Mejores prácticas de los marcos de gestión de riesgos (RMF)

Comprensión del marco de gestión de riesgos (incluido el RMF del NIST)

Como organización, debe mantenerse a caballo entre la mitigación de las amenazas a la seguridad y la privacidad y el cumplimiento de la normativa. Afortunadamente, ambas cuestiones pueden abordarse eficazmente mediante la implantación de un sólido sistema de gestión de la seguridad. Marco de gestión de riesgos. ¿Qué es un RMF y por qué es importante?

¿Qué es un RMF?

Un RMF, como el marco de gestión de riesgos del NIST, es una serie de procesos, herramientas y metodologías que le ayudan a identificar sus riesgos y a tomar medidas para mitigarlos y gestionarlos. Se trata de un sistema estructurado para la notificación y supervisión exhaustivas de los riesgos, de modo que pueda tomar decisiones informadas sobre estrategias de reducción de riesgos y asignar los recursos eficazmente.

Utiliza un análisis de impacto para evaluar las consecuencias potenciales de los distintos riesgos y los prioriza en consecuencia para una mejor gestión del riesgo. De este modo, reduce el riesgo operativo global y le ayuda a aprovechar los riesgos positivos sin perder de vista los objetivos de la organización.

¿Por qué es importante un marco de gestión de riesgos?

Piensa en esto:

Infracciones y costes de la ciberseguridad

Según IBM Informe sobre el coste de la filtración de datos 2021el coste medio total de una violación de datos aumentó a $4,24 millones en todo el mundo. El impacto financiero puede incluir la pérdida de negocio, honorarios legales y posibles multas y sanciones.

Aumento de las amenazas internas

Según el informe 2021 Cost of Insider Threats Report del Ponemon Institute, el coste medio anual de las amenazas internas es de 1.000 millones de euros. amenazas internas en 2020, un aumento significativo en comparación con años anteriores. Entonces, ¿qué es el riesgo interno? Es cuando las acciones de alguien dentro de su empresa dan lugar a una brecha o incidente de seguridad. No tiene por qué ser intencionado o malintencionado; a veces, responder a un correo electrónico de phishing o establecer una contraseña débil puede ser suficiente. Ya sean intencionadas o no, las amenazas internas suponen un riesgo considerable para las organizaciones.

Retos del cumplimiento de la normativa

Normativas sobre protección de datos como el Reglamento General de Protección de Datos (GDPR), la Ley de protección de la intimidad de los consumidores de California (CCPA), y la Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (HIPAA) tienen complejos requisitos de cumplimiento sobre cómo debe manejar los datos de los consumidores, incluida su protección frente a accesos no autorizados. Comprender el riesgo global que corre la información de su empresa le ayuda a gestionarla y protegerla mejor. Tiene que demostrar que hace todo lo que está en su mano para mantener a salvo la información personal sensible. Si en una auditoría se descubre que su organización es deficiente, se enfrenta a graves sanciones económicas y daños a su reputación.

Impacto de las alteraciones de la cadena de suministro

La pandemia de COVID-19 puso de manifiesto lo vulnerables que son las cadenas de suministro mundiales a las interrupciones. Según un informe del Instituto de Continuidad de Negocio, 73% de las organizaciones experimentaron al menos un incidente con su cadena de suministro en 2020, con 43% que informaron de pérdidas financieras como resultado.

Al identificar los riesgos potenciales, un marco de gestión de riesgos le ayuda a anticiparse a situaciones que podrían perturbar su negocio. Le proporciona la gobernanza del riesgo que necesita para que su organización siga cumpliendo la normativa pertinente sobre privacidad y seguridad de los datos. Le permite prever cualquier vulnerabilidad de la seguridad y la privacidad de la información, ya provenga de dentro o de fuera de su empresa, e implantar medidas para evitarlas o minimizar sus daños.

Tecnologías emergentes y amenazas

Inteligencia artificial (IA)computación en nube y Internet de los objetos (IoT) son todas ellas nuevas tecnologías que se están adoptando rápidamente. Como tales, introducen nuevos riesgos y retos para las organizaciones, tales como Ciberataques con IAvulnerabilidades de seguridad en la nube y vulnerabilidades de los dispositivos IoT. Las estrategias proactivas de gestión de riesgos pueden ayudarle a hacerles frente.

