HPE entre los lĆderes de almacenamiento de Gartner
Prepararse para una gestiĆ³n de riesgo con mĆŗltiples frentes es el primer paso para no abrumarse.
CIO AMĆRICA LATINA | Por Elibeth Eduardo | @ely_e
QuizĆ”s lo mĆ”s importante al iniciar una gestiĆ³n es evaluar todo lo que tiene que defender. DespuĆ©s de todo, el diablo estĆ” en los detalles.
Recordar que no sĆ³lo la pĆ”gina web, el servidor de correos y los fĆsicos son blancos sino que, tambiĆ©n, las aplicaciones que ha creado…Ā Y las que usa serĆ” importante para enfrentar el riesgo exitosamente. Cada vez que identifique algo que tieneĀ valor, debe haber una gestiĆ³n que administrar para protegerlo.
El problema con esto es que el riesgo no es estable. Cambia. Y, mientras mĆ”s innovaciones cree o incorpore en su organizaciĆ³n, mayor serĆ”n las variaciones del riesgo.
Veamos algunos consejos para gestionar el riesgo, ahora que los controles tradicionales parecen quedarse cortos.
1. Las joyas de su corona
Tener las dimensiones de lo que – exactamente – necesita proteger es fundamental.
Suelen haber algunas constantes como los datos de los clientes, la informaciĆ³n de pago o la propiedad intelectual.
Es bastante claro por quĆ© no quiere (y necesita proteger) estas cosas. A partir de allĆ, puede identificar la amenaza y los riesgos, asĆ como las primeras medidas defensivas.
2. Establezca el perĆmetro y Ć”rea
DespuĆ©s de jerarquizar dĆ³nde estĆ”n sus prioridades, en bueno que tenga claro el Ć”rea que eso representa y que debe resguardar.
ĀæConoce todas las formas en que los malos pueden potencialmente acceder o comprometer los activos mĆ”s valiosos de su empresa?Ā Para determinar esto puede valerse de herramientas, consultores, o una plataforma de seguridad crowdsourced, que puede ser bastante Ćŗtil porque son otros pensando en sus defensas “primarias”.
AsegĆŗrese de que sus pruebas cubran toda la cartera de solicitudes, por lo que su mayor riesgo es que no conoce.
3. MƔs allƔ de las herramientas
Un riesgo que no puede perder de vista es el de la confianza “excesiva” en las herramientas que tiene disponible y a la mano.
Hay una gran cantidad de gran tecnologĆa disponible para ayudar a las organizaciones a proteger sus redes y aplicaciones.
No obstante, recuerde que las herramientas no funcionan por sĆ mismas y los riegos identificados,Ā en general, no se pueden establecer sin la intervenciĆ³n humana.
La creatividad humana es necesaria para identificar los defectos de seguridad mĆ”s interesantes. Por ejemplo, las fallas de la lĆ³gica empresarial de la aplicaciĆ³n. TambiĆ©n es su capacidad y la de su equipo la que permite clasificarlos por la probabilidad de ser explotado y el impacto potencial.
4. Alerta: esto no es un simulacro
El colocar a toda la estructura y equipo en condiciones de ataque puede ser una manera excepcional de ver las “brechas” humanas antes de que sea demasiado tarde.
Los programas de pruebas de penetraciĆ³n y de recompensas por encontrar fallos simulan la perspectiva del atacante.
Quieres que los buenos te hackƩen para que puedas ser consciente de los riesgos y tratarlos cuando sea necesario, antes de que los malos exploten esas (u otras) vulnerabilidades y, potencialmente, comprometan las joyas de la corona.
Finalmente, son usted y su equipo quienes tendrĆ”n que tratar de resolver el fallo asĆ como encarar las consecuencias. No desmerezca, entonces, el valor de su personal (y el suyo) en esto.
1 comentario