La medición y gestión del riesgo cibernético crece, con metodologías y herramientas basadas en datos para una mejor comunicación y decisiones de inversión.
Históricamente, los CISO y los CIO han luchado para conectar los puntos entre la cantidad que gastan en ciberseguridad y los resultados que obtienen. Sin una forma confiable de cuantificar el riesgo cibernético, no pudieron demostrarles a los líderes empresariales que estaban gastando las cantidades correctas en las cosas correctas.
De hecho, ni siquiera podían demostrárselo a sí mismos. Todo lo que tenían para guiar sus decisiones era su experiencia con amenazas pasadas, su conocimiento de las actuales y un presentimiento de lo que podría suceder. El difunto pionero de la seguridad de la información, Donn B. Parker, describió el campo en 2005 como “un arte popular incorrecto, incompleto e inconsistente similar a la brujería y la alquimia del siglo XIV”. Los estándares internacionales y las mejores prácticas desarrolladas en los años transcurridos desde entonces han sido útiles, pero aún no se basan en números concretos.
Como resultado, las empresas se enfrentaron a preguntas urgentes que no pudieron responder con precisión: ¿Qué riesgos digitales causarían las pérdidas más costosas, frecuentes o dañinas? ¿Cuánto y en qué deberían gastar para controlar esas pérdidas? ¿Y qué riesgos podrían costar más mitigar que el daño que podrían infligir?
Sin embargo, medio siglo después de la era digital, eso finalmente ha cambiado. A través de una combinación de mandatos regulatorios para el informe de violación de datos, suscripción de seguros y experiencia dolorosa, hemos acumulado suficientes datos sobre el riesgo cibernético para que los líderes ahora puedan calcular respuestas significativas a esas preguntas.
“Debido a que cada vez hay más pérdidas, tenemos cada vez más datos sobre amenazas y controles a los que recurrir para construir modelos de riesgo precisos”, dice Jack Jones, desarrollador de una metodología ampliamente adoptada para cuantificar los riesgos de seguridad cibernética y científico jefe de riesgos de la empresa de software. “Los detalles de las amenazas pueden cambiar, pero las generalidades no”.
Pero hasta hace poco, el riesgo digital no se había incluido en la conversación más amplia sobre la gestión de riesgos empresariales. Los líderes han reconocido que las consecuencias financieras, de reputación y operativas de un ataque cibernético son potencialmente tan devastadoras que la pregunta no es si invertir en seguridad, sino cómo.
Entienden que la respuesta debe incluir tecnología, como firewalls y software de detección de virus, y soluciones orientadas a procesos, como la capacitación de los empleados para comprender y evitar amenazas, eligiendo socios comerciales en función de sus propias prácticas de seguridad y asegurándose contra riesgos comunes. Pero, por lo general, han manejado esos riesgos con paneles cualitativos de color rojo, amarillo y verde y estándares, pautas y mejores prácticas de seguridad cibernética de organizaciones como la Organización Internacional para la Estandarización (ISO) y el Instituto Nacional de Estándares y Tecnología (NIST). Ninguno de los cuales les dice a las empresas cómo optimizar sus gastos de seguridad.
Al igual que con otros tipos de riesgos, dice Seiersen, las empresas deben determinar la cantidad máxima que están dispuestas o pueden perder en cada escenario de riesgo potencial. Un administrador de riesgos que aplica un análisis riguroso a través de estadísticas y probabilidades puede determinar la probabilidad de que la empresa experimente diferentes tipos de eventos de seguridad y si los costos de cualquiera de ellos serían demasiado altos para soportarlos. Armados con esa información, los líderes de la empresa pueden tomar decisiones presupuestarias más informadas.
Crear un centro de experiencia para cuantificar el riesgo cibernético
La necesidad de tomar decisiones más informadas sobre el gasto en seguridad de TI es lo que impulsó al equipo de seguridad interna de SAP en abril de 2020 a crear un centro de experiencia. Con dos expertos de tiempo completo y dos de medio tiempo en gestión de riesgos de seguridad cibernética, el centro enseña a los líderes de todas las líneas de negocios de SAP cómo usar una herramienta de software externa que traduce los riesgos de seguridad cibernética en términos financieros y les permite clasificar los riesgos según los cuales tienen más probabilidades de ocurrir en el próximo año, cuáles podrían ser sus efectos y qué tan bien los diferentes gastos podrían mitigarlos.
Estos expertos en gestión de riesgos no son responsables de tomar decisiones de control y financiación de la seguridad. Cumplen una función de asesoramiento: guían a los líderes de la línea de negocios a través de la identificación y cuantificación de varios riesgos, les muestran cómo comparar diferentes soluciones y los ayudan a sentirse seguros al usar la herramienta de software. A medida que los ejecutivos de negocios aprenden a modelar varias combinaciones de riesgos y respuestas, pueden abordar preguntas como “¿Qué representa más riesgo para nuestras operaciones: la seguridad de las aplicaciones web o la fuga de datos?” o “¿Obtendremos más valor al capacitar a los empleados para reconocer los intentos de phishing o invertir en un monitoreo de red más intensivo?”
Este enfoque orientado a las métricas ofrece la mayor objetividad y claridad que anhelan los líderes empresariales. Además de ayudar a los ejecutivos a conectar controles de seguridad específicos con resultados positivos medibles, el centro de excelencia comparte ejemplos concretos de cómo otras organizaciones están haciendo lo mismo. Un ejemplo que los administradores de riesgos cibernéticos de SAP han compartido es el de otra empresa que se dio cuenta de que una violación de los datos confidenciales de los clientes podría costarle $6 millones en multas reglamentarias, honorarios legales y negocios perdidos. Después de explorar los resultados potenciales de varias opciones para proteger esos datos, esa empresa decidió gastar $ 1 millón en cifrar su almacenamiento de datos, no la opción menos costosa, pero la que ofrecería la mayor rentabilidad.
Facebook / Twitter / LinkedIn / Instagram
© 2022 SAP SE. All rights reserved. SAP and other SAP products and services mentioned herein as well as their respective logos are trademarks or registered trademarks of SAP SE in Germany and other countries. Please see http://www.sap.com/corporate-en/legal/copyright/index.epx#trademark for additional trademark information and notices.