La cuantificación del ciberriesgo (CRQ) es una forma de poner los riesgos de ciberseguridad en términos empresariales objetivos y empíricos para fundamentar las decisiones estratégicas.
Las juntas corporativas y los equipos de liderazgo son cada vez más responsables de las filtraciones de ciberseguridad, las pérdidas de datos, las infracciones de cumplimiento y otros impactos. Eso ha hecho de la ciberseguridad un tema empresarial estratégico de formas que nunca antes había sido. La cuantificación de ciberriesgo (CRQ) es un método para enmarcar los riesgos de ciberseguridad de formas significativas para los responsables de la toma de decisiones empresariales.
El CRQ es un pilar importante en la gestión de la exposición al ciberriesgo, ayudando a las organizaciones a determinar el impacto potencial que los riesgos de seguridad de la empresa pueden suponer, por ejemplo, pérdidas financieras (ingresos, tiempo de inactividad) y/o pérdidas competitivas (como cuota de mercado). Esto ayuda a las organizaciones a dirigir la inversión en ciberseguridad donde más se necesita y a determinar el valor o el posible retorno de esas inversiones, lo que justifica el gasto en ciberseguridad.
Un método común para calcular el CRQ es el modelo FAIR. Desarrollado por el FAIR Institute, el nombre del modelo significa “Análisis de factores de riesgo de la información”. FAIR es un estándar internacional abierto para CRQ.
¿Qué son los riesgos cibernéticos?
El Instituto Nacional de Estándares y Tecnología (NIST) define el ciberriesgo como ambos (o cualquiera de ellos):
- «El riesgo de depender de los recursos cibernéticos (es decir, el riesgo de depender de un sistema o elementos del sistema que existen o tienen presencia intermitente en el ciberespacio)».
- «Riesgo de pérdida financiera, interrupción o daño operativo por el fallo de las tecnologías digitales empleadas para funciones informativas y/u operativas introducidas en un sistema de fabricación a través de medios electrónicos por el acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados del sistema de fabricación».
Ambas definiciones se aplican a la necesidad de que las organizaciones adopten e implementen un marco proactivo de gestión de la exposición al ciberriesgo.
¿Por qué es importante CRQ?
La adopción de un modelo CRQ permite a las organizaciones integrar las decisiones sobre ciberseguridad en la estrategia y la orientación generales de la empresa. Hace que la ciberseguridad sea fundamental para el negocio en lugar de algo secundario.
Debido a que CRQ proporciona una forma de que los equipos de ciberseguridad y los líderes empresariales “hablen el mismo idioma” sobre el ciberriesgo, facilita una mejor comunicación entre los equipos de seguridad y empresariales. De forma similar, también proporciona un mecanismo para demostrar el cumplimiento normativo a los reguladores.
A través de su intersección con la gestión de la exposición al ciberriesgo, CRQ respalda y enriquece los esfuerzos de una organización para comprender su exposición total al ciberriesgo y las vulnerabilidades de la superficie de ataque, permitiendo respuestas más efectivas y dirigidas y un mejor uso de los recursos.
¿Cómo funciona CRQ?
CRQ implica identificar todas las posibles ciberamenazas para una empresa, evaluarlas y priorizarlas para determinar cuáles son las más urgentes y graves, y calcular el posible impacto empresarial de una filtración, ataque o pérdida en cada caso.
Esto se alinea estrechamente con las dos primeras fases de la gestión de la superficie de ataque: descubrimiento y evaluación, y cubre el mismo espectro de riesgos digitales, físicos y sociales/humanos, que pueden abarcar desde malware, contraseñas débiles y configuraciones erróneas, hasta robo, acciones internas maliciosas, susceptibilidad al phishing y esquemas de compromiso de email empresarial (BEC) y mucho más.
Descubrimiento
El primer paso es identificar todas las amenazas potenciales que podrían dañar a la organización. Esto requiere una visión completa de la superficie de ataque, que es la suma total de todas las formas en las que los agentes maliciosos podrían obtener acceso no autorizado a los datos y sistemas para cometer robos o lanzar ataques.
Una plataforma de ciberseguridad con la capacidad de realizar análisis automáticos y continuos de toda la superficie de ataque es esencial para este paso. Una plataforma tendrá en cuenta todos los activos, sistemas, aplicaciones y puntos de acceso conocidos y desconocidos, incluidos los elementos que tradicionalmente no son visibles para los equipos de seguridad, como aplicaciones de TI en la sombra, tecnologías de terceros y tecnologías obsoletas u olvidadas que se han omitido en inventarios anteriores.
Evaluación
Con una visión completa de la superficie de ataque, los equipos de seguridad pueden evaluar debilidades y vulnerabilidades relativas como configuraciones erróneas, software sin parches, errores de codificación y más. Basándose en esas vulnerabilidades, la evaluación también puede determinar qué tipos de ataques podrían utilizarse para explotarlos, ahora y en el futuro, y cuáles podrían ser los objetivos de esos ataques (p. ej., robo de datos, interrupción del negocio, rescate y extorsión, etc.).
Algunos puntos clave relacionados con la evaluación:
- Idealmente, los riesgos se evaluarán para cada parte de la organización, desde operaciones internas hasta ventas y servicios al cliente, la cadena de suministro, recursos en la nube, canalizaciones de desarrollo de software (DevOps) y mucho más.
- Una vez realizados los pasos de evaluación iniciales, los equipos de seguridad pueden priorizar los riesgos y activos, determinando cuáles son de mayor valor (tanto para la propia organización como para los posibles atacantes), cuáles son más vulnerables al ataque y, de forma crítica para CRQ, la probabilidad de un ataque.
- En CRQ, la probabilidad se calcula como una probabilidad, a menudo expresada como un porcentaje. Por ejemplo, el correo electrónico del CEO en una empresa de servicios financieros puede tener una probabilidad del 85% de un ataque BEC, en comparación con el 12% para el gestor de cafetería en la misma empresa. Esta probabilidad se determina estadísticamente, utilizando simulaciones basadas en modelos (p.ej., simulaciones de Monte Carlo), y normalmente se calcula para un periodo de tiempo específico, como un trimestre empresarial o año natural.
Cálculo
Según la evaluación, los equipos de seguridad trabajan con los líderes empresariales para estimar el valor financiero o el coste de los posibles ciberataques. Esto incluirá sanciones por incumplimiento de las leyes y normativas; pérdidas financieras debidas al tiempo de inactividad, recuperación, extorsión o robo; daños a la reputación y pérdida de posición en el mercado; demandas y mucho más. Los factores variarán según la organización y el sector. El resultado final es una cifra en dólares que expresa el riesgo empresarial de un ciberataque.
¿En qué se diferencia CRQ de la puntuación de ciberriesgos?
La cuantificación del ciberriesgo y la calificación del ciberriesgo desempeñan funciones similares. Ambos enmarcan los riesgos de ciberseguridad en términos objetivos y empíricos para fundamentar las decisiones estratégicas.
Mientras que el CRQ calcula el valor potencial en dólares de los incidentes cibernéticos -lo que una brecha, un pirateo o un robo de datos podría costar a una empresa-, la puntuación del ciberriesgo asigna una puntuación numérica a cada riesgo y luego tabula a partir de ella una puntuación global del ciberriesgo para la organización.
Específicamente, la puntuación del ciberriesgo implica un proceso de dos pasos de elaboración de perfiles de riesgo, determinando cuáles son los riesgos relevantes y los controles necesarios para gestionarlos, y luego asignando puntuaciones a cada riesgo en función de su urgencia relativa y gravedad potencial.
- El paso de elaboración de perfiles depende de un exhaustivo proceso de descubrimiento y evaluación que define la superficie de ataque general de la organización e identifica riesgos y vulnerabilidades en esa superficie. Basándose en esas determinaciones, una organización puede decidir qué controles deben implementarse.
- El paso de puntuación calcula el nivel potencial de riesgo y daño para cada vulnerabilidad identificada, incluida la probabilidad de que se explote esa vulnerabilidad, hasta qué punto y en qué medida se sentirá el impacto, lo difícil que sería remediar un ataque exitoso y mucho más.
- Las puntuaciones de ciberriesgo también deben tener en cuenta la información global sobre amenazas (ya sea de propiedad exclusiva o de código abierto), las calificaciones de seguridad pública y la información sobre la concienciación de los malos actores sobre vulnerabilidades específicas, facilidad de explotación, frecuencia de exploits y otros puntos de datos relevantes.
Existen muchos métodos diferentes para calcular las puntuaciones de ciberriesgo, incluido un marco presentado por el NIST y el modelo FAIR mencionado anteriormente.
Tanto la puntuación de ciberriesgos como el CRQ respaldan una buena gestión de la exposición a ciberriesgos, y ambos implican pasos similares de descubrimiento y evaluación para identificar, evaluar y priorizar proactivamente los riesgos.
Alternativas al CRQ
CRQ es bastante reciente. Muchas organizaciones siguen siguiendo modelos de gestión de riesgos basados en el cumplimiento de normativa, como el Marco de ciberseguridad (CSF) del NIST. Con un enfoque basado en el cumplimiento, el objetivo es mantener el cumplimiento de los requisitos normativos. Las herramientas de CRQ, por otro lado, se centran en poner números a los ciberriesgos. La combinación de ambos es más probable que produzca los resultados de ciberseguridad más sólidos, en el contexto de una estrategia global de gestión de la exposición al ciberriesgo basada en una gestión vigilante de la superficie de ataque.
¿Cómo podemos implementar CRQ?
La cuantificación del ciberriesgo es un componente clave de la gestión general de la exposición al ciberriesgo. La implementación de CRQ requiere una buena colaboración y coordinación entre los equipos de ciberseguridad empresariales y los líderes empresariales corporativos, incluidas expectativas claras, puntos de contacto regulares, comunicación abierta y procesos bien definidos.
Las organizaciones tendrán que elegir un modelo de CRQ (ya sea FAIR o algún otro enfoque) y adoptar herramientas de CRQ para respaldar los tipos de simulaciones y cálculos necesarios. Estas herramientas deben integrarse en una plataforma de ciberseguridad general que pueda proporcionar todo el contexto necesario para tomar decisiones informadas sobre los ciberriesgosy su prioridad relativa.
Específicamente, eso significa una plataforma capaz de abordar todas las fases de la gestión de la exposición al ciberriesgo: descubrimiento, evaluación y mitigación. La plataforma debe incluir tecnologías de operaciones de seguridad como gestión de eventos e información de seguridad (SIEM), detección y respuesta extendidas (EDR) y/o detección y respuesta extendidas (XDR) para una mitigación de amenazas rápida y efectiva. XDR también es fundamental como fuente de datos, análisis e integraciones.
Para minimizar el riesgo a largo plazo y fortalecer la postura de seguridad de la organización, las estrategias de confianza cero también son un complemento importante para CRQ. La confianza cero aplica el principio del menor privilegio a prácticamente todos los aspectos del entorno de TI. Como sugiere el nombre, nunca se presupone confianza y los permisos están estrictamente controlados para que incluso los usuarios autorizados tengan acceso a los recursos solo donde y cuando los necesiten directamente.
¿Dónde puedo obtener ayuda con CRQ?
Trend Vision One™ puede ayudarle a implantar prácticas de CRQ con su solución Cyber Risk Exposure Management, que permite a las organizaciones cuantificar y comunicar el riesgo cibernético en términos empresariales con facilidad.
Esto es posible gracias al revolucionario enfoque de Trend Vision One de combinar capacidades clave, como la gestión de la superficie de ataque externo (EASM), la gestión de la superficie de ataque de activos cibernéticos (CAASM), la gestión de vulnerabilidades y la gestión de postura de seguridad, en la nube, datos, identidad, API, IA, cumplimiento de normativa y aplicaciones SaaS en una solución potente y fácil de usar. Le permite proteger su negocio de forma proactiva con control, claridad y confianza.
Obtenga más información sobre cómo la gestión de la exposición al ciberriesgo puede ayudarle con la cuantificación del ciberriesgo.