Capítulo 4. Sistema informado del riesgo

Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com

Al principio de este libro, hablamos de algunos riesgos sin precedentes y cada vez más impredecibles a los que se enfrentan las empresas en un mundo intrincadamente interconectado por las tecnologías digitales de comunicación y colaboración, y de la importancia crítica de abordar esos riesgos mediante un programa formal de gestión de riesgos cibernéticos (CRMP).

A pesar de toda la atención que hemos estado prestando a la digitalización y sus repercusiones, es importante reconocer que la digitalización no es el problema que se pretende abordar con una CRMP. De hecho, ni siquiera es necesariamente un problema. Sin duda, la digitalización presenta riesgos, muchos de ellos inimaginables hace tan sólo unos años, pero también presenta nuevas y extraordinarias oportunidades de negocio. El problema fundamental que aborda este libro es que los enfoques actuales de la seguridad, y la inmadurez de las prácticas actuales de gestión de riesgos, dejan un enorme vacío en la capacidad de las empresas para protegerse contra los riesgos emergentes y, al mismo tiempo, aprovechar las nuevas oportunidades de negocio con rapidez y eficacia. Ello requiere un CRMP claramente definido y basado en cuatro componentes clave. En el capítulo anterior se trató el primero de esos componentes, la gobernanza ágil. Ahora pasamos al segundo: un sistema informado del riesgo.

¿Amenaza u oportunidad? El cierre de Toyota

En a principios de de marzo de 2022, Toyota, el mayor fabricante de automóviles del mundo, suspendió durante más de un día las operaciones en 28 líneas de producción de sus 14 plantas japonesas, después de que un proveedor externo clave de componentes de automoción sufriera un ataque de ransomware. El ataque -sospechoso de haber sido un esfuerzo patrocinado por el Estado en respuesta al apoyo del gobierno japonés a Ucrania tras su invasión por Rusia- tenía como objetivo Kojima Industries, un importante proveedor de componentes electrónicos y un actor clave en el intrincadamente interconectado sistema de suministro justo a tiempo kanban a escala nacional de Toyota.

Toyota fue pionera en la producción justo a tiempo, la técnica de entregar exactamente el artículo adecuado en la cantidad exacta y en el momento exacto, minutos o incluso segundos antes de que se necesite. Esto aporta beneficios financieros, con ahorros de costes en áreas como el almacenamiento y la gestión de inventarios, pero también permite la entrega rápida y precisa de pedidos personalizados. Toyota considera claramente que este modelo operativo representa una ventaja estratégica. Por eso parece lógico considerar el ransomware Kojima y la consiguiente interrupción de la cadena de suministro de Toyota como un fracaso. Pero, ¿y si en realidad se trata de una historia de éxito, una historia sobre un sistema basado en el riesgo que permitió -e incluso animó-a Toyotaa asumir riesgos y obtener una ventaja competitiva?

No disponemos de todos los detalles internos, pero podemos hacer algunas suposiciones fundadas: Toyota consideraba el sistema Kanban como un componente estratégico -de hecho, como una infraestructura crítica- de su modelo de negocio, y la dirección de la empresa habría sido informada de toda la gama de riesgos a los que se enfrentaba, incluida la creciente amenaza del ransomware y otros ciberataques. No habría habido duda de que el ransomware presentaba riesgos reales, especialmente dado el enorme número de puntos de vulnerabilidad en una cadena de suministro con cientos de proveedores distintos. Así que Toyota sin duda habría puesto en marcha iniciativas de mitigación del riesgo cibernético, mediante controles de seguridad y capacidades de monitoreo y respuesta a incidentes, y probablemente habría resuelto algunos aspectos de la probabilidad y el impacto de las amenazas potenciales.

A pesar de los riesgos, Toyota siguió adelante con el sistema justo a tiempo, aparentemente satisfecha con el equilibrio entre riesgo y recompensa. ¿Significa el ransomware de 2022 que fue una decisión equivocada? Puede que sí, puede que no. Si los impactos negativos superaran a los beneficios, entonces sí. Pero hay buenas razones para creer que no fue así. Las fábricas de Toyota estuvieron paradas apenas 24 horas, retrasando la producción de apenas 13.000 de los más de 10 millones de vehículos que fabrica cada año. Las recompensas de la producción justo a tiempo, tanto en términos de ahorro de costes como de capacidad de entrega personalizada, casi con toda seguridad superan con creces los daños del ataque. En resumidas cuentas: parece totalmente probable que Toyota tomara una decisión informada sobre el riesgo para determinar un equilibrio entre riesgo y recompensa, y los resultados sugieren que fue la decisión correcta.

Las condiciones de riesgo pueden cambiar y cambian, a veces muy bruscamente, y las condiciones cambiadas pueden exigir decisiones cambiadas. Una empresa que asume riesgos para mantenerse por delante de la competencia, ya sea una multinacional establecida como Toyota o una startup de rápido crecimiento, necesita estar continuamente informada de los cambios en el entorno de riesgo en el contexto de los impactos potenciales sobre sus operaciones y activos. Un sistema definido y aprobado de información sobre riesgos crea un proceso -con un alcance, una cadencia y unos informes definidos- para informar a las numerosas capas de partes interesadas de la empresa que intervienen en la toma de decisiones sobre riesgos.

