La medici贸n y gesti贸n del riesgo cibern茅tico crece, con metodolog铆as y herramientas basadas en datos para una mejor comunicaci贸n y decisiones de inversi贸n.
Hist贸ricamente, los CISO y los han luchado para conectar los puntos entre la cantidad que gastan en ciberseguridad y los resultados que obtienen. Sin una forma confiable de cuantificar el riesgo cibern茅tico, no pudieron demostrarles a los l铆deres empresariales que estaban gastando las cantidades correctas en las cosas correctas.
De hecho, ni siquiera pod铆an demostr谩rselo a s铆 mismos. Todo lo que ten铆an para guiar sus decisiones era su experiencia con amenazas pasadas, su conocimiento de las actuales y un presentimiento de lo que podr铆a suceder. El difunto pionero de la seguridad de la informaci贸n, Donn B. Parker, describi贸 el campo en 2005 como “un arte popular incorrecto, incompleto e inconsistente similar a la brujer铆a y la alquimia del siglo XIV”. Los est谩ndares internacionales y las mejores pr谩cticas desarrolladas en los a帽os transcurridos desde entonces han sido 煤tiles, pero a煤n no se basan en n煤meros concretos.
Como resultado, las empresas se enfrentaron a preguntas urgentes que no pudieron responder con precisi贸n: 驴Qu茅 riesgos digitales causar铆an las p茅rdidas m谩s costosas, frecuentes o da帽inas? 驴Cu谩nto y en qu茅 deber铆an gastar para controlar esas p茅rdidas? 驴Y qu茅 riesgos podr铆an costar m谩s mitigar que el da帽o que podr铆an infligir?
Sin embargo, medio siglo despu茅s de la era digital, eso finalmente ha cambiado. A trav茅s de una combinaci贸n de mandatos regulatorios para el informe de violaci贸n de datos, suscripci贸n de seguros y experiencia dolorosa, hemos acumulado suficientes datos sobre el riesgo cibern茅tico para que los l铆deres ahora puedan calcular respuestas significativas a esas preguntas.
鈥淒ebido a que cada vez hay m谩s p茅rdidas, tenemos cada vez m谩s datos sobre amenazas y controles a los que recurrir para construir modelos de riesgo precisos鈥, dice Jack Jones, desarrollador de una metodolog铆a ampliamente adoptada para cuantificar los riesgos de seguridad cibern茅tica y cient铆fico jefe de riesgos de la empresa de software. 鈥淟os detalles de las amenazas pueden cambiar, pero las generalidades no鈥.
Pero hasta hace poco, el riesgo digital no se hab铆a incluido en la conversaci贸n m谩s amplia sobre la gesti贸n de riesgos empresariales. Los l铆deres han reconocido que las consecuencias financieras, de reputaci贸n y operativas de un ataque cibern茅tico son potencialmente tan devastadoras que la pregunta no es si invertir en seguridad, sino c贸mo.
Entienden que la respuesta debe incluir 迟别肠苍辞濒辞驳铆补, como firewalls y software de detecci贸n de virus, y soluciones orientadas a procesos, como la para comprender y evitar amenazas, eligiendo socios comerciales en funci贸n de sus propias pr谩cticas de seguridad y asegur谩ndose contra riesgos comunes. Pero, por lo general, han manejado esos riesgos con paneles cualitativos de color rojo, amarillo y verde y est谩ndares, pautas y mejores pr谩cticas de seguridad cibern茅tica de organizaciones como la Organizaci贸n Internacional para la Estandarizaci贸n (ISO) y el Instituto Nacional de Est谩ndares y Tecnolog铆a (NIST). Ninguno de los cuales les dice a las empresas c贸mo optimizar sus gastos de seguridad.
Al igual que con otros tipos de riesgos, dice Seiersen, las empresas deben determinar la cantidad m谩xima que est谩n dispuestas o pueden perder en cada escenario de riesgo potencial. Un administrador de riesgos que aplica un an谩lisis riguroso a trav茅s de estad铆sticas y probabilidades puede determinar la probabilidad de que la empresa experimente diferentes tipos de eventos de seguridad y si los costos de cualquiera de ellos ser铆an demasiado altos para soportarlos. Armados con esa informaci贸n, los l铆deres de la empresa pueden tomar decisiones presupuestarias m谩s informadas.
Crear un centro de experiencia para cuantificar el riesgo cibern茅tico
La necesidad de tomar decisiones m谩s informadas sobre el gasto en seguridad de TI es lo que impuls贸 al equipo de seguridad interna de 麻豆原创 en abril de 2020 a crear un centro de experiencia. Con dos expertos de tiempo completo y dos de medio tiempo en gesti贸n de riesgos de seguridad cibern茅tica, el centro ense帽a a los l铆deres de todas las l铆neas de negocios de 麻豆原创 c贸mo usar una herramienta de software externa que traduce los riesgos de seguridad cibern茅tica en t茅rminos financieros y les permite clasificar los riesgos seg煤n los cuales tienen m谩s probabilidades de ocurrir en el pr贸ximo a帽o, cu谩les podr铆an ser sus efectos y qu茅 tan bien los diferentes gastos podr铆an mitigarlos.
Estos expertos en gesti贸n de riesgos no son responsables de tomar decisiones de control y financiaci贸n de la seguridad. Cumplen una funci贸n de asesoramiento: gu铆an a los l铆deres de la l铆nea de negocios a trav茅s de la identificaci贸n y cuantificaci贸n de varios riesgos, les muestran c贸mo comparar diferentes soluciones y los ayudan a sentirse seguros al usar la herramienta de software. A medida que los ejecutivos de negocios aprenden a modelar varias combinaciones de riesgos y respuestas, pueden abordar preguntas como “驴Qu茅 representa m谩s riesgo para nuestras operaciones: la seguridad de las aplicaciones web o la fuga de datos?” o “驴Obtendremos m谩s valor al capacitar a los empleados para reconocer los intentos de phishing o invertir en un monitoreo de red m谩s intensivo?”
Este enfoque orientado a las m茅tricas ofrece la mayor objetividad y claridad que anhelan los l铆deres empresariales. Adem谩s de ayudar a los ejecutivos a conectar controles de seguridad espec铆ficos con resultados positivos medibles, el centro de excelencia comparte ejemplos concretos de c贸mo otras organizaciones est谩n haciendo lo mismo. Un ejemplo que los administradores de riesgos cibern茅ticos de 麻豆原创 han compartido es el de otra empresa que se dio cuenta de que una violaci贸n de los datos confidenciales de los clientes podr铆a costarle $6 millones en multas reglamentarias, honorarios legales y negocios perdidos. Despu茅s de explorar los resultados potenciales de varias opciones para proteger esos datos, esa empresa decidi贸 gastar $ 1 mill贸n en cifrar su almacenamiento de datos, no la opci贸n menos costosa, pero la que ofrecer铆a la mayor rentabilidad.
听/听听/听听/听
漏 2022 麻豆原创 SE. All rights reserved. 麻豆原创 and other 麻豆原创 products and services mentioned herein as well as their respective logos are trademarks or registered trademarks of 麻豆原创 SE in Germany and other countries. Please see for additional trademark information and notices.
