Nuevo estudio cuestiona la figura de riesgo común



Muchos modelos de riesgo usan un número comúnmente cotizado, $ 150 por registro, para estimar el costo de un incidente. Un nuevo estudio del Instituto Cyentia dice que el mal uso de ese número significa que las estimaciones casi nunca son precisas.

Una cosa es conocer el nivel de riesgo cibernético de su organización. Es un paso más en el camino de la madurez para poder cuantificar ese riesgo. Pero si no sabe dónde se ubica su riesgo en relación con los riesgos que enfrentan otras organizaciones, aún puede estar operando en un vacío de información parcial. Esa es la premisa de un nuevo estudio que analizó los números detrás del riesgo en toda la industria y llegó a algunas conclusiones que muchos pueden encontrar provocativas.

los Estudio de información sobre riesgos (IRIS), realizado por el Instituto Cyentia, tiene la intención de ayudar a los gerentes de riesgo de negocios a construir mejores modelos de riesgo, y usar esos modelos para tomar mejores decisiones para administrar el riesgo cibernético. David Severski, científico senior de datos en Cyentia y autor principal del informe IRIS, dice que el punto no es tener más datos, pero para utilizar los datos disponibles de manera más efectiva. «Nunca vamos a tener información perfecta, pero podemos usar la información que tenemos disponible para tomar una mejor decisión en lugar de simplemente un tipo de análisis al alcance de la mano», dice.

Severski dice que un ejemplo de uso más efectivo de la información sería usar información a escala de la industria si los datos de riesgo de una compañía específica no están disponibles. «Si tengo muy poca información sobre mi organización o sobre un proveedor con el que estoy trabajando, por ejemplo, puedo usar la información que está en el estudio IRIS para comenzar la conversación sobre el riesgo», explica. Él dice que conocer el área de mercado de la compañía y su tamaño puede permitir un punto de partida para conversaciones que involucren la frecuencia y el tamaño de la pérdida.

Con información disponible sobre los promedios de la industria, dice Severski, pueden continuar las discusiones sobre si la organización en specific es mejor o peor que el promedio, y lo que dice cualquier dato disponible sobre la posibilidad de cambiar los niveles de riesgo.

El tamaño importa
Los promedios para empresas de diferentes tamaños se encuentran entre los hallazgos del informe que sorprendieron a Wade Baker, socio del Instituto Cyentia. «Me sorprendió que la probabilidad de que una empresa Fortune 1000 tuviera un incidente es de aproximadamente 1 de cada 4, o el 25% en un año determinado», dice. Encontró que la probabilidad de ser mucho mayor de lo que esperaba. Una sorpresa igual por el otro lado vino de su estudio de pequeñas y medianas empresas.

«Encontramos una probabilidad del 2% de un incidente en un año determinado entre las pequeñas y medianas empresas», dice Baker. Sin embargo, ese porcentaje no dice nada sobre el impacto que un incidente puede tener en la organización.

«Si usted es una organización realmente grande, con altos ingresos, cuando tiene una brecha, puede perder más solo desde el punto de vista de los dólares que cuando una pequeña empresa se ve comprometida», dice. Pero cuando los investigadores de Cyentia analizaron los datos del incidente como una proporción de los ingresos, descubrieron que el costo del incidente period muy inferior al 1% de los ingresos anuales por un incumplimiento típico de una gran corporación.

La noticia es bastante diferente para las pequeñas empresas. «Es una cuarta parte de los ingresos anuales por el incumplimiento típico de una pequeña y mediana empresa. Y quiero decir, eso es simplemente impactante», dice Baker. Una de las razones por las que es impactante no es simplemente el alto nivel de pérdida, sino porque indica que un número clave utilizado con frecuencia por los gerentes de riesgo y los analistas puede estar bastante equivocado.

Talla única para ninguno
Los «Costo de un informe de violación de datos de 2019«por IBM Safety y el Ponemon Institute muestra que el costo de las violaciones de datos, en promedio, $ 150 por registro involucrado. Ese número se usa con frecuencia (y, dice Severski, comúnmente mal utilizado) para estimar los costos de incidentes en el análisis de riesgos. En IRIS, Severski escribe, «Una sola métrica de costo por registro simplemente no funciona y no debe usarse. Subestima el costo de los eventos más pequeños y (en gran medida) sobreestima los eventos grandes «.

Como ejemplo, Severski menciona un grupo que publicó una cifra de $ 5 billones en pérdidas por nubes mal configuradas. Es, dice Severski, un número patentemente ridículo que proviene de multiplicar 33 mil millones de registros expuestos por $ 150. Y el efecto de errores como ese es, explica, enorme.

Cuando Severski trazó los costos proyectados de las violaciones históricas as opposed to los costos reales conocidos, descubrió que la proyección coincidía con la realidad con mucha menos frecuencia de lo que cabría esperar en el modelo estadístico. Y el monto full del error fue más de $ 1.7 billones, un monto que excedió el monto whole de las pérdidas reales.

Como resultado, Severski dice que una tabla de probabilidades, con el número de registros (de 10 a 1 mil millones) en el eje X y las cantidades de pérdida whole (de $ 10,000 a $ 1 mil millones) en el eje Y ofrece una forma mucho más precisa de usar datos disponibles para construir modelos de riesgo.

Una voz confiable
Cuando se le preguntó por qué los profesionales de ciberseguridad deberían preocuparse por la precisión de los números históricos, Baker dice que la respuesta depende de la compañía a la que atienden esos profesionales. Para aquellos en grandes empresas, dice, se trata de ser visto como una fuente confiable de información para la junta directiva. «Una visión enormemente sobreestimada de los posibles impactos de estos eventos cibernéticos conducirá a un gasto excesivo para mitigarlos, lo que perderá la confianza de la junta a largo plazo. Y perderemos la capacidad de tener una discusión genuine y ser tomados en cuenta. en serio «, explica Baker.

Por otro lado, «si eres una organización pequeña, puedes ver esto rápidamente y decir, Ok, qué tan preocupado debería estar por este tema en certain por las infracciones reveladas públicamente para mi organización, y tal vez te detengas allí». dice, porque ese nivel de información permitiría a la compañía decidir si gastar dinero en mitigar el riesgo o lanzar un nuevo producto.

La clave, dice Baker, es comprender que no importa cuánto queramos respuestas simples, el riesgo no es una cuestión única. Poner esa comprensión en acción permitirá, dice, permitir a las organizaciones de todos los tamaños tomar mejores decisiones sobre cómo abordar los riesgos que enfrentan.

Contenido relacionado:

Curtis Franklin Jr. es editor sénior en Darkish Studying. En este puesto, se centra en la cobertura de productos y tecnología para la publicación. Además, trabaja en programación de audio y online video para Dim Looking at y contribuye a actividades en Interop ITX, Black Hat, INsecurity y … Ver biografía completa

Más ideas





Enlace a la noticia original