Los CISO y los profesionales de seguridad de TI están lidiando con más amenazas cibernéticas ahora que nunca. Desde malware y ransomware hasta ataques DDoS y exploits de día cero, los riesgos siguen aumentando. Entonces, ¿cómo sabes qué riesgos abordar primero? ¿Dónde enfocar tus inversiones en ciberseguridad?
El enfoque tradicional sería clasificar todos tus riesgos como alto, medio y bajo. Pero estas categorizaciones pueden ser interpretadas de manera diferente por diferentes personas. Puedes pensar que un riesgo medio debe reducirse, pero el equipo de administración podría argumentar que puede aceptarse. Defender tu punto de vista puede ser difícil porque el término «medio» suena bastante ambiguo.
Se vuelve más desafiante cuando tienes 2-3 riesgos diferentes que tienen una clasificación media. ¿En cuál te enfocas primero? ¿Dedicas la misma cantidad de tiempo y recursos a gestionar los tres riesgos? Es difícil saberlo con certeza.
Pero, ¿qué pasaría si te dijeran que un ataque de malware en tu organización podría costarte $3 millones en pérdidas? ¿Y que hay un 60% de posibilidades de que estén a salvo de esa pérdida? Ahora, las cosas se vuelven más claras, tanto para tu equipo de seguridad de TI como para el negocio. Puedes encontrar rápidamente una respuesta, obtener un consenso y tomar medidas para proteger tu negocio.
Lo que has hecho es inyectar más precisión y claridad en tus evaluaciones de riesgo cibernético. Los términos ambiguos se han convertido en números duros. Y eso puede marcar la diferencia.
Te contamos aquí qué es la cuantificación del riesgo cibernético y las mejores prácticas.
Indice
¿Qué es el Riesgo Cibernético?
La definición de un riesgo cibernético se deriva mejor de uno de los marcos más populares utilizados para la cuantificación del riesgo, el Análisis Factorial del Riesgo de la Información (FAIR).
El modelo FAIR define un riesgo cibernético como:
La frecuencia probable y la magnitud probable de la pérdida futura.
Según esta definición, cada riesgo de ciberseguridad tiene tres dependencias:
- Un activo de un valor dado
- Una amenaza a la integridad y seguridad de ese activo
- El impacto potencial cuando esa amenaza se ve comprometida.
Cuando estas variables se incorporan a un modelo predictivo y se introducen condiciones de contorno, se obtiene un valor numérico conocido como cuantificación del riesgo cibernético.
¿Qué es la cuantificación del riesgo cibernético (CRQ)?
El panorama de las amenazas se está expandiendo y los profesionales de la seguridad apenas se mantienen al día. Diariamente, los CISO y el personal de seguridad cibernética deben lidiar con nuevas variantes de malware, intentos de violación de datos, ataques de ransomware, exploits de día cero, todo al tiempo que garantizan una dedicación ininterrumpida a los esfuerzos de mitigación de riesgos del proveedor.
Con tantas amenazas cibernéticas que ponen a prueba su resiliencia cibernética a la vez, ¿dónde debes enfocar tus esfuerzos de seguridad cibernética?
Un método es asignar a cada riesgo una calificación de criticidad para ayudar a los equipos de seguridad a priorizar los riesgos que son más perjudiciales para las posturas de seguridad.
Si bien esto ofrece un nivel significativo de protección contra las violaciones de datos, los profesionales de la seguridad aún pueden tener dificultades para decidir qué amenaza abordar primero si se asigna el mismo nivel de criticidad a varias.
Un enfoque más efectivo sería comparar los impactos financieros potenciales de cada amenaza cibernética y las probabilidades de que ocurran, una estrategia conocida como cuantificación del riesgo cibernético.
La cuantificación del riesgo cibernético respalda el diseño de un programa de seguridad cibernética centrado en minimizar el impacto financiero potencial, abordar los costes crecientes de las violaciones de datos y, al mismo tiempo, brindar a las partes interesadas una mayor apreciación de los esfuerzos de protección.
