La puntuación del ciberriesgo es una forma de cuantificar el riesgo de ciberseguridad para que las organizaciones puedan tomar decisiones objetivas y empíricas sobre cómo defender y reducir su superficie de ataque.
La puntuación de ciberriesgos es un componente importante de cualquier marco de gestión de ciberriesgos. Permite una comprensión objetiva y compartida de los riesgos relativos asociados con los activos de TI y las tecnologías digitales para que se puedan tomar decisiones prácticas sobre cuáles son las más prioritarias.
El seguimiento de las puntuaciones de riesgo cibernético a lo largo del tiempo permite a las organizaciones comparar y supervisar su preparación general para la ciberseguridad y la solidez de su postura de seguridad.
La puntuación del riesgo cibernético se aplica a toda la superficie de ataque, incluidos activos de TI internos y externos, datos, sistemas y recursos.
Al igual que la cuantificación de ciberriesgos (CRQ), la puntuación de ciberriesgos está estrechamente relacionada con las dos primeras etapas de la gestión de la superficie de ataque: descubrimiento y evaluación.
Específicamente, implica un proceso de dos pasos de elaboración de perfiles de riesgo, determinando cuáles son los riesgos relevantes y los controles necesarios para gestionarlos, y luego asignando puntuaciones a cada riesgo en función de su urgencia relativa y su posible gravedad.
¿Cuáles son los riesgos cibernéticos?
El Instituto Nacional de Estándares y Tecnología define el riesgo cibernético como ambos (o cualquiera):
- «El riesgo de depender de los recursos cibernéticos (es decir, el riesgo de depender de un sistema o elementos del sistema que existen o tienen presencia intermitente en el ciberespacio).»
- «Riesgo de pérdida financiera, interrupción o daño operativo debido al fallo de las tecnologías digitales empleadas para funciones informativas y/u operativas introducidas en un sistema de fabricación a través de medios electrónicos del acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados del sistema de fabricación».
Ambas definiciones se aplican a la necesidad de que las organizaciones adopten e implementen un marco proactivo de gestión de la exposición al riesgo cibernético.
¿Por qué es importante la puntuación del riesgo cibernético?
Como componente de la gestión de la exposición al riesgo cibernético, la puntuación del riesgo cibernético proporciona una claridad objetiva y medible sobre qué riesgos representan la mayor amenaza para una organización. Esto ayuda a informar las acciones e inversiones en ciberseguridad.
Al igual que CRQ, la puntuación del riesgo cibernético proporciona una forma de hablar sobre el riesgo que es comprensible tanto por profesionales de seguridad como por líderes empresariales. De esa manera, es un importante apoyo para la supervisión y la generación de informes de rendimiento de responsabilidad social corporativa (RSC) y/o medioambiental (ESG) de las organizaciones.
Cada vez más, las puntuaciones de riesgo cibernético se utilizan como factor para determinar la elegibilidad de una organización para el ciberseguro. También pueden utilizarse para evaluar posibles fusiones y adquisiciones, en la gestión de la seguridad de la cadena de suministro y en otras áreas de las operaciones empresariales.
¿Puntuación de riesgo cibernético frente a CRQ?
La puntuación de riesgo cibernético y CRQ realizan funciones similares, en pocas palabras, una es cualitativa y la otra es cuantitativa. Ambos enmarcan los riesgos de ciberseguridad en términos objetivos y empíricos para fundamentar las decisiones estratégicas.
Si bien la puntuación de riesgo cibernético asigna una puntuación numérica a cada riesgo y, a continuación, tabula una puntuación de riesgo cibernético general para la organización, CRQ calcula el valor potencial en dólares de los incidentes cibernéticos, lo que una filtración, hackeo o robo de datos podría costar a una empresa. Ese coste puede incluir pérdidas financieras (ingresos, tiempo de inactividad, multas, demandas), pérdidas competitivas (como cuota de mercado), daños a la reputación, pérdida de clientes y otros daños.
