Es como una Polaroid descolorida de otra época: el tiempo en que un ordenador con software centralizado permanecía bajo llave en una oficina. Y es que, para la mayoría de las organizaciones, esa época ya pasó: se recuerda con cierta nostalgia, pero está completamente alejada de la realidad actual.

Piense en la cantidad de dispositivos, activos y personas que interactúan hoy con la infraestructura de TI de una empresa:

  • Dispositivos (equipos de sobremesa, portátiles, dispositivos móviles e IoT, tanto corporativos como personales).
  • Software y aplicaciones (cada vez más basados en la nube y, en gran medida, fuera del control de la organización).
  • Activos digitales y documentos.
  • API e integraciones.
  • Personal interno, empleados remotos o híbridos, autónomos, contratistas y proveedores.

Además, muchos de estos dispositivos, aplicaciones y activos pueden formar parte de un amplio entorno de TI en la sombra que puede resultar invisible para los equipos de TI y ciberseguridad.

Este ecosistema en expansión ha creado un panorama de riesgos de TI igual de complejo. Un riesgo de TI no mitigado puede tener un impacto importante en las finanzas, la funcionalidad, la moral y la reputación de la empresa. El flujo constante de amenazas de ciberseguridad al que se enfrentan las organizaciones, junto con el impacto real que conllevan, ha dejado dolorosamente clara la necesidad de contar con un proceso sólido de gestión de riesgos de TI.

En esta guía concisa sobre gestión de riesgos de TI, abordaremos:

  • ¿Qué es la gestión de riesgos de TI?
  • Cinco pasos para la gestión de riesgos en TI.
  • Qué proceso y estrategias de gestión de riesgos de TI debe seguir.
  • Buenas prácticas para la gestión de riesgos de TI.

¿Qué es la gestión de riesgos de TI?

Una empresa se enfrenta a algún tipo de «riesgo» en casi todos los ámbitos de su organización y sus operaciones. Pero, cuando hablamos de gestión de riesgos de TI, nos referimos al riesgo de ciberseguridad

Como hemos visto, con la creciente integración de procesos y herramientas de TI complejos en las operaciones diarias de una organización, los riesgos asociados van en aumento. Aquí entra en juego la gestión de riesgos de TI: una práctica que aplica los principios de gestión de riesgos a las organizaciones de TI.

La gestión de riesgos de TI implica identificar, evaluar y priorizar los riesgos para el capital y los ingresos de una organización. También supone adoptar medidas para minimizar, supervisar y controlar el impacto de esos riesgos.

En términos más sencillos, se trata de proteger activos empresariales valiosos, garantizar el cumplimiento de normas y estándares, mantener una imagen positiva, tomar decisiones bien fundamentadas y asegurar la continuidad y resiliencia de las operaciones, incluso en situaciones difíciles.

La gestión de riesgos no es nada nuevo para las organizaciones; se trata simplemente de aplicar procesos y procedimientos conocidos a la creciente red de interacciones de TI. A medida que las organizaciones desarrollan planes de gestión de riesgos de TI, esto suele incluir la cobertura de funciones conocidas, como la de responsable de riesgos o analista de remediación de riesgos: perfiles que no solo deben tener un sólido conocimiento de las prácticas generales de gestión de riesgos, sino también experiencia en TI para garantizar que los riesgos se evalúen y remedien correctamente.

El nuevo panorama del riesgo cibernético

Sin embargo, un gran reto es que los riesgos que deben abordar los equipos de TI y ciberseguridad no permanecen estáticos. De hecho, su naturaleza en constante cambio es quizá su rasgo distintivo y la mayor fuente de riesgo.

En los últimos cinco años, la naturaleza de la gestión de riesgos de TI ha evolucionado de forma significativa, ampliando su alcance y significado para responder a los retos de un panorama de riesgo cibernético en continua evolución.

La tarea de simplificar la gestión de riesgos de TI se ha vuelto cada vez más compleja, ya que las amenazas a las que se enfrenta no encajan, en muchos sentidos, con las definiciones tradicionales de «riesgo».

Definir el riesgo de TI y las disciplinas en las que influye

Empecemos abordando una pregunta básica: ¿a qué riesgos nos enfrentamos realmente? Porque ya no son los mismos que hace relativamente poco tiempo.

En esencia, un riesgo de TI podría manifestarse como un centro de datos comprometido, una vulnerabilidad en el ordenador de una persona o un virus malicioso. Pero las amenazas actuales, más diversas y dinámicas, exigen que consideremos la gestión de vulnerabilidades basada en el riesgo (RBVM) y exploremos formas de automatizar este proceso. Además, debemos prevenir los riesgos de forma proactiva adoptando prácticas DevSecOps.

