[05/06/2019] Todas las organizaciones que operan hoy en día se enfrentan a un aluvión de riesgos: desde ciberataques dirigidos a robar datos, hasta amenazas geopolíticas que podrían interrumpir las operaciones.
Sin embargo, los expertos en seguridad afirman que los ejecutivos de muchas organizaciones no saben cuáles son los riesgos específicos que más amenazan la supervivencia de sus negocios, cuáles los herirían y cuáles podrían causar meros problemas operativos.
Claro que las grandes empresas con jefes de riesgo y todo un departamento de riesgos, pueden identificar, clasificar, mitigar y monitorear los riesgos. Las organizaciones en industrias altamente reguladas también tienden a tener prácticas de gestión de riesgos muy maduras.
La mayoría de los demás, sin embargo, están mucho más abajo en la escala de madurez.
"La compañía media se ocupa del riesgo ad hoc. Se hace por instinto", señala Candy Alexander, una veterana ejecutiva de seguridad que ahora es presidenta de ISSA International, una asociación internacional sin fines de lucro para profesionales de la seguridad de la información.
Los hallazgos de la Asociación Nacional de Directores Corporativos (National Association of Corporate Directors, NACD) hablan de este punto, lo que indica un deseo general de entender mejor el riesgo.
En su informe 2019 Governance Outlook: Projections on Emerging Board Matters, la NACD encontró que el 82% de los encuestados en su encuesta anual de directores de empresas públicas, confiaban en la capacidad de la gerencia para abordar los riesgos conocidos; sin embargo, el 70% creía que necesitaban comprender mejor los riesgos y oportunidades que afectan el desempeño de la empresa.
Del mismo modo, los expertos en seguridad afirman que muchas organizaciones necesitan gestionar mejor los riesgos. Dicen que el proceso comienza con el conocimiento de los riesgos que los amenazan, y cuán significativos son esos riesgos para la capacidad de hacer negocios.
"El riesgo es algo que podría potencialmente introducir daños o un aspecto negativo en el negocio", anota Alexander. "Por lo tanto, debe saber que, si algo sucediera, qué impacto tendría en su organización. Necesita saber cuál es su tolerancia al riesgo, o dónde se posiciona, cuál es su umbral".
Alexander explica que cuando trabaja con compañías para establecer su tolerancia al riesgo, comienza por identificar los riesgos y luego clasificarlos en función del daño que causarían si se produjeran. Les pide que clasifiquen el impacto de los diferentes riesgos -de catastrófico a crítico, alto, medio y bajo.
Este conocimiento ayuda a establecer qué y cuánto puede tolerar una empresa para cada riesgo identificable.
Un componente crítico para la alineación estratégica
Establecer la tolerancia al riesgo del negocio es crítico porque permite a los CISOs, así como a otros ejecutivos, alinear sus esfuerzos con las necesidades del negocio -permitiéndoles así priorizar los recursos y enfocar los gastos, el personal y las actividades diarias en aquellas áreas donde los líderes de la organización tienen menos tolerancia al riesgo.
"Si no se define la tolerancia al riesgo, es difícil para la gerencia determinar cómo debe invertir en herramientas o recursos para asegurar la organización", señala Tichaona "Tich" Zororo, ejecutivo asesor de TI de Enterprise Governance of IT (Pty) Ltd. en Sudáfrica, y director de la junta directiva de ISACA, una asociación profesional internacional centrada en el gobierno de TI.
"Si [los líderes de las organizaciones] dicen: 'No podemos tolerar ningún ataque de ciberseguridad', eso le da al jefe de seguridad de la información la dirección en términos de hasta qué punto deben invertir en herramientas de seguridad y en las habilidades adecuadas para que la organización esté segura a toda costa. Pero si la organización dice que la empresa es al menos capaz de tolerar los ataques sin romper el negocio, eso también tiene un impacto en la forma en que el CISO debe invertir y dedicar tiempo a lo que se debe asegurar".
Propiedad de la tarea
Un paso importante que las organizaciones deben dar al establecer su tolerancia al riesgo es tener claro a quién pertenece esta tarea, dicen los expertos en seguridad.
"Las empresas deben decidir explícitamente quién toma las decisiones sobre el riesgo empresarial, pero eso a menudo no está establecido", anota Wendy Nather, jefa del equipo de Asesoría CISO en Duo Security, una unidad de negocios de Cisco.
Las compañías con una función de riesgo dedicada, donde hay un director de riesgo, ya han respondido a esa pregunta; pero esa es la excepción, no la regla.
Esa es una de las razones por la que muchas organizaciones que no son lo suficientemente grandes, no están maduras en sus prácticas de seguridad, o no lo están en industrias altamente reguladas. Los CISOs tienen la tarea de liderar los esfuerzos para establecer la tolerancia al riesgo del negocio.
Pero Nather dice que establecer la tolerancia al riesgo de la organización debe involucrar al equipo ejecutivo, y no simplemente dejar que el CISO lo haga solo.
Otros están de acuerdo.
"La organización es dueña del riesgo, porque el riesgo se basa en las decisiones que el negocio ha tomado a lo largo del tiempo. Por lo tanto, el CISO, el COO, el director general y el CIO deberían estar a cargo", añade Gary Hayslip, un veterano ejecutivo de seguridad de la información y TI, así como coautor de la CISO Desk Reference Guide.
Hayslip señala que recientemente trabajó en una empresa en la que, como director de Seguridad, trabajó junto con el director Financiero, el director de Operaciones y el Consejo General en un comité de riesgos que se encargó de tomar decisiones sobre la identificación y gestión de riesgos. Es un enfoque que recomienda que adopten otras organizaciones.
