Medición del riesgo: Calcular la vulnerabilidad

A medida que continúa el crecimiento de la diversidad de amenazas que enfrentan las organizaciones de IT, resulta fácil que los profesionales de seguridad se vean abrumados. Cada alerta sobre una nueva vulnerabilidad de software o una nueva exigencia de códigos maliciosos puede hacer que el personal de IT agote recursos al intentar dar solución al problema lo más pronto posible. Esto se traduce en medidas frenéticas y dependientes del evento que consumen tiempo y energía, pero no necesariamente proporcionan la máxima protección para el negocio.
En lugar de ello, los equipos de seguridad deben desarrollar estrategias de administración de riesgos inteligentes, de manera que puedan dedicar sus limitados recursos a las principales amenazas para el negocio.
«Ninguna empresa tiene suficiente dinero y personal para eliminar por completo todos sus posibles riesgos asociados a IT», señala George Kurtz, vicepresidente senior de Administración de riesgos de McAfee. «Por ello, usted debe ser capaz de cuantificar los riesgos que enfrenta y asignar prioridades a sus inversiones en seguridad de acuerdo con ellos.”
A fin de cuantificar los riesgos y asignar prioridad a las medidas de corrección, Kurtz, quien se unió al equipo de administración de McAfee luego de desempeñarse en la recientemente adquirida Foundstone, propone un modelo que permite medir el riesgo según tres factores: valor de los activos, vulnerabilidad de los activos y amenazas reales.
Valor de los activos: un servidor que procesa transacciones equivalentes a miles de dólares cada minuto obviamente constituye un activo más vital que el computador de un representante de atención al cliente. De esta forma, una estrategia de reducción de riesgos inteligente exige tener una clara noción del valor que los diferentes activos de IT en la empresa tienen para el negocio.
Vulnerabilidad de los activos: además de poseer diferente valor para el negocio, los activos de IT poseen distintos niveles de vulnerabilidad inherente. Un sistema del que dependen páginas Web públicas resulta más vulnerable que uno que no está conectado a Internet. Y un interruptor asegurado en un gabinete de cables eléctricos está menos expuesto que un equipo portátil que se encuentra a miles de kilómetros del perímetro de seguridad de la empresa.
Amenazas reales: finalmente, los equipos de seguridad deben tener una idea clara de las amenazas reales a las que se expone un activo determinado. Los exploits se dirigen más hacia los sistemas operativos populares en términos comerciales, por ejemplo, que a los sistemas heredados. Por ello, si bien las aplicaciones más antiguas que se ejecutan en aquellos sistemas heredados pueden tener un alto valor para la empresa, también constituyen el objetivo de menos amenazas y, por lo tanto, plantean un riesgo substancial menor para la empresa que las aplicaciones que se ejecutan en Microsoft® Windows® o Linux™.
Al realizar una evaluación conforme a estos tres factores, los equipos de seguridad pueden comprender con precisión dónde radica el mayor riesgo para el negocio y, con base en ello, organizar sus actividades de reducción de riesgos por prioridad.
Es posible calcular el riesgo según el valor comercial del activo, su vulnerabilidad inherente y la intensidad de las amenazas a las que realmente se ve expuesto.
Estrategias de administración de riesgos
Además de comprender los niveles específicos de riesgo, los equipos de seguridad pueden incrementar de manera importante su efectividad al ampliar su perspectiva en cuanto a cómo es posible superar los riesgos asociados a IT. Kurtz señala cuatro posibles estrategias de administración de riesgos: reducción de riesgos, aceptación de riesgos, transferencia de riesgos y prevención de riesgos.
Reducción de riesgos: normalmente, ésta es la primera respuesta que viene a la mente ante un riesgo. Incluye todas las contramedidas que adoptan los equipos de seguridad contra amenazas, entre las que se encuentran firewalls, detección de intrusos y antivirus.
Aceptación de riesgos: si el costo de superar un riesgo es mayor que el del riesgo mismo, o si superar dicho riesgo absorberá recursos que se utilizarán para superar un riesgo mucho más serio, la medida más conveniente es limitarse a aceptar el riesgo.
Transferencia de riesgos: en algunos casos, una medida más prudente es transferir el riesgo a un tercero, como una empresa de seguros, que asignarlo a recursos limitados, cuyos esfuerzos por reducirlo probablemente serán infructuosos.
Prevención de riesgos: existen situaciones en las que el nivel de riesgo y el costo de superarlo son simplemente inadmisibles. En tales casos, resulta más conveniente evitar el riesgo, ya sea al retirar el sistema afectado o simplemente al no implementarlo.
«Si piensa que debe mitigar cada riesgo que enfrenta, agotará sus recursos antes de eliminar las posibilidades de exposición», afirma Kurtz. «Debe utilizar una combinación de estrategias basada en la naturaleza de su entorno de IT y en el tamaño de su presupuesto de seguridad.”
Los equipos de seguridad pueden incrementar su eficacia al automatizar la mayor cantidad posible de procesos de administración de riesgos, desde el descubrimiento de activos y la evaluación del riesgo asociado a ellos a verificar que los procedimientos de reparación se hayan ejecutado correctamente y generen los resultados esperados.
De acuerdo con la empresa de investigación de IT Gartner, las organizaciones que implementan procesos y tecnologías de administración de riesgos apropiados para descubrir, organizar por prioridad y corregir las vulnerabilidades tienen un 90% menos de probabilidad de ser víctimas de un ataque exitoso.
«El gran mito popular es que para contar con suficiente seguridad basta sólo instalar un firewall», comenta Kurtz. «La realidad es que su nivel de seguridad depende en gran medida de lo bien que comprende y administra el riesgo en todas sus diversas formas y con cuanta eficiencia concentra sus limitados recursos donde serán más útiles.”
Desde que se escribió este artículo, McAfee introdujo nuevos productos que ofrecen capacidades similares. Consulte la información adicional en la sección de productos.