Por qué es importante crear un lenguaje común sobre el riesgo cibernético


Todos los departamentos de una organización deben estar en sintonía en lo que respecta a la ciberseguridad, y eso solo sucederá si todos comprenden la terminología utilizada.

cyber-risk.jpg

Imagen: iStockphoto / anyaberkut

Las cosas funcionan mejor cuando todos están en la misma página, y eso incluye la capacidad de discutir un tema usando un lenguaje que imparte el mismo significado a todos.

VER: Política de respuesta a incidentes de seguridad (TechRepublic High quality)

Hay un juego de fiesta, Whisper Down the Lane, conocido en algunos lugares como Phone o Gossip, que ilustra lo que sucede cuando las palabras y sus significados se malinterpretan. Las personas están en un círculo y alguien le susurra un secreto a la persona que está a su lado. Esa persona transmite el secreto a la persona que está a su lado y así sucesivamente hasta que vuelve a la primera persona y, la mayoría de las veces, el secreto es muy diferente.

En los juegos de fiesta, es divertido, pero en el mundo de la ciberseguridad, no interpretar un comentario o documento como lo pretendía el creador puede significar un desastre. El Estudio de riesgo worldwide 2020 by PwC dijo que casi el 50% de los encuestados cree que sus departamentos de riesgo, auditoría interna, cumplimiento y ciberseguridad se ven obstaculizados por no formular una visión común de las amenazas y el riesgo asociado.

Pero, ¿qué se puede hacer para cambiar esto? Joseph Schorr, vicepresidente de alianzas estratégicas de LogicGate, ofreció sus pensamientos por correo electrónico. Schorr comenzó mirando el GRC y IRM espacio: programas que a menudo utilizan lenguaje técnico / vernáculo, siglas y jerga.

«Cuando trabajamos con socios comerciales y partes interesadas, es importante asegurarnos de encontrar un lenguaje común, para que todos comprendan el riesgo que estamos comunicando», dijo Schorr. «Por ejemplo, decir que es possible que haya una filtración de datos puede significar un 70% de probabilidad para algunos, un 80% para otros y un 50% para otros».

La tecnología y los procesos son componentes vitales en lo que respecta al lenguaje del riesgo. A matriz de riesgo se utiliza a menudo durante las evaluaciones de riesgos para definir el nivel de riesgo considerando la probabilidad y la gravedad de las consecuencias. Schorr dijo que las matrices de riesgo son una herramienta valiosa que se utiliza para ayudar a comunicarse entre departamentos y empresas. Serían aún más útiles si el lenguaje utilizado fuera comprensible para todas las partes.

VER: Cómo administrar las contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (TechRepublic)

«Cuando tiene una matriz aceptada y utilizada en todo el negocio, su organización ahora tiene un punto de referencia común para la asignación de recursos y la toma de decisiones», dijo Schorr. «Todo el mundo que united states of america el mismo lenguaje muestra inversión en todos los ámbitos y una comprensión de toda la empresa del riesgo de la organización y cómo ese riesgo se puede utilizar para generar una ventaja estratégica».

Creando un lenguaje common de riesgo

A primera vista, crear un lenguaje universal del riesgo parece imposible, y probablemente lo sea. Dicho esto, hacer el esfuerzo y acercarnos a donde todos comparten un entendimiento común es una gran mejora y aumenta la conciencia. Schorr ofrece las siguientes prácticas para ayudar a lograrlo.

Acordar un taxonomia: En esta situación, la taxonomía es la estructura de identificación o denominación utilizada para comprender claramente la evaluación de riesgos, el seguimiento, la remediación y la creación de un vocabulario común.

El beneficio de tener una taxonomía o estructura related en su lugar cuando se colabora con otros departamentos crea una referencia funcional que permite la agrupación reflexiva y la generación de informes agregados. «La taxonomía compartida en toda la organización aumenta la eficacia de los informes y la toma de decisiones», dijo Schorr. «Y la taxonomía estandarizada facilita las comparaciones entre datos históricos, períodos de tiempo, unidades de negocio y regiones».

Establezca un sistema de calificación comprensible: El sistema de clasificación de riesgo debe ir más allá de simplemente bajo, medio y alto, e incluir puntos de referencia que sean comprensibles para todas las partes interesadas.

Emplear un marco coherente de respuesta al riesgo en toda la empresa: Este tipo de marco guiará el proceso de gestión de riesgos. Schorr sugiere incluir métricas que identifiquen qué riesgos son aceptables y destacar las acciones que se requieren. Además, es basic utilizar el marco en toda la empresa hacerlo permite una toma de decisiones más rápida y cultiva una cultura de gestión de riesgos.

Haga que el marco sea accesible: Cualquiera que necesite información sobre gestión de riesgos debería tener fácil acceso a ella. «Los sistemas / procesos de gestión de riesgos con la misma taxonomía (lenguaje de riesgos) garantizan el uso sistemático y apropiado de los datos recopilados en toda la empresa», dijo Schorr. «La tecnología que incorpora y estandariza datos en todas las regiones / unidades comerciales impulsa la asignación eficiente de recursos, lo que permite tomar decisiones mejor informadas».

Obtenga la aceptación de personas de diferentes niveles de una organización: Esta es probablemente la práctica más importante del grupo, especialmente conseguir la aceptación de la alta dirección. «Después de que finalmente hubo suficientes infracciones de alto nivel, hacks de Facebook y ataques a los sistemas POS, la seguridad y el riesgo finalmente se convirtieron en una preocupación a nivel de la junta», dijo Schorr.

VER: Ataque de ransomware: por qué una pequeña empresa pagó el rescate de 150.000 dólares (TechRepublic)

También sugirió encontrar un campeón, alguien interno de la empresa, posiblemente un arquitecto de seguridad o un especialista en riesgos y cumplimiento, que elevará la discusión y hablará más sobre las limitaciones y objetivos comerciales.

Beneficios de un lenguaje común de riesgo

Schorr dijo que cree firmemente que la incorporación de definiciones estándar y herramientas de traducción en una plataforma de gestión de riesgos (GRC o IRM) es lo mejor para una organización.

Definiciones estándar y herramientas de traducción:

  • Permitir la agregación de riesgos individuales en temas.
  • Proporcionar puntajes de riesgo consolidados de toda la organización, lo que significa entrada de datos adicionales en los procesos de la organización.
  • Cree un repositorio de datos compartido que se pueda aprovechar para rastrear tendencias, predecir nuevas oportunidades e identificar áreas de enfoque

Usar terminología que todos comprendan no es nuevo y no es ciencia espacial. Lo nuevo es emplear este concepto para gestionar el riesgo con respecto a la ciberseguridad, un campo complejo y que cambia rápidamente. Puede que no sea perfecto, pero mover la barra a donde todos están en la misma página parece un buen lugar para comenzar.

Ver también



Enlace a la noticia first