Por qué debes y dónde comenzar


Cuantificar los riesgos de ciberseguridad puede ser un paso crítico para comprender esos riesgos y obtener apoyo ejecutivo para abordarlos.

(imagen de Egor, a través de Adobe Stock)

(imagen por Egor, a través de Adobe Inventory)

Riesgo. Según Mirriam-Webster, la palabra tiene varios significados. Primero está «posibilidad de pérdida o lesión: PELIGRO». Un poco más abajo en la lista viene, «la posibilidad de pérdida o los peligros para el tema de un contrato de seguro, también: el grado de probabilidad de tal pérdida». Ahora, desde una perspectiva empresarial, estamos llegando a algún lado.

El mundo de la ciberseguridad está acostumbrado a hablar del riesgo en términos coloridos. El «código rojo», la «condición amarilla» y similares se han utilizado durante mucho tiempo para discutir el entorno de riesgo inmediato. Pero como la ciberseguridad se ha convertido en un problema tanto para los ejecutivos de negocios como para los gerentes de tecnología, el lenguaje ha cambiado y el riesgo se ha desplazado a una conversación cuantitativa.

Un signo de madurez

Brian Riley, director sénior de gestión global de riesgos cibernéticos en Liberty Mutual dice: «Poner números o métricas alrededor del riesgo le permite tener un nivel diferente de conversación sobre lo que eso significa». Explica que las diferencias no solo permiten que las conversaciones tengan lugar con diferentes grupos empresariales, sino que son indicativas de una madurez creciente en el campo del riesgo cibernético.

Una señal de madurez en ciberseguridad es la adopción de un lenguaje común y un marco analítico para describir el riesgo en términos que otras líneas de negocios entienden.

Hay varias organizaciones que han desarrollado tales herramientas. Por ejemplo, la Organización Internacional de Normalización (ISO) y el Instituto Nacional de Estándares y Tecnología (NIST) han creado estándares amplios e integrales. Y una herramienta como el Análisis Factorial de Riesgo de la Información (Truthful) es un marco práctico que ayuda a las organizaciones a mantener esos estándares, específicamente los relacionados con el riesgo cibernético.

Los marcos hacen que el equipo trabaje

Ian Amrit, CSO de Cimpress, dice que su organización está utilizando Truthful como foundation para discusiones más amplias sobre riesgos. «Estamos utilizando Honest no solo como parte de nuestra organización de seguridad, sino que también comenzamos a introducirlo en nuestro grupo normal de gestión de riesgos empresariales», explica.

los Modelo JUSTO construye su marco sobre una serie de definiciones, comenzando con bienes y continuando riesgos, que se definen ampliamente como la probabilidad de que se produzca una pérdida para un activo. Varios tipos de pérdidas, como la productividad, el reemplazo y la reputación, se definen como los tipos de amenazas que pueden conducir a esas pérdidas. Luego, las amenazas se colocan en un contexto multidimensional de gravedad y probabilidad, todo expresado en números en lugar de términos descriptivos.

Si bien Riley de Liberty Mutual hace un uso extensivo de Truthful en su trabajo, no es la única herramienta que aporta al trabajo.

«El trabajo que Mitre ha hecho con sus Marco ATT y CK de las herramientas adversas, tácticas y conocimiento común crean una taxonomía que permite a una organización pensar en tácticas de ataque específicas y los controles de seguridad que se pueden aplicar a esas tácticas de manera repetible «, dice. La repetibilidad constante es algo que los profesionales se considera crítico no solo para abordar el riesgo dentro de la ciberseguridad sino también para hablar sobre el riesgo dentro del contexto más amplio del negocio.

«Creo que (Reasonable) lo ayuda a poner el riesgo cibernético en el mismo nivel que otros elementos de riesgo que estamos abordando a nivel empresarial», dice Amrit. «Entonces, si estoy analizando el riesgo financiero, el riesgo operacional, un panorama competitivo, todos estos se cuantifican al remaining del día hasta cierto punto con algún tipo de rango que gira en torno a la amenaza específica».

Él explica: «Aquí hay un escenario. Aquí está nuestra exposición. Aquí está el riesgo asociado con eso». Y expresar ese riesgo de manera cuantificada que otros profesionales dentro de la empresa pueden entender significa que toda la organización puede abordar el riesgo.

Steve Durbin, director gerente del Foro de Seguridad de la Información, dice que la comprensión común dentro de la organización es crítica. «El desafío para la seguridad es poder traducir las métricas de seguridad en una forma de informes que sea relevante y comprensible para un público de alto nivel y que se alinee y respalde la evaluación del desempeño comercial y, en última instancia, el riesgo comercial», dice.

Esa evaluación, en algún nivel, deberá expresarse en términos de dólares y centavos que son el núcleo de la discusión ejecutiva.

Impuesto de latón

«Para las métricas a nivel de junta, los datos analíticos a menudo deben combinarse con algún tipo de análisis de costo-beneficio», dice Heather Paunet, vicepresidenta de gestión de productos en Untangle.

Amrit está de acuerdo, dando un ejemplo de la discusión que un CISO puede tener con la junta ejecutiva.

«He aquí por qué estoy tratando de reducir el riesgo de este escenario en particular de $ 2 millones a $ 8,000 mil. Así que tengo una reducción de riesgo de $ 1.2 millones. Y para realizar esa actividad, solicito una inversión en la magnitud de $ 200,000. Entonces $ 200,000 por $ 1.2 millones. Ahora está comenzando a tener sentido en cuanto a mi retorno de la inversión «, dice.

Y las juntas directivas están cada vez más interesadas en que los CISO y los gerentes de riesgos tengan sentido en las reuniones de la junta. «Sería una junta muy tonta de hecho hoy que dijo que no tenía interés en comprender la postura de seguridad de la compañía y qué pasos se estaban tomando para proteger sus activos críticos», dice Durbin.

Afortunadamente, tanto para las juntas como para los profesionales encargados de proporcionar información, «la industria está madurando gradualmente en el espacio para tener métricas más cuantificables sobre cómo se ven los riesgos en la mayoría de los marcos», según Riley.

El punto, en última instancia, es lo que los profesionales de ciberseguridad pueden hacer sobre los riesgos que ven. «Nuestro trabajo es determinar qué porción de un escenario de pérdida, qué porción del elemento de riesgo que estamos midiendo tenemos control en ese escenario de pérdida», dice Amrit. Él pregunta: «¿Qué es lo que tienes control sobre eso que puede cambiar el resultado de un escenario certain?»

Contenido relacionado:

Curtis Franklin Jr. es editor sénior en Dark Examining. En este puesto, se centra en la cobertura de productos y tecnología para la publicación. Además, trabaja en programación de audio y video clip para Dark Studying y contribuye a actividades en Interop ITX, Black Hat, INsecurity y … Ver biografía completa

Más suggestions





Enlace a la noticia initial