Metodologías para la gestión del ciber-riesgo

Metodologías para la gestión del ciber-riesgo

publicado en: Ciberseguridad | 0

En primer lugar, es necesario conocer qué se entiende por metodología y cómo se aplica esta definición, cuando la llevamos al campo de la gestión del ciber-riesgo.

SUSCRÍBETE

 

¿A qué nos referimos cuando hablamos de metodologías para la gestión del ciber-riesgo?

Definimos el concepto de metodología como el conjunto de mecanismos o procedimientos racionales, empleados para el logro de un objetivo, o serie de objetivos que dirige una investigación científica. En el caso de las metodologías de gestión de los riesgos cibernéticos, estos objetivos se concretan en:

  • Definir claramente el contexto y limitar el alcance del proceso de gestión.
  • Identificar y analizar de forma cuantitativa, cualitativa o semi cuantitativa, todos los ciber-riesgos existentes. Para ello normalmente se manejan conceptos como activos, amenazas, vulnerabilidades, impacto, medidas de seguridad, etc.
  • Evaluar los ciber-riesgos encontrados definiendo diferentes tipos de estrategias (aceptación, evitación, mitigación o transferencia).
  • Gestionar los ciber-riesgos aplicando las estrategias definidas y llevando a cabo planes de mejora y actividades específicas relacionadas con los sistemas, los procesos, las personas o el capital.
  • Monitorizar y mantener la gestión de los ciber-riesgos, bajo un proceso de mejora continua.
  • Comunicar los principales resultados encontrados durante el proceso.

 

Diferentes aproximaciones para la gestión del riesgo cibernético

Existen diferentes aproximaciones o enfoques para llevar a cabo una gestión integral de los ciber-riesgos. Los estándares, marcos y metodologías que pueden ser utilizados serán diferentes dependiendo del tipo de aproximación que se lleve a cabo:

 

Estratégica

Ocurre cuando consideramos que la propia gestión de los diferentes ciber-riesgos (económicos, políticos, ambientales, tecnológicos), proporciona a una organización, empresa o entidad, una ventaja competitiva que les permite diferenciarse de sus competidores.

Dependiendo del alcance, contexto y objetivos del proyecto, será necesario utilizar estándares y marcos de trabajo más orientados a establecer un conjunto de actividades básicas para reducir ciber-riesgos

 

Táctica

En este caso, lo que se persigue es facilitar la integración de información relacionada con ciber-riesgos (cuáles son, con qué probabilidad ocurren, qué impacto tiene en la organización, qué iniciativas se pueden llevar a cabo para gestionarlos) en iniciativas más estratégicas tipo ERM o similar.

 

Operativa

Este tipo de metodologías requieren llevar a cabo un minucioso inventario de activos, incluyen diferentes técnicas para asignar probabilidades e impactos, proponen taxonomías de amenazas, vulnerabilidades y contramedidas, proporcionan habitualmente métricas para calcular el impacto de los riesgos cibernéticos, etc.

 

Técnica

Se caracteriza por ayudar a entender las relaciones e interdependencias entre los activos existentes y cómo un incidente de seguridad en uno de ellos puede afectar negativamente a aquellos que están por debajo, a través de lo que se denomina efecto cascada.

Además, dependiendo del alcance, contexto y objetivos del proyecto, será necesario utilizar estándares y marcos de trabajo más orientados a establecer un conjunto de actividades básicas que deben ser desarrolladas para reducir ciber-riesgos, o bien apoyarse en aquellos que proponen taxonomías y mejores prácticas específicas para llevar a cabo una gestión integral del riesgo cibernético.

  • Los primeros suelen definir procesos y actividades relacionadas con el propio proceso de gestión de ciber-riesgos y/o permiten evaluar el nivel de madurez de la organización con respecto a dicho estándar. Estos estándares y marcos suelen proporcionan un conjunto de recomendaciones que se agrupan por dominios y subdominios, objetivos generales y específicos, actividades a realiza, controles, etc.
  • Los segundos, suelen estar estrecharme relacionados con los primeros, ya que, habitualmente, las organizaciones llevan a cabo una evaluación de su nivel de madurez con respecto a alguno de estos estándares para, posteriormente, realizar una gestión más detallada de sus ciber-riesgos.

Táctica: lo que se persigue es facilitar la integración de información relacionada con ciber-riesgos (cuáles son, con qué probabilidad ocurren, qué impacto tiene en la organización)

Por último, diversas instituciones y organizaciones como la International Organization for Standardization (ISO) o el National Institute of Standards and Technology (NIST) se encargan de diseñar y/o avalar estas mejores prácticas.

 

Inscríbete en nuestro webinar sobre ciber-riesgo

¿Qué diferencias hay entre las aproximaciones estratégica, táctica, operativa y técnica para la gestión del ciber-riesgo? ¿Qué estándares, marcos y metodologías se pueden aplicar en cada caso? ¿Existen estándares específicos para gestionar ciber-riesgos IT (Information Technology) y ciber-riesgos OT (Operation Technology)? ¿Qué criterios se deben seguir para seleccionar un estándar u otro?

Te invitamos a que asistas al Webinar “Estándares, marcos de referencia y metodologías para la gestión del ciber-riesgo” que impartiremos el miércoles 25 de septiembre de 2019 a las 10:00 de la mañana. En una sesión de 45 minutos daremos respuesta a las preguntas arriba planteadas y podrás descubrir las metodologías, estándares y mejores prácticas que pueden ser utilizadas para la gestión de los ciberriesgos, dependiendo del tipo de aproximación.

Si te inscribes y asistes al webinar, te proporcionaremos adicionalmente nuestro Whitepaper “Estándares, marcos de referencia y metodologías para la gestión del ciber-riesgo”, en el que de forma detallada, tendrás acceso a nuestra visión sobre cómo llevar a cabo una correcta gestión integral de los riesgos cibernéticos.

 

New Call-to-action

 

Comparte

Dejar una opinión