Ideas

Cuantificar el riesgo cibernético para trazar un futuro más seguro

Aproveche las capacidades de CRQ para revelar y abordar las amenazas cibernéticas

Hoy en día, las organizaciones se enfrentan a una era de "cyber en todas partes" como conectividad hiperconectada y sin igual combinada con el Internet de las cosas (IoT) y otras tecnologías emergentes para ampliar las superficies de ataque. Sin embargo, la reciente aceleración de la inteligencia artificial (IA) y la recopilación de datos están provocando rápidamente técnicas avanzadas de modelado para cuantificar el riesgo cibernético . Este informe explora los beneficios de la cuantificación de riesgos cibernéticos (CRQ) y proporciona casos de uso para ver el CRQ en acción.

Cuantificar el riesgo cibernético que puede ver y el riesgo que no puede

Los navegantes oceánicos utilizan sensores y datos para proporcionar la información más relevante, tomar las mejores decisiones posibles y mitigar los
riesgos. ¿Qué se revelaría a los ejecutivos de C-suite si pudieran cuantificar
el riesgo cibernético? ¿Podrían los líderes realmente mejorar el valor de una
inversión asociada al fortalecimiento de capacidades cibernéticas?

Cuantificar el riesgo cibernético para trazar un futuro más seguro

CRQ proporciona un modelo repetible para la evaluación de riesgos cibernéticos, pero solo el 50 por ciento lo utiliza

A pesar de las ventajas inherentes de la gestión de riesgos, muchas organizaciones han tardado en adoptar sus principios. Según los resultados de la encuesta del 2019, El futuro Cyber, sólo la mitad de los ejecutivos que respondieron utilizan cualquier forma de herramienta cuantitativa de evaluación de riesgos. La otra mitad todavía depende en gran medida de la experiencia de sus expertos cibernéticos, evaluaciones de madurez, u otras medidas cualitativas para obtener una comprensión de sus riesgos cibernéticos.

¿Cuál es la mayor pregunta de ciberseguridad en los Directorios y Comités Ejecutivos?

Depende de a quién preguntes. Si bien la gestión de riesgos de nivel empresarial es útil, los responsables de la toma de decisiones y los implementadores necesitan un modelo coherente para cuantificar los riesgos a través de un prisma adaptado a sus propios escenarios y prioridades empresariales. Por ejemplo, mientras que un director financiero (CFO) puede relacionarse mejor con los riesgos cibernéticos en términos monetarios y/o en contexto de impacto económico, el director de riesgos (CRO) podría preferir una visión de los riesgos cibernéticos analizados y correlacionados con riesgos empresariales más amplios.

¿Qué pregunta resume mejor su necesidad particular de CRQ?

Directorio: "¿Estamos invirtiendo en las capacidades de seguridad adecuadas para proteger correctamente nuestros activos?"

CEO: "¿Cómo me pueden mostrar el valor de la seguridad y a la par gestionar los costos asociados de manera razonable?"

CFO: "¿Cómo mostramos el valor de la seguridad mientras gestionamos los costos?"

CIO: "¿Cuál es la pérdida financiera esperada, teniendo en cuenta nuestra exposición al riesgo cibernético?"

CRO: "¿Qué iniciativas debemos priorizar para maximizar la protección y reducir nuestra exposición al riesgo cyber?"

Líder de negocios: "¿Cómo podría nuestra exposición al riesgo cibernético afectar nuestros procesos de negocio?"

Dónde navegar desde aquí: Cuantificar el riesgo cibernético con alcance acotado inicialmente

CRQ está emergiendo como una guía de decisión para los líderes y ejecutivos para ayudar a gestionar sus riesgos cibernéticos. A medida que las organizaciones  consideran las aplicaciones de CRQ dentro de sus propios entornos, se deben considerar algunas prácticas líderes.

  • Los datos internos y externos ayudan a validar las suposiciones

Independientemente del caso de uso, un marco de cuantificación eficaz debe tener en cuenta tanto la industria como los datos internos. Los datos de la industria son útiles, ya que pueden capturar eventos de "riesgo de sucesos" extremos, mientras que los datos internos de la empresa proporcionan información valiosa sobre las características de riesgo específicas de una organización y también pueden ser útiles para evaluar la información sobre amenazas en tiempo real.

  • Distribución máxima del modelo impulsa la adopción

La automatización, mediante el uso de IA y aprendizaje automático (ML), no solo puede ayudar a crear eficiencias y conocimientos de riesgo repetibles y mejorados, sino que también puede comenzar a distribuir estos conocimientos a velocidades que potencialmente pueden superar la amenaza.

  • El CRQ debe enriquecer, pero no reemplazar, otros procesos de gestión de riesgos

Si bien CRQ proporciona una metodología centrada en el negocio para modelar el riesgo, las organizaciones no deben considerar el modelado como independiente. Otras herramientas ayudan a esbozar una imagen más completa de la exposición potencial de una organización, incluidas evaluaciones independientes de ciberseguridad, reconocimiento cibernético externo, simulaciones, juegos de guerra Cyber y auditorías internas de TI..

  • Desarrolle una capacidad de CRQ repetible para ir a la velocidad del mercado Cyber

Dado el ritmo del cambio, las organizaciones pueden comenzar a aplicar CRQ para cuantificar los riesgos cibernéticos de manera más amplia en torno a muchas decisiones empresariales estratégicas (grandes y pequeñas). Estos podrían incluir el uso de CRQ para ayudar a determinar el valor en dólares que la organización debe considerar transferir a un proveedor de seguros cibernéticos o para ayudar a medir los crecientes riesgos financieros asociados con la dependencia del soporte de proveedores externos para funciones empresariales críticas.


Al igual que las operaciones marítimas militares, CRQ puede ayudar a servir como una táctica de prevención de colisiones en su organización. Un enfoque CRQ maduro puede proporcionar una manera estructurada para que las organizaciones recopilen e identifiquen el riesgo cibernético cuantificado de una manera que las partes interesadas técnicas y no técnicas puedan entenderlo. Sin tales esfuerzos, a las organizaciones les puede resultar cada vez más difícil navegar por los mares ásperos del riesgo cibernético en este horizonte cada vez más digital.

 

¿Le pareció útil este contenido?