La cuantificación del riesgo cibernético (CRQ) es el proceso de evaluación del impacto financiero potencial de una amenaza cibernética en particular. Respalda la toma de decisiones inteligente, lo que ayuda a los profesionales de seguridad a tomar decisiones informadas sobre qué amenazas y vulnerabilidades abordar primero.
Pero el proceso CRQ es más que simplemente asignar a cada riesgo cibernético una calificación de criticidad. Lo que hace que este modelo de clasificación sea único es la consideración del riesgo financiero.
Los responsables de la toma de decisiones y los líderes de seguridad hablan en un lenguaje de términos financieros, no terminología de ciberseguridad. El modelo de riesgo CRQ cierra la brecha entre la administración y los profesionales de seguridad, ayudando a las partes interesadas a apreciar el valor de sus inversiones en seguridad sin requerir explicaciones prolongadas de esoterismo.
Algunas de las métricas que se consideran cuando se cuantifican los riesgos cibernéticos incluyen:
- Riesgo operacional
- Esfuerzos de reducción de riesgos
- Exposición a riesgos
- Mitigación de riesgos
¿Cuál es la diferencia entre la evaluación y la cuantificación del riesgo cibernético?
La evaluación del riesgo cibernético implica determinar los riesgos relacionados con el negocio e identificarlos, mientras que la cuantificación del riesgo cibernético crea un contexto comercial en torno a esos riesgos identificados.
Esto transforma los riesgos de ser entidades intangibles en conjuntos de datos específicos que muestran resultados comerciales en caso de eventos de seguridad, algo con lo que la junta puede trabajar y basar sus decisiones.
Desde la perspectiva de un CISO, es necesaria una evaluación de riesgos para identificar amenazas para el negocio, la usará dentro de sus equipos internos. Pero la cuantificación es lo que se usa para la toma de decisiones, determinando la rentabilidad de la solución, el ROI y la exposición/mitigación del riesgo.
Modelo de análisis factorial del riesgo de la información (FAIR)
El Análisis Factorial del Riesgo de la Información (FAIR) es una de las principales metodologías para la gestión del riesgo cibernético desarrollada por el Instituto FAIR, una organización sin fines de lucro comprometida con la reducción del riesgo operativo.
El modelo FAIR cuantifica la exposición al riesgo cibernético como un valor en dólares, en lugar de un valor de criticidad.
Al apelar a una métrica objetiva que resuena en todos los sectores de una empresa (valor en dólares en riesgo), el modelo FAIR describe los esfuerzos de seguridad cibernética en un lenguaje común que todos pueden entender, lo que ayuda a todos los departamentos a alinearse con las iniciativas de seguridad cibernética.
El modelo FAIR llena el vacío dejado por los marcos de gestión de riesgos empresariales existentes. Aunque la mayoría de las evaluaciones de riesgos cibernéticos, como las de NIST e ISO, comunican de manera efectiva la necesidad de controles de seguridad específicos, esperan que las organizaciones completen su propio análisis financiero para determinar los posibles impactos financieros de diferentes escenarios de ataques cibernéticos.
Los marcos de seguridad cibernética ayudan a las organizaciones a evaluar y rastrear la madurez de su postura de seguridad, el modelo FAIR amplía este desarrollo al cuantificar los impactos potenciales en los controles y procesos de seguridad sugeridos para respaldar decisiones comerciales más inteligentes.
Para respaldar una implementación perfecta, el modelo FAIR se ha desarrollado para integrarse naturalmente con los marcos de ciberseguridad existentes, como ISO, OCTAVE y NIST.
El modelo FAIR cuantifica el riesgo considerando la magnitud probable de una pérdida financiera y la frecuencia probable de la pérdida financiera en un escenario dado. La combinación de estos dos factores permite que a cada riesgo cibernético se le asigne un valor monetario único.
Para traducir estos datos en una proyección que todos puedan entender, se utiliza una simulación de Monte Carlo para representar visualmente los impactos financieros de cada riesgo cibernético. Esta proyección final suele ser una curva que indica la probabilidad variable de pérdidas financieras en un período de tiempo determinado.
