ISACA publica su libro blanco sobre el modelado de amenazas en las empresas

Muchas organizaciones no se toman en serio el modelado de amenazas hasta que se produce una brecha de seguridad. Sin embargo, a medida que el panorama de riesgos de ciberseguridad continúa evolucionando, el modelado de amenazas ofrece una vía eficaz para anticiparse a las amenazas emergentes, tal y como detalla un nuevo libro blanco de ISACA, que proporciona a las organizaciones y a sus líderes de TI y ciberseguridad información clave sobre el proceso de modelado de amenazas, estrategias de liderazgo y enfoques para su implementación.

En este sentido, el modelado de amenazas (el proceso mediante el cual una empresa evalúa su arquitectura, sistemas y activos con la mentalidad de un atacante) no solo ofrece una salvaguarda frente a brechas críticas, sino que también proporciona una plataforma para que la organización refuerce de manera continua su resiliencia y la confianza interna y externa. Por eso, el libro blanco de ISACA guía a los líderes de seguridad de la información a través de los pasos del proceso de modelado de amenazas, las consideraciones estratégicas a tener en cuenta, cómo involucrar al equipo directivo, estrategias para CISOs y CIOs, recomendaciones para convertirlo en un proceso operativo y un análisis por sectores.

El modelado de amenazas (el proceso mediante el cual una empresa evalúa su arquitectura, sistemas y activos con la mentalidad de un atacante) no solo ofrece una salvaguarda frente a brechas críticas

Cómo abordar el modelado de amenazas desde la dirección de TI y ciberseguridad

Cabe recordar que el modelado de amenazas suele recaer bajo la responsabilidad del CIO y el CISO. Por eso, el documento subraya la importancia de implicar al equipo directivo en la evaluación de riesgos y en la toma de decisiones al respecto. Destaca tres estrategias clave que deben considerar al implicarse en este proceso:

• Incorporar el riesgo a la estrategia del CISO. El modelado de amenazas busca aportar claridad sobre cómo priorizar los riesgos más críticos, lo que permite a la dirección proteger mejor a la organización.
• Ayudar al CIO a crecer de manera eficaz: Con el CIO a cargo de incorporar y gestionar nuevas tecnologías, el CISO puede convertirse en un socio clave conectándolo con los recursos de ciberseguridad necesarios para respaldar sus decisiones estratégicas.
• Alinear al CISO y el CIO para construir una resiliencia real: Facilitar sesiones conjuntas de aprendizaje o estrategia puede fomentar objetivos compartidos, permitir la detección temprana de riesgos y combinar fortalezas para lograr un mayor impacto.

Cómo convertir el modelado de amenazas en un proceso operativo

Aunque muchas organizaciones reconocen el valor del modelado de amenazas, a veces se percibe como una tarea tediosa. Es por ello que el documento ofrece cuatro enfoques para convertirlo en un proceso continuo e integrado en la operación diaria:

• Comenzar en pequeño y con foco: Iniciar con un plan claro permite dedicar más recursos a las amenazas de mayor prioridad.
• Centrarse en las amenazas que importan: Aunque existan múltiples áreas a cubrir, atender las amenazas más probables y urgentes es fundamental para reducir la posibilidad de que pasen inadvertidas.
• Convertir riesgos en soluciones: Identificar riesgos es esencial, pero un modelado de amenazas efectivo se basa en actuar. Ante un riesgo elevado, es clave tomar medidas inmediatas para evitar un daño mayor.
• Implementar un modelado de amenazas continuo: Los modelos deben revisarse y actualizarse periódicamente para mantener su eficacia.

Por todo ello, “las organizaciones más exitosas saben que el modelado de amenazas no es una carga, sino un activo imponderable”, afirma Jon Brandt, director de Prácticas Profesionales e Innovación de ISACA. “Con planificación y acción focalizadas, se erige en un mecanismo poderoso para anticipar riesgos, alinear la seguridad con los objetivos de negocio y construir resiliencia”.