Content
Información sobre seguridad McAfee
Medimos el riesgo para calibrar la vulnerabilidad
Como la diversidad de las amenazas a las que se enfrentan las organizaciones de TI sigue aumentando, es fácil que los profesionales de la seguridad se vean abrumados. Todas las alertas sobre nuevas vulnerabilidades de software o nuevas cepas de código peligroso pueden traer de cabeza al personal informático hasta solucionar el problema lo antes posible. El resultado puede ser frenético, una acción dedicada única y exclusivamente a solucionar el problema que consume tiempo y energía y que no necesariamente puede ofrecer la máxima protección para la empresa.
En su lugar, los equipos de seguridad deben desarrollar estrategias de gestión de los riesgos pensadas para que sus limitados recursos se centren en las amenazas más peligrosas para sus empresas.
“No hay ninguna empresa que tenga el tiempo y el personal sufriente para eliminar por completo todos los riesgos relacionados con las TI”, afirma George Kurtz, director general adjunto de Gestión de riesgos de McAfee. “Por lo tanto, debemos ser capaces de cuantificar los riesgos a los que nos enfrentamos y priorizar las inversiones en seguridad en consecuencia.”
Para cuantificar el riesgo y priorizar las medidas correctivas, Kurtz, que entró a formar parte del equipo directivo de McAfee procedente de la reciente adquisición de Foundstone, propone un modelo en el que los riesgos se miden a partir de tres factores: el valor de los activos, la vulnerabilidad de los activos y las amenazas reales.
Valor de los activos: Un servidor que procese transacciones por valor de miles de dólares cada minuto es un activo mucho más importante que un ordenador personal de un servicio de atención al cliente de un representante. Por lo tanto, una estrategia inteligente de reducción de los riesgos debe estar muy relacionada con el valor representado por la empresa y por los distintos tipos de activos de TI en toda la empresa.
Vulnerabilidad de los activos: Además de disponer de distintos tipos de valores empresariales, los activos de TI tienen distintos niveles de vulnerabilidad inherente. Un sistema al servicio de páginas web públicas es más vulnerable que uno que no se conecta a Internet para nada. Un conmutador cerrado en un armario de conexión está menos expuesto que un ordenador portátil que se encuentra a miles de kilómetros del perímetro de seguridad de la empresa.
Amenazas reales: Finalmente, los equipos de seguridad deben dibujar una imagen clara de las amenazas reales a las cuales todo activo está expuesto. Los sistemas operativos más populares del mercado, por ejemplo, son mucho más vulnerables que los sistemas heredados. Por lo tanto, a pesar de que las aplicaciones más antiguas que operan en estos sistemas heredados pueden tener mucho valor para la empresa, son objetivos mucho menos importantes para las amenazas y, por lo tanto, pueden entrañar un riesgo menos importante para la empresa que las aplicaciones que funcionen con Microsoft® Windows® o Linux™.
Al unir estos tres atributos, los equipos de seguridad pueden comprender con precisión dónde se encuentran los mayores riesgos para la empresa y pueden priorizar sus acciones de reducción del riesgo en consecuencia.
Los riesgos se pueden calcular sumando el valor del activo para la empresa, su vulnerabilidad inherente y la intensidad de las amenazas a las que realmente se enfrenta.
Estrategias de gestión del riesgo
Además de comprender los niveles específicos de riesgo, los equipos de seguridad pueden mejorar considerablemente su eficacia ampliando su perspectiva en cómo se pueden solucionar los riesgos relacionados con las TI. Kurtz señala cuatro posibles estrategias de gestión de los riesgos: reducción de riesgos, aceptación de riesgos, transferencia de riesgos y eliminación de riesgos.
Reducción de riesgos: Es la primera respuesta al riesgo en la que se suele pensar. Abarca todas las medidas que los equipos de seguridad toman contra las amenazas, entre las que encontramos los firewalls, los sistemas de detección de intrusiones y los antivirus.
Aceptación de riesgos: Si el coste de solucionar un riesgo es superior al propio riesgo, o si solucionar el riesgo puede implicar la utilización de los recursos necesarios para solucionar un riesgo más grave, el camino más lógico de actuación puede ser simplemente la aceptación del riesgo.
Transferencia del riesgo: En algunos casos, es más prudente transferir el riesgo a una tercera parte, como por ejemplo una compañía aseguradora, que dedicar los limitados recursos a la reducción de los riesgos, que probablemente no van a solucionar nada.
Evitar los riesgos: Podemos encontrarnos en situaciones en las que el nivel de riesgo y el coste de abordarlos son, sencillamente, intolerables. En tales casos, es mejor evitar el riesgo por completo retirando el sistema en cuestión o no implantándolo desde el principio.
“Si crees que debes reducir todos los riesgos a los que te enfrentas, vas a agotar todos tus recursos antes de que terminen las exposiciones”, afirma Kurtz. “Debes usar una estrategia combinada basándote en el tipo de entorno de TI y el tamaño del presupuesto en seguridad.”
Los equipos de seguridad pueden mejorar su eficacia automatizando al máximo los procesos de gestión de riesgos desde que se descubren los valores y la evaluación de los riesgos asociados a esos activos para comprobar que los procedimientos de solución se han ejecutado correctamente y que han surtido el efecto necesario.
Según Gartner, empresa de investigación en TI, las empresas que implantan procesos y tecnologías de gestión del riesgo adecuadas para descubrir, priorizar y solucionar vulnerabilidades, están un 90% menos expuestas a ser víctimas de un ataque que tenga éxito.
“El mayor mito con el que nos encontramos es que las empresas se creen suficientemente seguras con sólo poner un firewall”, afirma Kurtz. “La realidad es que nuestro nivel de seguridad depende en buena medida de cómo entendemos y gestionamos los riesgos en todas sus distintas formas, y de la eficacia del trabajo que hace para que sus limitados recursos se utilicen allí donde puedan ser más beneficiosos para la empresa.”
Desde que se redactó este artículo, McAfee ha presentado nuevos productos que ofrecen capacidades parecidas. Si desea más información, consulte nuestros productos.
Obtenga más información
Lea el libro blanco “Estrategias para gestionar vulnerabilidades y amenazas a los activos digitales esenciales” para obtener más información sobre las soluciones de gestión de riesgos de McAfee®.
