Mirada práctica desde la aplicación, al Instructivo Presidencial de Ciberseguridad Capítulo 2 > La mitigación

Amigos y lectores del BLOGDELCISO, hoy les presento una nueva entrada, la cual creo que puede ayudarles en parte a abordar el desafio que tienen por delante en sus organizaciones, esto no reemplaza de ninguna forma las consultas formales que deben hacer a sus contrapartes y es solo una guia academica de como abordar problematicas comunes de forma colaborativa, a dias [15 de Abril del 2019] del cumplimiento obligatorio del instructivo presidencial de Ciberseguridad N° del año 2018, nos vemos llamados a responder los hallagos que pudimos encontrar en nuestras organizaciones, como vimos en el ejercicio del Capitulo 1 que fue sobre analisis del estado actual de vulnerabilidades, pensando que las medidas iniciales de este instructivo que pueden recordar en: https://www.blogdelciso.com/2019/01/16/mirada-practica-desde-la-aplicacion-al-instructivo-presidencial-de-ciberseguridad

En esta nueva entrega veremos la continuación de esto, y como trabajar un “PLAN DE MITIGACIÓN” sobre los hallazgos que pudieran tener en sus organizaciones, parte este ejercicio o futuros.

Entendemos que la mitigación de vulnerabilidades, apunta a mitigar los Riesgos, que se pueden generar cuanto estos se materialicen.

Como definición: La planificación de la mitigación de riesgos es el proceso de desarrollar opciones y acciones para mejorar las oportunidades y reducir las amenazas a los objetivos de la organización. La implementación de la mitigación de riesgos es el proceso de ejecución de acciones de mitigación de riesgos.

Mitigar lo encontrado sobre el “Vulnerability assessment” realizado, es una medida correctiva sobre una vulnerabilidad conocida y expuesta (CVE), cuando mitigamos solo reducimos el riesgo de ese CVE específico o mala práctica, lo cual no impide que al pasar los días i/o horas, nuevamente se materialicen nuevas vulnerabilidades.

Pienso que es una gran oportunidad, para generar buenas prácticas continuas y con mejora en el tiempo, todas las instituciones tienen una gran oportunidad, de visibilizar estas temáticas, abordando de una manera orientada a los riesgos que podrían verse materializados.

La gestión del riesgo

Mitigación de riesgos. Una vez que el riesgo ha sido identificado y evaluado, usted con su equipo debe desarrollar un plan de mitigación de riesgos, que es un plan para reducir el impacto de un evento inesperado.

Ante esto usted tiene siempre 4 alternativas, pensando en la premisa que ISACA creó hace algunas décadas, si el “SI LA MITIGACIÓN DEL RIESGO ES MÁS CARA QUE EL ACTIVO” aceptelo

Personalmente creo que al ser aspecto reputacional muchas veces, debe evaluar más de un factor antes de decidir siempre tiene cuatro caminos de acción.

  • Evitar:Cambia tu estrategia o planes para evitar el riesgo.
  • Mitigar:Tomar medidas para reducir el riesgo. Por ejemplo, procedimientos de trabajo y equipos diseñados para reducir los riesgos de seguridad en el lugar de trabajo.
  • Transferir:Transferir el riesgo a un tercero. Por ejemplo, comprar un seguro contra incendios para un edificio sin terminar.
  • Aceptar:Decidir tomar el riesgo.

Figure 16.1 Risk Management Options

Illustration from Barron & Barron Project Management for Scientists and Engineers,

En general, todas las estrategias y planes implican algún nivel de riesgo. El riesgo también tiene una relación con la recompensa por la cual la reducción del riesgo hacia cero también puede reducir el reembolso potencial.

Si su respuesta fue mitigación, trabajamos a continuación:

Plan de mitigación de riesgos.

PLANIFICACIÓN DE LA MITIGACIÓN DE RIESGOS

La planificación de la gestión de riesgos debe ser un esfuerzo continuo que no pueda detenerse después de una evaluación de riesgos cualitativa.

La gestión de riesgos incluye la planificación inicial de cómo se mitigarán y gestionarán los principales riesgos una vez identificados. Por lo tanto, las estrategias de mitigación de riesgos y los planes de acción específicos deben incorporarse en el plan de ejecución del proyecto, o los análisis de riesgos son simplemente un fondo de pantalla.

Caracterice las causas fundamentales de los riesgos que se han identificado y cuantificado en las fases anteriores del proceso de gestión de riesgos.

  1. Evaluar las interacciones de riesgo y las causas comunes.
  2. Identifique estrategias, métodos y herramientas de mitigación alternativas para cada riesgo importante.
  3. Evaluar y priorizar alternativas de mitigación.
  4. Seleccione y comprometa los recursos necesarios para las alternativas específicas de mitigación de riesgos.

Pensando en que este trabajo debe quedar plasmado en un entregable Documento, los contenidos mínimos que éste debiera tener son:

ÍNDICE DE LA PLANTILLA DE PROYECTO DE MITIGACIÓN DE RIESGOS

  • Introducción

{Todo lo necesario para que el evaluador de su plan entienda de qué se trata, apoyando la misión de nuestra organización}

  • Objetivo General

{La acción principal que se busca con los objetivos específicos}

  • Objetivo Específicos

{Las acciones específicas sobre materias de especialidad}

  • Alcances

{Lo que es, lo que no es, y lo que va incluir}

  • Roles y Responsabilidades

{Aca debe incluir todas segregación de funciones para dar cumplimiento a las tareas}

  1. Matriz RACI

{Debe generar una matriz donde se incluyan:

RolDescripción
RResponsibleResponsableEste rol corresponde a quien efectivamente realiza la tarea. Lo más habitual es que exista sólo un encargado (R) por cada tarea; si existe más de uno, entonces el trabajo debería ser subdividido a un nivel más bajo, usando para ello la matriz RACI.
AAccountableAprobadorEste rol se responsabiliza de que la tarea se realice y es el que debe rendir cuentas sobre su ejecución. Sólo puede existir una persona que deba rendir cuentas (A) de que la tarea sea ejecutada por su Responsable (R).
CConsultedConsultadoEste rol posee alguna información o capacidad necesaria para realizar la tarea.
IInformedInformadoEste rol debe ser informado sobre el avance y los resultados de la ejecución de la tarea. A diferencia del consultado (C), la comunicación es unidireccional.

}

  • Plan de mitigación de riesgos
    • Concientización
  • {Haga un programa específico de concientización al interior de su organización}
    • Gestión de vulnerabilidades
      • Resumen de Vulnerabilidades encontradas
      • {Resuma por activos y familia de vulnerabilidad}
      • Tratamiento a las vulnerabilidades encontradas
        • {Medida reactivas ej: Parches, Upgrades, Bajada de activo.}
        • {Medidas preventivas ej: Políticas, procedimientos, Proceso de programación segura}
    • Gestión de riesgos
      • Resumen de Riesgos encontradas
      • Tratamiento a los Riesgos detectados
    • Proyectos de Mejora

{Desde la descripción de QUICK WINS, a proyectos a mediano y largo plazo}

  • Planificación de Entregables

{La clásica y nunca bien ponderada CARTA GANTT con línea base}

  • Métricas

{Lo que no se define no se puede medir. Lo que no se mide, no se puede mejorar}

  • Control de cambios

{Hay que saber cuando y quien creo el documento}

  • Glosario

{Todas las palabras que debiera definir técnicamente}

Éxito en su labor.

Revisar información oficial en: https://www.ciberseguridad.gob.cl/monitoreo-instructivo-presidencial-n8-del-23-de-octubre-de-2018/

Deja un comentario