La gestión de riesgos de ciberseguridad se reduce a tres factores clave:
- La probabilidad de que se produzca un acontecimiento;
- La gravedad del impacto si se produce ese acontecimiento; y
- Cualquier factor atenuante que pueda reducir la probabilidad o la gravedad.
Esa fue nuestra lección de un excelente panel de discusión facilitado por nuestros socios de Cylance, titulado Cut Through the Risk Confusion: Shedding Light on Common Security Misperceptions.
La gestión de riesgos a menudo es confusa porque está cargada de subjetividad según el panel. ¿Un ejemplo? Los líderes empresariales sénior (consejero general, director financiero y director de TI) tienen diferentes percepciones en torno a la composición del riesgo y los controles apropiados.
Mientras que la discusión se centró en cómo eliminar esa subjetividad a través del proceso, los panelistas proporcionaron varios consejos excelentes en el camino. Hemos articulado los que se destacaron para nosotros a continuación.
- 1) Incluso para los profesionales, la gestión del riesgo cibernético es difícil.
- 2) Incluir la diversidad en la perspectiva del riesgo.
- 3) Encargar un contraargumento.
- 4) Un proceso de gestión de riesgos estructurado ayuda a » gestionar.»
- 6) Simplemente «apagarlo» no siempre es la mejor solución.
- 7) Traduzca el lenguaje técnico en conversación de negocios.
- 8) Examinar tendencias y prepararse.
1) Incluso para los profesionales, la gestión del riesgo cibernético es difícil.
Ver, identificar y comprender los indicadores de riesgo no es algo natural para la mayoría de las personas. Para ilustrar este punto, un panelista señaló que se perdió los indicadores de riesgo después de colocar nuevas escaleras de madera en su casa.
A pesar de varias quejas de los huéspedes de que las nuevas escaleras estaban resbaladizas, solo buscó una solución después de resbalarse y romperse un tobillo que requirió cirugía. La solución fue un rollo de cinta antideslizante de 5 50.
Esto ilustra el propósito de la gestión de riesgos, y el valor de una inversión preventiva relativamente pequeña en comparación con el costo (y el dolor) extensivo para la reparación después de un evento.
2) Incluir la diversidad en la perspectiva del riesgo.
Una perspectiva diversa es fundamental para una buena gestión de riesgos en ciberseguridad. Más importante aún, el desacuerdo no es deslealtad. Examinar un problema a través de varios puntos de vista evita el pensamiento de grupo y el exceso de confianza que puede conducir a lagunas y errores.
3) Encargar un contraargumento.
Es útil encargar a un miembro, o a un equipo, la tarea de argumentar la opinión opuesta. Se trata de algo diferente de la diversidad de perspectivas, dado que la Comisión debe buscar intencionadamente lagunas en un argumento o idea.
Si la vista de consenso cree que un factor es de bajo riesgo, pídale a alguien que cree un caso de alto riesgo y viceversa. El grupo se refirió a ello como garantía de una «estratificación del diálogo» para ver todas las opciones y los posibles efectos.
4) Un proceso de gestión de riesgos estructurado ayuda a » gestionar.»
Un formato de riesgo estructurado aporta disciplina organizacional a la gestión de riesgos que también es útil para gestionar riesgos basados en noticias. El panel lo llamó «Gestión de riesgos del Wall Street Journal».»
¿Qué significa eso? Un miembro de la junta lee una historia sobre la pérdida de datos en puertos USB y la envía al CEO. El CEO, a su vez, lo envía al CIO y, de repente, la principal prioridad para el equipo de riesgo es la prevención de la pérdida de datos a nivel de red y host. En consecuencia, los puertos USB están apagados, pero los empleados aún tienen acceso a sitios comerciales para compartir archivos.
Un proceso estructurado permite al equipo considerar todas las opciones y también proporciona un marco para la gestión diplomática de consultas de líderes senior basadas en eventos de noticias. Las historias son una forma poderosa y sorprendente de comunicarse, pero las historias son puntos de datos, no datos.
