seguritecnia 460

90 SEGURITECNIA Enero 2019 Artículo Técnico todología contrastada y se implementa un proceso que monitorice los riesgos y que evalúe los controles confirmando que son realmente eficientes, el riesgo residual se minimizaría considerable- mente y el impacto potencial dentro de la organización podría ubicarse den- tro de una zona de control bastante de- limitada. ¿Qué son los IOC? Un mecanismo de prevención que re- sulta altamente efectivo y cuyo coste es muy asumible por cualquier organiza- ción es el uso de indicadores de com- promiso (IOC, por sus siglas en inglés). Se trata de un método estandarizado basado principalmente en metalengua- jes y cuyo fin principal es la identifica- ción y detección de manera anticipada de amenazas relacionadas con la segu- ridad. La efectividad de los IOC se encuen- tra en la posibilidad de que la informa- ción que contienen es actualizable en cualquier momento y se puede com- partir e intercambiar de una manera muy sencilla con cualquier persona o grupo interesado, como quienes se de- dican a la gestión de incidentes de se- guridad. Un IOC nos describe desde activi- dad maliciosa (incluyendo los elemen- tos que participan de ella) hasta un in- cidente de seguridad por medio de patrones de comportamiento y caracte- rísticas que pueden ser parametrizadas y categorizadas. Y la información con- C uando hablamos de gestión de riesgos, la prevención es la mejor estrategia para inten- tar evitar un impacto sobre nuestros activos. Pero prevenir es un concepto amplio que consta de varios mecanis- mos que, en función de las circunstan- cias, puede incrementar los costes de la organización de manera innecesaria y poco efectiva. Invertir recursos de forma despro- porcionada que intenten abarcar to- dos los activos de una empresa no hará más que generar procesos ineficientes y posiblemente duplicados, con un con- sumo trivial de recursos tanto persona- les y financieros como temporales. Por ejemplo, no es la primera vez que organizaciones mal asesoradas han rea- lizado inversiones en equipamiento de última generación que no estaba bien configurado ni actualizado, o han dele- gado las labores de seguridad en per- sonal poco cualificado con el conse- cuente incremento del riesgo. Por lo tanto, un proceso de gestión del riesgo que se ejecute incorrecta- mente puede incurrir en el error de im- plementar controles totalmente inne- cesarios o en el de desequilibrar de ma- nera negativa la efectividad de aquellos que deben ser implantados, con el con- siguiente incremento en costes que se derivaría de su mantenimiento. ¿Cómo se puede, por tanto, preve- nir sin incurrir en un gasto despropor- cionado, logrando la mayor efectividad posible? Evidentemente, no existe una receta mágica, pero si se tiene bien de- finido el alcance y cuáles son las funcio- nes críticas del negocio, se cuenta con asesoramiento o personal cualificado, se diseñan controles en función de un análisis de riesgos basado en una me- Iker Sala Simón / GRC Department de Áudea Seguridad de la Información Indicadores de compromiso en la gestión de riesgos El fin principal de los IOC es la identificación y detección de manera anticipada de amenazas relacionadas con la seguridad