Al atribuir un valor en dólares a los posibles escenarios de riesgo, las futuras inversiones en tecnología de seguridad de la información pueden justificarse fácilmente ante los líderes empresariales.
Si se requiere un análisis un poco más profundo del daño potencial de una amenaza cibernética fuera del impacto financiero, se puede implementar el marco DREAD. Hay 5 categorías principales del modelo de amenazas DREAD:
- Potencial de daño – ¿Cuál es el posible grado de daño?
- Reproducibilidad: ¿qué tan fácil es reproducir el ciberataque previsto?
- Explotabilidad: ¿Cuánto esfuerzo se requiere para lanzar el ciberataque previsto?
- Usuarios afectados: ¿cuántas personas se verán potencialmente afectadas?
- Descubrimiento: cuánto trabajo se requiere para descubrir la amenaza
El modelo DREAD asigna a cada ciberamenaza una calificación entre 5 y 15. Los niveles de criticidad se distribuyen de la siguiente manera:
- Bajo riesgo – niveles 5 a 7
- Riesgo medio – niveles 7 a 11
- Alto riesgo – niveles 12 a 15
En lugar de superponer el modelo FAIR con un modelo de análisis de amenazas adicional, se puede recopilar instantáneamente un grado aún más profundo de información sobre amenazas cibernéticas a partir de las clasificaciones de seguridad y las prácticas de nivelación de los proveedores.
Otros marcos para evaluar los riesgos cibernéticos
- ISO 27005 actúa como una guía para las evaluaciones de riesgos de seguridad de la información. No se describe una metodología específica, pero implica una gestión de riesgos continua basada en los siguientes componentes: establecimiento de contexto, evaluación de riesgos, tratamiento de riesgos, aceptación de riesgos, comunicación y consulta de riesgos, y monitorización y revisión de riesgos.
- NIST SP 800-53 fue desarrollado por el Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) para establecer procedimientos comunes de evaluación de control para organizaciones federales. Pero muchas organizaciones privadas también usan NIST para determinar si sus controles de seguridad se implementan correctamente, funcionan según lo previsto y producen el resultado deseado.
- OCTAVE o Evaluación de amenazas, activos y vulnerabilidades operativamente críticas fue desarrollada por la Universidad Carnegie Mellon para el Departamento de Defensa. La nueva versión, OCTAVE FORTE, ayuda a las organizaciones a evaluar sus riesgos de seguridad y utilizar los principios de ERM para cerrar la brecha entre ejecutivos y profesionales. OCTAVE Allegro, que sirve como complemento de OCTAVE FORTE, ayuda a agilizar y optimizar las evaluaciones de riesgos de seguridad.
- COBIT 5 fue creado por la Asociación de Auditoría y Control de Sistemas de Información (ISACA) para el gobierno de TI empresarial. Permite una evaluación coherente y precisa de los riesgos de TI y su impacto en una organización.
Razones para cuantificar tus riesgos cibernéticos
La cuantificación del riesgo no es una nueva práctica. Pero está recibiendo más atención en estos días porque:
Más complejidad de los ciberataques
Los ataques cibernéticos son cada vez más complejos y agresivos. La ONU informó un aumento del 600 % en los correos electrónicos maliciosos durante la pandemia. Cisco predice que los ataques DDoS alcanzarán los 15,4 millones para 2023. Cybersecurity Ventures estima que el delito cibernético le costará al mundo $ 10,5 billones anuales para 2025. Todo esto significa que debemos ser más inteligentes sobre cómo evaluamos, medimos y respondemos a los riesgos cibernéticos.
Expansión de la superficie de ataque
Las superficies de ataque se están expandiendo. Las empresas están adoptando cada vez más IA, IoT, automatización de procesos robóticos, aplicaciones en la nube y otras tecnologías digitales para lograr sus objetivos comerciales. Pero eso crea más puntos de entrada para que los ciberdelincuentes violen redes sensibles. Si queremos mantenernos a la vanguardia, debemos desarrollar una comprensión más precisa del impacto y la probabilidad del riesgo.