Vamos a pasar a lo que puede ser el componente del programa más importante de todos: la información que las empresas utilizan para tomar decisiones sobre la gestión de riesgos. Detallamos cómo debe adquirirse, evaluarse, gestionarse y comunicarse esa información en un proceso sistemático que garantice que los líderes empresariales puedan tomar decisiones sobre riesgos a tiempo y con conocimiento de causa.

Por qué importa la información sobre riesgos, al más alto nivel

Una larga serie de decisiones judiciales de -incluidos los casos que ya hemos comentado, pero sin limitarse a ellos- han establecido que los responsables de la toma de decisiones empresariales al más alto nivel son responsables de los fallos en materia de riesgos y, lo que es aún más importante, de la falta de información sobre los riesgos. Esto se aplica a cualquiera que tome o deba tomar decisiones sobre riesgos, y eso incluye sin duda a los consejos de administración, los directores generales y los altos ejecutivos. Los tribunales han dejado claro que "no lo sabía" o alegar que la información era esporádica no son excusas suficientes cuando las cosas van mal. La falta de un sistema eficaz para adquirir, evaluar, comunicar y escalar la información sobre riesgos expone a todas estas funciones a graves responsabilidades legales, tanto civiles como (como has visto en el caso del CSO de Boeing) penales. Y los problemas no acaban ahí. En resumen: no establecer un proceso sistemático para hacer llegar la información sobre riesgos a las personas adecuadas en el momento oportuno introduce su propio conjunto de riesgos muy graves: legales, normativos, financieros y de reputación.

Nota

Una cita de la sentencia judicial en el caso Boeing deja claro que la responsabilidad del riesgo de las funciones críticas, la rendición de cuentas y la responsabilidad residen en los niveles más altos de la toma de decisiones de la empresa: "para la seguridad de misión crítica, los informes discrecionales de la dirección que mencionan la seguridad como parte de las operaciones generales de la empresa son insuficientes para apoyar la inferencia de que el Consejo esperaba y recibía informes periódicos sobre la seguridad de los productos. El Consejo de Boeing no puede dejar 'el cumplimiento de los mandatos de seguridad [de los aviones] a la discreción de la dirección en lugar de implantar y luego supervisar un sistema de cumplimiento más estructurado'".¹

Definición de riesgo e información sobre riesgos

Empecemos en definiendo los términos y hablando de lo que es la información sobre riesgos y, sobre todo, de lo que no es. El Centro Nacional de Ciberseguridad define la información sobre riesgos como "cualquier información que pueda influir en una decisión".

La mayoría de los responsables de la toma de decisiones empresariales con responsabilidades en la gestión de riesgos creen saber lo que es el riesgo, pero a menos que realicen sus juicios sobre el riesgo mediante un proceso sistemático, aprobado y formalizado, es probable que su comprensión del riesgo sea incompleta, incoherente y, en muchos casos, simplemente errónea. Esto es especialmente cierto en el caso de los profesionales de la seguridad, incluso los más veteranos y experimentados. Empecemos por ahí.

Es comprensible que un profesional de la seguridad piense en el riesgo en términos de amenazas y vulnerabilidades y de los controles o capacidades existentes para abordarlas: personas malintencionadas, vulnerabilidades de software sin parchear y protección de datos. Todas estas cuestiones son obviamente importantes, y la información sobre ellas es importante, incluso esencial, pero no es información sobre riesgos. ¿Por qué? Porque no está plenamente integrada en el contexto empresarial.

Antes de profundizar en la información sobre el riesgo, demos un paso atrás y definamos lo que entendemos por riesgo en sí. He aquí una definición muy directa, presentada como una simple ecuación:

Riesgo = Probabilidad × Impacto

Vamos a desglosarlo un poco más:

Riesgo = Probabilidad (de que una amenaza explote una vulnerabilidad) × Impacto (en un proceso, activo u objetivo de la empresa )

La probabilidad de que una amenaza explote una vulnerabilidad importa porque las amenazas a las que se enfrenta la empresa y las debilidades residuales resultantes (vulnerabilidades) son imposibles de contar, y mucho menos de responder por completo. Un ejemplo de la escala del entorno de las ciberamenazas: Microsoft identificó 1.212 vulnerabilidades en sus sistemas sólo en 2022. La mayoría de las empresas gestionan entornos informáticos complejos y heterogéneos, y a muchas les resulta cada vez más difícil tener una idea clara de qué sistemas y aplicaciones tienen instalados. Pero entender el activo es fundamental para comprender el impacto potencial si se ataca y si existe la probabilidad de que una amenaza potencial explote una vulnerabilidad (debilidad).

He aquí un ejemplo sencillo. Un exploit de día cero dirigido a Microsoft SQL Server es un problema grave para una empresa que utilice esa plataforma para dar soporte a una aplicación web crítica, pero probablemente no sea motivo de preocupación para una aplicación web que se está desmantelando y no está de cara al público.

Una amenaza por sí sola no es un riesgo, y la información sobre amenazas en sí no es información sobre riesgos.