Identificar, clasificar el riesgo
Una vez que se determina la propiedad de la tarea, los expertos en seguridad aconsejan a los ejecutivos que identifiquen los tipos de problemas que podrían poner en peligro su capacidad para hacer negocios.
Esos problemas pueden ser puestos en cubos de riesgos, y luego divididos en escenarios más detallados. Por ejemplo, los ejecutivos podrían identificar las ciberamenazas como una categoría de riesgo, y luego identificar las brechas de datos y el malware como tipos específicos de riesgos dentro de la categoría. También podrían, como otro ejemplo, identificar los problemas geopolíticos como otro cubo de riesgo, y luego señalar que las interrupciones en el extranjero podrían interrumpir la cadena de suministro de la empresa. El cumplimiento de las regulaciones podría ser otro problema, con el incumplimiento de regulaciones federales específicas, e incurrir en multas como resultado de ello, un elemento más específico dentro de esa categoría de riesgo.
Los expertos recomiendan el uso de marcos de evaluación de riesgos, como los del NIST (Instituto Nacional de Estándares y Tecnología) o FAIR (Factor Analysis of Information Risk), o el uso de un consultor externo independiente para ayudar a identificar plenamente los riesgos que podrían perjudicar la capacidad de una organización para realizar su trabajo.
Manténgase enfocado en el impacto en el negocio
Los CISOs deben trabajar para asegurarse de que dichas evaluaciones, así como todo el proceso de establecer la gestión del riesgo de la organización, se centren en el negocio.
"Tenemos que traducir lo que estamos viendo -las amenazas y vulnerabilidades- de manera que filtre el ruido y presente el verdadero riesgo para la organización, de modo que puedan establecer su verdadera tolerancia al riesgo, y si estarían de acuerdo con las posibles consecuencias en caso de que algo ocurriera", señala Heather Engel, directora de estrategia de la empresa de gestión de riesgos cibernéticos Sera-Brynn.
Considere el enfoque de Alexander aquí. Ella dice que entrena a los ejecutivos y directores de una organización para entender lo que ellos ven como los componentes más críticos de su negocio. Ella les pregunta: "Si algo sucediera, ¿qué impacto tendría eso en su organización? ¿Sería catastrófico ese incidente y destruiría el negocio inmediatamente? ¿O cerraría la empresa en cuestión de semanas? ¿O podría la compañía recuperarse, o tal vez apenas verse afectada?”.
Aquí es donde Alexander clasifica los riesgos identificados de catastróficos a bajos, determinando la categoría en base a la severidad con la que la organización se vería perjudicada en caso de que ocurriera un riesgo en particular.
Cada organización debe llegar a sus propias conclusiones, ya que tendrán diferentes tolerancias al riesgo dependiendo de su propia cultura y objetivos únicos, así como de sus requisitos industriales y regulatorios.
Además, los expertos dicen que cada organización debería articular una gama de tolerancias al riesgo para reflejar su variado nivel de aguante para diferentes escenarios.
"Si se puede establecer el riesgo a nivel de sistema, entonces se puede decir que esta tolerancia al riesgo para este sistema es mayor, porque no es algo que necesitemos como función crítica para el negocio", explica Engel.
Asimismo, Hayslip dice que los ejecutivos deben evaluar y articular el impacto comercial de cada riesgo, entendiendo el tipo de daño que cada situación infligiría, usando el tiempo esperado para los objetivos de recuperación como una forma de juzgar el daño potencial.
"Ahora su riesgo es visible, ahora tiene que lidiar con él, lo que está dispuesto a aceptar, lo que puede mitigar, lo que necesita para deshacerse de él, lo que puede arreglar", indica.
Vincular la tolerancia al riesgo a la estrategia
Los expertos en seguridad están de acuerdo en que los ejecutivos que trabajan para establecer la tolerancia de su organización a los diversos riesgos a los que puede enfrentarse, deben tener en cuenta sus objetivos estratégicos a la hora de determinar la criticidad del impacto potencial de cada riesgo en el negocio.
Un hospital, por ejemplo, puede considerar una violación de datos como un riesgo significativo para el que tiene una baja tolerancia, pero debería valorar más el acceso clínico a los datos de los pacientes para garantizar que no se obstaculice la atención que salva vidas.
Los ejecutivos deben considerar los costos de mitigación al evaluar los riesgos y determinar su tolerancia a ellos, indica Nather. Podrían determinar que, para algunos riesgos, es más barato lidiar con las consecuencias del problema si realmente ocurre, que implementar tecnologías o políticas para reducir las probabilidades de que ocurra. No tiene sentido gastar un millón de dólares para mitigar un problema que cuesta la mitad de lo que cuesta arreglarlo después del hecho, agrega.
Zororo dice que es por eso que las organizaciones deben establecer su tolerancia al riesgo cuando crean su visión estratégica.
"La tolerancia al riesgo debe establecerse al definir los objetivos estratégicos, que la mayoría de las organizaciones establecen cada tres o cinco años", anota.
Sin embargo, él y otros aconsejan a las organizaciones que, para asegurarse de que se mantienen en el buen camino, examinen su tolerancia al riesgo con mayor frecuencia, a medida que surgen nuevos riesgos y cambian los riesgos antiguos.
Del mismo modo que muchas empresas reevalúan los objetivos estratégicos con mayor frecuencia que en el pasado para mantenerse al día con la dinámica cambiante, los líderes de las organizaciones deben confirmar que están concentrando sus esfuerzos de mitigación en las áreas donde la tolerancia al riesgo es menor.
"Un buen CISO mantendrá esa conversación informando sobre la mitigación de riesgos, y luego comenzará a hacer autoevaluaciones y a articular la postura de seguridad de la organización basada en las decisiones de tolerancia al riesgo", anota Alexander.
Mary K. Pratt, CSO (EE.UU.)