Para sentar las bases, diferenciemos entre riesgo de TI y riesgo de seguridad:

  • Riesgo de TI se refiere a posibles resultados negativos relacionados con fallos o usos indebidos de las TI.
  • Riesgo de seguridad se refiere a alguien o algo que supone una amenaza potencial para la seguridad o que podría causar daños a una organización.

A medida que el panorama de la ciberseguridad ha cambiado, también ha transformado nuestro concepto de amenazas y vulnerabilidades: las organizaciones se enfrentan a amenazas, y las exposiciones a ellas son vulnerabilidades. Cuando esas vulnerabilidades se explotan, se convierten en riesgo. Por tanto, la gestión de riesgos de TI depende de la gestión de vulnerabilidades de TI. Puede que nunca eliminemos por completo las amenazas, pero las modulamos y contenemos mediante una gestión de vulnerabilidades vigilante.

Dos disciplinas fundamentales para la gestión de vulnerabilidades de TI son la gestión de activos de TI (ITAM) y la gestión de servicios de TI (ITSM), junto con las tecnologías que despliegan:

  • La ITAM consiste en hacer seguimiento y optimizar los activos de una organización, tanto físicos como digitales, a lo largo de su ciclo de vida, garantizando un uso eficiente y una gestión adecuada de recursos valiosos.
  • Las herramientas de ITAM permiten gestionar elementos de configuración (CI), como activos de hardware y software, para que TI pueda configurar, optimizar y hacer seguimiento de los CI durante todo su ciclo de vida.
  • La ITSM es la práctica de diseñar, entregar, gestionar y mejorar los servicios de TI para satisfacer las necesidades de la organización de forma eficiente y eficaz. Sus herramientas y buenas prácticas mejoran la capacidad de TI para hacer seguimiento, responder y atender solicitudes tecnológicas de los usuarios finales y de otros clientes internos.
  • Las herramientas de ITSM también pueden permitir a los usuarios utilizar opciones de autoservicio para resolver problemas técnicos sencillos y habituales como parte del esfuerzo por lograr soporte de nivel cero en el servicio de asistencia.
  • ¿Otra disciplina que interviene en el control del riesgo de TI? La gestión de la exposición, un campo emergente que identifica y mitiga de forma proactiva posibles vulnerabilidades y riesgos de seguridad antes de que puedan ser explotados.

¿Cómo contribuyen estas herramientas a simplificar la gestión de riesgos de TI, especialmente teniendo en cuenta lo complejas que se han vuelto las redes de TI y las ciberamenazas?

Las plataformas tecnológicas de ITAM e ITSM con la funcionalidad adecuada pueden ayudar a una organización a unificar las operaciones de TI dentro de un proceso de seguridad de circuito cerrado, con detección, evaluación y remediación de vulnerabilidades automatizadas, continuas y proactivas.

La palabra clave es, por supuesto, «automatizadas». La intervención humana no es necesaria si las vulnerabilidades pueden parchearse o los problemas remediarse antes de que afecten a los usuarios, evitando impactos en la seguridad o incluso la necesidad de contactar con el servicio de asistencia.

Desplazar las cargas de trabajo de seguridad de TI hacia la izquierda

Por tanto, las herramientas que utiliza TI, especialmente ITAM e ITSM, pueden ayudar a Seguridad a «desplazarse a la izquierda» aprovechando la automatización de ITAM e ITSM. Permiten realizar más acciones de seguridad con menos trabajo y coste, evolucionando hacia una remediación proactiva de riesgos.

¿Cuáles son algunas de las formas en que las automatizaciones de ITAM e ITSM pueden utilizarse para facilitar el trabajo de los equipos de Seguridad?

Mejorar las opciones de autoservicio para los usuarios finales

Automatice la clasificación inicial de solicitudes y preguntas de seguridad, de modo que las solicitudes de menor nivel se asignen a personal de niveles inferiores y los analistas sénior queden liberados de tareas como la identificación de phishing u otras similares. Implemente formularios de solicitud para acceso a archivos o exenciones de políticas dentro de una wiki de seguridad, lo que permite ofrecer soporte de autoservicio de nivel cero a los usuarios.

Unificar la resolución de incidentes de seguridad

Reutilice el software de gestión de tickets de TI y las colas de priorización (alimentadas por formularios de solicitud) para mejorar la priorización, el seguimiento y la contextualización.

Reutilizar automatizaciones de TI en segundo plano para casos de uso de seguridad

Las mismas automatizaciones proactivas de TI dentro de ITAM e ITSM que se activan en función de configuraciones específicas pueden clonarse y ajustarse para abordar una amplia variedad de objetivos de seguridad, como proteger entornos de endpoints y detectar actividad maliciosa.

Configurar activadores de automatización

Los equipos de Seguridad pueden utilizar los CI actuales y crear variables personalizadas específicas de seguridad que se registren en una base de datos de gestión de la configuración (CMDB) de ITAM, tanto como activadores como componentes de fórmulas automatizadas.