Ahora, el impacto. Comienza con un inventario de lo que es más valioso para la empresa en términos de activos empresariales, que pueden incluir los secretos comerciales de la empresa y otra propiedad intelectual (PI), datos sensibles de los clientes o el código subyacente de su plataforma de comercio electrónico. A partir de ahí, se aclaran los posibles efectos secundarios que una amenaza o vulnerabilidad podría tener en los sistemas, aplicaciones, operaciones y procesos de la empresa. Sin un conocimiento exhaustivo de los activos afectados y de las consecuencias o efectos resultantes, es imposible comprender realmente el riesgo al que se enfrenta la empresa y, por supuesto, es imposible definir y ejecutar la respuesta adecuada.

Este proceso de determinar la relación entre la probabilidad de la amenaza y su impacto es, obviamente, muy utilizado para dar forma a la información sobre riesgos, y es un paso esencial para comprender qué comprende la información sobre riesgos. El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) ofrece una definición sencilla pero útil: "La información sobre riesgos es cualquier información que pueda influir en una decisión". El NCSC añade: "Algunas organizaciones tienen tendencia a aceptar sólo determinados tipos de información como información de riesgo legítima. Tales limitaciones aumentan la posibilidad de que se pase por alto algo importante".² El mensaje claro: un enfoque global de la información sobre riesgos -en lugar de, por ejemplo, centrarse en una amenaza o vulnerabilidad aislada- es esencial para la gestión de riesgos en el mundo real.

Un sistema de decisión basado en el riesgo toma estos conceptos y los aplica de forma sistemática, repetible y coherente. Utilizando una metodología fiable y aprobada, la empresa y sus dirigentes pueden confiar en los resultados del riesgo y tomar decisiones informadas para encontrar el equilibrio adecuado entre riesgo y recompensa.

El marco CRMP que hemos ido introduciendo en este libro se utiliza aquí para identificar los principios clave subyacentes que serán un factor a la hora de establecer un sistema eficaz basado en los riesgos, integrado como parte del CRMP más amplio. Para más detalles sobre el propio marco integral , consulta el Apéndice. Para más información sobre consideraciones específicas de implementación , véase el Capítulo 7. Para los detalles relacionados con un sistema informado del riesgo, véase la Tabla 4-1.

Tabla 4-1. Marco CRMP - Sistema informado de riesgos
Componente CRMP	Principios	Referencias informativas
Gobernanza ágil	Ver "Siete principios de gobernanza ágil".	Norma cibernética final de la SEC LCR 2.0 DEL NIST 2023 Manual del Director del NACD ISO 27001:2022 NIST 8286 Modelo de tres líneas IIA Orientaciones de la SEC para 2018 ISO 31000:2018 AICPA CRMP
Sistema basado en el riesgo	Ver "Cinco principios de un sistema informado sobre riesgos".	Norma cibernética final de la SEC LCR 2.0 DEL NIST 2023 Manual del Director del NACD ISO 27001:2022 Modelo de tres líneas IIA ISO 31000:2018 AICPA CRMP
Estrategia y ejecución basadas en el riesgo	Véase "Seis principios de estrategia y ejecución basadas en el riesgo".	Norma cibernética final de la SEC LCR 2.0 DEL NIST 2023 Manual del Director del NACD Modelo de tres líneas IIA ISO 31000:2018 AICPA CRMP
Escalada y divulgación de riesgos	Ver "Cinco principios de escalada y divulgación de riesgos".	Norma cibernética final de la SEC LCR 2.0 DEL NIST 2023 Manual del Director del NACD Modelo de tres líneas IIA Orientaciones de la SEC para 2018 AICPA CRMP

Cinco principios de un sistema basado en el riesgo

Este libro de expone un CRMP, que es un conjunto formal, sistemático y ciberespecífico de prácticas para abordar los retos y oportunidades de un entorno de riesgos en rápida evolución, alineado con las exigencias de las fuentes autorizadas que hemos estado comentando. Describimos las buenas prácticas para garantizar que ese programa se nutra de información sobre riesgos oportuna y adecuada. Hay cinco principios clave que deben estar presentes para que cualquier proceso de toma de decisiones informado sobre el riesgo sea eficaz y adecuado a las necesidades específicas de una empresa.

Principio 1: Definir un marco y una metodología de evaluación de riesgos

Hay que definir y aplicar un marco y una metodología de riesgo para identificar, evaluar y medir el ciberriesgo en el contexto de la organización.

Un enfoque sistemático de para identificar, evaluar y medir el ciberriesgo es fundamental, porque proporciona al órgano de gobierno del que hablamos en el último capítulo la información fiable y repetible que necesita para tomar decisiones adecuadas basadas en el riesgo. La organización de seguridad es fundamental en este esfuerzo, ya que proporciona al órgano de gobierno y a la empresa en su conjunto la información que necesita para tomar decisiones sobre riesgos, pero no toma las decisiones, ni es responsable de ellas.

El papel de la organización de seguridad no es tomar decisiones sobre riesgos, sino guiar a la empresa a través de un proceso de toma de decisiones basado en los riesgos.

