probable que enfrente después de evaluar los activos de información e identificar posibles amenazas de seguridad relacionadas con esos activos.
Implementar herramientas de monitoreo de seguridad
Implemente toda la infraestructura y las soluciones de seguridad necesarias que puedan automatizar la vigilancia por usted. Este es un paso esencial en la gestión de la seguridad de su red.
Servicios de Ciberseguridad
Estos servicios se ofrecen de forma individual o conjunta.
- Servicio de Operaciones de Gestión de Riesgo Cibernético
Identifique y gestione los riesgos cibernéticos relevantes para permitir una toma de decisiones eficaz y basada en el riesgo.
- Evaluación del programa de seguridad cibernética
Evalúe su programa de seguridad para priorizar las inversiones, aumentar la resiliencia y reducir el riesgo.
- Evaluación de seguridad de las joyas de la corona
Identifique, proteja y defienda sus activos comerciales más críticos de compromisos dañinos.
- Servicio de Debida Diligencia de Seguridad Cibernética
Realice y mitigue los riesgos cibernéticos heredados asociados con las transacciones comerciales, las relaciones y los sistemas fuera del control directo.
- Servicio de seguridad de modelado de amenazas
Descubra riesgos comerciales y de seguridad no identificados a través de un análisis de sistema dinámico y efectivo.
- Gestión de amenazas y vulnerabilidades
Mejore y estabilice sus procesos de gestión de vulnerabilidades con estrategias comprobadas de seguridad basadas en riesgos.
Conclusión
Hoy en día, gestionar el riesgo en toda la empresa es más difícil que nunca. Los panoramas de seguridad modernos cambian con frecuencia, y las empresas enfrentan el desafío de una explosión de proveedores externos, nuevas tecnologías y un campo minado de reglas en constante expansión. El brote de COVID-19 y la recesión han empujado a los equipos de seguridad y cumplimiento a asumir responsabilidades adicionales mientras reducen los recursos.
Con este telón de fondo, su empresa debe implementar un Proceso de Gestión de Riesgos. Determine su riesgo identificándolo y evaluándolo, luego establezca una estrategia de mitigación y verifique continuamente sus controles internos para asegurarse de que estén alineados con el riesgo. Recuerde que cualquier proyecto de gestión de riesgos siempre debe priorizar la reevaluación, las pruebas nuevas y la mitigación continua.
Al final, no hay tregua en la búsqueda moderna de la gestión de riesgos. Apenas parece justo en un período de cambios sin precedentes, con riesgos y vulnerabilidades que aumentan minuto a minuto. Las empresas inteligentes y exitosas, por otro lado, continuarán defendiéndose en la batalla para administrar el riesgo de TI y preservar la seguridad corporativa con el apoyo de herramientas de análisis, colaboración/comunicación/administración de problemas y marcos de administración de riesgos de terceros.
Artículos Relacionados
- ABOGADO DE SEGURIDAD: Todo lo que debe saber (actualizado)
- Cuatro razones por las que todas las empresas deben prestar atención a la ciberseguridad en 2023
- Ingeniero de ventas: ¡Descripción del trabajo, habilidades y salario actualizados! (NOSOTROS)
- SISTEMAS DE GESTIÓN AMBIENTAL: Tipos y elementos básicos de un SGA
- Problemas de seguridad excéntricos de Blockchain en 2023
Referencias
