Cómo comunicar el riesgo para el negocio: por qué las métricas de ciberseguridad existentes no son suficientes.

¿Cómo comunica el contexto de los riesgos para el negocio de su programa de ciberseguridad a los altos ejecutivos de su organización? Esta es una pregunta con la que lidio todos los días en mi papel como líder de ciberseguridad.

Los líderes de seguridad y de gestión de riesgo tenemos a nuestra disposición un arsenal de marcos y controles con los cuales podemos medir las facetas más granulares de nuestros programas. Si bien estas métricas son muy valiosas para ayudarnos a gestionar las operaciones cotidianas de nuestros equipos, no son suficientes a la hora de encontrar una manera de hablar con nuestros líderes de negocios.

En el momento de interactuar con los directivos, o incluso con el comité de auditoría —que, en la mayoría de los casos, es la entidad de la junta responsable de la seguridad—, los ejecutivos desean comprender el impacto que tiene su programa de ciberseguridad en la capacidad de la organización para cumplir con su propuesta de valor principal. Sin embargo, un estudio global encomendado por Tenable a Forrester Consulting, que se realizó a más de 800 líderes de negocios y ciberseguridad, revela que el 66 % de los líderes de negocios confían —a lo sumo— parcialmente en la capacidad de su equipo de seguridad para cuantificar el nivel de riesgo o de seguridad en su organización.

Esto no significa que los líderes de seguridad estén haciendo algo mal. Más bien, pone de manifiesto una realidad inevitable: las formas actuales de medir el riesgo cibernético no proporcionan el contexto de negocios que requieren las organizaciones. Más de la mitad de los líderes de seguridad encuestados no confiaban en tener la tecnología o los procesos adecuados para predecir las amenazas a la ciberseguridad que enfrentan sus negocios. En tanto, aproximadamente dos quintas partes no estaban seguros de tener los datos necesarios.

Cesar Garza, CISO de Home Depot México en San Pedro, México, describe los desafíos con una única palabra: “hallazgos”. En entrevista con Tenable, Garza dijo “determinar el nivel riesgo cibernético no es muy difícil para nosotros. Contamos con evaluaciones de madurez, evaluaciones de vulnerabilidades, pruebas de penetración y todo tipo de auditorías y evaluaciones que nos envían desde la sede corporativa global. Lo difícil es saber qué hacer con esos hallazgos. La mayoría de los hallazgos requieren de inversiones, OpEx por el resto de la eternidad, mayor personal o inversiones en nueva tecnología”.

¿Cómo calculamos el riesgo cibernético?

El riesgo cibernético es una función de sus activos, controles de seguridad, amenazas y vulnerabilidades en un momento dado. Si no se sabe qué activos son los más críticos para el valor principal del negocio, es imposible llegar a comprender qué riesgos cibernéticos representan una amenaza real para sus negocios. Una vez que haya determinado cuáles son sus activos más críticos, el siguiente paso es comprender cuáles de las decenas de miles de amenazas y vulnerabilidades que enfrenta su organización cada año representan realmente el mayor riesgo para los activos más importantes.

De acuerdo con el estudio de Forrester, menos del 50 % de los líderes de seguridad plantea el impacto de las amenazas a la ciberseguridad dentro del contexto de un riesgo específico para el negocio. La mayoría de los líderes de seguridad encuestados (56 %) no aplican los objetivos de gestión del riesgo para el negocio a sus procesos de priorización de vulnerabilidades. Solo la mitad (51 %) dijo que su organización trabajaba estrechamente con los integrantes del área de negocios para alinear los objetivos de costos, desempeño y reducción de riesgo con las necesidades del negocio. Y solo uno de cada cuatro informó que revisaba periódicamente las métricas de desempeño de seguridad de su organización con sus colegas del área de negocios.

El estudio también revela lo siguiente:

• Más de la mitad de los líderes de seguridad (56 %) dijo que su organización no tiene una buena visibilidad hacia la seguridad de sus activos más críticos.
• Aproximadamente el 60 % de los encuestados afirmó que tenía una visibilidad alta o completa hacia las evaluaciones de riesgo de los empleados que trabajan en las instalaciones, pero solo el 52 % pudo decir lo mismo cuando los empleados trabajan en forma remota o desde su hogar.
• Solo el 51 % dijo que tiene una visibilidad alta o completa hacia los sistemas utilizados por los contratistas o socios, y el 55 % declaró lo mismo con respecto a sus proveedores externos.

No se puede calcular el riesgo cibernético sin el contexto de negocios

Las dos preguntas más comunes que me formulan los líderes de negocios y la junta son: "¿estamos seguros?" y "¿cómo se compara nuestro programa con el de nuestros competidores?".

Pero, a diferencia de nuestros colegas del área de negocios, los líderes de seguridad tenemos datos objetivos limitados para desarrollar la ecuación de riesgo cibernético de los activos, los controles de seguridad, las amenazas y las vulnerabilidades que es necesaria para responder a ambas preguntas. Ningún marco existente capta la totalidad de nuestra operación, lo que hace que los líderes de seguridad deban improvisar una mezcolanza de medidas. Sin una medida objetiva del contexto de negocios para cada uno de nuestros activos, nuestros cálculos de riesgo cibernético solo pueden llevarnos hasta cierto punto.

De hecho, de acuerdo con el estudio de Forrester, menos de la mitad de los líderes de seguridad consideraron que los marcos de referencia de la industria son muy eficaces para informar con precisión sobre el riesgo para el negocio. Y más de la mitad dijo que no estaba haciendo un trabajo adecuado en la evaluación comparativa de sus controles de seguridad.