Toda la información que proporciona la organización de seguridad en colaboración con otras partes de la organización debe considerarse parte de un sistema informado del ciberriesgo que eduque y guíe al órgano de gobierno y a las partes interesadas del negocio. Esta información puede incluir información sobre riesgos empresariales, identificación de activos de TI, tecnología operativa (OT), Internet de las Cosas (IoT), inteligencia sobre amenazas, apetito de riesgo empresarial definido, prioridades empresariales, estrategias empresariales futuras, esfuerzos de mitigación existentes y lecciones aprendidas.

Pero, ¿por qué es necesario establecer un marco y una metodología? Muchas empresas -y organizaciones de seguridad- ya tienen prácticas y procesos para identificar el riesgo, pero tienden a ser ad hoc, realizados como esfuerzos aislados, o llevados a cabo sólo a intervalos largos y luego más o menos olvidados. También suelen derivarse de incidentes pasados, como violaciones de datos y brotes de virus, o fallos de control. (Y si los cambios a hipervelocidad de la era digital nos han enseñado algo, es que el pasado por sí solo nunca es una guía adecuada para el futuro). Las prácticas de información e identificación de riesgos deben seguir una cadencia regular definida y aprobada por los responsables de la toma de decisiones, porque no recibir información continua sobre los riesgos es en sí mismo un riesgo.

Un marco y una metodología aprobados sustituyen este enfoque esencialmente ad hoc o reactivo por un medio sistemático de recopilar datos para informar sobre los niveles de riesgo aceptables, identificar los riesgos emergentes y potenciales y gestionar o mitigar los riesgos que realmente se producen. Es importante señalar que, aunque las métricas desempeñan un papel importante en este proceso, deben ser las métricas adecuadas: no métricas operativas o de cumplimiento, sino métricas de riesgo que proporcionen información accesible, procesable y adecuada al contexto empresarial.

Uno de los retos más comunes a los que se enfrentan las empresas a la hora de implantar y ejecutar procesos informados sobre riesgos es que tienen demasiados datos -o el tipo de datos equivocado- y les cuesta contextualizar esos datos para que sean procesables y relevantes para sus decisiones sobre riesgos. Otro reto es traducir los datos a términos y lenguaje que sean claramente comprensibles para el público al que van dirigidos y con la finalidad prevista. El consejo de administración y los altos ejecutivos, por ejemplo, buscarán un conjunto de perspectivas de alto nivel sobre los riesgos más urgentes o las preocupaciones empresariales relacionadas, el apetito de riesgo de la empresa, las repercusiones presupuestarias y otras preocupaciones empresariales. Un director de información (CIO) o un líder empresarial pueden estar mejor servidos con datos más granulares adecuados a sus necesidades de toma de decisiones. La granularidad de este sistema basado en el riesgo forma parte de la definición del marco basado en el riesgo que debe ser debatido, desarrollado y aprobado por la empresa. Esto será necesariamente un proceso continuo, y requerirá un monitoreo e informes continuos respecto a los resultados de referencia, de modo que sea posible identificar y responder a las tendencias emergentes. (Los informes deben alinearse con el proceso establecido de presupuestación y priorización, que se trata en el capítulo siguiente). Y todas estas medidas tienen un único objetivo global: garantizar la integración efectiva de la ciberseguridad como parte de un sistema global de gestión de riesgos en toda la empresa.

La siguiente orientación industrial es especialmente importante en este caso:

Reglamento S-K de la SEC, punto 106(b)-Gestión del riesgo y estrategia: La esencia de este punto es garantizar que las empresas disponen de procesos sistemáticos para evaluar e identificar los riesgos materiales derivados de las amenazas a la ciberseguridad. Refuerza el principio de que las organizaciones necesitan un marco establecido para navegar por las complejidades del riesgo cibernético, especialmente en el contexto de su estrategia empresarial más amplia y sus implicaciones financieras.
2023 Manual del Director de la NACD sobre la Supervisión del Riesgo Cibernético Principio 1, 4, 5: Para que la ciberseguridad de se considere un "riesgo estratégico", como afirma la NACD, los riesgos cibernéticos deben verse a través del contexto empresarial, no sólo a través de una lente informática. Esto subraya también la importancia del componente anterior, "Gobernanza ágil", y la necesidad de trabajar con la empresa para comprender sus preocupaciones y poder identificar, evaluar y medir el riesgo dentro del contexto empresarial.
2023 Borrador NIST CSF 2.0 GV.RM, ID.RA: El NIST ofrece una perspectiva a través de estas categorías, proporcionando orientación y subrayando la necesidad de un marco y una metodología establecidos.
ISO/IEC 27001:2022 6.1.2, 6.1.3: ISO/IEC 27001 adopta un enfoque basado en el riesgo. La alta dirección es responsable de garantizar que los riesgos de la organización se identifiquen, evalúen y traten adecuadamente, lo que incluye definir la metodología de evaluación de riesgos que se ajuste al contexto de la organización. Las cláusulas 6.1.2 y 6.1.3 exigen procesos de evaluación y tratamiento de riesgos. Además, la norma ISO/IEC 27005 ofrece orientaciones más detalladas sobre la gestión de riesgos para la seguridad de la información.
2017 AICPA CRMP Descripción Criterios DC11: Esta norma contable exige un proceso para identificar los riesgos de ciberseguridad y los cambios ambientales, tecnológicos, organizativos y de otro tipo que podrían tener un efecto significativo en el programa de gestión de riesgos de ciberseguridad de la entidad y evaluar los riesgos relacionados para la consecución de los objetivos de ciberseguridad de la entidad .

