Metodologías para la gestión del ciberriesgo

En primer lugar, es necesario conocer qué se entiende por metodología y cómo se aplica esta definición, cuando la llevamos al campo de la gestión del ciberriesgo.

¿A qué nos referimos cuando hablamos de metodologías para la gestión del ciberriesgo?

Definimos el concepto de metodología como el conjunto de mecanismos o procedimientos racionales, empleados para el logro de un objetivo, o serie de objetivos que dirige una investigación científica. En el caso de las metodologías de gestión de los riesgos cibernéticos, estos objetivos se concretan en:

• Definir claramente el contexto y limitar el alcance del proceso de gestión.
• Identificar y analizar de forma cuantitativa, cualitativa o semi cuantitativa, todos los ciberriesgos existentes. Para ello normalmente se manejan conceptos como activos, amenazas, vulnerabilidades, impacto, medidas de seguridad, etc.
• Evaluar los ciberriesgos encontrados definiendo diferentes tipos de estrategias (aceptación, evitación, mitigación o transferencia).
• Gestionar los ciberriesgos aplicando las estrategias definidas y llevando a cabo planes de mejora y actividades específicas relacionadas con los sistemas, los procesos, las personas o el capital.
• Monitorizar y mantener la gestión de los ciberriesgos, bajo un proceso de mejora continua.
• Comunicar los principales resultados encontrados durante el proceso.

Diferentes aproximaciones para la gestión del riesgo cibernético

Existen diferentes aproximaciones o enfoques para llevar a cabo una gestión integral de los ciberriesgos. Los estándares, marcos y metodologías que pueden ser utilizados serán diferentes dependiendo del tipo de aproximación que se lleve a cabo:

Estratégica

Ocurre cuando consideramos que la propia gestión de los diferentes ciberriesgos (económicos, políticos, ambientales, tecnológicos), proporciona a una organización, empresa o entidad, una ventaja competitiva que les permite diferenciarse de sus competidores.

Táctica

En este caso, lo que se persigue es facilitar la integración de información relacionada con ciberriesgos (cuáles son, con qué probabilidad ocurren, qué impacto tiene en la organización, qué iniciativas se pueden llevar a cabo para gestionarlos) en iniciativas más estratégicas tipo ERM o similar.

Operativa

Este tipo de metodologías requieren llevar a cabo un minucioso inventario de activos, incluyen diferentes técnicas para asignar probabilidades e impactos, proponen taxonomías de amenazas, vulnerabilidades y contramedidas, proporcionan habitualmente métricas para calcular el impacto de los riesgos cibernéticos, etc.

Técnica

Se caracteriza por ayudar a entender las relaciones e interdependencias entre los activos existentes y cómo un incidente de seguridad en uno de ellos puede afectar negativamente a aquellos que están por debajo, a través de lo que se denomina efecto cascada.

Además, dependiendo del alcance, contexto y objetivos del proyecto, será necesario utilizar estándares y marcos de trabajo más orientados a establecer un conjunto de actividades básicas que deben ser desarrolladas para reducir ciberriesgos, o bien apoyarse en aquellos que proponen taxonomías y mejores prácticas específicas para llevar a cabo una gestión integral del riesgo cibernético.

• Los primeros suelen definir procesos y actividades relacionadas con el propio proceso de gestión de ciberriesgos y/o permiten evaluar el nivel de madurez de la organización con respecto a dicho estándar. Estos estándares y marcos suelen proporcionan un conjunto de recomendaciones que se agrupan por dominios y subdominios, objetivos generales y específicos, actividades a realiza, controles, etc.

• Los segundos, suelen estar estrecharme relacionados con los primeros, ya que, habitualmente, las organizaciones llevan a cabo una evaluación de su nivel de madurez con respecto a alguno de estos estándares para, posteriormente, realizar una gestión más detallada de sus ciberriesgos.

Por último, diversas instituciones y organizaciones como la International Organization for Standardization (ISO) o el National Institute of Standards and Technology (NIST) se encargan de diseñar y/o avalar estas mejores prácticas.