La puntuación de riesgos cibernéticos es una forma de cuantificar los riesgos de ciberseguridad de forma que las organizaciones puedan tomar decisiones objetivas e informadas empíricamente sobre cómo defenderse y cómo reducir su superficie de ataque.
La puntuación de riesgos cibernéticos es un componente importante de cualquier framework de gestión de riesgos cibernéticos. Habilita un entendimiento compartido y objetivo de los riesgos relativos asociados con los activos de TI y las tecnologías digitales para que se puedan tomar decisiones prácticas sobre cuáles tienen mayor prioridad.
La habilidad de darle seguimiento a las puntuaciones de ciberriesgo a lo largo del tiempo permite que las organizaciones puedan establecer una línea base y monitorear su postura de seguridad.
Las puntuaciones de riesgos cibernéticos se aplican a la superficie de ataque entera, incluyendo los activos, datos, sistemas y recursos de TI tanto internos como externos.
De forma similar a la cuantificación de riesgos cibernéticos (CRQ), la puntuación de riesgos cibernéticos está relacionada con las primeras dos etapas de la gestión de la superficie de ataque: descubrimiento y evaluación.
Específicamente, involucra un proceso de dos pasos de perfilar el riesgo (determinar cuáles son los riesgos relevantes y cuáles son los controles necesarios para gestionarlos), y entonces asignar puntuaciones a cada riesgo de acuerdo con su urgencia relativa y su severidad potencial.
¿Qué son los riesgos cibernéticos?
De acuerdo con el National Institute of Standards and Technology (NIST) el ciberriesgo se define de una o ambas de estas formas:
- “El riesgo de depender de recursos cibernéticos (es decir, el riesgo de depender de un sistema o elementos de un sistema que existen en o que intermitentemente tienen una presencia en el ciberespacio).”
- “El riesgo de pérdidas financieras, disrupción operativa o daños resultantes de la falla de las tecnologías digitales empleadas para funciones informativas y/u operativas que han sido introducidas a un sistema de manufactura por medios electrónicos como resultado del acceso, uso, revelación, disrupción, modificación o destrucción no autorizados del sistema de manufactura.”
Ambas definiciones aplican a la necesidad de las organizaciones para adoptar e implementar un framework proactivo de gestión de la exposición al riesgo cibernético.
¿Por qué importa puntuar los riesgos cibernéticos?
Como un componente de la gestión de la exposición a riesgos cibernéticos, la puntuación de riesgos brinda una claridad objetiva y medible sobre cuáles son los riesgos que representan una mayor amenaza a la organización. Esto ayuda a informar las acciones e inversiones de ciberseguridad.
Al igual que CRQ, la puntuación de riesgos cibernéticos brinda una forma de hablar sobre riesgo que puede ser entendida tanto por los profesionales de seguridad como por los líderes de negocio. De esta forma, es un soporte de gran importancia para el monitoreo del desempeño social, ambiental, de gobernanza y/o de responsabilidad social corporativa de las organizaciones.
Es cada vez más común que las puntuaciones de riesgo se usen como un factor para determinar si una organización es candidata a recibir un seguro cibernético o no. También podrían usarse para evaluar las fusiones y adquisiciones de empresas, en la gestión de las cadenas de suministro y en otras áreas de operaciones del negocio.
Cyber risk scoring vs. CRQ
La puntuación de riesgos cibernéticos y la CRQ realizan funciones similares, pero, para ponerlo en los términos más simples posible, una es cualitativa y la otra es cuantitativa. Ambas presentan los riesgos de ciberseguridad de forma empírica y objetiva para informar las decisiones estratégicas.
Aunque la puntuación de riesgos cibernéticos asigna un número a cada riesgo y después tabula una puntuación general de riesgo para la organización, CRQ calcula además el valor monetario potencial de los incidentes de ciberseguridad, es decir, lo que una brecha, hackeo o robo de información podría costarle a la empresa. Esos costos podrían incluir pérdidas financieras (ingresos, downtime, multas, demandas), pérdidas competitivas (como la participación de mercado), daños a la reputación, pérdida de clientes y otros daños.
