Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
5 cosas que necesita saber sobre la evaluación de riesgos de TI

5 cosas que necesita saber sobre la evaluación de riesgos de TI

Nov 7, 2017

La evaluación de riesgos de TI identifica, analiza y prioriza los riesgos para la confidencialidad, integridad y disponibilidad de los datos para que las organizaciones puedan asignar recursos de manera efectiva. Más allá de guiar estrategias de seguridad más fuertes, es mandatorio por regulaciones como HIPAA y GDPR. Utilizar marcos de trabajo como NIST SP 800-30, ISO 27001 o OCTAVE ayuda a estandarizar procesos. Dado que los riesgos evolucionan, la evaluación debe ser continua, con identificación, estimación y priorización constantes para mantener la resiliencia y el cumplimiento.

Con las amenazas a los datos sensibles creciendo en número y sofisticación cada día, las organizaciones no pueden permitirse un enfoque disperso en seguridad. En su lugar, necesitan enfocar sus limitados presupuestos y recursos de TI en las vulnerabilidades específicas de su postura de seguridad única. Para hacer esto, necesitan identificar, analizar y priorizar los riesgos para la confidencialidad, integridad o disponibilidad de sus datos o sistemas de información, basándose tanto en la probabilidad del evento como en el nivel de impacto que tendría en el negocio.

Este proceso se denomina evaluación de riesgos de TI. En esta publicación, revelaremos las cinco cosas más importantes que debe saber sobre la evaluación de riesgos de seguridad de TI y su implementación en su entorno de TI.

1. La evaluación de riesgos de TI debe ser la base de su estrategia de seguridad informática

Primero, necesitamos diferenciar entre evaluación de riesgos y gestión de riesgos. Aunque ambos son componentes esenciales para un ecosistema de seguridad de TI sólido, no son idénticos. Más bien, la gestión de riesgos es una parte de la evaluación de riesgos, proporcionando control sobre los riesgos empresariales, operacionales, de seguridad de la información y otros. La evaluación de riesgos de TI implica la tarea mucho más amplia de comprender los paisajes de riesgo internos y externos para un enfoque holístico y organizacional de la seguridad.

En otras palabras, la evaluación de riesgos de seguridad de TI le ayuda a comprender qué eventos pueden afectar a su organización de manera negativa y qué brechas de seguridad representan una amenaza para su información crítica, para que pueda tomar mejores decisiones de seguridad y adoptar medidas proactivas más inteligentes. Por ejemplo, al revelar una estructura de privilegios organizada de manera caótica, cuentas de usuario ocultas o derechos administrativos enredados, la evaluación de riesgos le ayuda a tomar las medidas adecuadas de gestión de riesgos para minimizar el riesgo de abuso de privilegios o robo de datos antes de que sea demasiado tarde.

2. La evaluación de riesgos de TI es requerida por muchas regulaciones de cumplimiento

El uso de la evaluación de riesgos para la seguridad de la información es solo una parte del panorama. La evaluación de riesgos de seguridad de la información también es uno de los principales requisitos de muchos estándares de cumplimiento. Por ejemplo, si su organización debe cumplir con HIPAA o podría enfrentar auditorías del GDPR a partir de mayo de 2018, entonces la evaluación de riesgos de seguridad de la información es imprescindible para su organización con el fin de minimizar el riesgo de incumplimiento y multas enormes.

Aunque las regulaciones no proporcionan instrucciones específicas sobre cómo las organizaciones deben controlar y proteger sus sistemas de TI, sí exigen que las organizaciones aseguren esos sistemas y proporcionen a los auditores evidencia de que los controles de seguridad requeridos están en marcha y para reducir data security risks.

Image

3. Adoptar un marco apropiado facilita el inicio de la evaluación de riesgos de TI

Un marco de evaluación de riesgos de seguridad informática es un conjunto de reglas que definen:

  • Qué debe ser evaluado
  • ¿Quién debe estar involucrado en los procedimientos de evaluación de riesgos?
  • Qué amenazas tiene una organización
  • Cómo se analizarán y priorizarán estos riesgos identificados
  • Cómo se calculará el riesgo basado en la probabilidad y el impacto
  • ¿Qué documentación debe ser recopilada y producida como resultado de la evaluación?

Obviamente, estas reglas serán diferentes para cada organización, dependiendo de sus necesidades y objetivos, su tamaño, la complejidad y madurez de sus procesos de negocio, los tipos de datos involucrados, el tamaño del departamento de TI, los controles de seguridad existentes, los requisitos de la industria aplicables y más.