Recursos de ciberseguridad limitados
Los presupuestos y recursos de ciberseguridad son limitados. Las organizaciones enfrentan miles de riesgos cibernéticos y de TI. El desafío es averiguar qué riesgos abordar primero. Asimismo, puede haber cientos de posibles controles de seguridad. ¿Cuál producirá la mayor cantidad de beneficios por el menor coste? Estas son preguntas que los CISO deben responder porque sus presupuestos son finitos.
Las inversiones deben asignarse de la manera más eficiente posible. Eso comienza con la cuantificación de la pérdida financiera de un riesgo cibernético potencial. Cuando sabes cuánto te costará el riesgo y cuánto un control en particular puede ayudar a reducir ese coste, se vuelve más fácil decidir hacia dónde dirigir las inversiones en seguridad.
Mediciones cualitativas insuficientes
Las mediciones cualitativas no siempre son suficientes: históricamente, los riesgos cibernéticos se han comunicado en términos cualitativos como «probablemente probable que sucedan» o «algo probable que afecte el negocio». Pero estos términos a menudo plantean más preguntas que respuestas. ¿Qué significa «probablemente probable»? ¿En qué se diferencia de “algo probable”? Si los recursos se aplican a un riesgo “probablemente probable”, ¿cuánta reducción del riesgo se logrará? Para responder a estas preguntas, necesitamos más datos cuantitativos.
Beneficios
Al medir y comunicar los riesgos cibernéticos en términos monetarios, puedes:
Tomar decisiones mejor informadas
Ya no tienes que adivinar qué riesgos de TI y cibernéticos priorizar simplemente en la intuición o el juicio. Con datos de riesgo debidamente cuantificados, comprendes el verdadero impacto y la probabilidad de un riesgo. Sabes dónde enfocar tus inversiones cibernéticas y cómo reducir tu exposición al riesgo de acuerdo con los objetivos comerciales. Es menos probable que reacciones de forma exagerada o insuficiente ante posibles eventos de riesgo. En su lugar, puedes tomar decisiones calculadas de gestión de riesgos cibernéticos y de TI que generan un valor óptimo.
Fortalecer la objetividad y precisión de tus evaluaciones de riesgo
Cuando expresas la exposición al riesgo cibernético en términos claros y precisos, minimizas la incertidumbre. Hay mucho menos debate y confusión sobre las características de los tres principales riesgos cibernéticos, o por qué se clasifican de esa manera, o qué controles son más relevantes para mitigar esos riesgos. Los datos están ahí para que todos los vean.
Desmitificar la ciberseguridad para la junta directiva y la gerencia
Las presentaciones de ciberseguridad para la junta directiva y el equipo de liderazgo pueden estar llenos de jerga técnica confusa. Pero eso no ayuda con el análisis comercial efectivo o la toma de decisiones. La cuantificación, por el contrario, proporciona una visión más matizada y fácil de comprender los riesgos de ciberseguridad. Los directivos y ejecutivos pueden comprender rápidamente las amenazas cibernéticas más críticas y costosas que enfrentan sus negocios. Los CISO, a su vez, pueden justificar mejor la necesidad de inversiones en ciberseguridad.
Comprender la eficacia de las estrategias de mitigación de riesgos
Cuando invierte en un control de seguridad, desea saber qué tan efectivo es. La cuantificación del riesgo cibernético puede ayudar a comprender la reducción de riesgos se ha logrado con cada control. Si encuentra que su exposición al riesgo sigue siendo alta, puede redirigir rápidamente sus inversiones a otro mejor control. De esta manera, sus esfuerzos de mitigación de riesgos cibernéticos se vuelven más proactivos y productivos.
Obtener una ventaja competitiva
La cuantificación del riesgo cibernético te ayuda a fortalecer tu madurez y resiliencia cibernética. Te brinda la información para responder a las amenazas cibernéticas de una manera más específica y rentable. Eso se traduce en una mayor confianza y veracidad del cliente. De hecho, las empresas que usan, o planean usar, modelos cuantitativos de evaluación de riesgos están a la vanguardia en la transformación digital y tienen un mayor rendimiento general de ciberseguridad.
