Cinco promesas que puedes hacer a tu directiva sobre riesgo cibernético.


Es una vieja historia: En un mundo de amenazas y vulnerabilidades cibernéticas en evolución constante, nadie puede prometer seguridad perfecta. Un Director de Seguridad de la Información (CISO por sus siglas en inglés) no puede cambiar el mundo, pero puede cambiar la historia con un enfoque de seguridad basado en riesgos.

El análisis de riesgo cuantificable usado en el Modelo de Análisis Factorial de Riesgos de Información (FAIR por sus siglas en inglés) cambia la narrativa de la seguridad perfecta, en otras palabras, de defender todo los lugares, hasta defender activos clave en contra de los principales riesgos, así como definiéndolos en términos de frecuencia probable y pérdidas probables por eventos cibernéticos.

Entonces, la cuantificación de riesgos coloca a un CISO en la posición de hacer algunos compromisos específicos con la organización, incluyendo a la junta directiva, en los términos de negocio que todos pueden entender. A nivel de la junta, por ejemplo, un CISO puede prometer abordar estas preocupaciones que están centradas en la junta:


1. Usted no es personal técnico. No hablaré con usted en términos técnicos.


No más jerga tecnológica sobre recuento de parches o puntajes de madurez. La cuantificación del riesgo cibernético coloca la discusión al mismo nivel que la gestión de riesgo empresarial que las juntas directivas están acostumbrados a escuchar, por ejemplo, riesgo crediticio, riesgo financiero o el riesgo de mercado; una gama de resultados probables expresados en términos monetarios.


2. Usted quiere una imagen general de qué tan segura es la organización. Puedo decirle nuestros riesgos principales, y como es su tendencia en el tiempo.


Un análisis de los 5 o 10 riesgos principales en una organización es un punto de partida estándar para adoptar las prácticas FAIR. Esencialmente, es un proceso de identificación de los activos claves y los probables escenarios de eventos cibernéticos a través de la triada “Confidencialidad-Integridad-Disponibilidad (C-I-A por sus siglas en inglés), recopilando datos de frecuencia y costo de eventos desde dentro y fuera de la organización, y ejecutando una simulación de Monte Carlo para generar un rango de probables resultados de pérdidas. Con eso en mano, los analistas pueden desarrollar una lista de indicadores de riesgo clave de FAIR y rastrear su cambio a lo largo del tiempo.


3. Usted desea saber si la gerencia está invirtiendo sabiamente en ciberseguridad. Puedo hablar con usted sobre el retorno de la inversión (ROI por sus siglas en inglés).


Con la cuantificación del riesgo cibernético, los CISO pueden ejecutar de manera confiable escenarios que muestren el efecto en la reducción de pérdidas de la aplicación de diversos controles, comparándolo con el costo de implementar controles: ROI de ciberseguridad. Para aclarar aún más que se están tomando las decisiones correctas, el análisis puede diagramar la tolerancia al riesgo contra los resultados.


4. Usted tiene la responsabilidad de proteger el valor de las participaciones del accionista. Puedo hablar con usted de la manera más significativa posible sobre los riesgos de reputación.


Si bien nadie puede prometer que la empresa no sufrirá un golpe catastrófico a la reputación (y al precio de la acción o a la solvencia crediticia) como pasó a Equifax, el análisis de principales riesgos señala los principales puntos de vulnerabilidad en términos de impacto financiero (incluyendo multas gubernamentales y sentencias judiciales) y advierte a la gerencia dónde desplegar las defensas más pesadas.


5. Usted es cada vez más propenso a las infracciones normativas. Puedo ayudar a crear la divulgación de riesgos más efectiva para los reguladores.


Para las empresas públicas y financieras, la Comisión de Seguridad e Intercambio (SEC por sus siglas en inglés) y el Departamento de Servicios Financieros de Nueva York han dejado perfectamente claro que las juntas directivas serán responsables de la divulgación inadecuada de los riesgos cibernéticos que podrían conducir a un impacto material. Solo eche un vistazo a los requisitos de divulgación de riesgos cibernéticos de la SEC: frecuencia de eventos cibernéticos, probabilidad y magnitud de incidentes, adecuación de los controles, etc. Estos se leen como los resultados de un análisis FAIR.

La plataforma de Cuantificación de Riesgos Cibernéticos (CRQ por sus siglas en inglés) de RiskLens está diseñada específicamente basada en FAIR, el estándar internacional para el análisis de riesgos de ciberseguridad y tecnología. El Wall St. Journal informó recientemente que FAIR está "ganando terreno" entre las principales empresas; de hecho, más del 30% de las compañías Fortune 1,000 usan FAIR, a juzgar por la membresía en el Instituto FAIR sin fines de lucro.

45 views

PERU

Calle las Gaviotas Nro. 109 

Surquillo, Lima, Perú

Ref: Edificio Santorini

USA

1431 Washington

Unit #906

Detroit, MI 48226

T: +1 (323) 744-0674

T: +51 661 6803

Sin título-1.png