Sin embargo, no es necesario crear su marco de evaluación de riesgos de seguridad de la información desde cero. En su lugar, puede adoptar y adaptar uno de estos marcos de riesgo comúnmente utilizados:

  • Evaluación Operacionalmente Crítica de Amenazas, Activos y Vulnerabilidades (OCTAVE) diseñada por la Universidad Carnegie Melon
  • El marco de evaluación de riesgos del NIST, como se documenta en la publicación especial SP 800-30
  • ISO/IEC 27001:2013

Tenga en cuenta que todos estos estándares requieren que las organizaciones documenten sus procesos de evaluación de riesgos de seguridad de la información para que puedan proporcionar evidencia de que todos los procedimientos de seguridad de datos requeridos se están siguiendo diligentemente.

4. La evaluación de riesgos de TI necesita ser un proceso continuo

Los sistemas de seguridad son como autos de carrera de alto rendimiento — necesitan mantenimiento constante, actualizaciones y ajustes. La evaluación de riesgos no es un evento único que proporciona información permanente y definitiva para que los responsables de la toma de decisiones informen sus respuestas a los riesgos de seguridad de la información. En cambio, debido a que tanto el entorno de TI como el panorama de riesgos están en constante cambio, la evaluación de riesgos debe ocurrir de manera continua a lo largo del ciclo de vida del desarrollo del sistema, desde la planificación del sistema hasta la adquisición y uso, hasta la jubilación del sistema.

Los sistemas de seguridad son como autos de carrera de alto rendimiento — necesitan mantenimiento, actualizaciones y ajustes constantes

Además, la evaluación de riesgos debe realizarse con la frecuencia suficiente para detectar posibles brechas de seguridad que pueden surgir rápidamente, como la proliferación de privilegios, cuentas inactivas y cuentas administrativas con configuraciones de contraseña inadecuadas que ponen en riesgo datos sensibles y sistemas.

5. La evaluación de riesgos de TI implica tres etapas

El proceso de evaluación de riesgos se puede dividir aproximadamente en tres etapas:

  • Identificación de riesgos — Determine las vulnerabilidades en los sistemas de información y en el entorno de TI más amplio, como permisos de acceso excesivos o anidaciones de grupos enredadas, que podrían conducir a daños si no se atienden a tiempo.
  • Estimación de riesgo — Evalúe la probabilidad de que ocurra un evento riesgoso analizando la posibilidad de que una amenaza dada sea capaz de explotar una vulnerabilidad dada.
  • Priorización de riesgos — Clasifique los riesgos basándose en la estimación del riesgo combinada con el nivel de impacto que causaría si ocurre. Considere el impacto en el negocio de la divulgación no autorizada, modificación o destrucción de información, o la pérdida de disponibilidad del sistema de información. Atienda primero a las amenazas con mayor probabilidad e impacto.

La evaluación de riesgos de TI es crítica para la protección de datos y la continuidad del negocio, y debe realizarse periódicamente con el fin de detectar nuevos riesgos y mejorar las estrategias de seguridad. Si su evaluación de riesgos está desactualizada, también lo están sus estrategias — es así de simple.

Descubre cuáles son los primeros pasos para una evaluación de riesgos eficiente que puedes tomar justo aquí. Para aprender algunas de las mejores prácticas en el establecimiento de un proceso continuo de evaluación y mitigación de riesgos, mira este webinar de evaluación de riesgos de TI.

¿Utiliza evaluación de riesgos de TI en su entorno de TI? ¿Qué herramientas utiliza?

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Dirk Schrader

Vicepresidente de Investigación de Seguridad

Dirk Schrader es un Resident CISO (EMEA) y VP de Security Research en Netwrix. Con 25 años de experiencia en seguridad informática y certificaciones como CISSP (ISC²) y CISM (ISACA), trabaja para promover la ciberresiliencia como un enfoque moderno para enfrentar las amenazas cibernéticas. Dirk ha trabajado en proyectos de ciberseguridad en todo el mundo, comenzando en roles técnicos y de soporte al inicio de su carrera y luego pasando a posiciones de ventas, marketing y gestión de productos tanto en grandes corporaciones multinacionales como en pequeñas startups. Ha publicado numerosos artículos sobre la necesidad de abordar la gestión de cambios y vulnerabilidades para lograr la ciberresiliencia.

Aprende más sobre este tema

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

¿Qué es la gestión de registros electrónicos?

Análisis Cuantitativo de Riesgo: Expectativa de Pérdida Anual

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad