[30/11/2018] La gestión del riesgo empresarial es el proceso de evaluación de los riesgos para identificar tanto las amenazas al bienestar financiero de una empresa como las oportunidades en el mercado. El objetivo de un programa de ERM es comprender la tolerancia de una organización al riesgo con el fin de categorizarla y cuantificarla.
Cuando las empresas observan el riesgo de la empresa, el enfoque tradicional es revisar los riesgos financieros, los riesgos regulatorios y los riesgos operativos. ¿Qué sucede si el tipo de cambio cae y la tasa de interés aumenta, si los nuevos medicamentos no reciben la aprobación de la FDA o si su almacén principal se incendia?
Para hacer el cálculo, debe tomar el impacto potencial de un evento y multiplicarlo por las probabilidades de que suceda ese evento. Para eventos de bajo impacto, incluso una alta probabilidad de ocurrencia no afectará mucho la exposición al riesgo total de la compañía, mientras que, para eventos de alto impacto, incluso una baja probabilidad de ocurrencia es potencialmente devastadora.
Los riesgos planteados por el panorama de las amenazas a la ciberseguridad son cada vez más parte de la ecuación de la ERM, y eso plantea un desafío para los CISO y otros profesionales de seguridad de alto nivel. Cuantificar el impacto en el negocio de un evento de ciberseguridad es una tarea muy difícil, si no imposible, y cuantificar la probabilidad de tal evento es aún más difícil.
El proceso de gestión del riesgo empresarial
Algunas empresas lo están haciendo. En Aetna, por ejemplo, los riesgos a la ciberseguridad se consideran parte del riesgo operativo en el marco de la gestión de riesgo empresarial de la empresa. Estos riesgos son específicos y cuantitativos. De hecho, existe un puntaje de riesgo diario que se alimenta al sistema ERM.
El CSO, Jim Routh, no solo es responsable de este proceso, sino que también es miembro del comité de riesgos que proporciona la gestión del programa de ERM de Aetna. "La seguridad está creciendo en importancia para la gestión eficaz del riesgo operativo de la empresa”, afirma. "La alineación estrecha con los programas de gestión de crisis y ERM es esencial”.
No es suficiente cumplir los requisitos de cumplimiento regulatorio, agrega Routh. "La rápida evolución de las tácticas de los actores de las amenazas requiere una evolución constante del diseño y la efectividad del control”, afirma. "El cumplimiento normativo es esencial, pero insuficiente para lograr la capacidad de resiliencia empresarial”.
Centrarse en el impacto en el negocio es una forma diferente de pensar en la ciberseguridad, y requiere una mentalidad diferente a la de responder tácticamente a las amenazas de la ciberseguridad. La ciberseguridad solía tratarse principalmente de la prevención de ataques, y si se produjo una infiltración o no.
"Ahora, la mayoría de las organizaciones entienden que la ciberseguridad no es un problema que deba resolverse, sino un riesgo que debe gestionarse”, afirma Andrew Morrison, líder de defensa de estrategia y respuesta para servicios de riesgo cibernético en Deloitte & Touche. "La mayoría del mercado está acostumbrado al hecho de que ya no se trata sobre la posibilidad de que ocurra un ataque y cómo lo manejaremos. Eso conlleva una mentalidad totalmente diferente. Los riesgos, por naturaleza, pueden aceptarse, mitigarse o transferirse”, agregó.
Ahora, la mayoría de las organizaciones entienden que la ciberseguridad no es un problema que deba resolverse, sino un riesgo que debe gestionarse.
Frameworks de ERM
A menudo existe una desconexión entre el lenguaje de seguridad y el lenguaje de riesgo, y eso puede hacer que sea más difícil para un CSO desempeñar un papel significativo en la discusión de la gestión de los riesgos de la empresa. De hecho, muchos expertos en ciberseguridad se sienten frustrados cuando se les pregunta cómo cuantifican la reducción de riesgo asociada con estrategias de mitigación particulares, y en su lugar apuntan a informes de los medios sobre violaciones, marcos de ciberseguridad como NIST y FAIR, o métricas operativas cuando se les solicita validación.
En los frameworks de ERM, la palabra "riesgo” tiene un significado muy particular. Los líderes de ciberseguridad que surgen del lado técnico, como lo hace la mayoría, tienden a centrarse en cuestiones técnicas muy tácticas, en lugar de los impactos fundamentales. Por ejemplo, si una vulnerabilidad no está parchada, existe el riesgo de que los atacantes la aprovechen para robar datos.