Automatizar la aplicación de la seguridad

Las mismas funciones de TI que aplican políticas informáticas generales a los usuarios pueden informar sobre protocolos de seguridad y aplicarlos. Por ejemplo, pueden enviar alertas sobre posibles infracciones de políticas o amenazas internas en cuanto se detecten.

5 claves para optimizar la gestión de riesgos de TI

Simplificar y optimizar la gestión de riesgos de TI no implica solo a TI. El equipo de ciberseguridad de su organización tiene, lógicamente, un interés directo en cualquier medida destinada a mejorar la eficiencia y la eficacia de los procesos y herramientas que se implanten. Por eso muchos de los pasos clave para mejorar la gestión de riesgos de TI giran en torno a la comunicación y la colaboración entre TI, Seguridad y otras partes interesadas.

Para profundizar en los puntos siguientes, consulte nuestro e-book De adversarios a aliados.

1. Los equipos de Seguridad deben explicar sus planes y solicitudes

Evite imponer directrices sin contexto y explique a las partes interesadas de la organización la estrategia y los beneficios que hay detrás de sus planes, cambios y solicitudes de seguridad. Antes de iniciar cualquier plan de seguridad, el CISO debe compartir la estrategia de seguridad y el plan para implementarla, ya que los departamentos de TI pueden frustrarse rápidamente ante solicitudes de seguridad sin explicación.

Debido a limitaciones de tiempo y capacidad, las solicitudes de seguridad pueden emitirse sin explicar por qué se pide el cambio. Esto puede dificultar que TI las implemente. Es importante que los equipos de Seguridad consideren cómo pueden aplicar sus solicitudes los departamentos de TI.

2. Sea consciente de la carga que soporta TI

Los equipos de Seguridad deben tener siempre presente la carga de trabajo del equipo de TI antes de realizar una solicitud; TI puede estar gestionando un proyecto de mayor envergadura o no contar con suficiente personal para asumir la tarea. Es imprescindible buscar herramientas y sistemas que faciliten al equipo de TI la implementación de políticas de seguridad, solicitudes y parches.

Combinar la gestión de vulnerabilidades basada en el riesgo (RBVM) e ITSM ayuda a reducir la carga de TI al priorizar de forma automática e inteligente las tareas importantes e ignorar las que están mal priorizadas.

Tenga en cuenta lo siguiente: en cualquier momento dado, el Common Vulnerability Scoring System identifica aproximadamente un cuarto de millón de vulnerabilidades y las clasifica como de riesgo alto, medio o bajo. De ellas, unas 38.000 están armadas para su explotación, y alrededor de 11.000, es decir, el 4 %, se consideran peligrosas. Desde la perspectiva de la RBVM, observamos que la mayoría de los riesgos «críticos» señalados por CVSS en realidad no lo son, porque podemos profundizar hasta identificar el 4 % más peligroso de las vulnerabilidades altas y medias. Esta reclasificación de vulnerabilidades identificadas por el estándar CVSS redirige de forma drástica la atención hacia las vulnerabilidades verdaderamente críticas en las que debe centrarse el equipo de TI.

3. Fomente la colaboración

Los departamentos que trabajan juntos para optimizar la gestión de riesgos de TI deben colaborar para alcanzar resultados mutuamente beneficiosos. Al fin y al cabo, cada uno tiene sus propias prioridades: TI quiere que las operaciones funcionen sin interrupciones, mientras que Seguridad quiere gestionar los problemas lo antes posible.

Al colaborar y actuar con flexibilidad en la creación de protocolos y procesos de gestión de riesgos de TI, ambos pueden salir ganando. Una forma de crear esta flexibilidad es establecer acuerdos de nivel de servicio (SLA) aceptados mutuamente.

4. Establezca objetivos compartidos

Seguridad y TI tienen puntos en común: ambos quieren que la organización, los usuarios y los procesos funcionen correctamente. Por eso es fundamental que los responsables de TI y Seguridad alineen sus objetivos y definan indicadores clave de rendimiento (KPI), paneles y otras métricas para hacerles seguimiento y reforzarlos.

También es importante que una organización comprenda las implicaciones de establecer objetivos estratégicos, de modo que se conozca cualquier impacto en el producto, los procesos y las personas antes de que esos objetivos queden fijados.

5. Eche una mano

Compartir recursos administrativos, conocimientos técnicos y herramientas entre los equipos de Seguridad y TI puede reducir costes e impulsar la colaboración. Por ejemplo, si Seguridad toma prestadas herramientas, políticas y procesos de TI para sus casos de uso, debería ofrecer algo a cambio.

Las herramientas, paneles e informes compartidos crean un contexto para que ambos equipos comprendan el mundo del otro, generando empatía y confianza.

Teniendo en cuenta las amenazas que actualmente afectan a las redes digitales corporativas, ese tipo de colaboración es fundamental.