Ventajas de un marco eficaz de gestión de riesgos

RMF ayuda a las organizaciones

• Identificar y evaluar los riesgos: Cuando se identifican sistemáticamente las amenazas y vulnerabilidades potenciales, se puede comprender mejor su panorama de riesgos y priorizar los esfuerzos de mitigación.
• Mitigar los riesgos: Un planteamiento estructurado de la aplicación de controles y medidas reduce la probabilidad y el impacto de los riesgos.
• Garantizar el cumplimiento: Establecer procesos de evaluación de riesgos, documentación e información le ayuda a cumplir mejor los requisitos normativos y las normas del sector.
• Mejorar la toma de decisiones: Un marco que evalúe los riesgos y determine las respuestas adecuadas le ayuda a tomar decisiones informadas sobre la asignación de recursos y la tolerancia al riesgo.

Tipos de marcos de gestión de riesgos

Existen varios marcos RMF establecidos y utilizados en todo el mundo, entre ellos:

Instituto Nacional de Normas y Tecnología (NIST) RMF

RMF del NIST es un marco ampliamente adoptado que ofrece un enfoque flexible y escalable para gestionar los riesgos de ciberseguridad en diversos sectores. Proporciona un proceso estructurado para identificar, evaluar y mitigar los riesgos para los activos y sistemas de información de las organizaciones. El sitio NIST RMF hace hincapié en la supervisión continua, las prácticas de seguridad adaptables y la integración con los procesos existentes de gestión de riesgos.

Este marco se desarrolló originalmente para apoyar el cumplimiento de la Ley Federal de Modernización de la Seguridad de la Información (FISMA), por lo que es el marco oficial de gestión de riesgos para proteger los sistemas de información federales.

El NIST también ha desarrollado el Marco de Ciberseguridad (CSF), una guía voluntaria de alto nivel que ayuda a las organizaciones a estructurar y mejorar las prácticas de ciberseguridad en general.

Además, el Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP) se basa en los principios del RMF para estandarizar las evaluaciones y autorizaciones de seguridad en la nube para los proveedores de servicios en la nube que trabajan con organismos federales.

Aprovechando el NIST RMF, las organizaciones pueden establecer sólidos programas de ciberseguridad que se ajusten a las mejores prácticas del sector y requisitos reglamentarios.

Departamento de Defensa (DoD) RMF

En RMF del DoD está diseñado para satisfacer los requisitos de ciberseguridad de las agencias gubernamentales y contratistas que operan en el Departamento de Defensa. Proporciona un enfoque estructurado para gestionar los riesgos de seguridad de la información asociados con los sistemas, redes y operaciones del DoD a través de la supervisión continua, la toma de decisiones basada en el riesgo y el cumplimiento de las políticas y directrices del DoD. Mediante la aplicación del RMF del DoD, las organizaciones pueden garantizar la seguridad y resistencia de sus sistemas de información al tiempo que se ajustan a las normativas y estándares gubernamentales.

ISO 31000

ISO 31000 es una política estándar de gestión de riesgos desarrollada por la Organización Internacional de Normalización (ISO) que se aplica a organizaciones de todos los tamaños y sectores. Mientras que otros se centran principalmente en los riesgos de ciberseguridad, este marco aborda una gama más amplia, incluidos los riesgos estratégicos, operativos, financieros y de cumplimiento. Proporciona principios, un marco y directrices para implantar prácticas eficaces de gestión de riesgos en toda una organización. Al adoptar la norma ISO 31000, su empresa puede mejorar su capacidad para identificar, evaluar y responder a los riesgos de forma sistemática y estructurada, mejorando en última instancia la toma de decisiones y el rendimiento.

