Para gestionar el riesgo, primero debe comprender el riesgo.

La comprensión y la evaluación del riesgo es una de las formas más fundamentales en que su organización puede mejorar como toma sus decisiones sobre la seguridad de la información. Si bien es imposible eliminar todos los riesgos asociados a sus sistemas de TI y la información sensible almacenada, procesada y transmitida en ellos, el empleo de un programa de gestión de riesgo centrará sus recursos limitados donde pueden proporcionar el mayor nivel de reducción del riesgo.

El pensamiento claro acerca de los riesgos, basado en un conocimiento profundo del medio ambiente y conocimiento actual del panorama de amenazas, impulsa una estrategia de seguridad de la información inteligente y bien fundada. Una estrategia informada ayuda a cumplir ambos objetivos de cumplimiento (tales como GLBA, HIPAA y PCI DSS) y objetivos de seguridad más amplios.

Una evaluación de riesgo documenta formalmente los riesgos asociados con su sistema de TI y la información sensible basado en las amenazas para el sistema, la vulnerabilidad del sistema a esas amenazas y el impacto potencial de un fallo de seguridad en el sistema. Las evaluaciones del riesgo se llevan a cabo cada año para tener en cuenta los cambios en su entorno operativo.

Por que es importante

Sin un proceso formal para identificar y comprender los riesgos que enfrenta su organización, sus decisiones son impulsadas por suposiciones en lugar de datos reales acerca de cómo su negocio se vería afectado en caso de un corte de luz o incumplimiento. Es importante entender tanto el valor y los riesgos asociados con sus datos. Esto le guiará en cometer el nivel apropiado de esfuerzo y recursos a su protección.

Una evaluación de riesgo obliga a la organización a pensar en todos los resultados de una violación posibles:

  • ¿Qué información es importante para nuestros clientes, socios y/o pacientes?
  • ¿Qué pasaría si nuestro nombre estaba en las noticias por una brecha de datos, aunque los datos perdidos no tienen sentido?
  • ¿Qué responsabilidad legal tendríamos si algo le sucede a estos datos?

Es vital que la evaluación de riesgo incluya todos los sistemas que se encuentran críticos para sus operaciones o que contienen información sensible. Su evaluación de riesgo debería incluir también una evaluación de los procesos y procedimientos operativos utilizados para mantener y operar los sistemas. Estos procesos suelen afectar a más de una sistema y pueden entrañar un riesgo adicional para su organización. Por ejemplo, un programa de parcheo débil puede añadir un riesgo pequeño para los sistemas individuales, pero puede presentar riesgo importante para su organización global.

Al tener en cuenta todas las vías y las decisiones de peso sobre la base de análisis de riesgo, una evaluación de riesgo permite a su organización para hacer una decisión mejora.

Como podemos ayudar

Nuestras evaluaciones de riesgo se combinan estudios de la documentación y los detalles del sistema con entrevistas al personal para identificar las amenazas pertinentes y vulnerabilidades dentro de su organización.

En base a nuestra experiencia, conocimiento de la industria y conocimiento de amenazas mundial de la seguridad, le ayudamos a evaluar los riesgos que su organización enfrenta para identificar:

  • Cuales sistemas se utilizan para almacenar, procesar o transmitir información confidencial
  • Amenazas para sus sistemas de los atacantes en el interior, atacantes externos, ataques automatizados (por ejemplo, los virus informáticos), factores ambientales y los accidentes o errores humanos
  • Vulnerabilidades que podrían hacer que sus sistemas susceptibles a las amenazas identificadas
  • El impacto para su organización o sus clientes, miembros y/o pacientes si un atacante fuera capaz de llevar a buen explotar la vulnerabilidad

Al final de la evaluación de riesgo, se recomendamos estrategias para ayudar a su organización a administrar estos riesgos con eficacia y para ajustar sus políticas de seguridad de la información. Su puesta al día, y tal vez recién encontrado, el enfoque de seguridad se reflejará a través de su programa de seguridad de la información de la organización.

También documentamos y presentamos formalmente los resultados de su evaluación de riesgo a la gestión del riesgo adecuada, a la auditoría o a la gestión de la empresa. En muchos casos, esto incluye su consejo de directores o el comité de auditoría.

Blog: Alcance y técnicas para reducirlo

Cuando se trata de cumplimiento de PCI DSS, una de las primeras y más pasos esenciales se están abordando. Mi colega, Walt Conway, lo llama requisito cero: Reducir el alcance de su entorno de pago para reducir su carga de cumplimiento.

Este es un buen consejo, la reducción de su ámbito de aplicación mediante la eliminación de los almacenes de datos, simplificar el proceso de transacción, o la segregación de su red relacionada con el pago de otras cosas no, de hecho, reducir su alcance y, si se hace correctamente, en realidad ayudar a proteger sus activos muy importantes de los ataques.

En los últimos años, hemos visto algunos avances interesantes en algunas de las tecnologías y técnicas de alcance adicionales de reducción que gustaría discutir aquí también, es decir, tokenización y punto a punto cifrado. Leer más »

Comprenda los riesgos que enfrenta.

Todo lo que necesita es su nombre y su número de teléfono o correo electrónico para obtener más información acerca de nuestros servicios y experiencia. Si desea, también podrá enviar detalles adicionales después de enviar su información aquí.