CRQ calcula la probabilidad de un ataque como una probabilidad, a menudo expresada como un porcentaje. Por ejemplo, el correo electrónico del CEO en una empresa de servicios financieros puede tener una probabilidad del 85 % de un ataque BEC, en comparación con el 12 % para el gestor de cafetería en la misma empresa. Esta probabilidad se determina estadísticamente, utilizando simulaciones basadas en modelos (p. ej., simulaciones de Monte Carlo), y normalmente se calcula para un periodo de tiempo específico, como un trimestre empresarial o año natural.
Tanto la puntuación del riesgo cibernético como el CRQ respaldan una buena gestión del riesgo cibernético, y ambos implican pasos similares de descubrimiento y evaluación para identificar, evaluar y priorizar los riesgos.
¿Cómo funciona la puntuación de ciberriesgos?
Como se ha mencionado, la puntuación del riesgo cibernético tiene dos partes principales:
- Perfiles de riesgo
- Puntuación de riesgo
El paso de elaboración de perfiles depende de un exhaustivo proceso de descubrimiento y evaluación que defina la superficie de ataque general de la organización e identifique riesgos y vulnerabilidades en esa superficie. Basándose en esas determinaciones, una organización puede decidir qué controles deben implementarse.
El paso de puntuación calcula el nivel potencial de riesgo y daño para cada vulnerabilidad identificada, incluida la probabilidad de que se aproveche esa vulnerabilidad, hasta qué punto y en qué medida se sentirá el impacto, lo difícil que sería remediar un ataque exitoso y mucho más.
Las puntuaciones de riesgo cibernético también deben tener en cuenta la información global sobre amenazas (ya sea de propiedad exclusiva o de código abierto), las calificaciones de seguridad pública y la información sobre el conocimiento de los agentes maliciosos de vulnerabilidades específicas, facilidad de explotación, frecuencia de exploits y otros puntos de datos relevantes.
Las puntuaciones de riesgo cibernético individuales se contabilizan para llegar a una puntuación de riesgo cibernético general de la organización.
¿Cómo contribuye la puntuación de ciberriesgos a la gestión de la superficie de ataque?
La gestión de la superficie de ataque (ASM) es un enfoque de ciberseguridad que tiene como objetivo ayudar a las organizaciones a defender sus datos y sistemas haciendo que las amenazas sean más visibles. Se trata de saber dónde existen los riesgos, comprender su gravedad relativa y tomar medidas para cerrar las brechas de seguridad relacionadas con las personas, los procesos y la tecnología.
Como tal, la puntuación del riesgo cibernético está estrechamente relacionada con las dos primeras etapas de ASM: descubrimiento y evaluación.
El proceso de descubrimiento de ASM proporciona visibilidad de todos los posibles riesgos cibernéticos a los que se enfrenta una organización. Ese contexto es necesario para una puntuación de ciberriesgos precisa y completa, ya que proporciona una imagen completa de la superficie de ataque de la empresa.
La puntuación del ciberriesgo contribuye a la fase de evaluación de ASM proporcionando una forma empírica y objetiva de indicar qué riesgos y vulnerabilidades son más críticos y cuáles se pueden abordar más adelante.
La puntuación del riesgo cibernético es un proceso continuo. A medida que las puntuaciones se actualizan de forma regular, los equipos de ciberseguridad y los líderes empresariales pueden ver cómo está cambiando el panorama general de riesgos: qué riesgos son cada vez más importantes y urgentes de abordar y cuáles se han mitigado con éxito.
Métodos para calcular las puntuaciones de riesgo cibernético
Hay muchos marcos o métodos para la puntuación de ciberriesgos. Lo más sencillo es estimar la probabilidad de un ataque, asignar ese valor y multiplicarlo por la gravedad potencial del ataque para llegar a una puntuación de riesgo numérica.
El marco del Instituto Nacional de Estándares y Tecnología (NIST)
NIST ofrece una solución de puntuación de ciberriesgos que asigna categorías de seguridad a todos los componentes de un sistema y establece una línea base de control de seguridad para cada uno: bajo, moderado o alto. A cada control se le asigna una ponderación inicial de 1 a 10 en función de su importancia relativa en la postura general de privacidad y seguridad de la organización.