La CRQ calcula la probabilidad de un ataque y la expresa como un porcentaje. Por ejemplo, el correo electrónico del CEO de una empresa de servicios financieros podría tener una probabilidad 85% de un ataque de BEC, a comparación del gerente de la cafetería de la empresa que sólo tendría un 12%. La probabilidad se determina de forma estadística, usando simulaciones basadas en modelos (por ejemplo, simulaciones Monte Carlo), y usualmente se calcula para un periodo de tiempo en específico, como un trimestre o un año calendario.
Tanto la puntuación de riesgos cibernéticos como la CRQ funcionan como apoyo a una buena gestión del riesgo cibernético, y ambas incluyen pasos similares de descubrimiento y evaluación para identificar, evaluar y priorizar los riesgos.
¿Cómo funciona la puntuación de riesgos cibernéticos?
Como se ha mencionado anteriormente, existen dos partes principales para la puntuación de riesgos cibernéticos:
- Perfilamiento de riesgos
- Puntuación de riesgos
El paso de perfilamiento depende de que los procesos de descubrimiento y evaluación sean lo suficientemente robustos para definir la superficie de ataque en general de una organización, y que sean capaces de identificar riesgos y vulnerabilidades en toda la superficie. De acuerdo con esas determinaciones, una organización puede entonces decidir cuáles son los controles que deben de implementarse.
El paso de puntuación estima el nivel potencial de riesgo y de daño para cada vulnerabilidad identificada, incluyendo la probabilidad de que esa vulnerabilidad se vea explotada, el alcance de su impacto potencial, la dificultad para remediarla en caso de un ataque exitoso y más.
Las puntuaciones de riesgo cibernético tambíen deben de tomar en cuenta la inteligencia global de amenazas (ya sea propietaria o abierta), calificaciones de seguridad públicas y la inteligencia sobre el conocimiento de los actores maliciosos de vulnerabilidades específicas, la frecuencia de los exploits y otros puntos relevantes.
Las puntuaciones individuales de riesgo cibernético entonces se analizan para llegar a una puntuación general de riesgo cibernético para la organización entera.
¿Cómo contribuyen las puntuaciones de riesgos cibernéticos a la gestión de la superficie de ataque?
Attack Surface Management (ASM) es un enfoque de seguridad que ayuda a las organizaciones a fortalecer su defender sus datos y sistemas incrementando la visibilidad de las amenazas. Se trata de saber dónde se encuentran los riesgos, comprender su severidad relativa y tomar acciones para cerrar las brechas de seguridad relacionadas con las personas, los procesos y la tecnología.
Como tal, la puntuación de riesgos cibernéticos se relaciona con las primeras dos etapas de ASM: descubrimiento y evaluación.
El proceso de descubrimiento de ASM le brinda a la organización visibilidad de todos los ciberriesgos potenciales que enfrenta. Ese contexto es necesario para una puntuación precisa y completa de los riesgos cibernéticos, ya que brinda un panorama completo de la superficie de ataque empresarial.
La puntuación de riesgos cibernéticos contribuye a la fase de evaluación de ASM al brindar una forma empírica y objetiva de indicar cuáles son los riesgos y vulnerabilidades que son más críticos y cuáles pueden abordarse en otro momento.
La puntuación de riesgos cibernéticos es un proceso continuo. Cuando las puntuaciones se actualizan constantemente, los equipos de seguridad y los líderes de negocio pueden ver cómo cambia el panorama general de riesgo: cuáles son los riesgos que cobran urgencia y cuáles han sido mitigados exitosamente.
Métodos para calcular puntuaciones de riesgos cibernéticos
Existen varios frameworks o métodos para el cálculo de puntuaciones de riesgos cibernéticos. La forma más sencilla es estimar la probabilidad de un ataque, asignarle un valor, y multiplicarlo por la severidad potencial del ataque para llegar a una puntuación final de riesgo.
