Cloud Wars
  • Home
  • Top 10
  • CW Minute
  • CW Podcast
  • Categories
    • AI and Copilots
    • Innovation & Leadership
    • Cybersecurity
    • Data
  • Member Resources
    • Cloud Wars AI Agent
    • Digital Summits
    • Guidebooks
    • Reports
  • About Us
    • Our Story
    • Tech Analysts
    • Marketing Services
  • Summit NA
  • Dynamics Communities
  • Ask Copilot
Twitter Instagram
  • Summit NA
  • Dynamics Communities
  • AI Copilot Summit NA
  • Ask Cloud Wars
Twitter LinkedIn
Cloud Wars
  • Home
  • Top 10
  • CW Minute
  • CW Podcast
  • Categories
    • AI and CopilotsWelcome to the Acceleration Economy AI Index, a weekly segment where we cover the most important recent news in AI innovation, funding, and solutions in under 10 minutes. Our goal is to get you up to speed – the same speed AI innovation is taking place nowadays – and prepare you for that upcoming customer call, board meeting, or conversation with your colleague.
    • Innovation & Leadership
    • CybersecurityThe practice of defending computers, servers, mobile devices, electronic systems, networks, and data from malicious attacks.
    • Data
  • Member Resources
    • Cloud Wars AI Agent
    • Digital Summits
    • Guidebooks
    • Reports
  • About Us
    • Our Story
    • Tech Analysts
    • Marketing Services
    • Login / Register
Cloud Wars
    • Login / Register
Home » Por qué los CISO necesitan cuantificar los riesgos de ciberseguridad
Acceleration Economy En Español

Por qué los CISO necesitan cuantificar los riesgos de ciberseguridad

Pablo MorenoBy Pablo MorenoOctober 18, 2022Updated:October 20, 20224 Mins Read
Facebook Twitter LinkedIn Email
Cybersecurity Data Risk Quantification
Share
Facebook Twitter LinkedIn Email

No hay forma de adornarlo: la ciberseguridad tiene un problema de datos. Específicamente, la ciberseguridad como industria es pésima cuando se trata de cuantificar el riesgo cibernético.

Si bien hay un aumento de requerimientos acerca de cyberseguridad en las salas de juntas, e incluso cambios propuestos por la Comisión de Bolsa y Valores (SEC) para que las empresas divulguen los conocimientos y experiencia en cyberseguridad de los miembros de las juntas directivas y ejecutivas, sencillamente no hablamos el mismo lenguaje basado en datos como muchos de nuestros pares cuando se trata de amenazas que enfrenta nuestra organización. Ese es un problema que tenemos que arreglar.

Cuantificación de riesgos de ciberseguridad

Los ciber-riesgos se pueden comunicar cualitativa o cuantitativamente. Históricamente, como industria se hace abrumadoramente lo primero.

Como resultado, explicar la escala de las amenazas es subjetivo, está abierto a interpretación y no proporciona a los líderes empresariales datos para impulsar la toma de decisiones organizacionales sobre nuestros riesgos de seguridad cibernética. Eso ocurre en el contexto de los avisos que todos escuchamos para que los profesionales de la cyberseguridad “hablen el idioma del negocio”. En este contexto, eso significa articular los riesgos y amenazas cibernéticos, respaldados por números.

Este problema no es nuevo; expertos como Douglas Hubbard y Richard Seiersen lo abordan en su libro “Cómo medir cualquier cosa en riesgo de ciberseguridad” (se rumorea que también se lanzará una nueva edición).

No son las únicas personas u organizaciones que han evangelizado la cuantificación de los cyberriesgos. El ejecutivo de gestión de riesgos Jack Jones y el Instituto FAIR también han defendido una posición similar. Como organización, FAIR, que significa “Factor Analysis of Information Risk”, cuenta con más de 13,000 miembros y es utilizada por más del 45% de las organizaciones Fortune 1000.

Desde una perspectiva tecnológica, también existen plataformas como Balbix y RiskLens que se esfuerzan por automatizar la cuantificación del cyberriesgo para empoderar a las organizaciones a la hora de abordar dichos riesgos y mejorar los informes para la junta.

El entorno de TI empresarial

Entonces, a pesar del impulso de los intelectuales, las organizaciones de la industria y los proveedores, ¿por qué los profesionales del cyberriesgo todavía hablan en términos blandos y subjetivos que carecen de números? La verdad es que la cuantificación del cyberriesgo se basa en enfoques de modelado matemático y metodológico que se prestan a la cuantificación del riesgo. Al realizar la cuantificación del riesgo cibernético se están analizando elementos como los activos de la organización, las vulnerabilidades, las amenazas y la probabilidad de explotación.

