La inversión en ciberseguridad siempre estará ligada directamente al contexto empresarial. Por lo tanto, el riesgo cibernético es un riesgo empresarial.
Así lo aseguró Jie Zhang, VP de Análisis de la consultora Gartner, durante una videoconferencia en la que expuso lo que le depara en un futuro próximo a la gestión de riesgo cibernético.
Riesgos cibernéticos
Expouso que la gestión de riesgos de ciberseguridad es un área de inversión clave de interés para las organizaciones.
“Para los líderes de gestión de riesgos y seguridad, es un desafío continuo evaluar continuamente el alcance cada vez mayor de los riesgos, así como mitigar los que pueden maximizar la protección y la innovación para el negocio”, comentó.
La consultora creó una suerte de modelo de gestión de riesgos cibernéticos para guiar a sus clientes con exactitud a la hora de afrontar algunos de los principales desafíos que plantea la digitalización.
Dinamismo y juicio cibernético
En primer lugar, se debe buscar el dinamismo.
“Se trata de cómo clasificar los riesgos mediante la aplicación de las mejores prácticas y la combinación de enfoques de análisis de riesgos cualitativos y cuantitativos”, explicó la experta.
La llamada “segunda D” hace referencia a las perturbaciones (disturbed).
“Hemos creado un concepto llamado juicio cibernético. Esto es para ayudar a escalara las decisiones de riesgo. Esa idea permite a los equipos de ciberseguridad conocidos tomar decisiones de riesgo independientes”, detalló.
Explicó que actualmente empresas y proveedores enfrentan una escasez de 3.4 millones de talentos y personal con habilidades en ciberseguridad.
Analisis de la inversión
La tercera D tiene que ver con ser defendible.
“Todas las organizaciones deberían medir y analizar realmente el rendimiento de su programa de ciberseguridad analizando cada inversión y cada proyecto que complete”, afirmó.
Por tanto, recomendó hacerse las siguientes preguntas al respecto:
- ¿Está realmente relacionado con el resultado de su negocio?
- ¿Se hace dentro del contexto empresarial?
“Hoy en día, cada dólar, cada euro, cada libra que gastas en ciberseguridad y gestión de riesgos tiene que estar directamente vinculado a los resultados empresariales. Y todo eso se basa en datos”, apuntó.
Construyendo una inteligencia contextual
Nombró al cuarto punto como data-dirven.
Todas las organizaciones han estado recopilando una gran cantidad de datos en las operaciones de ciberseguridad. Cada uno de ellos tiene un enorme significado, “pero imagine que puede combinar toda esa data y vincularla, por ejemplo, mediante controles. Eso le traerá una cantidad cada vez mayor de inteligencia contextual”.
Traducción: métricas útiles de forma individual que pueden ofrecer alertas casi en tiempo real, que se aceran al campo de la conciencia situacional.
Añadió que es todavía más importante pensar en la toma de decisiones.
“Cada vez más, la gestión del riesgo cibernético se está convirtiendo en una competencia clave para los líderes de TI y de seguridad porque no han podido encontrar el equilibrio entre la protección y la productividad”, agregó.
Un registro de riesgos con varios miles de entradas no le ayudará, sino que generará más complejidad que coherencia, sentenció.
Percepción y toma de decisiones
El último y quinto punto que detalló Jie Zhang es decision-enabling.
“Tengo la impresión de que las organizaciones están muy fatigadas con las herramientas que les ayudan hoy con sus tomas de decisiones”, indicó.
Dijo que son herramientas de análisis cualitativo y otras medidas, a las que frecuentemente no les tienen confianza y dudan si evalúan correctamente todo su horizonte de riesgo.
“A menudo tampoco pueden responder suficientemente a sus preguntas ejecutivas y, en mi opinión, la cuantificación ayuda, pero definitivamente no es la cura para todo. El riesgo se basa en la percepción”, aclaró.
Remarco que hoy se utiliza un modelado o simulación de amenazas basados en un algoritmo que todavía está muy limitado en cuanto al panorama de amenazas en constante evolución.
“Está sujeto a organizaciones de nicho y al contexto operativo interno. Por lo tanto, la gestión del riesgo cibernético, en muchos sentidos, sigue siendo una forma de arte más que una ciencia”, puntualizó.
¿Gestores o asesores?
De hecho, consideró que en la gran mayoría de los casos el término gestor de riesgos es posiblemente un nombre inapropiado.
“En su mayoría cumplen una función de asesoramiento. Por lo tanto, nuestro mantra es hacer un seguimiento y una mejora más continuos”, resaltó.
Pese a ese escenario, insistió en que invertir en seguridad siempre será una opción.
“Podemos optar por gastar más dinero para estar más seguros o podemos ahorrar algo de dinero para estar menos seguros. Cada quien decide sus prioridades”, remarco.