Read the rest of the post ' 5 señales de que tu empresa necesita un ciberseguro '
Queridos lectores, bienvenidos un mes más a este blog. Hoy os quiero traer, como en otras ocasiones, uno de los pilares o tendencias que más fuerza está cogiendo en el mundo de la ciberseguridad: la cuantificación de ciberriesgos o CRQ, por sus siglas en inglés.
Seguramente muchos estaréis pensando que ya hemos tocado el tema de ciberriesgo antes (tanto, que tiene su propia serie en este blog, que data del 2020). Así pues, ¿en qué se diferencia esto del CRQ del análisis de riesgos del que ya hemos hablado antes? Pues, realmente, una cosa incluye a la otra. El análisis de riesgos, como veíamos en el artículo enlazado, es la metodología cuyo fin tiene valorar adecuadamente el riesgo de que una amenaza se materialice sobre nuestros activos, a fin de poder dedicar los recursos lógicos y razonables para protegerlos. Para ello, necesitamos estimar correctamente dos valores fundamentales: el impacto y la probabilidad. Y es aquí donde aparece CRQ.
CRQ es una aproximación de cómo cuantificar los ciberriesgos de manera precisa. Típicamente, en otros ámbitos donde se tratan los riesgos, estos se basan en gran medida en el historial que conocemos (ej.: fenómenos meteorológicos como tormentas, huracanes, etc.), tanto para su probabilidad de ocurrencia como su impacto. Sin embargo, en el mundo tecnológico, no siempre tenemos acceso a un histórico como tal o vemos que los impactos van variando por empresas (ej.: el coste de una brecha de datos cambia mucho en cada incidente) e, incluso, con el propio tiempo, aunque se repitan los ataques en la misma compañía.
Así, como los análisis de riesgos se basan en información inexacta, podemos tomar decisiones incorrectas o imprecisas, fruto de esas premisas de partida. Esto, al ser observado por varias empresas, al constatar que la realidad de un ciberincidente distaba significativamente de lo que teóricamente decían los análisis de riesgos, se ha puesto de manifiesto en toda la industria, dando lugar a muchos grupos de estudio y soluciones que buscan solventar este problema. De ahí, que haya tomado tanto impulso que hasta figura como una de las tendencias relevantes para consultoras tan prestigiosas como Gartner.
No son banales las consecuencias de valorar mal el impacto o la probabilidad de un ciberataque. Si nos preparamos para un posible impacto de 60.000 € (que es el coste medio que reflejan muchos informes) pero, finalmente, sufrimos un ataque con un impacto de 400.000 €, no sólo se consume de manera imprevista el presupuesto de ciberseguridad, sino que puede llegar a poner en peligro la viabilidad de otros departamentos e, incluso, de la propia empresa.
De ahí que haya surgido esta rama de la ciberseguridad, CRQ, que está asumiendo conocimiento de otras áreas para intentar sofisticar estas predicciones:
- Así, se ha comenzado a partir de las bases de datos de incidentes más realistas y completas que se puedan conocer (generalmente, son las de los ciberseguros, pues incluyen el coste completo de todo el incidente hasta la vuelta a la normalidad), incluyendo, con ello, conceptos de calidad del dato y conceptos estadísticos para asegurar unas muestras de calidad.
- También se apuesta por modelos de simulación de múltiples escenarios, con diferentes probabilidades e impactos, adoptando enfoques como la simulación por método de Montecarlo; o conceptos de probabilidad bayesiana para ajustar mejor el enfoque de probabilidad.
A raíz de estas premisas de partida, están surgiendo multitud de compañías que, apoyadas en tecnología, ofrecen estas soluciones a las empresas, de modo que les ayude a cuantificar sus ciberriesgos de manera más precisa, pudiendo tomar con ello mejores decisiones y, posiblemente aún más importante, explicar mejor las decisiones tomadas a la dirección y a personas menos técnicas en la materia de ciberseguridad.
En definitiva,, espero que hayáis entendido un poco mejor el valor que aporta una tendencia como CRQ y que, de ahora en adelante, cuando os topéis con este concepto, tengáis una idea más cercana de cómo puede ayudar a las empresas.
Como siempre, ¡os espero el mes que viene para que me leáis desde la playa!