Sin embargo, una descripción centrada en el negocio del mismo problema podría ser que parchar la vulnerabilidad reducirá la probabilidad de una violación a una base de datos particular que, si se expone, costará una cantidad particular de dinero en negocios perdidos, multas y gastos de remediación. Ahora, la compañía puede determinar si un plan de mitigación tendría sentido fundamental -o si la reducción del riesgo no es lo suficientemente significativa, o si la base de datos no es lo suficientemente crítica y sería mejor que la compañía gaste tiempo y dinero en otra parte.
Según algunos expertos, esto no es posible. "No existe una fórmula para calcular en qué medida la implementación de cada control reduce su riesgo”, afirma Matt McBride, vicepresidente ejecutivo para la transformación digital de Genesis10, que ayuda a las compañías a desarrollar planes para abordar problemas de ciberseguridad, como la administración de los parches.
En cambio, afirma McBride, ayuda a las empresas a priorizar los riesgos en función de cuáles son las mayores amenazas. "Pero no estamos midiendo el cambio específico en el riesgo en función de la implementación de una herramienta o aplicación en particular. Podemos hablar de trasladar una organización desde una postura de alto riesgo a una de riesgo medio y desde riesgo medio a una postura de bajo riesgo”.
Sin embargo, ningún framework de ciberseguridad cuantificará el valor económico resultante, afirma McBride. "En mi experiencia, las empresas no hablan de un valor particular para reducir el riesgo”.
En lugar de hablar de los riesgos fundamentales, los profesionales de ciberseguridad a menudo intentan vender una historia a su directorio para justificar los presupuestos. "Quedan atrapados hablando de FUD”, afirma Brian Reed, analista de Gartner, Inc. "Todo el mundo sabe que existen historias de terror que lo asustarán”.
Es hora de dejar de asustar a la gente ya asustada, afirma Reed. "El segundo problema es cuando los tecnólogos de ciberseguridad se ponen en frente de los miembros del directorio y la alta gerencia, y se centran en una gran cantidad de excentricidades interesantes”, afirma. "Es una falta de comunicación entre la gente técnica y la gente de negocios. Es el mismo problema que siempre hemos tenido. Las personas de negocios no entienden los problemas de tecnología, y las personas de la tecnología no saben cómo demostrar el valor de negocio”.
Entonces, por ejemplo, un CSO que se dirige a la alta gerencia para hablar sobre presupuestos, podría recurrir a titulares de noticias a modo de muleta -como una gran vulnerabilidad nueva que afectó a otras compañías- con el fin de crear una oportunidad para profundizar en detalles técnicos y generar cierto impacto emocional. "¿Pasó algo en las noticias?”, pregunta Matt Wilson, asesor principal de Seguridad de la Información en la firma de consultoría con sede en Pensilvania, BTB Security. "¿Hizo que la gente nos atacara más?”.
Si intentan ponerle un número relacionado con el riesgo, es muy subjetivo, afirma Wilson. "Pondrán algunas pautas sobre lo que significa cada número, pero se inventan honestamente cuando las personas lo califican. No es como las transacciones financieras, donde pueden calcular el porcentaje de fraude, una métrica bastante sencilla que se ha ido perfeccionando a lo largo de más de sesenta años”.
Dion Lisle, director de One World Identity, firma consultora de ciberseguridad con sede en San Francisco, afirma que aún no ha conocido a nadie que haya resuelto el problema de calcular el riesgo de ciberseguridad. "La mayoría de los frameworks de ERM se construyen alrededor de los problemas conocidos”, agrega. "No existen problemas conocidos en este campo. Todos los eventos han sido sin precedentes. ¿Cómo se calcula el riesgo sin precedentes?”.
En cambio, los CSO se centran en cuestiones operativas, como la reducción de los costos, afirma. Cuando llega el momento de evaluar el riesgo o de juzgar la eficacia de sus programas de seguridad, recurren a las anécdotas. "Target tuvo una filtración, tal y tal también tuvieron una, cincuenta millones de usuarios han sido expuestos en Facebook”, afirma Lisle. "Pero, hasta ahora, nadie es capaz de decir: 'Esto es un riesgo de cuarenta millones de dólares y quiero diez millones de dólares para solucionarlo'. No he escuchado esa conversación de nadie que conozca. No existen suficientes puntos de datos para calcularla”, añade.
Se requerirá cambiar de una mentalidad táctica a una estratégica, afirma, y una mayor cooperación entre los expertos actuariales financieros y los tecnólogos, afirma Lisle. "Creo que es una nueva disciplina, donde TI y finanzas necesitan reunirse y coordinarse”.
Cuantificar el riesgo de la ciberseguridad es una ciencia incierta
Wilson y Lisle no son los únicos que dicen que es demasiado pronto para poner cifras difíciles sobre los riesgos de ciberseguridad. "Incluso los actores realmente grandes de seguros en este momento no están promoviendo ampliamente las pólizas de seguros cibernéticos”, afirma Nathan Wenzler, jefe estratega de seguridad de AsTech. "Existen y están adquiriendo popularidad, pero no existen datos actuariales estáticos que sean consistentes en todos los ámbitos”.
