technology computer display business
SeguridadTips

Métricas Cuantitativas de Ciberseguridad para CISOs: Guía para la Junta Directiva

Jose Troconis

Edición para CISOs

Este articulo resumen proporciona los métodos y la inspiración para que los Oficiales de Seguridad de la Información (CISO) diseñen e implementen métricas cuantitativas de ciberseguridad para reportar el riesgo cibernético a nivel de la Junta Directiva y proporcionar una seguridad razonable de que el riesgo está dentro del apetito de riesgo aceptado.

Hace tiempo, podías proteger tus datos confidenciales girando una llave en una puerta cerrada o caja fuerte. Cuando necesitabas mover tus estos datos, los metías en una bolsa y usabas esteganografía o criptografía para mantenerlos a salvo de miradas indiscretas u no autorizadas. Este cuento de hadas también aplicaba para computadores, pero este tiempo ha pasado hace mucho. Nuestra sociedad, economía y vida cotidiana dependen del intercambio de información que circula a través de nuestros sistemas interconectados. El concepto de una valla protectora y caja fuerte es cosa del pasado.

Propósito

Este documento presenta orientaciones para que los CISOs reporten el riesgo cibernético y su contexto a sus principales interesados, como la Junta Directiva. Describe métodos que ayudan a los CISOs a involucrarse en la gestión del riesgo cibernético, comunicar esto de manera efectiva y facilitar una supervisión adecuada. Aunque no es el enfoque principal de este documento, el contenido también ayuda a reportar el riesgo cibernético a otros interesados, como reguladores, aseguradoras y clientes.

Expectativas de la Junta Directiva

Las Juntas generalmente se preocupan por:

  • Posicionamiento estratégico y crecimiento de la organización.
  • Valor para los accionistas, protección de la marca.
  • Planes estratégicos, asignación de recursos, compensación de la gerencia.
  • Supervisión del cumplimiento (regulaciones gubernamentales y sectoriales, ESG).
  • Riesgos comerciales críticos, incluyendo ciberseguridad.
  • Comparación con el sector/pares.
  • Responsabilidad fiduciaria de los miembros individuales de la Junta.

En la mayoría de estas áreas, existe una práctica establecida de cómo recolectar e informar evidencia de manera útil, con un nivel adecuado de granularidad y distribución de responsabilidad/delegación.

En cuanto a la ciberseguridad, la práctica establecida en la industria es menos madura. A menudo, las Juntas se sienten insuficientemente competentes para entender el riesgo cibernético o lo consideran demasiado técnico, aprueban recursos y delegan este riesgo.

En el núcleo de la ciberseguridad se encuentra la gestión del riesgo. El objetivo es identificar, evaluar y priorizar los riesgos cibernéticos y aplicar recursos para minimizar, supervisar y controlar la probabilidad o el impacto de eventos desafortunados. Esto implica comprender y comunicar tanto la probabilidad de una amenaza como su impacto potencial en la organización.

Decisiones Importantes

Las decisiones importantes sobre ciberseguridad deben estar alineadas con los objetivos estratégicos de la organización. Estas decisiones incluyen la priorización de recursos, la adopción de tecnologías de seguridad y la implementación de controles de seguridad. La información presentada a la Junta debe permitirles tomar decisiones informadas sobre el riesgo cibernético y su gestión.

Métricas Cuantitativas

El uso de métricas cuantitativas es esencial para proporcionar una visión clara y precisa del riesgo cibernético. Estas métricas deben ser relevantes, comprensibles y accionables. Permiten a la Junta comprender el nivel de riesgo, comparar con el apetito de riesgo aceptado (definición de negocio) y tomar decisiones informadas sobre la asignación de recursos y la priorización de iniciativas de seguridad.

El modelo de métricas debe incluir tanto métricas de riesgo como métricas de rendimiento. Las métricas de riesgo miden la probabilidad y el impacto de los eventos cibernéticos, mientras que las métricas de rendimiento evalúan la eficacia de los controles de seguridad implementados. Este enfoque holístico garantiza que se aborden tanto la prevención de incidentes como la respuesta a los mismos.

Recolección de Datos – Medir lo que Importa

Para obtener métricas útiles, es crucial recolectar datos relevantes que reflejen el verdadero estado de la ciberseguridad de la organización. Esto incluye datos de eventos de seguridad, vulnerabilidades, incidentes detectados y efectividad de los controles de seguridad.

Las fuentes de datos deben ser confiables y verificables. Esto puede incluir registros de sistemas, informes de herramientas de seguridad, auditorías internas y externas, y evaluaciones de vulnerabilidad. La calidad y exactitud de estos datos son fundamentales para generar métricas confiables.

Transformación – ¿Son Suficientes nuestros Controles?

La transformación de datos en métricas útiles implica analizar y contextualizar los datos recolectados para evaluar si los controles de seguridad implementados son suficientes. Esto incluye comparar los resultados con estándares de la industria, marcos de referencia y el apetito de riesgo de la organización.

Reportar el Riesgo Cibernético – Proporcionar una Seguridad Razonable

El reporte del riesgo cibernético a la Junta debe ser claro, conciso y relevante. Debe proporcionar una visión del estado actual de la seguridad, los riesgos identificados, las acciones tomadas y las recomendaciones para mejorar. La presentación debe permitir a la Junta entender el riesgo en el contexto del negocio y tomar decisiones informadas.

Canales de Comunicación

Es esencial establecer canales de comunicación efectivos para reportar el riesgo cibernético. Estos canales deben facilitar el intercambio de información clara y precisa entre el equipo de ciberseguridad y la Junta Directiva. La frecuencia y el formato de los informes deben estar alineados con las expectativas de la Junta y las necesidades de la organización.

Superar la Resistencia

La resistencia al cambio es un desafío común al implementar nuevas métricas y prácticas de reporte. Para superar esta resistencia, es importante involucrar a los principales interesados desde el principio, demostrar el valor de las métricas y proporcionar capacitación adecuada. La transparencia y la comunicación continua son clave para ganar el apoyo de la Junta y otros interesados.

Los detalles practicos y graficos se detallan en el documento adjunto.

Titulo Documento Original: Reporting Cyber Risk to Boards. CISO Edition
Control, Measure, Report, Repeat

Autores:
Freddy Dezeure
George Webster
Jason Trost
Eireann Leverett
João Pedro Gonçalves
Patrick Mana
Greg McCord
Josh Magri

Reviewers:
Lokke Moerel
Alex Iftimie
Chris Deverell
Greg BellJami

También te puede gustar

pinpad clinado

3 cosas que debe saber sobre PCI DSS en 2018

Jose Troconis

Proyecto Canaima

Jose Troconis

12 consejos claves para mejorar la seguridad de datos corporativa

Jose Troconis
Translate »