Principio 2: Establecer una metodología para los umbrales de riesgo

Debe establecerse una metodología aprobada y repetible para los umbrales de riesgo aceptables, tanto de apetito como de tolerancia.

Existen varias metodologías para establecer niveles de riesgo aceptables, pero aquí hablaremos de tres. Cualquiera que sea la metodología que utilices, debe encontrar niveles aceptables de apetito de riesgo y tolerancia al riesgo para entornos empresariales específicos y, lo que es crucial, garantizar que esos niveles de riesgo sean aprobados por los propietarios del riesgo y cualquier otro responsable de la toma de decisiones de alto nivel. La metodología que se adopte o desarrolle puede variar mucho, pero sea cual sea la que se utilice, debe abordar cinco funciones:

Definir los niveles de riesgo actuales: Esto significa evaluar los riesgos a los que se enfrenta actualmente la empresa y la eficacia de las medidas de mitigación de riesgos que se aplican en la actualidad.
Definir y acordar los niveles de riesgo deseados para el futuro: Una definición de los riesgos futuros aceptables -desarrollada en colaboración con el órgano de gobierno- permite a la empresa priorizar sus esfuerzos de gestión de riesgos para hacer frente a los riesgos cambiantes y emergentes.
Utilizar los niveles de riesgo de estado futuro aceptados para desarrollar una estrategia de riesgo global y un modelo de ejecución: Esto es crucial, no sólo porque alinea el apetito de riesgo y los niveles de tolerancia de la empresa con su estrategia empresarial global, sino también porque permite desarrollar y defender unas asignaciones presupuestarias adecuadas. (Esta cuestión se tratará ampliamente en el próximo capítulo).
Monitoreo de la ejecución de la estrategia de riesgo: Debe ser un proceso continuo, supervisado por el órgano de gobierno, para determinar su eficacia y garantizar que la empresa se mantiene dentro de unos parámetros de riesgo aceptables.
Monitoreo continuo basado en la cadencia acordada: Una cadencia adecuada de revisión, evaluación y monitoreo de la propensión al riesgo y la tolerancia al riesgo a intervalos fijos (véase "Principio 4: Acordar un intervalo de evaluación del riesgo") permitirá anticiparse y adaptarse a los cambios en el entorno de riesgo.

Apetito y Tolerancia al Riesgo: La diferencia crucial

Muchos responsables de la toma de decisiones empresariales -incluso profesionales de la seguridad altamente cualificados- no tienen claros los términos apetito de riesgo y tolerancia al riesgo, así que dediquemos un momento a aclarar la diferencia. Las definiciones de COSO proporcionan una visión general útil:

Apetito de riesgo es la cantidad de riesgo, a nivel general, que una organización está dispuesta a aceptar en la búsqueda de valor. Cada organización persigue diversos objetivos para añadir valor y debe comprender a grandes rasgos el riesgo que está dispuesta a asumir al hacerlo.
Tolerancias de riesgo orientan a las unidades operativas cuando aplican el apetito de riesgo en su ámbito de actuación. Las tolerancias de riesgo comunican un grado de flexibilidad, mientras que el apetito de riesgo establece un límite más allá del cual no debe asumirse el riesgo.

Indudablemente, las distintas empresas tendrán diferentes apetitos de riesgo y tolerancia al riesgo, y existen muchos enfoques diferentes para definirlos y establecer el equilibrio deseado entre ellos. Pero sea cual sea el enfoque adoptado, es la empresa la que debe tomar la decisión final sobre lo que constituye un riesgo aceptable para permitir una mejor toma de decisiones y ejecución. Debe existir una metodología repetible para informar a la empresa y recibir su aprobación.

La necesidad de una medición eficaz y adecuada del riesgo está impulsada -y respaldada- por una amplia gama de normas y protocolos, entre los que se incluyen:

El Marco de Ciberseguridad 2.0 del NIST , que hace hincapié en que el apetito de riesgo y la tolerancia al riesgo deben determinarse y comunicarse en función del entorno empresarial de la organización.
Principio 1 del Manual del Director de la NACD sobre la Supervisión del Ciberriesgo, 5. El Principio 1 subraya la necesidad de que los debates sobre el ciberriesgo se alineen con los objetivos estratégicos y las oportunidades empresariales. Para ello, es esencial una metodología sólida que fomente el compromiso empresarial y facilite la medición del apetito de riesgo, tal y como ha sido delineado por la dirección y sancionado por el consejo. El Principio 5 del manual de la NACD habla de cómo deben formularse las declaraciones de apetito de riesgo con la máxima claridad, objetividad y mensurabilidad, al tiempo que se tienen en cuenta elementos subjetivos como el telón de fondo económico predominante en el momento de la determinación inicial.

Cualquiera que sea la metodología de evaluación de riesgos de ciberseguridad elegida, tendrá ciertos propósitos comunes fundamentales. Definirá los niveles de riesgo, los traducirá a términos que las distintas partes interesadas entiendan claramente y alineará los niveles de riesgo con los distintos niveles de gobierno y, si es posible, con las demás funciones de riesgo de la empresa. Permitirá comunicar a las partes interesadas el camino que está recorriendo la empresa para alcanzar la madurez del riesgo. Y dará resultados con las funciones de gobierno a todos los niveles.

