Mi primer libro, «Espionaje Corporativo», publicado en 1997, tenía un capítulo dedicado a la optimización de riesgos. Discutía la cuantificación de riesgos y la optimización de riesgos mucho antes de que se convirtieran en las palabras de moda que son ahora. Tomó más de 20 años para que Gartner y Forrester comenzarán a cubrir oficialmente el concepto como un mercado único dentro de la ciberseguridad. Aunque aprecio que algo por lo que he abogado durante más de 25 años haya comenzado a ser aceptado como una parte integrada de un programa de ciberseguridad, es poco comprendido, lo que permite productos e implementaciones mediocres.
¿Por qué diferenció entre la cuantificación de riesgos y la optimización de riesgos?
Para dar una definición de trabajo muy simple, la cuantificación del ciberriesgo (CRQ, por sus siglas en inglés) es básicamente el valor monetario de la posible pérdida desde una perspectiva de ciberseguridad. Es bastante simple. Esto implica determinar el valor de la información y los servicios que se basan en computadoras. Más adelante entraré en un poco más de detalle, pero nuevamente el concepto es simple, aunque obtener un número razonablemente preciso es muy difícil.
También existe el concepto de exposición al ciberriesgo, que incorpora la probabilidad del riesgo cuantificado. Por ejemplo, si calculaste $100 millones de ciberriesgo y tu exposición es probablemente del 20%, esto significa que tu exposición es de $20 millones. A veces los términos se utilizan indistintamente, pero debes conocer la diferencia. De cualquier manera, la cuantificación/exposición del ciberriesgo se trata de la posible pérdida que una organización puede experimentar.
La optimización del ciberriesgo, por la cual he abogado durante 25 años, implica tomar tu exposición al ciberriesgo y determinar qué contramedidas serían más rentables para tu organización. En otras palabras, se analiza el impacto financiero de una vulnerabilidad dada y luego se determina si las contramedidas para mitigar la vulnerabilidad ofrecen un buen retorno de la inversión. En resumen, la optimización hace que la cuantificación del ciberriesgo sea útil.
Cuantificación del ciberriesgo
Es importante tener en cuenta que existen diferentes formas de realizar la cuantificación del ciberriesgo. Algunas organizaciones ofrecen soluciones basadas en software, donde ingresas datos en un sistema y este crea una estimación de la cuantificación del ciberriesgo. Algunas soluciones de software proporcionan algún tipo de puntuación índice. En otras palabras, crean su propia escala arbitraria, como un número del 1 al 100. Dirán que tu CRQ es 53, por ejemplo. Bien, supongo que es bueno para hacer un seguimiento de las tendencias, pero no proporciona un valor concreto. Otras organizaciones te darán un valor en dólares, lo cual es un mejor argumento empresarial.
La precisión de la CRQ depende de las fuentes de datos y los modelos matemáticos. Escucharás a mucha gente elogiar el aprendizaje automático aquí, y debes tener en cuenta que el aprendizaje automático es realmente sólo el uso de técnicas matemáticas avanzadas. La plataforma CYE Hyver, por ejemplo, utiliza datos de múltiples compañías de seguros, información regulatoria, consideraciones geográficas y, lo más único, datos detallados sobre vulnerabilidades organizativas para comprender el verdadero nivel de cuantificación del riesgo. Hemos ajustado los modelos y las fuentes de datos para que se acerquen al 7% de las medidas reales de pérdidas, cuando las hemos comparado con las pérdidas reales experimentadas por las organizaciones y las cuantificaciones realizadas manualmente.
Como se sugiere en el último párrafo, la otra forma de realizar la CRQ es mediante un costoso compromiso de consultoría. Puedes contratar a organizaciones que realicen este tipo de trabajo, como las firmas de las Cuatro Grandes, y ellos recopilarán información y realizarán estudios para estimar la CRQ. Si bien en teoría estos esfuerzos de consultoría pueden ser más precisos, son costosos y pueden llevar meses. Dada la velocidad de la información, un estudio que lleva meses no será preciso durante mucho tiempo. Además, es costoso repetirlo para ver si hay mejoras.
Quizás mi mayor problema con los esfuerzos de CRQ es que son excelentes para proporcionar bonitas imágenes a la dirección, pero no mucho más. Esto podría ser todo lo que se necesita, ya que a veces la dirección solo quiere tener algo que demuestre que están ejerciendo cierta supervisión. Y hasta cierto punto, esto satisface los requisitos.
Algunas herramientas de CRQ proporcionan recomendaciones que dicen que, según la información pasada, una empresa podría querer destinar más fondos a ciertos esfuerzos que a otros. Esas sugerencias tienden a ser generalidades amplias y carecen de recomendaciones específicas.
Espera el siguiente artículo, donde describiremos cómo utilizar la CRQ (Cuantificación de Ciberriesgos) para la optimización de ciberriesgos, algo que es fundamental para todas las organizaciones.
Si deseas obtener más información sobre cómo elegir una estrategia de cuantificación de riesgos cibernéticos, contáctanos.
Por Ira Winkler