5) Algunos riesgos solo parecen más interesantes que otros.
Es probable que cualquier organización que realice pruebas de penetración reales llegue a la misma conclusión: el equipo rojo va a entrar. Sin embargo, eso no significa que el riesgo que un equipo rojo encuentra sea paralelo al riesgo del mundo real.
Un panelista señaló, por ejemplo, que un equipo rojo había dejado caer un dispositivo físico en la red. Si bien es interesante, las posibilidades de que esto realmente suceda eran bastante bajas. Este fenómeno puede distorsionar la perspectiva de riesgo, crear una preocupación ejecutiva innecesaria y terminar con una asignación incorrecta de recursos finitos.
6) Simplemente «apagarlo» no siempre es la mejor solución.
Los empleados de una empresa fueron bastante explícitos en las redes sociales durante los anuncios de ganancias. Esto puso nervioso al equipo ejecutivo por obvias razones de cumplimiento, según un panelista que contó la historia. El liderazgo simplemente quería cerrar el acceso a los sitios de redes sociales de la red corporativa.
Sin embargo, es poco probable que hacerlo en la evaluación del equipo de seguridad impida que los empleados hagan lo mismo desde la red de invitados o desde dispositivos personales. Peor aún, esta acción limitaría la visibilidad de la empresa para monitorear la actividad; seguiría sucediendo, simplemente no lo verían ahora.
Una solución mejor, o al menos una que vale la pena considerar desde una perspectiva de gestión de riesgos, era involucrar a los empleados y moldear el comportamiento con capacitación e información.
7) Traduzca el lenguaje técnico en conversación de negocios.
El espacio de ciberseguridad tiene su parte justa de palabras de moda que el negocio puede no entender. Los equipos de seguridad deben ser conscientes de esto cuando compañeros de otras funciones participan en conversaciones de seguridad.
Uno de los panelistas recordó una situación en la que el equipo técnico había encontrado software malicioso en una unidad de copia de seguridad. La probabilidad de riesgo era baja, pero el impacto era alto, por lo que la conversación se intensificó para incluir a otros miembros del equipo de todo el negocio. En el proceso, se hizo evidente que el negocio no estaba siguiendo la discusión, y por lo tanto no podía contribuir a la evaluación de riesgos.
El panelista dijo que rápidamente se le ocurrió una analogía para describir el problema de copia de seguridad de datos en cuestión: Estamos tratando de mover personas (datos) de un punto a otro. Usamos un automóvil para recoger a las personas, pero no podemos ver cuántos pasajeros hay en el automóvil o cuántos han llegado a salvo al destino.
Una buena técnica es tener una «discusión previa» antes de hablar con otros compañeros de negocios para asegurarse de que los puntos clave se presenten en un negocio, en lugar de a nivel técnico.
8) Examinar tendencias y prepararse.
Los profesionales de seguridad tienen la tarea de pronosticar tendencias futuras y establecer planes para preparar planes de contingencia. Por ejemplo, no es exagerado predecir que el ransomware se intensificará y se centrará en la destrucción de datos.
Comprender esta tendencia y el costo ayudará a articular las opciones de negocio en caso de un incidente. La empresa puede negarse a pagar el rescate y perder una semana o más de ingresos mientras trabaja para poner en funcionamiento los sistemas. O puede tener los medios para pagar el rescate en bitcoin ya establecidos en caso de que el negocio persiga esa opción, como lo están algunas empresas.
La ciberseguridad es «increíblemente complicada» y cuanto más seguro esté de una respuesta, más preocupado debería sentirse. Un proceso riguroso de análisis de los riesgos cibernéticos ayudará en gran medida a cumplir el objetivo de seguridad de la garantía empresarial. Una grabación completa de esta mesa redonda está disponible a través de Cylance en el enlace proporcionado anteriormente.
Si te ha gustado esta publicación, también te gustaría:
La Evolución de la Ciberamenaza Cambia el Énfasis a la Detección y Prevención Proactivas
Crédito de la foto: (CC0 1.0)