Marco COSO de Gestión de Riesgos Empresariales (ERM)

En Marco COSO ERM integra la gestión de riesgos en los procesos de planificación estratégica y toma de decisiones de una organización, alineándola con los objetivos, valores y cultura corporativos. El marco consta de ocho componentes: entorno interno, fijación de objetivos, identificación de eventos, evaluación de riesgos, respuesta a riesgos, actividades de control, información y comunicación, y actividades de supervisión. El marco COSO ERM le ayuda a establecer una cultura consciente del riesgo, mejorar las prácticas de gobernanza y mejorar su capacidad para anticipar y responder a los riesgos con eficacia.

FAIR (Análisis Factorial del Riesgo Informativo)

FERIA es un marco cuantitativo de gestión de riesgos que permite a las organizaciones medir y analizar los riesgos de ciberseguridad en términos financieros. A diferencia de los métodos cualitativos de evaluación de riesgos, FAIR proporciona un enfoque estructurado para cuantificar la frecuencia y magnitud probables de las pérdidas. Utiliza conceptos como factores de riesgo, escenarios de pérdida y apetito de riesgo para calcular el impacto potencial de los riesgos de ciberseguridad en los activos y operaciones de una organización. Al adoptar FAIR, puede priorizar los esfuerzos de mitigación de riesgos, asignar recursos de manera más eficaz y comunicar la información relacionada con los riesgos en un lenguaje que resuene con las partes interesadas, incluidos los ejecutivos y los miembros del consejo.

Los componentes del marco de gestión de riesgos del NIST

El Marco de Gestión de Riesgos del NIST (NIST RMF) consta de los siguientes componentes:

1. Prepárate: Prepare a su organización para gestionar los riesgos de seguridad y privacidad estableciendo una estrategia de gestión de riesgos, asignando funciones y responsabilidades e identificando líneas de base de control comunes.
2. Categorizar: Indexe los sistemas de información de su organización en función del impacto potencial de una pérdida de confidencialidad, integridad o disponibilidad. Identifique su criticidad y determine los requisitos de seguridad apropiados.
3. Selecciona: Especificar el conjunto adecuado de controles de seguridad para mitigar los riesgos identificados en función de los resultados de la categorización, teniendo en cuenta factores como la arquitectura, la funcionalidad y el entorno operativo del sistema.
4. Implementar: Integre los controles de seguridad seleccionados en el diseño, la configuración y los procesos operativos de su sistema. En este paso, documente los controles de seguridad y los detalles de su aplicación.
5. Evalúe: Evaluar los controles de seguridad para determinar su eficacia a la hora de mitigar los riesgos identificados, incluidos el diseño, la aplicación y la eficacia operativa de los controles. Las evaluaciones pueden incluir pruebas, exámenes y evaluaciones realizadas por asesores independientes.
6. Autorizar: Someta su sistema a un proceso de aprobación, en el que la dirección evalúa los riesgos residuales y decide si permite que el sistema funcione. Estas decisiones se basan en la evaluación de riesgos, la eficacia de los controles de seguridad y la tolerancia al riesgo de la organización. Si se aprueba, el sistema recibe permiso para funcionar dentro de sus parámetros de seguridad definidos.
7. Monitor: Monitoree continuamente los controles de seguridad y los riesgos asociados al sistema. Actualice la documentación de seguridad, responda a las amenazas actuales y reevalúe los riesgos para mantener una postura de seguridad aceptable como parte de su programa de gestión de riesgos.

Implementación de un marco sólido de gestión de riesgos

La implantación de un marco global de gestión de riesgos suele constar de estos pasos clave:

1. Identificación de riesgos: Identificar y documentar los riesgos potenciales para los activos de la organización, incluidos los sistemas de información, los datos, el personal y las operaciones.
2. Evaluación de riesgos: Evaluar la probabilidad y el impacto de cada riesgo identificado mediante técnicas de medición de riesgos, teniendo en cuenta factores como los vectores de amenaza, las vulnerabilidades y las consecuencias potenciales.
3. Mitigación de riesgos: Desarrollar e implementar controles y medidas para mitigar los riesgos identificados, como establecer objetivos de control para la información, políticas y procedimientos.
4. Supervisión de riesgos: Supervisar y evaluar continuamente los cambios en el panorama de riesgos y adaptar en consecuencia las estrategias de mitigación.
5. Informes de riesgo: Documentar e informar sobre las actividades de gestión de riesgos, incluida la identificación de nuevos riesgos, los cambios en los riesgos existentes y la eficacia de los esfuerzos de mitigación.

