¿Cómo calcular tu riesgo IT?

27 May 2019

Como priorizar el riesgo tecnológico y NO MORIR en el intento

Es muy común en estos días ver publicidad de soluciones milagrosas que nos permiten calcular nuestro riesgo con un solo clic, que al corregir nuestras vulnerabilidades vamos a estar más seguros en base a nuestro riesgo tecnológico, por esto vamos a hacer un ejercicio simple y funcional para responder la pregunta que, a mi parecer, es la más importante que debe ser capaz de responder un responsable de seguridad IT, por ejemplo, un CISO.

A mi me pasó, así que lo comparto, imaginen llega su jefe y nos pregunta ¿cuál es el nivel de riesgo de nuestra plataforma CRM?, así sin nada más, bueno, la respuesta de un especialista en seguridad sería algo como esto; Lo primero, debo entender cómo está conformado ese “Servicio de Negocio” (así lo llamo yo) desde una visión de infraestructura. Para saber eso, debemos ir donde la gente de infraestructura, producción o ingeniería, depende del tipo de empresa, y preguntarle cuáles son las máquinas que contienen ese servicio. En el mejor de los casos, nos entregarán la CMDB con ese diagrama de dependencias, pero eso no es muy común, ya que las CMDB actuales son difíciles de mantener y en general no cuentan con auto descubrimiento, es decir, están desactualizadas.

Nos vamos con ese diagrama impreso donde la gente de mesa de ayuda y le preguntamos cuántos incidentes se han abierto y no se han cerrado en esas máquinas. A partir de esa información, hacemos un estudio de cuáles son de seguridad. Con eso, vamos donde la gente de seguridad y les preguntamos cuántas vulnerabilidades tienen las máquinas que aparecen en nuestro diagrama, vemos las que están corregidas y las que no, cuántas tienen un plan de mitigación, etc.

Paciencia, aun queda más, tenemos que ir donde la gente de cumplimiento, ellos son los que ven controles y preguntarles si hay documentos tales como manuales, licencias y demás que no estén terminados, y asociados a alguna de la infraestructura de nuestro diagrama, porque el riesgo varía si están abiertas o cerradas, lo reunimos todo y seguimos con nuestro peregrinaje.

Entonces, hagamos memoria, fuimos a ingeniería por las máquinas, a mesa de ayuda por los incidentes, a seguridad por las vulnerabilidades, a cumplimiento por los documentos…ya tenemos todos los ingredientes para nuestra receta, ahora metemos todo a una planilla Excel y con nuestras mejores tablas dinámicas calculamos el riesgo del “Servicio de negocios” en base a nuestra matriz de riesgo. Suena cómico y se lee casi como una novela, pero bueno, he medido esto y el proceso dura alrededor de un mes. Lo divertido es ver la cara de tu jefe cuando vuelves con tu mejor diagrama
y se lo presentas a lo cual su respuesta es: “eso era hace un mes, yo lo quiero al día de hoy”.

De esta experiencia construimos Camel IT

y si me preguntan qué hacemos, podría responder que inteligencia artificial, control de incidentes o que escaneamos vulnerabilidades, etc.,

pero es mucho más sencillo, Podemos responder cuál es el nivel de riesgo de un servicio de negocios al correlacionar todo el ecosistema de nuestros clientes y mostrarlo en una sola consola.

 

Fabián Rodríguez – CEO & Founder Camel Secure

 

Deja tu comnetario, ¡nos importa!

three × two =