Empresa fuerte con ciberseguridad: riesgo

Mostrando entradas con la etiqueta riesgo. Mostrar todas las entradas

10 Razones por las que TI No Debe Gestionar Vulnerabilidades: Un Riesgo Crítico para la Seguridad Empresarial

Dirigido a: CISOs, CIOs, CTOs, Directores y Gerentes de Tecnología

Delegar la gestión de vulnerabilidades al área de Tecnología de la Información (TI) representa un riesgo estratégico para cualquier organización. Esta función, crítica para la protección del activo digital, debe recaer en el equipo de Ciberseguridad, de acuerdo con marcos regulatorios y buenas prácticas internacionales.

1. Conflicto de intereses (Segregación de funciones)

TI diseña, configura y mantiene sistemas; si además evalúa sus propias implementaciones, se rompe la independencia requerida. ISO/IEC 27001:2022 (Control 8.2) exige separar funciones para reducir el riesgo de abuso o error involuntario. Quien construye no debe auditarse a sí mismo.

2. Falta de enfoque en la gestión de riesgos

TI prioriza continuidad operacional. Sin embargo, la gestión de vulnerabilidades requiere análisis de riesgo y priorización de acuerdo con la exposición. NIST SP 800-30 Rev.1 establece que la evaluación de vulnerabilidades debe basarse en el riesgo, no en la urgencia técnica.

3. Ausencia de especialización en amenazas

TI rara vez cuenta con el conocimiento técnico para interpretar CVE, CWE, CVSS, o relacionarlo con amenazas activas (e.g., ransomware-as-a-service). Esta tarea corresponde a profesionales de ciberseguridad entrenados en threat intelligence.

4. Desalineación con normativas y estándares

Regulaciones como PCI-DSS v4.0 (Requisito 11.3), NIST CSF y ISO/IEC 27002:2022 recomiendan que la detección y mitigación de vulnerabilidades sea un proceso controlado por la función de seguridad, no por operaciones TI.

5. Falta de visibilidad de amenazas externas

TI gestiona sistemas internos, pero no tiene acceso a feeds de amenazas, inteligencia externa, ni contexto global. Ciberseguridad opera con datos actualizados de ataques reales (tácticas MITRE ATT&CK, CVE explotados, IOC activos).

6. Trazabilidad y auditoría comprometidas

Cuando TI detecta y mitiga vulnerabilidades sin supervisión externa, no hay evidencia independiente para auditorías. ISO 27001 (Cláusula 9.1) exige monitoreo, medición y evaluación de controles de forma verificable.

7. Riesgo de despriorización operativa

TI puede demorar correcciones críticas si afectan la continuidad del negocio. NIST SP 800-40 Rev.3 aclara que las vulnerabilidades deben gestionarse por nivel de severidad, no por conveniencia operativa.

8. Evaluación técnica vs. impacto estratégico

TI puede ver una vulnerabilidad como un error menor, sin evaluar su impacto sobre la confidencialidad, integridad o disponibilidad. Ciberseguridad aplica el modelo CIA y evalúa implicaciones regulatorias y de reputación.

9. Ambigüedad en la responsabilidad del riesgo

Si TI gestiona vulnerabilidades, ¿quién responde ante una brecha de seguridad? La rendición de cuentas queda diluida. COBIT 2019 señala que la gestión del riesgo de TI debe estar alineada con la función de aseguramiento, no con la de operación.

10. TI no cubre el ciclo completo de gestión

La gestión efectiva incluye: detección, análisis, priorización, remediación, validación y retroalimentación. TI suele limitarse a aplicar parches. ISO/IEC 27002:2022 (Control 8.8) establece que todo el ciclo debe estar gobernado bajo procesos de seguridad.

Conclusión

Permitir que TI gestione vulnerabilidades compromete la objetividad, el cumplimiento normativo y la gestión de riesgos. Las organizaciones deben alinear sus procesos con marcos como ISO 27001, NIST, PCI-DSS y COBIT, y asegurar que Ciberseguridad lidere esta función estratégica.

TI debe operar. Ciberseguridad debe vigilar. Confundir estos roles es debilitar la postura de seguridad organizacional.

Descubre los peligros de permitir el uso del correo corporativo para beneficio personal

El uso de cuentas de correo corporativas para beneficio personal es una práctica que ha venido creciendo con el tiempo y sobre lo cual, la organización deberá ponerle la lupa para evitar posibles riesgos en lo cuales se vea inmersa.

