La cuantificación de riesgos cibernéticos (CRQ) es una forma de presentar los riesgos de ciberseguridad en términos empresariales objetivos y empíricos para informar las decisiones estratégicas.
Las mesas directivas corporativas y los equipos de liderazgo tienen cada vez más responsabilidad por las brechas de ciberseguridad, pérdidas de datos, violaciones de cumplimiento y otro tipo de impactos relacionados. Eso ha hecho que la ciberseguridad sea un tema estratégico para las empresas. La cuantificación de riesgos cibernéticos (CRQ) es un método para presentar los riegos de ciberseguridad de forma relevante para los tomadores de decisión en las empresas.
CRQ es un pilar en la gestión de la exposición a riesgos cibernéticos, ayudando a las organizaciones a determinar el impacto potencial al negocio que podrían tener los riesgos de seguridad, por ejemplo, pérdidas financieras (pérdidas de ingresos, downtime) y/o pérdidas competitivas (como participación de mercado). Esto ayuda a las organizaciones a dirigir sus inversiones en ciberseguridad hacia donde más se necesitan, y a determinar el valor o retorno potencial de esas inversiones, justificando la inversión en ciberseguridad.
Un método común para calcular la CRQ es el modelo FAIR. Desarrollado por el FAIR Institute, el nombre del modelo deletrea “Factor Analysis of Information Risk”. FAIR es un estándar internacional abierto para CRQ.
¿Qué son los riesgos cibernéticos?
De acuerdo con el National Institute of Standards and Technology (NIST) el ciberriesgo se define de una o ambas de estas formas:
- “El riesgo de la dependencia de recursos cibernéticos (por ejemplo, el riesgo de depender de un sistema o de elementos de un sistema que existen de forma permanente o intermitente en el ciberespacio).”
- “El riesgo de pérdidas financieras, disrupción operativa o daños resultantes de la falla de las tecnologías digitales empleadas para funciones informativas y/u operativas que han sido introducidas a un sistema de manufactura por medios electrónicos como resultado del acceso, uso, revelación, disrupción, modificación o destrucción no autorizados del sistema de manufactura.”
Ambas definiciones aplican a la necesidad de las organizaciones para adoptar e implementar un framework proactivo de gestión de la exposición al riesgo cibernético.
¿Por qué es importante CRQ?
Adoptar un modelo de CRQ permite que las organizaciones integren las decisiones de ciberseguridad a la estrategia corporativa general. Convierte a la ciberseguridad en parte crítica del negocio en lugar de un elemento agregado de último minuto.
Ya que CRQ brinda una forma para que los equipos de ciberseguridad y los líderes de negocio “hablen el mismo idioma” acerca del riesgo cibernético, facilita una mejor comunicación entre los equipos de seguridad y de negocio. De forma similar, brinda un mecanismo para demostrar el cumplimiento ante los reguladores.
A través de su intersección con la gestión de la exposición a riesgos cibernéticos, la CRQ apoya y enriquece los esfuerzos de una organización para comprender su exposición total al riesgo cibernético y las vulnerabilidades en su superficie de ataque, permitiendo que las respuestas sean más efectivas y dirigidas, además de tener un mejor uso de los recursos.
¿Cómo funciona CRQ?
CRQ involucra identificar todas las ciberamenazas potenciales a un negocio, evaluando y priorizándolas para determinar cuáles son las más urgentes y de mayor severidad, y calcular el posible impacto a la organización resultante de una brecha, ataque o pérdida.
Esto está alineado con las primeras dos fases de la gestión de la superficie de ataque: descubrimiento y evaluación, y cubre el mismo espectro de riesgos digitales, sociales/humanos y físicos, los cuales pueden ir desde el malware, contraseñas débiles y fallas de configuración, hasta el robo, acciones maliciosas internas, susceptibilidad al phishing y a estafas de business email compromise (BEC), y más.
Descubrimiento
El primer paso es identificar todas las amenazas potenciales que podrían hacer daño a la organización. Esto requiere de una visibilidad completa de la superficie de ataque, la cual es la suma total de todas las formas en que los actores maliciosos podrían obtener acceso no autorizado a sistemas y a información para lanzar ataques.
