Martes de GRC: Gestión de riesgos cibernéticos y de toda la empresa: cerrar la brecha de visibilidad
By s4pcademy
Aunque no soy un experto cibernético, me encuentro cada vez más atraído por discusiones asociadas porque la gestión de riesgos cibernéticos y la gestión de riesgos empresariales realmente están comenzando a «fusionarse». Y esto tiene mucho sentido ya que no se produce ningún riesgo en el silo. Un riesgo cibernético podría tener un impacto financiero o reputacional directo en la organización además de su impacto operativo directo.
Desafortunadamente, a menudo existe la percepción de que la gestión de riesgos empresariales es «de la vieja escuela» y que la gestión de riesgos cibernéticos es el nuevo chico en el bloque que requiere un marco de riesgo más avanzado. El resultado es que, por lo tanto, los 2 mundos aún se mantienen en su mayoría separados, lo que significa que las juntas y la gerencia no obtienen una comprensión completa de la exposición general al riesgo comercial cuando se trata de amenazas cibernéticas.
Este es un fenómeno que el proveedor líder de investigación y análisis en el mercado global de tecnología de riesgo, Chartis Research, llama el «brecha de visibilidad”.
Por lo tanto, la pregunta que debe responderse es: ¿Cómo podemos cerrar esta brecha de visibilidad?
Cerrando la brecha de visibilidad
Volviendo a Chartis y una de sus publicaciones: Cerrando la Brecha: Integrando GRC y el Riesgo Cibernéticomencionan que “El objetivo del CISO es brindarle a la junta la información que necesita para tomar mejores y más rápidas decisiones de seguridad en el contexto de estrategias comerciales a menudo críticas.”. Y para ello proponen la creación de un cuadro de mando de ciberseguridad que se integraría con el resto de áreas de Gobierno, Riesgos y Cumplimiento:
Cerrando la brecha: integración de GRC y riesgo cibernético, Chartis Research, 2021
Personalmente, creo que es una gran idea y, de hecho, es algo que mi colega gabriele fiata ya había comenzado a trabajar en SAP Cyber-security Dashboard. Este es un tablero del arte de lo posible creado con la integración entre SAP Security Solutions y SAP Analytics Cloud. El panel de seguridad cibernética de SAP proporciona vistas de helicóptero sobre la postura de seguridad general de la empresa:
Sin embargo, creo que hay pasos que deben realizarse antes de que se pueda usar este tablero, para que todos los datos relacionados con el riesgo puedan consolidarse y que no estemos comparando manzanas y peras.
Y este es en realidad uno de los aspectos centrales del programa de riesgo cibernético de una organización según el informe de Chartis mencionado anteriormente: “Diseño e implementación de un sistema básico de riesgos”.
Paso 1: Asignar la terminología
Por supuesto, esto no es específico de los riesgos cibernéticos y operativos, existe el problema de las convenciones de nomenclatura para los riesgos financieros, riesgos ambientales, riesgos legales, etc. Cada universo de riesgo parece tener sus propias «especificidades» y jerga. Pero, en última instancia, lo que todos estamos tratando de identificar es qué podría causar una interrupción en el negocio y debe mitigarse. Siempre que todos los equipos trabajen con los mismos supuestos, es un buen comienzo. Por lo tanto, alinear las terminologías sería un primer paso lógico.
Paso 2: Alinea las escalas
Uno de los principales obstáculos que encuentro cuando hablo con los clientes es que las escalas de evaluación de riesgos están en todo el mapa: los riesgos operativos usan 5 escalas de impacto, los cibernéticos solo 3 y los legales solo usan un enfoque cuantitativo, por ejemplo. Como resultado, la simple importación de riesgos cibernéticos al universo de riesgos de toda la empresa creará discrepancias graves.
