Una iniciativa, de la mano del Foro Económico Mundial, ayuda a las compañías a evaluar las amenazas cibernéticas

Facebooktwitterredditlinkedinmail

Crecen las amenazas con la vertiginosa expansión de las tecnologías basadas en datos. La convergencia de las plataformas de la web, nube, social, móvil e Internet está intrínsecamente relacionada con el intercambio de datos, y no con los temas de seguridad. A medida que crece el uso de estas tecnologías, también lo hacen los riesgos, por lo que la gestión de riesgos cibernéticos es imprescindible para las organizaciones de hoy.

A medida que la tecnología crece en un mercado del siglo 21, también lo hace la capacidad para compartir productos, ideas y servicios y de igual forma los peligros de hacerlo a través de medios digitales. Identificar y administrar estos riesgos se ha convertido en una obligación en el camino hacia una mayor seguridad en los negocios globales. El mundo se encuentra hiperconectado 24/7 pero la seguridad cibernética no pude obstaculizar o invalidar las plataformas existentes de las organizaciones, el crecimiento de la ciberseguridad debe ser orgánico con el crecimiento del negocio y comercio internacional.

En la coyuntura actual es técnicamente imposible y no es económicamente factible para las empresas estar 100% seguras o protegidas de los ataques a través de las nuevas tecnologías, en especial los ataques cibernéticos. .Unos 100 expertos y dirigentes representando a empresas líderes, reguladores y personas del sector privado elaboraron en conjunto con la firma de asesoramiento y consultoría Deloitte un trabajo en el marco del Foro Económico Mundial en Davos, —de principios de año— para avanzar en el objetivo de desarrollar un enfoque unificado hacia la calificación del riesgo cibernético.

Este trabajo es parte de la iniciativa del Foro “Partnering for Cyber Resilience” (algo así como asociarse para la adaptación cibernética) que comenzó en 2011 con el objetivo de despertar conciencia, discutir y analizar los peligros cibernéticos y la necesidad de desarrollar enfoques más rigurosos para mitigar este riesgo. Este año la iniciativa exploró distintas maneras para medir el impacto de los riesgos cibernéticos para las organizaciones y la exposición o vulnerabilidad de éstas ante las inseguridades en el ámbito digital.

Los participantes reunieron sus trabajos y presentaron sus conclusiones y el modelo “cyber value-at-risk” (valor cibernético en riesgo) en el informe “Towards the Quantification of Cyber Threats” (Hacia la cuantificación de las amenazas cibernéticas).

«El objetivo del “valor cibernético en riesgo” es estandarizar y unificar los diferentes factores en una única distribución normal que puede cuantificar el valor en riesgo en caso de un ataque cibernético», según el informe. «El esfuerzo debe ser específico para la organización y reflejar las tendencias de toda la industria. Una vez que haya un modelo estadístico para medir riesgos cibernéticos se puede incorporar en una estrategia de riesgo más amplia de una compañía».

Desde un punto de vista cibernético, mediante un modelo de valor cibernético en riesgo se puede ayudar a determinar el valor de los activos de una organización desde una perspectiva digital, así como las potenciales pérdidas, tanto tangibles como intangibles, que una empresa puede tener que enfrentar en el caso de que ocurra un ataque cibernético. Como existen amenazas digitales a través de múltiples industrias internacionales, la búsqueda de una cifra significativa de valor en riesgo se determina mediante un análisis de tres aspectos: Vulnerabilidad, Activos y Perfiles del atacante. En primer lugar, las posibles vulnerabilidades y la apertura de una empresa deben ser tomadas en cuenta como vías de posible ataque. Una vez que tales potenciales vulnerabilidades son reconocidas, la determinación del valor de los activos digitales de la empresa ayudará a examinar más a fondo el potencial riesgo de un ataque. Por último, a partir de esa posibilidad de un ataque, quién o qué grupos estarían interesados en esa información o activos. Es difícil decir qué tipos de modelos son más precisos en este punto.

En resumen, el modelo incluye tres componentes principales:

  • Información sobre las vulnerabilidades y defensas de la organización.
  • Los activos que pueden verse amenazados.
  • Perfil de los atacantes, basándose en quienes son los atacantes y sus motivaciones.

«Los componentes, algunos de los cuales pueden ser representados por las variables aleatorias (una variable sujeta a cambios debido al azar, tales como la frecuencia de los ataques, tendencias generales de seguridad, madurez de los sistemas de seguridad en la organización, etc.) son incorporados en un modelo estocástico (una herramienta estadística para estimar la distribución de probabilidad, que tiene una o más variables aleatorias durante un período de tiempo)», continúa el informe.

Ya sea por problemas de confianza, incompetencia o la aplicación de nuevas tecnologías y métodos para realizar ataques, el acceso digital supone cierto nivel de riesgo. Eliminar completamente las amenazas cibernéticas, no es factible. Según la iniciativa del Foro Económico Mundial el riesgo cibernético es visto cada vez más como un componente clave en los marcos de gestión del riesgo empresarial (ERM).

En un entorno cambiante de mayor interconexión, rápido desarrollo técnico y amenazas en constante evolución, es necesario un marco común para garantizar una mayor protección frente a la amenaza de los ataques cibernéticos.

Debido a la falta de una orientación adecuada y por no entender adecuadamente las correctas medidas de protección, muchos negocios están demorando la adopción de avances tecnológicos.

Es necesaria una cabal comprensión del riesgo en el ambiente. Riesgos cibernéticos tanto residuales (conocido y asumido), así como en evolución (desconocido y descubierto). Los factores clave incluyen: «empresa» interna frente a los riesgos «sistémicos» externos y factores técnicos frente a factores económicos.

De acuerdo con el informe, el actual ambiente de incertidumbre, junto con una actitud de rechazo al riesgo en el tema de las amenazas cibernéticas puede restringir el desarrollo económico. Las potenciales amenazas dificultan el camino para que jugadores clave se comprometan con desarrollos relacionados con el ámbito cibernético.

Para que un enfoque hacia la resistencia y flexibilidad cibernética sea efectivo se necesita un esfuerzo mancomunado de todos los participantes para desarrollar y validar un marco de evaluación de riesgo estandarizado frente a la ciberamenaza que incluya diversos enfoques para mitigar el riesgo.

El informe busca identificar componentes clave para la elaboración de un modelo de riesgo cibernético y calificar y cuantificar las vulnerabilidades conocidas para poder elaborar sólidas defensas. Para obtener un panorama más claro sobre el riesgo cibernético que enfrentan las organizaciones pueden tomar un enfoque de tres aristas:

  • Entender los elementos fundamentales (o componentes) del riesgo cibernético para poder modelar una adecuada estrategia de riesgo.
  • Entender las dependencias entre estos componentes que pueden incorporarse en un modelo para una cuantificación adecuada de riesgos.
  • Entender formas para incorporar una medición cuantitativa del riesgo en el sistema de gestión de riesgo institucional.

Si bien no existe un modelo ideal que los miembros adoptarían en forma unilateral, se alienta a las compañías e industrias a que midan y trabajen hacia una mejor cuantificación de los riesgos cibernéticos. Los componentes clave identificados en el modelo de valor cibernético en riesgos son las actuales vulnerabilidades y madurez defensiva de la organización; el valor de los activos; y el perfil de los atacantes.

Este informe resume los objetivos y actividades de la iniciativa así como los conceptos clave y los pilares fundamentales del modelo de valor cibernético en riesgos, también explora los desafíos hacia una iniciativa de cuantificación de riesgos cibernéticos más robusta y sugiere próximos pasos que se deben tomar.

Haga clic aquí para leer el informe completo