Una plataforma de ciberseguridad con la capacidad de escanear la superficie completa de ataque de forma automática y continua es crucial para este paso. Una plataforma tomará en cuenta todos los activos, sistemas, aplicaciones y puntos de acceso conocidos y desconocidos, incluyendo elementos que tradicionalmente no son visibles a los equipos de seguridad como las aplicaciones de shadow IT, tecnologías de terceros y tecnologías desactualizadas u “olvidadas” que han sido omitidas de inventarios anteriores.
Evaluación
Con una vista integral de la superficie de ataque, los equipos de seguridad pueden entonces evaluar las debilidades y vulnerabilidades relativas, como las fallas de configuración, software no parchado, errores en el código y más. De acuerdo con esas vulnerabilidades, la evaluación también entonces puede determinar los tipos de ataques que podrían entonces usarse para explotarlas, ahora y en el futuro, y cuáles podrían ser las metas de esos ataques (por ejemplo, robo de información, interrupción del negocio, extorsión, etc.)
Algunos puntos clave relacionados con la evaluación:
- Idealmente, se evaluarán los riesgos para cada parte de la organización, desde las operaciones internas hasta las ventas y el servicio a cliente, pasando por la cadena de suministro, pipelines de desarrollo de software y más.
- Una vez que se terminan los pasos iniciales de la evaluación, los equipos de seguridad pueden priorizar los riesgos y los activos, determinando cuáles son de mayor valor (tanto para la organización como para los potenciales atacantes), cuáles son más vulnerables al ataque y, crucialmente para CRQ, la probabilidad de un ataque.
- En CRQ, la probabilidad se expresa a menudo como un porcentaje. Por ejemplo, el correo electrónico del CEO en una empresa de servicios financieros podría tener un 85% de probabilidad de sufrir un ataque de BEC, comparado con el 12% para el gerente de la cafetería de la misma empresa. Esta probabilidad se determina de forma estadística, usando simulaciones basadas en modelos (por ejemplo, las simulaciones Monte Carlo), y se calcula usualmente para un periodo de tiempo específico, como un trimestre o año calendario.
Cálculo
De acuerdo con la evaluación, los equipos de seguridad trabajan con los líderes de negocio para estimar el valor financiero o costo potencial de un ciberataque. Esto podría incluir penalizaciones por el no cumplimiento de leyes y regulaciones; pérdidas financieras debido a downtime, recuperación, extorsión y/o robo; daños a la reputación y pérdida de participación de mercado; demandas y más. Los factores específicos cambiarán de acuerdo con la organización y el sector. El resultado final es un número en dólares o la moneda local que exprese el riesgo para el negocio de un ciberataque.
¿Cómo difiere CRQ de la puntuación de riesgos cibernéticos?
La cuantificación de riesgos cibernéticos y la puntuación de riesgos cibernéticos realizan funciones similares. Ambos presentan los riesgos cibernéticos de forma empírica y objetiva para informar la toma de decisiones estratégicas.
Mientras que CRQ calcula el valor monetario potencial de los incidentes (lo que podría costar una brecha o robo al negocio), la puntuación de riesgos cibernéticos asigna una puntuación numérica a cada riesgo y entonces la tabula para obtener una puntuación de riesgo para la organización en general.
Específicamente, la puntuación de riesgos cibernéticos involucra un proceso de dos pasos de perfilar el riesgo: determinar cuáles son los riesgos relevantes y cuáles son los controles requeridos para su gestión, y entonces asignar puntuaciones para cada riesgo de acuerdo con su urgencia relativa y su severidad potencial.
- El paso del perfilamiento depende de unos procesos de descubrimiento y evaluación lo suficientemente profundos para definir la superficie de ataque en general de una organización, y de los riesgos y vulnerabilidades que se identifiquen en esa superficie. De acuerdo con esos hallazgos, una organización entonces puede decidir cuáles son los controles que deben implementarse.
- La fase de puntuación estima el nivel potencial de riesgo y daño para cada vulnerabilidad identificada, incluyendo la posibilidad de que esa vulnerabilidad sea explotada, cuál sería su impacto y qué tan difícil sería remediar un ataque exitoso, entra otras cosas.
