ESC

Escribe para buscar entre todos los artículos

Volver al archivo
· 4 min de lectura

Mirada práctica desde la aplicación al Instructivo Presidencial de Ciberseguridad - Capítulo 2: La mitigación

Guía para desarrollar un plan de mitigación de riesgos de ciberseguridad como continuación del análisis de vulnerabilidades del Instructivo Presidencial N.°8.

Amigos y lectores del BLOGDELCISO, hoy les presento una nueva entrada, la cual creo que puede ayudarles en parte a abordar el desafío que tienen por delante en sus organizaciones, esto no reemplaza de ninguna forma las consultas formales que deben hacer a sus contrapartes y es solo una guía académica de cómo abordar problemáticas comunes de forma colaborativa, a días [15 de Abril del 2019] del cumplimiento obligatorio del instructivo presidencial de Ciberseguridad N del año 2018, nos vemos llamados a responder los hallazgos que pudimos encontrar en nuestras organizaciones, como vimos en el ejercicio del Capítulo 1 que fue sobre análisis del estado actual de vulnerabilidades, pensando que las medidas iniciales de este instructivo que pueden recordar en: https://www.blogdelciso.com/2019/01/16/mirada-practica-desde-la-aplicacion-al-instructivo-presidencial-de-ciberseguridad

En esta nueva entrega veremos la continuación de esto, y cómo trabajar un “PLAN DE MITIGACIÓN” sobre los hallazgos que pudieran tener en sus organizaciones, parte este ejercicio o futuros.

Entendemos que la mitigación de vulnerabilidades apunta a mitigar los Riesgos que se pueden generar cuando estos se materialicen.

Como definición: La planificación de la mitigación de riesgos es el proceso de desarrollar opciones y acciones para mejorar las oportunidades y reducir las amenazas a los objetivos de la organización. La implementación de la mitigación de riesgos es el proceso de ejecución de acciones de mitigación de riesgos.

Mitigar lo encontrado sobre el “Vulnerability assessment” realizado, es una medida correctiva sobre una vulnerabilidad conocida y expuesta (CVE), cuando mitigamos solo reducimos el riesgo de ese CVE específico o mala práctica, lo cual no impide que al pasar los días y/o horas, nuevamente se materialicen nuevas vulnerabilidades.

Pienso que es una gran oportunidad para generar buenas prácticas continuas y con mejora en el tiempo, todas las instituciones tienen una gran oportunidad de visibilizar estas temáticas, abordando de una manera orientada a los riesgos que podrían verse materializados.

La gestión del riesgo - Mitigación de riesgos

Una vez que el riesgo ha sido identificado y evaluado, usted con su equipo debe desarrollar un plan de mitigación de riesgos, que es un plan para reducir el impacto de un evento inesperado.

Ante esto usted tiene siempre 4 alternativas, pensando en la premisa que ISACA creó hace algunas décadas, si “LA MITIGACIÓN DEL RIESGO ES MÁS CARA QUE EL ACTIVO” acéptelo. Personalmente creo que al ser aspecto reputacional muchas veces, debe evaluar más de un factor antes de decidir, siempre tiene cuatro caminos de acción:

  • Evitar: Cambia tu estrategia o planes para evitar el riesgo.
  • Mitigar: Tomar medidas para reducir el riesgo. Por ejemplo, procedimientos de trabajo y equipos diseñados para reducir los riesgos de seguridad en el lugar de trabajo.
  • Transferir: Transferir el riesgo a un tercero. Por ejemplo, comprar un seguro contra incendios para un edificio sin terminar.
  • Aceptar: Decidir tomar el riesgo.

Si su respuesta fue mitigación, trabajamos a continuación:

Plan de mitigación de riesgos - PLANIFICACIÓN DE LA MITIGACIÓN DE RIESGOS

La planificación de la gestión de riesgos debe ser un esfuerzo continuo que no pueda detenerse después de una evaluación de riesgos cualitativa. La gestión de riesgos incluye la planificación inicial de cómo se mitigarán y gestionarán los principales riesgos una vez identificados. Por lo tanto, las estrategias de mitigación de riesgos y los planes de acción específicos deben incorporarse en el plan de ejecución del proyecto, o los análisis de riesgos son simplemente un fondo de pantalla.

  • Caracterice las causas fundamentales de los riesgos que se han identificado y cuantificado en las fases anteriores del proceso de gestión de riesgos.
  • Evaluar las interacciones de riesgo y las causas comunes.
  • Identifique estrategias, métodos y herramientas de mitigación alternativas para cada riesgo importante.
  • Evaluar y priorizar alternativas de mitigación.
  • Seleccione y comprometa los recursos necesarios para las alternativas específicas de mitigación de riesgos.

Índice de la plantilla de proyecto de mitigación de riesgos

Pensando en que este trabajo debe quedar plasmado en un entregable Documento, los contenidos mínimos que este debiera tener son:

  1. Introducción - Todo lo necesario para que el evaluador de su plan entienda de qué se trata, apoyando la misión de nuestra organización
  2. Objetivo General - La acción principal que se busca con los objetivos específicos
  3. Objetivos Específicos - Las acciones específicas sobre materias de especialidad
  4. Alcances - Lo que es, lo que no es, y lo que va incluir
  5. Roles y Responsabilidades - Incluir toda la segregación de funciones para dar cumplimiento a las tareas
  6. Matriz RACI:
    • R - Responsible (Responsable): Quien efectivamente realiza la tarea
    • A - Accountable (Aprobador): Se responsabiliza de que la tarea se realice y rinde cuentas
    • C - Consulted (Consultado): Posee información o capacidad necesaria para realizar la tarea
    • I - Informed (Informado): Debe ser informado sobre el avance y resultados
  7. Plan de mitigación de riesgos
  8. Concientización - Programa específico de concientización al interior de la organización
  9. Gestión de vulnerabilidades
    • Resumen de Vulnerabilidades encontradas (por activos y familia de vulnerabilidad)
    • Tratamiento a las vulnerabilidades encontradas
      • Medidas reactivas: Parches, Upgrades, Bajada de activo
      • Medidas preventivas: Políticas, procedimientos, Proceso de programación segura
  10. Gestión de riesgos
    • Resumen de Riesgos encontrados
    • Tratamiento a los Riesgos detectados
  11. Proyectos de Mejora - Desde QUICK WINS a proyectos a mediano y largo plazo
  12. Planificación de Entregables - Carta GANTT con línea base
  13. Métricas - Lo que no se define no se puede medir. Lo que no se mide, no se puede mejorar
  14. Control de cambios - Hay que saber cuándo y quién creó el documento
  15. Glosario - Todas las palabras que debiera definir técnicamente

Éxito en su labor.

Revisar información oficial en: https://www.ciberseguridad.gob.cl/monitoreo-instructivo-presidencial-n8-del-23-de-octubre-de-2018/

SV
Autor

Sebastián Vargas

CISO & Fundador de TTPSEC SpA. Más de 15 años en ciberseguridad, governance, riesgo y compliance. Escribiendo sobre seguridad de la información desde 2018.

LinkedIn Medium

¿Te sirve el contenido?

Recomendarme en LinkedIn
Volver al archivo