Ejemplos de adopción del marco de gestión de riesgos

• Departamento de Defensa de EE.UU. utiliza el RMF del DoD para gestionar los riesgos de sus sistemas de información y garantizar la confidencialidad, integridad y disponibilidad de los datos sensibles.
• Administración Nacional de la Aeronáutica y del Espacio (NASA) adoptó el RMF del NIST para gestionar los riesgos asociados a sus misiones de exploración espacial y proyectos de investigación científica.
• Instituciones financieras como JPMorgan Chase utilizar FAIR para cuantificar y priorizar los riesgos de ciberseguridad y asignar los recursos de forma eficaz.

Últimos avances en RMF

En los últimos años, la RMF ha evolucionado para hacer frente a las amenazas y tecnologías emergentes. Algunas de las últimas novedades son:

• Integración de Inteligencia Artificial (IA) y Aprendizaje Automático (AM) para la evaluación de riesgos y detección de amenazas.
• Adopción de gestión de riesgos basada en la nube soluciones de escalabilidad y flexibilidad.
• Centrarse en la resistencia y la adaptabilidad frente a la evolución de las ciberamenazas y los riesgos geopolíticos.

Gestión de riesgos de la IA

La IA y la automatización son algunas de las consideraciones más recientes para el RMF. Como tales, estas tecnologías conllevan los siguientes perfiles de riesgo:

• Sesgo y equidad en los algoritmos de IA: Los sistemas de IA pueden ser objeto de prejuicios y discriminaciónEn particular, en ámbitos sensibles como la contratación, los préstamos y el cumplimiento de la ley.
• Seguridad de los sistemas de IA: Los modelos y algoritmos de IA son susceptibles de ataques, manipulación y explotaciónque requieren sólidos controles de seguridad.
• Implicaciones éticas y jurídicas: Los sistemas de IA deben construirse teniendo en cuenta la privacidad, la transparencia, la responsabilidad y el cumplimiento de normativas como las siguientes GDPR y CCPA.

Enfoque de BigID para mitigar eficazmente el riesgo

BigID es la plataforma líder del sector en privacidad de datos, seguridadLa gestión de datos, el cumplimiento de normativas y la IA ofrece soluciones intuitivas y escalables para organizaciones de todos los tamaños.

Con BigID puedes:

• Conozca sus datos: Clasifique, categorice, etiquete y etiquete automáticamente los datos confidenciales con una precisión, granularidad y escala inigualables.
• Mejorar la seguridad de los datos: Priorizar y detectar de forma proactiva los riesgos para los datos, agilizar las operaciones de seguridad y automatizar. DSPM.
• Corrija los datos a su manera: Gestión centralizada de la corrección de datos - delegar en las partes interesadas, abrir tickets o realizar llamadas a la API en toda la pila.
• Activar Confianza Cero: Reducir el acceso con exceso de privilegios y los datos sobreexpuestos. Racionalice la gestión de los derechos de acceso para activar la confianza cero.
• Mitigar el riesgo de información privilegiada: Supervise, detecte y responda de forma proactiva a la exposición interna no autorizada, el uso y la actividad sospechosa en torno a datos confidenciales.
• Reduzca su superficie de ataque: Reduzca la superficie de ataque eliminando de forma proactiva los datos confidenciales innecesarios y no críticos para el negocio.

Para empezar a aplicar un marco de gestión de riesgos más proactivo... obtenga hoy mismo una demostración 1:1 con nuestros expertos en seguridad.

Autor

Alexis Porter

Responsable de marketing de contenidos

Alexis trabaja como Directora de Marketing de Contenidos para BigID, proveedor líder de DSPM. Se especializa en ayudar a las nuevas empresas tecnológicas a crear y perfeccionar su voz para contar historias más convincentes que resuenen con diversos públicos. Tiene una licenciatura en Escritura Profesional y un máster en Comunicación de Marketing por la Universidad de Denver. Alexis reside en Orlando, Florida.