El framework de National Institute of Standards and Technology (NIST)
NIST ofrece una solución de puntuación de riesgos cibernéticos que asigna categorías de seguridad a todos los componentes en un sistema y establece una línea base de controles de seguridad para cada una: alto, moderado o bajo. Se le asigna a cada control un valor inicial del 1 al 10 de acuerdo con su importancia relativa a la seguridad en general de la organización y a su postura de privacidad.
En el framework de NIST, el perfilamiento de riesgos ayuda a determinar el alcance necesario de los controles requeridos. Se le asigna un valor del 1 al 10 a factores como confidencialidad, integridad y disponibilidad (abreviado como “CIA” en inglés), y se aplican a los distintos controles de acuerdo con la criticidad de la información asociada.
También se considera la información histórica sobre brechas anteriores y eventos conocidos que han afectado a la industria/sector de la organización, entre otros elementos contextuales, para brindar una puntuación predictiva que indica de forma precisa el riesgo potencial de incidentes futuros.
Otros enfoques
Otros métodos para calcular las puntuaciones de riesgos cibernéticos incluyen:
- El Análisis Factorial del Riesgo de la Información (FAIR) se utiliza típicamente para la puntuación de riesgos cibernéticos, como con CRQ. Parte del método FAIR es desglosar los riesgos en subcomponentes para obtener un mayor nivel de detalle.
- Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) se enfoca, como su nombre lo sugiere, en las operaciones de negocio, calculando el riesgo de acuerdo con amenazas específicas a los activos y vulnerabilidades específicas a la infraestructura.
- ISO/IEC 27005 ofrece una guía para la gestión de los riesgos de seguridad relacionada con la definición del contexto de la gestión de riesgos; identificar y evaluar los riesgos (incluyendo la probabilidad de un ataque), y medidas de mitigación (“planes de tratamiento de riesgo”).
Otro factor que contribuye a la puntuación de riesgos es el CVSS (Common Vulnerability Scoring System). CVSS no hace el trabajo completo de puntuar los riesgos, pero brinda una forma útil de puntuar la severidad potencial de las vulnerabilidades identificadas en el software. Esos rankings pueden usarse como parte del cálculo general de la puntuación de los riesgos.
¿Quién nos puede ayudar con la puntuación de riesgos cibernéticos?
Trend Micro desarrolló el Cyber Risk Index (CRI) en conjunto con el Ponemon Institute para ayudar a las organizaciones a determinar sus niveles de riesgo y dónde podrían existir brechas en su ciberseguridad. El CRI asigna una puntuación de riesgo a las organizaciones de acuerdo con una evaluación integral de las categorías y factores de riesgo. La puntuación incorpora los eventos de riesgo que impactan a una gran variedad de activos, incluyendo usuarios, aplicaciones, dominios y direcciónes en contacto con el internet, y activos basados en la nube.
La evaluación del CRI se basa en las fuentes conectadas de datos para evaluar cómo los factores de riesgo afectan el ambiente específico de una organización. Entre más fuentes de datos puedan incorporarse, el resultado del CRI será más completo.
El CRI se actualiza automáticamente cada pocas horas, y los cambios a los estatus de los eventos de riesgo se reflejan hasta una hora después. Las organizaciones pueden volver a calcular manualmente su CRI simplemente haciendo click en el botón de Recalcular. Use la calculadora de CRI disponible aquí para determinar la puntuación de riesgo de su organización.
Trend Vision One™ ofrece una solución de Cyber Risk and Exposure Management (CREM) que asegura que las organizaciones pueden proactivamente descubrir, evaluar, acceder y mitigar los riesgos para reducir su riesgo cibernético. CREM toma un enfoque revolucionario que combina capacidades clave como External Attack Surface Management (EASM), Cyber Asset Attack Surface Management (CAASM), gestión de vulnerabilidades y gestión de la postura de seguridad a través de nubes, datos, identidades, APIs, IA, cumplimiento y aplicaciones SaaS en una solución poderosa, pero fácil de usar. No se trata solamente de la gestión de amenazas, se trata de crear una verdadera resiliencia cibernética.
Conozca más sobre cómo Cyber Risk Exposure Management puede ayudarle a crear una verdadera resiliencia cibernética.