¿Qué pasa con las proveedoras que prometen tarjetas de puntuación para los riesgos? "En mi opinión, se trata básicamente de una exageración”, afirma Wenzler. "Las proveedoras que promocionan sus tarjetas no suelen hablar sobre el hecho de que lleva mucho tiempo determinar los factores de riesgo, clasificar, organizar y documentar todos los activos para que luego pueda incorporarlos a uno de estos sistemas”.
La inteligencia artificial (IA) y el aprendizaje automático pueden ayudar, pero aún se requiere un análisis humano para tomar las decisiones finales -y eso es bastante trabajo duro. Sin embargo, para algunas empresas, el esfuerzo da sus frutos. "Algunas compañías han atravesado e identificado niveles de criticidad para todas sus unidades de negocios y datos, y están en una mejor posición para obtener informes automáticos con el fin de tener una consola de información unificada sobre sus riesgos”, afirma Wenzler. "Pero si quiere esa visibilidad, es una tonelada de trabajo. Soy consultor de varias compañías en este tipo de cosas, y la mayoría no lo ha hecho”.
Según Wenzler, para generar puntuaciones y métricas útiles, las empresas deben clasificar todos los activos, incluidos los datos y los roles que desempeñan en la empresa, y la importancia de esas funciones comerciales y esos datos. "Si ha hecho todo ese trabajo de recopilación, y ha reunido toda esa información, puede ponerla en su sistema de ERM para reducir todos esos datos y darle una tarjeta de puntuación”.
Se les pide a cada vez más CSO que hagan precisamente eso, afirma Jon Oltsik, analista principal senior de Enterprise Strategy Group. "Está ocurriendo una transición”. Los números del riesgo son estimaciones, y es difícil obtener los datos correctos y hacer las evaluaciones correctas, afirma, pero los CSO están descubriendo cómo hacerlo. "Eso es lo que la gente de negocios quiere ver”, agrega.
La ciberseguridad tiene algunos desafíos específicos, como los riesgos de terceros y los eventos anómalos, pero eso también ocurre en otras áreas de los negocios, afirma Jim Reavis, CEO de Cloud Security Alliance. "Probablemente existe un grado en el que es más impredecible”, afirma. "Pero tenemos una gran cantidad de datos, y muchas organizaciones están enfocadas en eso”.
El crecimiento del sector de los ciberseguros es un ejemplo de cómo se calcula el riesgo de la ciberseguridad, afirma Michael Jordan, director senior de Santa Fe Group, firma de consultoría que ayuda a las empresas a evaluar a proveedoras externas. "Tienen una idea bastante buena de lo que están dispuestos a asegurar, y de las medidas de seguridad que requieren para que usted tenga una póliza”, afirma. También existen proveedoras que medirán el riesgo de una empresa desde el exterior, en busca de sistemas expuestos y firmas de evaluación que realizarán auditorías de ciberseguridad. "Se está volviendo menos arte, y más ciencia”, afirma.
Cómo calcular el impacto de un evento de ciberseguridad
El impacto en el negocio es la primera mitad de la ecuación de riesgo de ciberseguridad y puede ser la parte más fácil, especialmente para las grandes empresas. "En las compañías de Fortune 500, generalmente se cuenta con programas de ERM ya implementados”, afirma John Pescatore, director de tendencias emergentes en el SANS Institute. "Es un punto de partida clave. El enfoque de negocios en el riesgo generalmente está bastante bien establecido para cualquier compañía que haya estado en el negocio por un tiempo”.
Sin embargo, los aspectos de la ciberseguridad podrían no ser los establecidos, agrega Pescatore, y ésta es un área donde los CSO necesitarán trabajar en conjunto con las unidades de negocios. Por ejemplo, él afirma que FedEx está acostumbrada a planificar los riesgos de interrupciones que ocurren alrededor de Navidad, porque es una temporada muy ocupada para la compañía de envíos. En el 2017, sin embargo, un ataque de ransomware golpeó en junio e hizo un daño estimado de trescientos millones de dólares. "Eso les pasó a ellos”, agrega. "Pero no estaban acostumbrados a pensar en eso”.
Las industrias reguladas tienen marcos de cumplimiento regulatorio que pueden ayudar a identificar áreas donde los ataques de ciberseguridad podrían tener un impacto, como PCI en la industria minorista, HIPAA en los servicios de salud y los diversos marcos que se aplican a las firmas financieras, las empresas que cotizan en bolsa y los contratistas gubernamentales, pero son solo un punto de partida, afirma Pescatore.