Es importante señalar que alcanzar el nivel deseado y adecuado de evaluación del riesgo requiere tiempo y esfuerzo. En efecto, es probable que sea un viaje, que comience con la modelización de la madurez, luego integre métricas de KPI/desempeño, después pase a la evaluación cualitativa y, por último, a la cuantificación del riesgo, probablemente utilizando herramientas automatizadas.

El objetivo último de este principio es garantizar la existencia de un marco que asegure que la empresa, y sus responsables de la toma de decisiones sobre riesgos, utilicen todos los datos disponibles dentro del marco seleccionado para alinearse sobre los niveles de riesgo aceptables y utilicen el resultado para informar al órgano de gobierno .

Principio 3: Establecer la comprensión de las necesidades basadas en el riesgo

El órgano de gobierno debe ser identificado y comprometido en el establecimiento de una comprensión global de sus necesidades informadas sobre el riesgo cibernético.

La gestión de riesgos de seguridad cibernética, como todas las formas de gestión de riesgos, requiere el compromiso y la participación de un amplio abanico de partes interesadas de la empresa, incluidos los responsables de la toma de decisiones de alto nivel (ya hablamos de esto en detalle en el último capítulo). Esto requiere una comunicación eficaz, dirigida a diferentes personas y audiencias, presentada de forma que las partes interesadas puedan entenderla fácilmente, y alineada con los requisitos del órgano de gobierno de la empresa.

Por supuesto, las necesidades de las distintas partes interesadas variarán mucho. Los profesionales de la seguridad pueden necesitar información muy técnica, los líderes de las unidades de negocio buscarán información centrada en el rendimiento operativo de sus áreas, y los altos ejecutivos y los consejos de administración probablemente sólo querrán la información de más alto nivel. Es importante tener en cuenta que este proceso debe ser una conversación, no un flujo unidireccional de información de las funciones de riesgo a otras partes interesadas. El objetivo final es proporcionar a todas las partes implicadas información y mediciones del riesgo que sean apropiadas y adecuadas para que puedan tomar decisiones empresariales basadas en el riesgo, y llevar a cabo sus actividades empresariales dentro de las tolerancias de riesgo definidas y establecidas.

El NIST ha desarrollado una útil metodología centrada en la ciberseguridad para identificar y estimar el riesgo de ciberseguridad (véase la Figura 4-1).

Un elemento importante del desarrollo de un sistema informado sobre riesgos es el establecimiento de una relación de trabajo entre las partes interesadas adecuadas y la información sobre riesgos deseada. Esta relación ayudará a definir la finalidad y la estructura del sistema y garantizará que sea establecido y aprobado formalmente por los líderes empresariales, y no simplemente el resultado de la información que se presente.

NIST illustration of enterprise risk and coordination

Estas normas industriales son referencias adicionales que apoyan este principio:

2023 Borrador NIST CSF 2.0 GV.OC-02: Esta subcategoría de pone de relieve la importancia de identificar a las partes interesadas tanto internas como externas y de comprender sus expectativas en relación con la gestión del ciberriesgo.
2017 AICPA CRMP Descripción Criterios DC13: El AICPA establece un proceso para comunicar internamente la información relevante sobre ciberseguridad necesaria para apoyar el funcionamiento del programa de gestión de riesgos de ciberseguridad de la entidad, incluidos los objetivos y responsabilidades en materia de ciberseguridad y los umbrales para comunicar los sucesos de seguridad identificados y sus resoluciones.
2020 IIA Modelo de tres líneas Principio 1: El principio Governance del IIA hace hincapié en la rendición de cuentas a las partes interesadas y en la importancia de identificarlas e implicarlas para comprender sus necesidades en función del riesgo, fomentando la transparencia y la comunicación.

Principio 4: Acordar un intervalo de evaluación del riesgo

El proceso de evaluación de riesgos debe realizarse según un intervalo acordado y sus resultados deben evaluarse periódicamente.

El riesgo no es estático -nunca lo ha sido, por supuesto, y la digitalización lo ha hecho más cierto que nunca- y eso significa que la gestión del riesgo tampoco puede ser estática. Por esta razón, un sistema basado en el riesgo debe reconocer que las empresas cambian y el riesgo cambia con ellas, y viceversa. Esta realidad requiere el establecimiento de un ciclo de vida de evaluación de riesgos y pasos de cadencia para evaluar los riesgos y los impactos de los controles de riesgos de forma continua a intervalos establecidos.

Las empresas suelen utilizar registros de riesgos -documentos que anotan diversos riesgos y tipos de riesgos en un momento determinado- para captar los riesgos a los que se enfrentan. Se trata de una herramienta útil, e incluso necesaria, y en el actual entorno empresarial digitalizado de alta presión, normalmente formará parte de un proceso de toma de decisiones basado en los riesgos, por su utilidad como documento de referencia. Pero es importante reconocer que es sólo una herramienta, y que debe utilizarse de forma coherente e iterativa para reflejar la naturaleza cambiante del riesgo empresarial. El registro de riesgos debe actualizarse continuamente a medida que se identifiquen nuevos riesgos, su probabilidad y su impacto, para que el órgano de gobierno pueda decidir nuevas respuestas al riesgo e introducirlas también en el registro de riesgos. Cada vez que se aplica una nueva respuesta al riesgo a un elemento del registro de riesgos, esa actualización representa el nuevo estado actual en el ciclo de evaluación de riesgos. Esto permite una introducción, revisión y análisis oportunos, regulares y sistemáticos.

