¿Saben las empresas cómo cuantificar sus cíber-riesgos?

¿Saben las empresas cómo cuantificar sus cíber-riesgos?

Publicado por el 01/03/2018

Compartir

 

“Reputación y generación de valor en el siglo XXI” (LIBRO) por Jorge Cachinero en libros.com

El término cíber-riesgo se está haciendo cada vez más presente entre los máximos ejecutivos y entre los miembros de los consejos de administración de empresas y de instituciones financieras, entre aseguradoras y entre los reguladores como respuesta al incremento de la visibilidad y de la realidad de los cíber-ataques y de sus impactos sobre los negocios.

Con éstos, ha proliferado, también, una industria de andar por casa, que ofrece una evaluación “inmediata” de los cíber-riesgos con sólo apretar un botón.

La realidad, sin embargo, es que gestionar excelentemente el cíber-riesgo es extremadamente difícil.

Es un proceso arduo, aunque, absolutamente necesario para las organizaciones que, verdaderamente, quieran saber si sus cíber-inversiones reducen, realmente, su exposición a los cíber-riesgos.

Bien hecho, este proceso supone una rendición de cuentas, a gran escala, de personas, de activos, de sistemas y de sus vulnerabilidades respectivas, como, también, de las amenazas, patentes o latentes, a esas personas, a esos activos y a esos sistemas.

Todo ello implica construir un sistema riguroso y completo que pueda hacer frente a la probabilidad de un ataque y de su impacto en los pilares fundamentales de los modelos de negocios.

Estas complejidades no se manejan fácilmente con soluciones baratas, con herramientas que pretendan arreglarlo todo o con la simplicidad de unas u otras.

El desarrollo de un programa robusto y sólido de cíber-riesgo requiere compromiso y tiempo. Es la única fórmula para que sus resultados tengan un impacto positivo sobre los negocios. Además, debe existir un entendimiento compartido dentro de consejos y de equipos directivos de que la verdadera reducción del cíber-riesgo es proporcional a la inversión en recursos. Sólo así se garantizará la sostenibilidad y la competitividad de los negocios en el largo plazo.

Sin embargo, el territorio de las decisiones directivas sobre cíber-riesgo está contaminado por ofertas genéricas, que, aparentemente, ayudan a cubrir el expediente de los requerimientos de los programas de buen gobierno, mientras carecen de la necesaria adaptación a la especificidad de cada modelo de negocio lo que les impide contar con métricas de cíber-riesgo útiles.

Este enfoque generalista no tiene en cuenta las peculiaridades de cada organización y tiende a asignar incorrectamente recursos que son finitos por naturaleza. La consecuencia de actuar así es que se desvía a la organización de atender los verdaderos retos de la cíber-seguridad.

Estos enfoques no explican cómo el cíber-riesgo impacta en la salud financiera de la compañía. Estos asesoramientos de talla única son antieconómicos e inexactos.

La complejidad requiere tiempo, método para identificar y cuantificar los cíber-riesgos y comunicación interna, en tiempo real, sobre sus mutaciones y su potencial impacto financiero para las organizaciones.

No existen atajos. Por contra, las organizaciones comprometidas recibirán el dividendo de los beneficios derivados de su seguridad y de su posicionamiento en el mercado. Eventualmente, el valor para los accionistas será demostrable y tangible.

El abordaje del cíber-riesgo suele comenzar, tradicionalmente, con esta ecuación: Riesgo = Amenazas x Vulnerabilidades x Consecuencias (R=AVC). Sin embargo, esta ecuación opera más como un mecanismo de enmarque que, como un verdadero concepto matemático.

Desarrollar un proceso directivo de cíber-riesgo de excelencia requiere rigor en la recopilación y en el análisis de información suficiente que permita analizar las probabilidades de su ocurrencia. Llegar a este nivel de detalle cuantitativo es el diferenciador clave en los modelos de cíber-riesgo más rigurosos. Además, este detalle es imprescindible para calcular, con el suficiente volumen de datos, el Return on Investment (RoI) para las organizaciones del siglo XXI.

Una gestión directiva avanzada y excelente de los cíber-riesgos debería contener variaciones de los siguientes elementos: Evaluación, Normalización, Monitorización y Articulación y, por último, Aceptación del Riesgo y su Gestión.

Al evaluar las organizaciones deben identificar cuáles son sus activos y hasta qué punto son capaces de proteger lo que más les importa, cuáles son los niveles de amenaza contra su organización, con qué frecuencia y con qué fuerza se pueden manifestar éstas y hasta qué punto están bien posicionadas las organizaciones para responder cuando los ataques ocurran.

Normalizar significa recopilar y estructurar información suficiente de la organización para determinar la “normalidad” a partir de la cual se puedan identificar los jugadores anómalos –outliers– o las desviaciones que pudieran indicar un cambio en el posicionamiento del cíber-riesgo de las organizaciones. Este proceso es intenso y es exigente en cuanto al tiempo.

La monitorización y la articulación exigen desarrollar un mecanismo estable para seguir el tráfico en la red, para la orquestación y para la visualización de la información de seguridad -estructurándola bien sea de la red, bien esté en la nube o bien cualquier otra información relevante que identifique tráfico anómalo– y de medios para articular estas variables en un formato digerible para tomadores de decisiones y para altos ejecutivos de las organizaciones.

Por último, la aceptación del riesgo y su gestión busca una mejor identificación del RoI para los líderes de la organización lo que conllevará, a la larga, a un cíber-riesgo reducido, a menos amenazas y a una posición fortalecida frente a grupos y a organizaciones desafiantes.

 

Compartir

ABC.es

El blog de @Jorge_Cachinero © DIARIO ABC, S.L. 2018

Liderazgo. Relaciones Gubernamentales y Diplomacia Corporativa. Reputación. En un mundo Volátil, Incierto, Complejo y Ambiguo. Director Ejecutivo del Senior Management Program, Profesor y Alumnus de IE Business School @IEbusiness. Miembro del Consejo Científico del Real Instituto Elcano @rielcano. Lo que no se lee. Lo que no se oye Más sobre «El blog de @Jorge_Cachinero»

Categorías
Etiquetas
Categorías