Tome al PCI como ejemplo. El Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago se centra en proteger la información de las tarjetas de crédito. Un ataque de ransomware que desactiva las cajas registradoras en línea puede no implicar una violación de datos; pero aun así, puede causarle a la empresa un problema financiero importante. "No sería un problema de PCI porque no hay datos expuestos, pero las ventas disminuirían, las líneas se alargarían y sería un gran impacto financiero”, afirma Pescatore.
Identificar el proceso comercial crítico que puede verse afectado por los eventos de ciberseguridad es un trabajo vital, pero muchos no lo hacen bien, afirma Pescatore. "Muchos CSO no tienen suficiente conocimiento acerca de lo que es crítico para el negocio y no han tenido éxito en esto”.
Cómo calcular la probabilidad de un evento de ciberseguridad
Sin embargo, el cálculo del impacto potencial de un incidente aborda solo la mitad de la ecuación de riesgo. Calcular la probabilidad de un incidente es una tarea igualmente difícil.
Sovos Compliance, que ayuda a las empresas con sus impuestos y requisitos de cumplimiento, ha abordado este problema con un enfoque externo. El CSO, John Strasser, llegó a la compañía hace cinco años específicamente para establecer un programa de seguridad de la información para toda la compañía, y el proceso de seguridad de la información ERM en realidad ha allanado el camino para el resto de la compañía, afirma.
Es posible calcular el riesgo de que una vulnerabilidad particular, u otro problema de seguridad, vayan a causarle daños a la compañía, afirma Strasser. "Lo digo definitivamente, pero también con un poco de comprensión de que hay un nivel de acuerdo de observación y cualitativo que la empresa tiene que usar”.
Strasser se sienta con el CEO y CTO de la compañía al menos una vez al año, y determina los valores de riesgo tanto para el impacto como para la probabilidad de eventos de ciberseguridad. "Desde allí, puede realizar todo tipo de cálculos”, afirma. "Puede convertir eso en métricas específicas que reducen las puntuaciones reales de riesgo, por lo que puede hacer un seguimiento de su postura general de riesgo con el tiempo. Ayuda a proporcionar mucha claridad en las acciones que toma”.
La primera mitad del cálculo del riesgo, el impacto, se basa en los costos directos e indirectos de un evento para la empresa, como la pérdida de un centro de datos o un conjunto de datos. Luego, para calcular la probabilidad de un evento, existe una combinación de datos públicos, entradas internas y pruebas externas. Por ejemplo, con un centro de datos, una empresa puede ver información pública disponible sobre la frecuencia con la que ocurren los terremotos y los incendios.
Es más difícil encontrar esos datos para los ciberataques. Para obtener estos números, Sovos utiliza probadores de penetración de terceros para juzgar qué tan fácil es para alguien entrar en los sistemas: cuanto más tiempo lleva y cuanto mayor es el nivel de habilidad requerido, menor es la probabilidad de que un ataque tenga éxito.
"No creo que alguien tenga una solución mágica para juzgar correctamente la eficacia de los controles”, afirma Strasser. "Lo que nos queda es la prueba continua de los controles, el escaneo de vulnerabilidades y pruebas avanzadas de penetración y del tipo 'equipo rojo - equipo azul'”.
¿Cuándo pueden los directorios dejar de preocuparse por los ciberataques?
Los riesgos de seguridad cibernética son frustrantes para las juntas directivas, afirma Dan Kinsella, socio de Deloitte Risk and Financial Advisory. "Hablo con los directorios a menudo sobre el tema”, afirma.
En el pasado, un riesgo surgía ante el directorio y la compañía proponía un plan para lidiar con éste, y eso era todo. "Los temas han sido abordados y el directorio nunca tiene que volver a hablar de ellos”. Por ejemplo, si existe un riesgo de incendio, una empresa puede decidir instalar rociadores y comprar un seguro contra incendios. Luego, a menos que algo cambie, el directorio puede pasar a otros temas, afirma. "¿Estamos bien? Estamos bien, gracias. Ese no es el caso del ciberriesgo”.
De hecho, no solo el panorama de amenazas a la ciberseguridad está evolucionando continuamente, sino que la tecnología está impregnando todos los aspectos del negocio a un ritmo cada vez mayor. Cada empresa ahora es una ciberempresa, y cada proceso de negocio tiene un componente cibernético.
"El ciberriesgo está aquí para quedarse”, afirma. "No está dejando la mesa. En la película The Matrix, usted tiene la píldora roja y la píldora azul. La matriz es real. Tenemos todo este otro mundo. Es un dominio de riesgo increíblemente amplio y diverso, y está aquí para quedarse”, anota Kinsella.
Maria Korolov, CSO (EE.UU.)