Cómo un enfoque de ciberseguridad basado en riesgos puede ahorrar tiempo y dinero.
Escrito por Jake Olcott, vicepresidente de asuntos gubernamentales, BitSight
Si ha echado un vistazo a las columnas de opinión de las publicaciones de la industria de la seguridad, probablemente haya visto el término «basado en el riesgo» flotando, como en «ahora es el momento de un enfoque integral basado en el riesgo» o «un riesgo – El enfoque basado en la seguridad es clave para la alineación empresarial «.
Sin embargo, muchos de estos artículos no logran definir qué es exactamente un enfoque de la ciberseguridad basado en el riesgo. Y eso es un problema: sin una comprensión sólida de su significado, «basado en el riesgo» podría terminar siendo solo otra palabra de moda, y todos los beneficios que se supone que debe traer nunca se materializarán.
¿Qué es un enfoque de ciberseguridad basado en riesgos?
Si alguien le dice que su empresa adopta un enfoque de ciberseguridad basado en el riesgo, lo que quiere decir es que cuando se trata de tomar decisiones relacionadas con la seguridad, considera el riesgo por encima de todos los demás factores.
Los enfoques basados en el riesgo a menudo se presentan en oposición a los enfoques impulsados por el cumplimiento. Los equipos de seguridad basados en riesgos están más preocupados por reducir la exposición real de su organización al ciberataque y la violación de datos que por marcar casillas o aprobar auditorías (aunque esos siguen siendo objetivos valiosos).
Un enfoque de la ciberseguridad basado en el riesgo también es proactivo en lugar de reactivo. En lugar de centrarse en la respuesta a incidentes, es probable que un CIO de una organización que utilice este enfoque invierta mucho en pruebas, inteligencia de amenazas y prevención.
Finalmente, este enfoque es inherentemente realista. El objetivo de un programa de ciberseguridad basado en riesgos es una reducción significativa del riesgo, no un 100% de seguridad. Eso es importante, porque el primero permite a los CIO, CISO y miembros de la Junta tomar decisiones pragmáticas sobre el presupuesto y la asignación de recursos, mientras que el segundo no requiere escatimar gastos, incluso cuando las inversiones reciben rendimientos decrecientes.
¿Cómo es un enfoque de ciberseguridad basado en riesgos?
Un programa de seguridad que esté totalmente comprometido con el enfoque basado en riesgos necesariamente tendrá algunos elementos distintivos.
Monitoreo continuo
Los enfoques de la ciberseguridad basados en el riesgo se basan en un conocimiento preciso del riesgo. Por un lado, eso significa que la propia idea del riesgo debe basarse en hechos en lugar de opiniones, tendencias o titulares. Sin embargo, en el cambiante mundo de la seguridad informática, los datos también deben estar actualizados. Ahí es donde entra en juego el monitoreo continuo.
Este enfoque de seguridad no deja espacio para puntos ciegos. Eso significa que las evaluaciones de vulnerabilidad en un momento determinado y las pruebas de penetración que solo ocurren una o dos veces al año deben complementarse con otros tipos de evaluaciones que llenen los vacíos.
Las calificaciones de seguridad son una opción popular para monitorear continuamente el riesgo de ciberseguridad. Las calificaciones pueden proporcionar información sobre los sistemas comprometidos, la diligencia de seguridad, el comportamiento del usuario y otros factores que aumentan la exposición al riesgo de una organización. Estos conocimientos se sintetizan en un número representativo, actualizado diariamente, así como en las calificaciones de los vectores de riesgo individuales.
Investigaciones independientes muestran que las calificaciones de seguridad de BitSight se correlacionan con las violaciones de datos: las empresas con una calificación de seguridad de BitSight de 500 o menos tienen casi cinco veces más probabilidades de tener una violación que aquellas con una calificación de 700 o más.
Priorización
Un programa de ciberseguridad verdaderamente basado en el riesgo contará con un sistema para priorizar las necesidades de seguridad en función de sus niveles relativos de exposición al riesgo.
La priorización eficaz se basa en dos elementos clave: conocimiento de la amenaza y conocimiento del objetivo. Eso significa que un líder de seguridad que ejecuta un programa basado en riesgos debe mantener un conocimiento constante de las amenazas de ciberseguridad más recientes y urgentes que afectan a su empresa, industria y región, así como una comprensión profunda de los sistemas y datos que esas amenazas podrían afectar.
Con este conocimiento en la mano, un líder de seguridad puede determinar qué proyectos requieren la mayor cantidad de recursos en un momento dado. Por ejemplo, pueden decir con confianza que detener el trabajo en la implementación de software de gestión de incidentes automatizado a favor de la actualización de las credenciales de los usuarios y el acceso reducirá la exposición al riesgo de su organización.
La priorización también debe ser dinámica, basada en ciclos cortos en lugar de iniciativas mensuales o trimestrales. Por esta razón, la priorización depende en gran medida de herramientas de monitoreo continuo como las calificaciones de seguridad.
Benchmarking
Para obtener una verdadera comprensión del riesgo cibernético, no se puede evaluar su organización en el vacío. El riesgo es un término relativo y solo puede entenderse en relación con el desempeño histórico y el desempeño de pares, competidores e industrias.
Las calificaciones de seguridad se basan en información observable externamente, lo que significa que pueden usarse para evaluar cualquier organización, no solo la propia. Muchas organizaciones utilizan las calificaciones de seguridad para hacerse una idea del desempeño de la seguridad cibernética de sus competidores, los de mejor desempeño en su espacio y su industria en promedio. De hecho, estas relaciones están integradas en las propias calificaciones.
Este método de evaluación comparativa de ciberseguridad permite a los líderes de seguridad comprender cómo le está yendo a su organización en contexto. Por ejemplo, al utilizar una plataforma de clasificación de seguridad, un CISO puede ver que tiene una calificación «D» en el vector de riesgo de los servidores de malware y comprender de inmediato que su rendimiento es peor que el de otras organizaciones de su industria. También pueden buscar en una empresa específica, por ejemplo, una organización más grande y establecida, para ver qué áreas de su programa de ciberseguridad han recibido la mayor atención.
Cómo un enfoque de ciberseguridad basado en riesgos puede ahorrar tiempo y dinero
En comparación con las organizaciones impulsadas por el cumplimiento o las empresas idealistas que exigen un 100% de seguridad, una organización que utiliza un enfoque basado en el riesgo puede ahorrar una cantidad considerable de recursos.
Este enfoque puede ayudar a una organización a evaluar el ROI de sus proyectos de ciberseguridad y dejar de gastar en herramientas y sistemas que no generan valor. Muchas organizaciones han gastado millones en el mejor software de su clase, solo para ser violadas como resultado de un error del usuario o de un tercero mal preparado. Un enfoque basado en el riesgo puede ayudar a una empresa a evitar estos escenarios.
Además, este enfoque puede reducir la dependencia de una organización de costosos consultores de seguridad y grandes evaluaciones puntuales. Mediante el uso de herramientas para ayudar con la gestión del rendimiento de la seguridad, una empresa puede desarrollar las habilidades para evaluar y priorizar su programa de seguridad internamente, de forma continua.
Sin embargo, lo más importante es que este enfoque puede ser mejor para reducir las posibilidades de que una organización experimente una violación de datos. Con el costo total promedio de una violación de datos que alcanzó los $ 3.86 millones en 2018 ($ 148 por registro perdido o robado), eso podría significar la diferencia entre supervivencia y falla.