Una buena opción que encontré fue relacionar todas las escalas con un rango de valor en dólares (o euros, yenes, etc.). Incluso si no se pide a los propietarios de riesgos que evalúen el impacto financiero de cada causa raíz o vulnerabilidad, las propias escalas cualitativas o de puntuación podrían relacionarse con un impacto cuantitativo. De esta manera, la comparabilidad se hace posible independientemente del método de evaluación: cualitativo, cuantitativo o de puntuación.
Paso 3: vincular los eventos
Ahora que todos los eventos están ubicados en el mismo universo, ¿qué hay de vincularlos?
Como se mencionó en la introducción, un riesgo cibernético tendrá más que impactos de TI: tendrá efectos en las operaciones, posiblemente introducirá problemas de incumplimiento, conducirá a la pérdida de reputación, etc.
Todos estos son riesgos ya registrados en el registro de riesgos. ¡Al vincular los riesgos para recrear toda la cadena causal, será posible mejorar la estrategia de mitigación!
Uno de los desafíos clave destacados en el informe de Chartis es “Asignar presupuestos adecuados a la gestión del riesgo cibernético”. Para mí, solo si los tomadores de decisiones reciben todo el impacto pueden decidir asignar recursos suficientes para responder adecuadamente al riesgo cibernético. Y esto se logra vinculando los eventos… y mediante un reportaje eficiente.
Paso 4: disfrute de un informe unificado
Según un EY Encuesta Global de Riesgos de la Junta Directiva a partir de 2020, solo “21% [of board members] están muy satisfechos con la precisión, integridad y amplitud de los informes de riesgo que reciben”.
Las juntas normalmente reciben una o dos veces al año un estado de gestión de riesgos. Un documento extenso (o por el contrario a veces solo un simple gráfico) con la exposición al riesgo de la empresa.
Pero dado que se armó manualmente, puede datar de unas pocas semanas en el mejor de los casos a unos meses en el peor. Como resultado, la información que se muestra está desactualizada.
Con un solo tablero que muestra automáticamente toda la información de riesgos, independientemente de su origen, los miembros de la Junta pueden obtener una visión consolidada de si más o menos riesgos están poniendo en peligro el logro de sus objetivos. Si están preocupados o interesados, pueden profundizar más en la información e incluso en el nivel más granular: el evento de riesgo en sí y su Propietario del riesgo.
Ilustración de la información de SAP GRC que se muestra en SAP Analytics Cloud
¿Qué pasa con la velocidad del riesgo?
Al discutir este tema de la integración del riesgo cibernético y de toda la empresa con Brian Tremblay, mencionó que pensó que podría haber una falla en una de las dimensiones de los riesgos cibernéticos tal como se realiza hoy. Desde una perspectiva de ciberseguridad, la mayoría de los esfuerzos se centran en evaluar el impacto dañino de una vulnerabilidad en los activos de la empresa, por ejemplo, un problema de software, una acción maliciosa, un error de configuración del sistema, etc. Eso es, por supuesto, perfectamente válido, pero puede dejar de lado un componente crítico: el aspecto temporal.
Al observar el Sistema de puntuación de vulnerabilidad común (CVSS), el aspecto del tiempo se tiene en cuenta durante la vida útil de la vulnerabilidad, “a medida que se desarrollan, divulgan y automatizan exploits y se ponen a disposición mitigaciones y correcciones”. Sin embargo, la velocidad a la que una vulnerabilidad puede convertirse en un problema para la empresa generalmente no se incluye en la evaluación de riesgos.
Curiosamente, este es un aspecto que la gestión de riesgos empresariales «tradicional» ya atiende. Y, aunque no se usa mucho, la «velocidad» o «velocidad de inicio» de un riesgo es una medida de evaluación común disponible en la mayoría de los programas de gestión de riesgos. Entonces, ¿por qué no intentarlo y tal vez convertirlo en un criterio de evaluación opcional en el futuro hasta que los propietarios del riesgo estén listos para documentarlo sistemáticamente?
¿Y usted, cómo integra su empresa sus riesgos cibernéticos y de toda la empresa? Espero leer sus pensamientos y comentarios en este blog o en Twitter. @TFrenehard
