En primer lugar, es necesario conocer qué se entiende por metodología y cómo se aplica esta definición, cuando la llevamos al campo de la gestión del ciberriesgo.
Definimos el concepto de metodología como el conjunto de mecanismos o procedimientos racionales, empleados para el logro de un objetivo, o serie de objetivos que dirige una investigación científica. En el caso de las metodologías de gestión de los riesgos cibernéticos, estos objetivos se concretan en:
Existen diferentes aproximaciones o enfoques para llevar a cabo una gestión integral de los ciberriesgos. Los estándares, marcos y metodologías que pueden ser utilizados serán diferentes dependiendo del tipo de aproximación que se lleve a cabo:
Ocurre cuando consideramos que la propia gestión de los diferentes ciberriesgos (económicos, políticos, ambientales, tecnológicos), proporciona a una organización, empresa o entidad, una ventaja competitiva que les permite diferenciarse de sus competidores.
Dependiendo del alcance, contexto y objetivos del proyecto, será necesario utilizar estándares y marcos de trabajo más orientados a establecer un conjunto de actividades básicas para reducir ciberriesgos
En este caso, lo que se persigue es facilitar la integración de información relacionada con ciberriesgos (cuáles son, con qué probabilidad ocurren, qué impacto tiene en la organización, qué iniciativas se pueden llevar a cabo para gestionarlos) en iniciativas más estratégicas tipo ERM o similar.
Este tipo de metodologías requieren llevar a cabo un minucioso inventario de activos, incluyen diferentes técnicas para asignar probabilidades e impactos, proponen taxonomías de amenazas, vulnerabilidades y contramedidas, proporcionan habitualmente métricas para calcular el impacto de los riesgos cibernéticos, etc.
Se caracteriza por ayudar a entender las relaciones e interdependencias entre los activos existentes y cómo un incidente de seguridad en uno de ellos puede afectar negativamente a aquellos que están por debajo, a través de lo que se denomina efecto cascada.
Táctica: lo que se persigue es facilitar la integración de información relacionada con ciberriesgos (cuáles son, con qué probabilidad ocurren, qué impacto tiene en la organización)
Además, dependiendo del alcance, contexto y objetivos del proyecto, será necesario utilizar estándares y marcos de trabajo más orientados a establecer un conjunto de actividades básicas que deben ser desarrolladas para reducir ciberriesgos, o bien apoyarse en aquellos que proponen taxonomías y mejores prácticas específicas para llevar a cabo una gestión integral del riesgo cibernético.
Por último, diversas instituciones y organizaciones como la International Organization for Standardization (ISO) o el National Institute of Standards and Technology (NIST) se encargan de diseñar y/o avalar estas mejores prácticas.
Infografía | Principales incidentes de ciberseguridad ocurridos en España durante 2018
Cómo una póliza de ciber-riesgo puede ayudarte ante una brecha de seguridad
The Cybersecurity Imperative: la gestión de los ciber-riesgos en un mundo digital cambiante
¿Dónde contratar una póliza de seguro de auto para un vehículo con licencia VTC? Los…
El cambio normativo en España respecto a los planes de pensiones trata de impulsar la…
Para que las personas que cobran una pensión pública no pierdan poder adquisitivo, año a…
Reinvertir la desgravación de los planes de pensiones en el propio plan es una forma…
Hasta el año 2013, las pensiones de jubilación se calculaban en base a los últimos…
El año pasado se despidió con buenos números para el sector turístico. Aunque todavía no…