Opciones empresariales para medir el riesgo

El riesgo puede ser difícil de medir. Como ocurre en gran parte de la vida, el diablo está en los detalles. Y cuando se trata de ciberseguridad, ese diablo engañoso puede marcar la diferencia entre un número que simplemente marca una casilla en una hoja de requisitos y una métrica que es el núcleo de un plan de gestión de riesgos maduro.

Mimado por elegir

Reducido a su forma más básica, el riesgo es un concepto simple. Se toma la probabilidad de que ocurra un evento, se multiplica por el impacto de su ocurrencia y aparece una métrica de riesgo. El problema es que todos sabemos que la vida en general no es tan simple.

Para empezar, existen complicaciones, como la extensión que podría tener un evento: ¿es posible solo en un puñado de dispositivos especializados o en todos los terminales propiedad de la organización? Luego entras en los diversos tipos de impacto que un evento podría tener, con qué facilidad se podría remediar el impacto, etc., y antes de que te des cuenta, las ecuaciones se parecen más a la mecánica cuántica que a las matemáticas de tercer grado.

Luego viene la cuestión de cómo se expresa la cantidad de riesgo; ¿Es una escala del 1 al 100? ¿En dolares? ¿En colores, como en las clasificaciones originales de niveles de amenaza del DHS? ¿En el factor relativamente “cool” de varios anfibios? Puede ser una elección difícil.

Y ahí radica un problema clave: no es que no haya manera de cuantificar y expresar el riesgo, sino que hay muchas maneras de atacar el problema. No es que cualquier sistema sea necesariamente malo (aunque la escala anfibia puede ser un poco resbaladiza), sino que es difícil mapear de una escala a otra y comparar posturas de riesgo relativas de organizaciones en una geografía o grupo industrial. La dificultad hace que sea más importante de lo que podría ser tener cuidado en elegir un método de cuantificación de riesgos.

Elegir la herramienta adecuada

Existen, en un sentido muy amplio, tres tipos de herramientas utilizadas para cuantificar el riesgo. Existen marcos o metodologías que se pueden utilizar para crear procesos personalizados o como base para productos comerciales. Existen herramientas que cuantifican el riesgo como su función principal, aunque bien pueden proporcionar información para otras herramientas. Y hay productos o servicios que cuantifican el riesgo como parte de un conjunto de funcionalidades más amplio.

Algunas organizaciones encontrarán que su elección de herramienta de cuantificación de riesgos se realiza mediante la elección de otra herramienta o servicio. Si el producto o servicio más amplio, ya sea gestión de riesgos o seguro cibernético, incluye la cuantificación del riesgo, entonces puede resultar muy difícil justificar el pago de un sistema diferente (en muchos casos, un sistema redundante) para realizar el mismo análisis.

Otras organizaciones encontrarán que su elección de herramienta de cuantificación de riesgos está hecha para ellas debido a relaciones comerciales, por ejemplo, contratos con una entidad gubernamental que requiere un análisis de riesgo particular como parte del proceso de calificación del contrato.

Para aquellas organizaciones que tienen la libertad (o la tarea) de elegir una herramienta de cuantificación de riesgos, la primera pregunta que deben hacerse es ¿Por qué es importante cuantificar el riesgo?. Puede parecer una pregunta con una respuesta obvia, pero en la mayoría de los casos, habrá una necesidad principal que impulse la decisión. Y esa necesidad primaria también debería impulsar la elección de la herramienta. Cuantificar el riesgo organizacional no es simple ni barato, por lo que es importante que la elección de la herramienta se ajuste lo más posible a la necesidad.

¿Existe alguna forma particular en la que la organización cuantifica el riesgo financiero? ¿Existen planes para futuras asociaciones o esfuerzos de ventas que se beneficiarían de una forma particular de medir o expresar el riesgo? ¿Está en las tarjetas un cambio de proveedor de seguros? Cualquiera de ellos (o todos) podría tener un impacto en la herramienta que mejor se adaptaría a las necesidades de la organización. Hacer preguntas a socios o proveedores potenciales podría abrir posibilidades para encontrar una herramienta que satisfaga la necesidad inmediata y al mismo tiempo posicione a la organización para satisfacer necesidades futuras.

Cuantificar el riesgo cibernético es un requisito para un número creciente de organizaciones. Adoptar el enfoque correcto para elegir la herramienta para cuantificar ese riesgo contribuirá en gran medida a que el proceso sea lo más valioso y efectivo posible.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
• Fuente: https://www.darkreading.com/omdia/enterprise-choices-in-measuring-risk