Otro punto importante sobre la cadencia del proceso de evaluación de riesgos es que probablemente será diferente para cada empresa, y la empresa debe establecer una cadencia con la que se sienta cómoda, que no consuma demasiado tiempo ni sea perjudicial. Algunas pueden considerar adecuado realizar una actualización anual de la evaluación de riesgos, monitoreando sus KRI a lo largo del año para detectar cambios significativos. Para otras (por ejemplo, empresas de sectores verticales muy regulados, como los servicios financieros), puede ser útil disponer de un motor automatizado de cuantificación del ciberriesgo que presente valores de riesgo actualizados de forma continua.

El modelo de riesgo del Instituto FAIR

En existen muchos modelos diferentes de evaluación de riesgos para determinar la probabilidad y el impacto. Uno de los más influyentes procede del Instituto FAIR (Factor Analysis of Information Risk) , una organización sin ánimo de lucro dedicada a "[establecer y promover] buenas prácticas de gestión de riesgos que capaciten a los profesionales del riesgo para colaborar con sus socios empresariales en la consecución del equilibrio adecuado entre la protección de la organización y el funcionamiento del negocio". (Ese es el equilibrio entre riesgo y recompensa que destacamos en el primer capítulo). En esencia, es una versión más detallada de la ecuación probabilidad-veces-impacto que dimos antes, expresada en términos de expectativa de pérdida financiera anual o exposición. Los componentes de probabilidad están a la izquierda, mientras que los impactos están a la derecha, y ambos alimentan la comprensión global del riesgo (véase la Figura 4-2).

Figura 4-2. Modelo cuantitativo estándar del Instituto FAIR para la seguridad de la información y el riesgo operativo⁴

Se hace hincapié en la necesidad de un proceso de evaluación de riesgos cadenciado y necesario para cumplir las directrices de las siguientes normas:

Reglamento S-K de la SEC, punto 106(b)-gestión de riesgos y estrategia: Al centrarse en cómo podrían afectar los ciberriesgos a las operaciones empresariales o a las condiciones financieras, este punto incita a las organizaciones a reevaluar continuamente su postura ante el riesgo en el contexto de la evolución de las amenazas y las prioridades empresariales. Esto refuerza el énfasis del principio en un proceso iterativo de evaluación de riesgos.
2023 Manual del Director de la NACD sobre la Supervisión del Riesgo Cibernético Principio 5: El llamamiento de la NACD ( ) a una medición e información coherentes en materia de ciberseguridad subraya la importancia del proceso de evaluación de riesgos regular y sistemático.
2023 Borrador NIST CSF 2.0 ID.RA, ID.IM.01-03: ID.RA subraya la importancia de realizar evaluaciones de riesgos, e ID.IM hace hincapié en revisar y ajustar periódicamente los procesos de gestión de riesgos de la organización para garantizar que cubren los requisitos de la organización y abordan adecuadamente los riesgos identificados. Ambos subrayan la necesidad de un enfoque proactivo de la ciberseguridad, haciendo hincapié en el ajuste continuo de las estrategias en función de la evolución del panorama de riesgos. En general, el Borrador del NIST también se alinea con la idea de que la gestión eficaz del riesgo cibernético no es un esfuerzo puntual o de "marcar la casilla", sino que debe funcionar como un programa continuo de .

Principio 5: Habilitar procesos de información

Los procesos de información deben dotar al órgano de gobierno de información sobre el impacto de los ciberriesgos en las prácticas existentes y en las decisiones estratégicas.

Un sistema informado de los riesgos es un sistema con políticas definidas y procesos establecidos, y estos procesos deben incluir la presentación de informes al órgano de gobierno y a todas las demás partes interesadas. El proceso de información alertará al órgano de gobierno, y a través de él a la empresa, de los sucesos de seguridad, es decir, de los riesgos que superan los umbrales acordados y requieren respuesta, aceptación u otro tratamiento del riesgo. Esto es especialmente crítico porque estas alertas impulsarán los niveles de información y, cuando sea necesario, la escalada. (Trataremos en detalle el escalado de riesgos en un capítulo posterior).

Los informes son comunicación y, como cualquier forma de comunicación, deben ser accesibles, procesables y específicos -tanto en contenido como en estilo- para el público al que van dirigidos. Los informes de los consejos de administración son un buen ejemplo de los requisitos de un informe eficaz. Puede requerir que te comuniques sobre un tema técnico complejo con personas que no suelen tener formación técnica ni profundos conocimientos técnicos. Las responsabilidades de los directivos son esencialmente fiduciarias, es decir, centradas en la salud financiera de la empresa en su conjunto. Y eso significa que los informes del consejo deben comunicar el riesgo cibernético en términos empresariales que se relacionen directamente con los procesos y métricas clave del funcionamiento empresarial. El objetivo final: inspirar confianza al consejo en que el ciberriesgo se gestiona eficazmente.