Al mismo tiempo, las variables que intervienen en la superficie de ataque de cualquier organización son muchísimas, por lo que es probable que el logro de un consenso sobre métricas de seguridad de toda la industria siga siendo un santo grial en el futuro inmediato. Ninguna organización puede afirmar que está 100 % segura. Todo lo que tenemos son nuestros cálculos fundamentados de lo que se considera un nivel aceptable de riesgo, lo que nos permite tomar decisiones de negocios sobre hasta dónde llegar una vez que afrontemos un nivel de exposición razonable.

Entonces, ¿cómo puede trabajar con lo que tiene para comenzar a superar la desconexión entre el área de ciberseguridad y el área de negocios?

No hay una respuesta única pero por ejemplo, podemos hacer referencia a LafargeHolcim IT EMEA en Madrid. “Evaluamos nuestra proporción de penetración a lo largo de las diferentes capas de protección establecidas”, dijo Jose Maria Labernia Salvador, el director de seguridad y control interno de TI, en una entrevista con Tenable. “Esto ayuda a nuestro negocio a comprender la exposición potencial en nuestro escenario y determinar el apetito por el riesgo a lo largo de la cadena de valor de ciberseguridad. Nuestro modelo está orientado hacia KPI y es agnóstico en relación a datos u orientación de segmento, ya que uno nunca sabe cuál será el vector de ataque inicial con potencial para moverse lateralmente y dañar a nuestra organización”.

Cómo usar los datos que tiene para llegar a donde necesite ir

El riesgo es relativo, no absoluto. Siempre habrá riesgo dentro de la empresa. La cuestión es si, al adoptar una determinada medida en el negocio, reducimos o aumentamos nuestro riesgo. Las opciones de evaluación de seguridad disponibles actualmente le dan la capacidad de "trazar una línea", con el objetivo de tener un punto de partida desde el cual comenzar a identificar el trabajo que se necesita para seguir perfeccionando su programa de seguridad.

En Home Depot México, Garza acude a Tenable.io con Lumin para obtener “visibilidad casi en tiempo real de nuestro nivel actual de Cyber Exposure. Podemos priorizar los riesgos cibernéticos y tener todo esto en una pantalla”. Él observó que la organización está en el proceso de construir un tablero de control ejecutivo que proporcionará visibilidad a sus altos directivos.

No existe un abordaje único que identifique los indicadores clave de riesgo que más importan para su organización. Lo único que pueden hacer los líderes de seguridad, como profesionales de la industria, es trabajar juntos para comenzar a elaborar los tipos de métricas de riesgo para el negocio que sean más significativas para los altos ejecutivos del negocio.

Para esa finalidad, le proporciono la siguiente lista de preguntas que me han hecho las juntas y los altos directivos durante mi carrera:

• ¿Cuáles son nuestros riesgos, funciones y activos más críticos y/o dónde se encuentran?
  • ¿Qué está haciendo para protegerlos?
• ¿Qué tan maduro es nuestro programa comparado con la industria y nuestros colegas?
  • ¿Cuál es su hoja de ruta para mejorar nuestra madurez?
• ¿Cuál es el nivel de recursos de nuestro programa de seguridad en comparación con los competidores o colegas en nuestro sector de la industria?
• ¿Nuestras funciones más críticas para el negocio están más seguras hoy que hace un año?
• ¿Qué estamos haciendo con respecto a (inserte aquí la última vulnerabilidad que acapara los titulares)?

Espero que ellas promuevan sus propias ideas sobre otros indicadores de riesgo para el negocio que valga la pena medir, para que, colectivamente, podemos encontrar mejores formas de lograr la alineación entre el área de ciberseguridad y el área de negocios.

Lea la serie del blog: Cómo volverse un líder de ciberseguridad alineado con el negocio

Las publicaciones de blog de esta serie se enfocaron en los desafíos de alinear el área de ciberseguridad y el área de negocios y en por qué los líderes de ciberseguridad tienen problemas para responder a la pregunta: "¿qué tan seguros, o en riesgo, estamos?". También examinamos lo que revelan las estrategias de respuesta ante COVID-19 acerca de la desconexión de los negocios cibernéticos, discutimos por qué las métricas existentes de seguridad cibernética se quedan cortas comunicar el riesgo cibernético, exploramos los cinco pasos para lograr la alineación con el negocio y proporcionamos un vistazo hacia un día en la vida del líder de ciberseguridad alineado con el negocio.

Para obtener más información

• Vea los puntos adicionales más destacados del estudio aquí.
• Descargue el estudio completo, El ascenso del ejecutivo de seguridad alineado con el negocio.
• Lea los blogs:
  • Alineación de la ciberseguridad y los negocios: nadie dijo que fuera fácil.
  • ¿Por qué los líderes de ciberseguridad tienen problemas para responder a la pregunta "¿qué tan seguros estamos?"?
  • Qué nos indican las estrategias de respuesta a la COVID-19 sobre la desconexión entre el área de ciberseguridad y el área de negocios.
• Descargue el documento técnico, Qué se necesita para ser un ejecutivo de seguridad alineado con los negocios.
• Lea el libro electrónico, Cómo volverse un líder de seguridad alineado con el negocio.
• Escuche la serie de podcasts sobre Cyber Exposure, Entrevista con el CSO de Tenable, Bob Huber.
• Aparte su lugar en el próximo seminario web y sesión de preguntas y respuestas el 30 de septiembre, El ascenso del ejecutivo de seguridad alineado con el negocio.