Mejores prácticas
Para experimentar el mayor valor de los esfuerzos de cuantificación del riesgo cibernético, se deben seguir las siguientes mejores prácticas:
1. Desarrollar perfiles de riesgo internos y de terceros
Crea perfiles de riesgo cibernético que resuman las amenazas que afectan tus entornos internos y externos. La creación de perfiles de riesgo de proveedores es mucho más fácil si tus proveedores tienen un perfil compartido publicado.
2. Establecer una taxonomía objetiva
Para agilizar las comunicaciones internas con respecto a los riesgos cibernéticos, cada miembro de una organización debe alinearse con una lista objetiva de definiciones de seguridad cibernética dentro del contexto de la cuantificación del riesgo cibernético.
Esto elevará cualquier confusión causada por el intercambio incorrecto de los mismos términos cibernéticos para diferentes eventos, como referirse tanto al malware como a una pandilla de ransomware como una amenaza cibernética (en el contexto de una cuantificación del riesgo cibernético, solo el malware es una amenaza cibernética debido a su potencial).
3. Asignar a cada activo una calificación de criticidad
La asignación preventiva de calificaciones de criticidad para todos los activos internos y externos reducirá la cantidad de procesamiento de datos requerido en la cuantificación del riesgo cibernético.
4. Documenta tus esfuerzos
Tener documentos fácilmente accesibles que resuman los cálculos de riesgo cibernético respaldará las decisiones comerciales improvisadas y la escalabilidad de tus programas de seguridad cibernética.
5. Estrecha tu enfoque
La distribución equitativa de los esfuerzos de remediación en todas las amenazas cibernéticas solo abrumará el ancho de banda ya agotado de los equipos de seguridad. En su lugar, reduzca su enfoque a las amenazas cibernéticas que presentan el mayor potencial de daño.
La estrategia de priorización de riesgos más efectiva considera el contexto más amplio de cada escenario de amenaza. Esto se logra mejor a través de un conjunto de técnicas de análisis de riesgos que se utilizan de manera armoniosa, como la cuantificación del riesgo cibernético, la clasificación de proveedores por niveles y las calificaciones de seguridad.
Cosas a tener en cuenta al cuantificar los riesgos cibernéticos
A la hora de cuantificar los riesgos cibernéticos, esto es lo que debes tener en cuenta:
- Establece un lenguaje de riesgo común: si todos en la organización tienen una definición diferente de activo, amenaza o vulnerabilidad de TI, te resultará difícil comunicar y defender tus decisiones de riesgo. Homogeneizar al máximo la nomenclatura de riesgos.
- Involucrar a otras funciones: la cuantificación del riesgo cibernético es un ejercicio colaborativo que va más allá del departamento de seguridad de TI. Involucrar a otras divisiones en la identificación de escenarios de riesgo crítico. Cuantas más perspectivas tenga en la mesa, más completos serán tus datos de riesgo.
- Revisq los resultados de riesgo periódico: los riesgos y amenazas cibernéticos siempre están evolucionando. Un riesgo que era crítico hace un año puede que ya no lo sea. La única forma de saberlo es volver a cuantificar tus riesgos a intervalos regulares, tal vez una o dos veces al año.
- No intentes hervir el océano: no es eficiente ni efectivo cubrir todas las posibles amenazas y escenarios de riesgo a la vez. Empieza pequeño. Elige un caso de uso importante y trabaja en eso primero.
- Automatiza siempre que sea posible: los procesos manuales de cuantificación del riesgo cibernético pueden ser complejos y lentos. Encuentra una solución que pueda ayudar a automatizar los flujos de trabajo y medir los riesgos más rápido.
- Recuerda, la cuantificación no es una panacea: la cuantificación del riesgo cibernético debe mejorar, no reemplazar otros procesos de administración de riesgos cibernéticos y de TI. Su valor se realiza mejor cuando se complementa con la monitorización de riesgos, evaluaciones cualitativas, auditorías internas y procesos de gestión de problemas.
Sabemos que los ciberataques van a continuar. Por eso, las empresas deben tener una visión integral de su panorama de riesgos.