Desafortunadamente, el entorno de TI empresarial, que es fundamental para la gestión del riesgo general, no lo tiene tan sencillo y ahí se ubica un problema importante. Las organizaciones generalmente son mediocres en el mantenimiento del inventario de activos de hardware y software, a pesar de que esa categoría ha sido un control de seguridad crítico SANS/CIS durante años.

Como resultado, las organizaciones simplemente no tienen confianza en su inventario general de activos. Incluso si lo hacen, generalmente está fuera de lugar porque años de incidentes de seguridad han demostrado que la TI en la sombra es rampante. Todos sabemos lo difícil que es proteger, o incluso cuantificar el riesgo de activos de los que no somos conscientes.

También existen otros desafíos. El Sistema Común de Puntuación de Vulnerabilidad (CVSS), que se usa ampliamente para la priorización de vulnerabilidades y la evaluación de riesgos, a menudo se usa erroneamente. Al menos, ese es el argumento presentado por el Instituto de Ingeniería de Software (SEI) de la Universidad Carnegie Mellon en su artículo titulado “Hacia la mejora de CVSS” o el artículo de la Universidad de Drew titulado “CVSS: ubicuo y roto“. Combine la puntuación mal utilizada con puntos ciegos internos y comenzará a comprender dónde se están quedando cortos los enfoques actuales.

Cobertura Futura de Cyber-riesgos

En un próximo análisis adicional sobre el canal Acceleration Economy Cybersecurity, profundizaré en las evaluaciones cualitativas y cuantitativas actuales del riesgo cibernético, las soluciones técnicas y de plataforma, y ​​las posibles brechas en la forma en que se califican y priorizan las vulnerabilidades.

Todos estos problemas contribuyen a los desafíos para la cyberseguridad cuando se trata de hablar el idioma del negocio, proporcionar información útil sobre riesgos y comunicarse con los líderes ejecutivos y los miembros de la junta, a pesar de la urgencia de tener el liderazgo de seguridad cibernética representado “en la mesa”.

Autor: Chris Hughes

Share. Facebook Twitter LinkedIn Email
Pablo Moreno
  • Website
  • LinkedIn

Business Data Scientist and Project Manager (Waterfall & Agile) with experience in Business Intelligence, Robotics Process Automation, Artificial Intelligence, Advanced Analytics and Machine Learning in multiple business fields, gained within global business environment over the last 20 years. University Professor of ML and AI, International speaker and Author. Active supporter of Open-Source software development. Looking to grow with the next challenge.

Related Posts

Streamlining Manufacturing Communication: Microsoft Teams & Copilot Lead the Evolution

April 17, 2024
automated vulnerability dection

Cómo la detección automatizada de vulnerabilidades mitiga el fraude y fortalece los sistemas financieros

April 6, 2023

Cómo crear nuevos ahorros en adquisiciones utilizando IA y RPA para agilizar las compras

April 5, 2023
Celonis government

Cómo Celonis brinda beneficios de minería de procesos a instituciones gubernamentales

April 4, 2023
Add A Comment

Comments are closed.

Recent Posts
  • ISV MyWave Taps AI Agents to Streamline Customers’ SAP Cloud ERP Migrations
  • Microsoft Taps Former Google AI VP as Talent Wars Intensify
  • IBM GenAI Business Soars to $7.5 Billion, Drives Growth in Mainframes, Consulting
  • Agentic AI in Action: Tenon and ServiceNow Deliver Unified CRM Solutions
  • IBM: $7.5 Billion GenAI Business Drives Innovation in Mainframe, Soft., Consulting

  • Ask Cloud Wars AI Agent
  • Tech Guidebooks
  • Industry Reports
  • Newsletters

Join Today

Most Popular Guidebooks and Reports

SAP Business Network: A B2B Trading Partner Platform for Resilient Supply Chains

July 10, 2025

Using Agents and Copilots In M365 Modern Work

March 11, 2025

AI Data Readiness and Modernization: Tech and Organizational Strategies to Optimize Data For AI Use Cases

February 21, 2025

Special Report: Cloud Wars 2025 CEO Outlook

February 12, 2025

Advertisement
Cloud Wars
Twitter LinkedIn
  • Home
  • About Us
  • Privacy Policy
  • Get In Touch
  • Marketing Services
  • Do not sell my information
© 2025 Cloud Wars.

Type above and press Enter to search. Press Esc to cancel.

  • Login
Forgot Password?
Lost your password? Please enter your username or email address. You will receive a link to create a new password via email.
body::-webkit-scrollbar { width: 7px; } body::-webkit-scrollbar-track { border-radius: 10px; background: #f0f0f0; } body::-webkit-scrollbar-thumb { border-radius: 50px; background: #dfdbdb }