- Las puntuaciones de riesgo cibernético también toman en cuenta la inteligencia global de amenazas (ya sea propietaria o abierta), los ratings de seguridad y la inteligencia sobre los conocimientos de los cibercriminales sobre vulnerabilidades específicas, la dificultad de explotarlas, la frecuencia en que las explotan y otra información relevante.
Existen muchos métodos para calcular las puntuaciones de riesgo cibernético, incluyendo un framework sugerido por NIST y el modelo FAIR mencionado anteriormente.
Tanto la puntuación de riesgos cibernéticos como CRQ son un gran apoyo a la gestión de la exposición a riesgos cibernéticos, y ambos involucran pasos similares de descubrimiento y evaluación para proactivamente identificar, evaluar y priorizar los riesgos.
Alternativas a CRQ
CRQ es bastante reciente. Muchas organizaciones aún siguen modelos de gestión de riesgos basados en cumplimiento como el Cybersecurity Framework (CSF) de NIST. Con un enfoque basado en el cumplimiento, la prioridad es mantener el cumplimiento con las normativas. Las herramientas de CRQ, por otra parte, se enfocan en asignar números a los riesgos cibernéticos. Es altamente probable que combinar ambos resulte en mejores resultados de ciberseguridad, en el contexto de una estrategia general de gestión de exposición al riesgo cibernético que esté basada en una gestión vigilante de la superficie de ataque.
¿Cómo implementar CRQ?
La cuantificación de riesgos cibernéticos es un componente clave de la gestión en general de la exposición a riesgos cibernéticos. La implementación de CRQ requiere de una buena colaboración y coordinación entre los equipos de ciberseguridad y los líderes de negocio, incluyendo tener expectativas y puntos de contacto claros, una comunicación abierta y procesos bien definidos.
Las organizaciones deben escoger un modelo de CRQ (ya sea FAIR o algún otro enfoque), y adoptar herramientas de CRQ para soportar los tipos de simulaciones y cálculos que requieren. Estas herramientas deberían integrarse a una plataforma general de ciberseguridad que pueda brindar todo el contexto necesario para tomar decisiones informadas sobre los riesgos cibernéticos y su prioridad relativa.
Específicamente, eso significa una plataforma capaz de abordar todas las fases de la gestión de la exposición a riesgos cibernéticos: descubrimiento, evaluación y mitigación. La plataforma debería de incluir tecnologías de operaciones de seguridad como SIEM (Security Information and Event Management), EDR (Endpoint Detection and Response) y/o XDR (Extended Detection and Response) para lograr una mitigación de amenazas rápida y efectiva. XDR también es una fuente crucial de información, analíticos e integraciones.
Para minizar el riesgo a largo plazo y fortificar la postura de seguridad de la organización, las estrategias de zero trust también son un complemento importante para CRQ. Zero trust aplica el principio del menor privilegio a cada aspecto del ambiente de TI. Como su nombre lo sugiere, nunca se asume un grado de confianza, y se controlan fuertemente los permisos de forma que incluso los usuarios autorizados solamente tienen acceso dónde y cuándo lo necesitan directamente.
¿Dónde puedo obtener ayuda con CRQ?
Trend Vision One™ puede apoyar sus iniciativas para la implementación de prácticas de CRQ con su solución de Cyber Risk Exposure Management, la cual ayuda a las organizaciones a cuantificar y comunicar el riesgo cibernético en términos relevantes para el negocio.
Esto es posible con el enfoque revolucionario de Trend Vision One que combina capacidades clave como External Attack Surface Management (EASM), Cyber Asset Attack Surface Management (CAASM), gestión de vulnerabilidades y gestión de la postura de seguridad a través de nubes, datos, identidades, APIs, IA, cumplimiento y aplicaciones SaaS en una solución poderosa, pero fácil de usar. Le da las herramientas que necesita para proteger su negocio proactivamente con control, claridad y confianza.
Conozca más sobre cómo Cyber Risk Exposure Management puede ayudarle con la cuantificación de riesgos cibernéticos.