En el marco del NIST, la elaboración de perfiles de riesgo ayuda a determinar el alcance necesario de los controles requeridos. Factores como la confidencialidad, la integridad y la disponibilidad (abreviada como “CIA”) se asignan en una escala del 1 al 10 y se aplican a los diversos controles de acuerdo con la importancia de los datos/información asociados.
También se considera que la información histórica sobre filtraciones pasadas, eventos conocidos que afectan al sector/sector de la organización y otro contenido contextual proporciona una puntuación predictiva que indica con precisión el riesgo potencial de incidentes futuros.
Otros enfoques
Otros métodos para calcular las puntuaciones de riesgo cibernético incluyen:
- Análisis de factores de riesgo de la información (FAIR): normalmente se utiliza para la puntuación de riesgo basada en finanzas, como con el CRQ. Parte del método FAIR consiste en dividir los riesgos en subcomponentes para proporcionar una precisión detallada.
- Evaluación de vulnerabilidades, activos y amenazas operacionalmente críticas (OCTAVE): centrada, como su nombre indica, en las operaciones empresariales, con cálculos de riesgo basados en amenazas específicas de activos y vulnerabilidades de infraestructura.
- ISO/IEC 27005, que ofrece orientación sobre la gestión de riesgos de seguridad de la información relacionada con la definición del contexto de gestión de riesgos; la identificación y evaluación de riesgos (incluida la probabilidad de ataque) y las medidas de mitigación (“planes de tratamiento de riesgos”).
Otro factor que contribuye a la puntuación del riesgo es el Sistema de puntuación de vulnerabilidades común (CVSS). CVSS no realiza todo el trabajo de puntuación de riesgos, sino que proporciona una forma útil de clasificar la gravedad potencial de las vulnerabilidades identificadas en el software. Estas clasificaciones se pueden utilizar como parte del cálculo de la puntuación de riesgo general.
¿Quién puede ayudarnos con la puntuación de riesgos de ciberseguridad?
Trend Micro desarrolló conjuntamente el Índice de riesgo cibernético (CRI) con el Instituto Ponemon para ayudar a las organizaciones a determinar sus niveles de riesgo y dónde pueden tener brechas de ciberseguridad. El CRI asigna una puntuación de riesgo a las organizaciones basándose en una evaluación exhaustiva de las categorías y factores de riesgo. El índice incorpora eventos de riesgo que afectan a una amplia gama de activos, incluidos usuarios, dispositivos, aplicaciones, dominios y direcciones IP orientados a Internet y activos basados en la nube.
La evaluación de CRI se basa en fuentes de datos conectadas para evaluar cómo afectan los factores de riesgo al entorno específico de una organización. Cuantas más fuentes de datos se puedan incorporar, más completo y completo será el resultado de CRI.
El CRI se actualiza automáticamente cada cuatro horas, con cambios en el estado de los eventos de riesgo reflejados después de hasta una hora. Las organizaciones pueden recalcular manualmente su CRA haciendo clic en el botón Recalcular. Utilice la calculadora de CRI aquí para determinar la puntuación de riesgo de su organización.
Trend Vision One to ofrece una solución de gestión de exposición y riesgo cibernético (CREM) que garantiza que las organizaciones puedan descubrir, evaluar y mitigar riesgos de forma proactiva para reducir su huella de riesgo cibernético. CREM adopta un enfoque revolucionario combinando capacidades clave, como la gestión de superficie de ataque externo (EASM), la gestión de superficie de ataque de activos cibernéticos (CAASM), la gestión de vulnerabilidades y la gestión de postura de seguridad, en la nube, datos, identidad, API, IA, cumplimiento de normativa y aplicaciones SaaS en una solución potente y fácil de usar. No se trata solo de gestionar amenazas, sino de desarrollar una verdadera resiliencia ante riesgos.
Obtenga más información sobre cómo la gestión de la exposición al riesgo cibernético puede ayudarle a desarrollar una verdadera resiliencia al riesgo.