Addictware | Noticias de Tecnología - Olvide la gestión del riesgo, siga el dinero

Los numerosos ataques cibernéticos exitosos reportados a menudo son una prueba de que algo no está funcionando, a pesar de los continuos esfuerzos en gestión de riesgos y aplicación de controles.

Leonardo CarissimiUna gobernanza de riesgos adecuada es fundamental en muchos ámbitos de nuestra sociedad. Además de la seguridad cibernética, que es nuestro tema de interés en este texto, la gestión de riesgos es crucial para la administración de proyectos en diversas áreas como finanzas, medio ambiente y salud. Poniendo en términos simples, el mundo es mejor con ella que sin ella.

Pero seamos honestos: la gestión de riesgos es un sistema que busca hacer frente a una realidad compleja, un blanco móvil en constante transformación. De eso resultan algunas limitaciones, y el modelo puede inducirnos a error al darnos una falsa sensación de comodidad y seguridad. Los numerosos ataques cibernéticos exitosos reportados a menudo son una prueba de que algo no está funcionando, a pesar de los continuos esfuerzos en gestión de riesgos y aplicación de controles.

Una de las limitaciones históricas que se destacan es la subjetividad de los muchos factores considerados en los análisis. El corazón del análisis está en el entendimiento de que el riesgo surge de la probabilidad de ocurrencia de un incidente de seguridad (que a su vez, depende de que una amenaza explote una vulnerabilidad) y del impacto o consecuencia del incidente. Es decir, para cada amenaza potencial, además de entender el nivel de exposición (vulnerabilidad), se requiere estimar la probabilidad de que la amenaza va a concretizarse y crear un incidente. Después de eso, es necesario estimar el impacto del evento. En este sistema, un pequeño cambio en las premisas de la probabilidad y del impacto ya es motivo para reaccionar rápidamente hacia arriba o abajo, afectando la credibilidad de todo el modelo.

Así, utilizar datos cuantitativos, como la probabilidad porcentual de que un incidente ocurra y métricas económicas de impacto de ataques exitosos, se ha convertido en complicada e imprecisa. Para mitigar este problema, la mayoría absoluta de los análisis de riesgos empleados actualmente utiliza un modelo cualitativo, en que las probabilidades y los impactos son graduados en niveles "muy alto", "alto", "medio" y "bajo" o "verde", "amarillo" y " rojo ", por ejemplo. Lo que pasa es que el uso de parámetros cualitativos, además de agregar la imprecisión resultante de la propia subjetividad utilizada, hace impracticable la comunicación entre el administrador de seguridad y la empresa.

Imagínese justificando una solicitud de aumento de presupuesto para seguridad de $ 4 millones este año, argumentando que ello va a permitir la ejecución de proyectos que reducirán el nivel de riesgo de "rojo" a "amarillo". Después de todo, ¿qué significa eso para un director financiero o director ejecutivo?

Este escenario indefinido nos lleva a pensar: ¿hay un camino para un análisis inteligente y eficaz?

Afortunadamente, hoy en día, con el avance de las tecnologías de análisis de datos masivos (Big Data Analytics), hay una luz al final del túnel. Un enfoque innovador ya está disponible con metodología de análisis y gestión de riesgos cuantitativa que pretende medir precisamente e informar el nivel de riesgo con la experiencia de bases de datos de incidentes de seguridad ocurridos en los últimos años. Estas bases de datos orientan de manera muy precisa la identificación de las probabilidades y de los impactos, eliminando la subjetividad de la ecuación.

Así, surgen mediciones operacionales objetivas, como: "si el proyecto es implementado, representará una reducción de $ 8,3 millones en pérdidas esperadas de incidentes de esa naturaleza" o "el retorno de la inversión en el proyecto será de 32% después de 18 meses" o "la contribución de este proyecto para aumentar el EBITDA será de 3%". De esta manera, el gestor de seguridad puede contar con una herramienta que habla el lenguaje del liderazgo de la organización, y todos se beneficiarán de la mayor visibilidad sobre los riesgos como apoyo a la mejor toma de decisiones.

Recursos escasos son constantes en todas las actividades humanas, por lo tanto, gestionarlos adecuadamente puede ser un diferenciador competitivo importante, incluso – o especialmente – en el mundo de la seguridad cibernética. En él, las decisiones acerca de inversiones pueden representar, de hecho, la supervivencia en situaciones extremas, manteniendo la confianza de los clientes y la continuidad de las operaciones del negocio. Son temas demasiado importantes para decidir en términos de semáforo (verde, amarillo o rojo) – ellos requieren un mayor nivel de madurez para poder traducir cada decisión a tomarse en impactos financieros.