¿Qué es la cuantificación del riesgo cibernético y por qué es importante?


Una forma de lograr que los gerentes de nivel C y los jefes de departamento de ciberseguridad estén en la misma página es emplear la cuantificación del riesgo cibernético, ya que habla de costos compared to riesgos.

cyber-risk.jpg

Imagen: iStockphoto / anyaberkut

Es una apuesta razonablemente segura que los incidentes cibernéticos serán más de lo mismo en 2021. Sin embargo, hay algo diferente en el viento cibernético este año. Los líderes empresariales están pidiendo a los responsables de los departamentos de ciberseguridad que relacionen los costos monetarios con cada riesgo potencial de ciberseguridad que podría sufrir la empresa.

«Si bien antes se veía como un problema que solo debían administrar los líderes de seguridad y tecnología, los ejecutivos ahora están presionando a los departamentos de seguridad para que cuantifiquen financieramente los riesgos cibernéticos que enfrentan sus organizaciones», escribió Jerry Caponera, vicepresidente de estrategia de riesgo cibernético en ThreatConnect, en este artículo de HelpNetSecurity.

En el weblog ThreatConnect Cuantificación del riesgo cibernético: la presión está en aumento (nueva encuesta), Dan Verton, director de advertising de contenidos, agrega un buen punto a lo que mencionó Caponera.

«El setenta por ciento de los profesionales de seguridad que participaron en una encuesta reciente de ThreatConnect dijeron que están recibiendo niveles de presión de medios a altos para producir datos de cuantificación del riesgo cibernético para su negocio», escribió Verton. «El ritmo creciente y la sofisticación de los ataques de los estados nacionales, junto con una superficie de ataque en constante expansión derivada de la modernización electronic continua, ha centrado la atención de los líderes empresariales en su capacidad para cuantificar con precisión y priorizar los riesgos cibernéticos dentro del contexto de su negocio specific. «

VER: Política de protección contra robo de identidad (TechRepublic High quality)

Verton continúa mencionando algo aún más preocupante: «La mitad de los encuestados informaron que no tienen confianza en su capacidad para comunicarse e informar sobre los impactos financieros de los riesgos cibernéticos, y una cuarta parte dice que no tienen implementada una tecnología de cuantificación de riesgos cibernéticos. en su empresa «.

Verton sugirió lo siguiente como motivos de la falta de confianza:

  • Los encuestados dijeron que no cuentan con un proceso formalizado para evaluar y clasificar los riesgos cibernéticos (41%)
  • Los que respondieron también dijeron que no tienen tecnología de cuantificación de riesgo cibernético implementada en su empresa (25%)

¿Qué es la cuantificación del riesgo cibernético?

La mayoría tendrá una plan de lo que implica la cuantificación del riesgo cibernético, pero siempre es bueno estar en la misma página. Mark Tattersall, vicepresidente de gestión de productos de LogicGate, en su weblog El caso empresarial para la cuantificación de riesgos, hace un excelente trabajo al definir la cuantificación del riesgo cibernético. Para empezar, analiza la priorización de proyectos.

«Durante muchos años, los proyectos se han priorizado basándose en evaluaciones cualitativas de probabilidad y escalas ponderadas numéricamente, mientras que la cuantificación de riesgos respalda una toma de decisiones más rigurosa al cuantificar la pérdida financiera potencial de su negocio debido a un escenario de riesgo», escribió Tattersall. «La cuantificación de riesgos es una herramienta táctica que se utiliza para ayudar a comprender y evaluar escenarios de riesgo clave con el fin de tomar decisiones más informadas y determinar el impacto financiero en su organización».

En pocas palabras, la notion detrás de la cuantificación es priorizar los riesgos de acuerdo con su potencial de pérdida financiera, permitiendo así que las personas responsables de una empresa creen presupuestos basados ​​en estrategias de mitigación que brinden la mejor protección y retorno de la inversión.

¿Cómo se hace la cuantificación del riesgo cibernético?

Ahora a la parte difícil: cómo incorporar la cuantificación del riesgo cibernético. «La cuantificación de riesgos comienza con la evaluación del panorama de riesgos de ciberseguridad de su organización», explicó Tattersall. «A medida que se identifican los riesgos, se anotan con una cantidad y frecuencia de pérdida potencial que alimenta un modelo estadístico que considera la probabilidad de probabilidad y el impacto financiero».

Tattersall continuó: «Al evaluar proyectos de ciberseguridad, la cuantificación de riesgos respalda el uso de la prevención de pérdidas como un indicador del retorno de la inversión. Las inversiones en controles más estrictos, prácticas de evaluación y herramientas de gestión de riesgos se clasifican por exposición potencial».

Según Tattersall, las empresas ya están empleando la cuantificación del riesgo cibernético. Ofreció el Instituto Good Análisis factorial de riesgo de la información como ejemplo. El sitio website del Instituto Fair menciona que su plataforma proporciona un modelo para comprender, analizar y cuantificar el riesgo cibernético y el riesgo operativo en términos financieros.

Además, el modelo Reasonable se está integrando en marcos establecidos de gestión de riesgos empresariales y ciberseguridad como NIST, COSO y HITRUST.

Los beneficios de la cuantificación del riesgo cibernético

Las empresas están analizando detenidamente la cuantificación del riesgo cibernético. Es una forma de que los líderes empresariales y los responsables de la ciberseguridad de una empresa estén en sintonía.

Tattersall mencionó: «La cuantificación de riesgos permite a los CISO y CRO ser más estratégicos en su toma de decisiones de riesgo al integrar el impacto financiero de la gestión, mitigación y command de riesgos y permitiéndole hacer un caso de negocio sólido cuando se presenta a la junta».

Caponera de ThreatConnect está de acuerdo, «la cuantificación del riesgo cibernético proporciona a los líderes de seguridad una forma de comunicar las amenazas cibernéticas más urgentes que enfrenta una empresa que no depende de un sistema de puntuación que sea incomprensible para cualquier persona ajena al departamento de seguridad».

Todo el mundo habla de dinero, así que al asignar un valor en dólares a los posibles incidentes cibernéticos:

  • Los líderes empresariales tienen una mejor visibilidad de las amenazas más urgentes y costosas que enfrenta la empresa.
  • Los equipos comerciales y de seguridad pueden alinear sus esfuerzos y priorizar los riesgos más importantes en lugar de dedicar recursos a los riesgos de menor prioridad.
  • Los equipos de seguridad pueden centrar sus esfuerzos en garantizar que la empresa cuente con los controles y procesos adecuados para defenderse de los riesgos más costosos y realizar inversiones adicionales si es necesario.
  • La cuantificación del riesgo cibernético también proporciona una manera más fácil para que los CISO comuniquen el valor de su trabajo al liderazgo.

Pensamientos finales

Como se mencionó al principio, sabemos que los ciberataques continuarán. Caponera y Tattersall coinciden en que una empresa debe tener una visión integral de su panorama de riesgos.

Caponera concluye diciendo: «Ahora es el momento de que los líderes de seguridad adopten la cuantificación del riesgo cibernético y demuestren más fácilmente cómo las organizaciones de ciberseguridad protegen sus operaciones comerciales de interrupciones y daños catastróficos».

Nota: Caponera (ThreatConnect), Verton (ThreatConnect) y Tattersall (LogicGate) son empleados por empresas que ofrecen soluciones de cuantificación de riesgos cibernéticos.

Ver también



Enlace a la noticia primary