No hay forma de adornarlo: la ciberseguridad tiene un problema de datos. Específicamente, la ciberseguridad como industria es pésima cuando se trata de cuantificar el riesgo cibernético.
Si bien hay un aumento de requerimientos acerca de cyberseguridad en las salas de juntas, e incluso cambios propuestos por la Comisión de Bolsa y Valores (SEC) para que las empresas divulguen los conocimientos y experiencia en cyberseguridad de los miembros de las juntas directivas y ejecutivas, sencillamente no hablamos el mismo lenguaje basado en datos como muchos de nuestros pares cuando se trata de amenazas que enfrenta nuestra organización. Ese es un problema que tenemos que arreglar.
Cuantificación de riesgos de ciberseguridad
Los ciber-riesgos se pueden comunicar cualitativa o cuantitativamente. Históricamente, como industria se hace abrumadoramente lo primero.
Como resultado, explicar la escala de las amenazas es subjetivo, está abierto a interpretación y no proporciona a los líderes empresariales datos para impulsar la toma de decisiones organizacionales sobre nuestros riesgos de seguridad cibernética. Eso ocurre en el contexto de los avisos que todos escuchamos para que los profesionales de la cyberseguridad “hablen el idioma del negocio”. En este contexto, eso significa articular los riesgos y amenazas cibernéticos, respaldados por números.
Este problema no es nuevo; expertos como Douglas Hubbard y Richard Seiersen lo abordan en su libro “Cómo medir cualquier cosa en riesgo de ciberseguridad” (se rumorea que también se lanzará una nueva edición).
No son las únicas personas u organizaciones que han evangelizado la cuantificación de los cyberriesgos. El ejecutivo de gestión de riesgos Jack Jones y el Instituto FAIR también han defendido una posición similar. Como organización, FAIR, que significa “Factor Analysis of Information Risk”, cuenta con más de 13,000 miembros y es utilizada por más del 45% de las organizaciones Fortune 1000.
Desde una perspectiva tecnológica, también existen plataformas como Balbix y RiskLens que se esfuerzan por automatizar la cuantificación del cyberriesgo para empoderar a las organizaciones a la hora de abordar dichos riesgos y mejorar los informes para la junta.
El entorno de TI empresarial
Entonces, a pesar del impulso de los intelectuales, las organizaciones de la industria y los proveedores, ¿por qué los profesionales del cyberriesgo todavía hablan en términos blandos y subjetivos que carecen de números? La verdad es que la cuantificación del cyberriesgo se basa en enfoques de modelado matemático y metodológico que se prestan a la cuantificación del riesgo. Al realizar la cuantificación del riesgo cibernético se están analizando elementos como los activos de la organización, las vulnerabilidades, las amenazas y la probabilidad de explotación.
Desafortunadamente, el entorno de TI empresarial, que es fundamental para la gestión del riesgo general, no lo tiene tan sencillo y ahí se ubica un problema importante. Las organizaciones generalmente son mediocres en el mantenimiento del inventario de activos de hardware y software, a pesar de que esa categoría ha sido un control de seguridad crítico SANS/CIS durante años.
Como resultado, las organizaciones simplemente no tienen confianza en su inventario general de activos. Incluso si lo hacen, generalmente está fuera de lugar porque años de incidentes de seguridad han demostrado que la TI en la sombra es rampante. Todos sabemos lo difícil que es proteger, o incluso cuantificar el riesgo de activos de los que no somos conscientes.
También existen otros desafíos. El Sistema Común de Puntuación de Vulnerabilidad (CVSS), que se usa ampliamente para la priorización de vulnerabilidades y la evaluación de riesgos, a menudo se usa erroneamente. Al menos, ese es el argumento presentado por el Instituto de Ingeniería de Software (SEI) de la Universidad Carnegie Mellon en su artículo titulado “Hacia la mejora de CVSS” o el artículo de la Universidad de Drew titulado “CVSS: ubicuo y roto“. Combine la puntuación mal utilizada con puntos ciegos internos y comenzará a comprender dónde se están quedando cortos los enfoques actuales.
Cobertura Futura de Cyber-riesgos
En un próximo análisis adicional sobre el canal Acceleration Economy Cybersecurity, profundizaré en las evaluaciones cualitativas y cuantitativas actuales del riesgo cibernético, las soluciones técnicas y de plataforma, y las posibles brechas en la forma en que se califican y priorizan las vulnerabilidades.
Todos estos problemas contribuyen a los desafíos para la cyberseguridad cuando se trata de hablar el idioma del negocio, proporcionar información útil sobre riesgos y comunicarse con los líderes ejecutivos y los miembros de la junta, a pesar de la urgencia de tener el liderazgo de seguridad cibernética representado “en la mesa”.