Las cuentas de correo corporativas se usan para representar a la organización desde la cual sale el correo electrónico. Por ejemplo, se recibe un email de alguien que pregunta por precios de servicios y el correo del remitente es sistemas@ministerio.gov.co, el destinatario asumirá que el correo viene desde esa entidad, por lo que posiblemente le dará un trato como si viniera de una entidad gubernamental.

Se ha presentado el caso de que algunos empleados envían solicitudes desde sus cuentas corporativas para presionar a una organización para obtener algún beneficio que no tendría si el email hubiese salido desde un correo personal.

Otro ejemplo de esto se da cuando se solicitan servicios que son de pago excepto para entidades educativas, alguien que tiene un correo educativo solicita el servicio gratuito para uso personal o peor aún, para uso corporativo, esto se constituye en un fraude.

Se pueden llegar a citar un gran número de casos en donde el empleo de correos corporativos para beneficio personal le puede dar ventaja competitiva al empleado, ventajas que no hubiese tenido si el email hubiese salido desde un correo personal.

Los riesgos de permitir que los empleados usen las cuentas corporativas para resolver sus asuntos personales son altos debido a que cada email que sale de un correo corporativo es tomado como una actuación de la organización.

Para cerrar el tema, que piensas de este caso ficticio: trabajas para la empresa nutrigamba.com y tu compañero de trabajo es Carlos Rodriguez. Un día ingresas en el sitio web del periódico local y lees la noticia acerca de un gran número de estafas en el sitio de compras www.micarrito.com. Los correos de los presuntos estafadores son publicados en Internet y justo ahí, en el tercer reglón, aparece la dirección de correo "crodriguez@nutrigamba.com".

Es por ello que el uso de correos corporativos para uso personal deberá estar prohibido. Cada email que sale de una cuenta corporativa es una comunicación empresarial, por ello, el empleado deberá ser responsable de la comunicación que se tenga por intermedio de su correo electrónico.

Para mejor entendimiento del tema, te recomiendo la siguiente lectura:

Acceso al correo electrónico corporativo del empleado por parte del empleador

Conoce las cinco clases de controles usadas para tratar los riesgos y mantener segura tu organización

En post anteriores revisamos lo que es un riesgo (Efecto de la incertidumbre sobre los objetivos), en este post vamos a ver cinco clases de controles que se utilizan para tratar los riesgos. Empecemos por definir lo que es un control:

Control: Medida por la que se modifica el riesgo.

Los controles incluyen procesos, políticas, dispositivos, prácticas, entre otras acciones que modifican el riesgo. Otros términos utilizados para referirse a control son: salvaguarda o contramedida.

Control correctivo: Control que corrige un riesgo, error, omisión o acto deliberado antes de que produzca pérdidas relevantes. Supone que la amenaza ya se ha materializado, pero que se corrige. Ejemplo: implementación de un sistema de prevención de intrusos IPS.

Control detectivo: Control que detecta la aparición de un riesgo, error, omisión o acto deliberado. Supone que la amenaza ya se ha materializado, pero por sí mismo no la corrige. Ejemplo: implementación de un sistema de detección de intrusos IDS.

Control de acceso: Significa garantizar que el acceso a los activos esté autorizado y restringido según los requisitos comerciales y de seguridad. Ejemplo: implementación de un firewall.

Control disuasorio: Control que reduce la posibilidad de materialización de una amenaza. Ejemplo: carteles acerca de que el cliente está siendo monitoreado por cámara para que desista de su intención.

Control preventivo: Control que evita que se produzca un riesgo, error, omisión o acto deliberado. Impide que una amenaza llegue siquiera a materializarse. Ejemplo: Implementación de un plan de recuperación de desastres DRP.

Estas son las cinco clases de controles usadas para tratar los riesgos junto con un ejemplo de cada una de ellas. Úsalas para tratar los riesgos en tu organización.

Consultor en Ciberseguridad.
Mi experiencia en el campo de la ciberseguridad me permite brindar soluciones personalizadas a las empresas. Me esfuerzo por comprender las necesidades únicas de cada cliente y brindar soluciones efectivas y eficientes para proteger sus sistemas y datos. Mi objetivo es ayudar a las empresas a mantenerse seguras en línea y estar preparadas ante cualquier desafío cibernético.

Perfil en LinkedIn
Consultor en Ciberseguridad | Especialista en Gerencia de Proyectos de Sistemas | Especialista en Auditoría de Sistemas | Auditor Líder ISO/IEC 27001 | Lead Cyber Security Manager ISO/IEC 27032 | SFCP | RHCE | CEH | Tenable Certificated since 2016

ITIS / UIS / UAN / URosario