Recuerda que informar -sea cual sea el tema y el público- es esencialmente contar historias. Un componente fundamental de un reportaje eficaz es elaborar una historia: una narración clara y fácil de seguir que haga sentir y pensar al público objetivo. Numerosas investigaciones demuestran que la mayoría de los públicos -incluso los más sofisticados- toman decisiones basándose tanto en la emoción como en la lógica. Sin embargo, muchas de las partes interesadas en los procesos de gestión de riesgos están más acostumbradas a limitarse a comunicar métricas y otros datos. Los profesionales técnicos tienden a comenzar con una masa de datos que comprenden y saben que apoyan los puntos que quieren exponer, pero que probablemente resulten incomprensibles y, lo que es peor, poco convincentes para un público mayoritariamente no técnico. Un enfoque mucho mejor es empezar con una historia que tenga impacto emocional -un fallo de seguridad que se ha mitigado con éxito- y luego seguir con datos de apoyo.

Las normas y protocolos del sector más relevantes para las prácticas de información sobre gobernanza son:

2023 Borrador NIST CSF 2.0 GV.OV-01 a 03: Estas subcategorías de hacen hincapié en que los líderes de la organización deben revisar y evaluar la eficacia y adecuación del rendimiento de la gestión de riesgos de ciberseguridad y sus resultados, lo que sólo puede lograrse mediante procesos de información sistemáticos y transparentes. Este bucle de retroalimentación permite a los líderes ajustar las estrategias según sea necesario, garantizando que la postura de ciberseguridad de la organización siga siendo sólida y responda a la evolución del panorama de amenazas.
2023 Manual del Director de la NACD sobre la Supervisión del Riesgo Cibernético Principio 5: El Principio 5 de la NACD destaca la necesidad de informar y medir periódicamente los ciberriesgos, sobre todo en respuesta a los entornos empresariales cambiantes. Esta práctica permite a las organizaciones mantenerse actualizadas sobre su postura de riesgo y tomar decisiones informadas, lo que constituye una parte clave para permitir una gobernanza Ágil eficaz.
2017 AICPA CRMP Descripción Criterios DC13, DC16: Esta norma contable exige un proceso para comunicar internamente la información relevante sobre ciberseguridad necesaria para apoyar el funcionamiento del programa de gestión de riesgos de ciberseguridad de la entidad. Esto incluye objetivos y umbrales para comunicar los sucesos de seguridad identificados a las partes interesadas pertinentes, incluida la dirección y el consejo, según convenga.

Lo esencial

En este capítulo, hemos subrayado la urgencia de un enfoque sistemático para dar forma a un sistema informado sobre los riesgos, un enfoque que sea a la vez programático y adaptado con precisión a los contextos específicos a los que se aplica. Este enfoque no es estático. Requiere resultados precisos, como informes de riesgos, y la agilidad para delinear límites claros de apetito y tolerancia. Según establecen los precedentes legales, todo lo que se considere misión crítica -categoría que incluye inequívocamente el ámbito cibernético- exige este nivel de escrutinio y supervisión estratégica.

Esto significa que un sistema informado del riesgo no debe funcionar de forma aislada. Debe integrarse a la perfección en el programa más amplio de gestión de riesgos cibernéticos, fomentando la colaboración y la coordinación con sus demás componentes básicos. Esto no sólo facilita una gobernanza informada, sino que también allana el camino para la formulación y aplicación de una estrategia basada en el riesgo, que será el punto central de nuestro capítulo siguiente.

¹ In re C. A. 2019-0907-MTZ (Del. Ch. 7 Sep. 2021), https://oreil.ly/R_6fF.

² "Gestión de riesgos", Centro Nacional de Ciberseguridad, consultado el 10 de octubre de 2023, p. 7.

³ Fuente: "NISTIR 8286A: Identificación y estimación del riesgo de ciberseguridad para la gestión del riesgo empresarial", NIST, noviembre de 2021, https://oreil.ly/jcUFj.

⁴ Fuente: "El modelo FAIR", FAIR Institute/Risk Lens, 2017.

Get Crear un programa de gestión de riesgos cibernéticos now with the O’Reilly learning platform.

O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.

Start your free trial

Crear un programa de gestión de riesgos cibernéticos by Brian Allen, Brandon Bapst, Terry Allan Hicks

Capítulo 4. Sistema informado del riesgo

Por qué importa la información sobre riesgos, al más alto nivel

Nota

Definición de riesgo e información sobre riesgos

Cinco principios de un sistema basado en el riesgo

Principio 1: Definir un marco y una metodología de evaluación de riesgos

Principio 2: Establecer una metodología para los umbrales de riesgo

Principio 3: Establecer la comprensión de las necesidades basadas en el riesgo

Figura 4-1. Ilustración del NIST del riesgo empresarial y la coordinación³

Principio 4: Acordar un intervalo de evaluación del riesgo

Principio 5: Habilitar procesos de información

Lo esencial

Don’t leave empty-handed

It’s yours, free.

Check it out now on O’Reilly

Capítulo 4. Sistema informado del riesgo

Por qué importa la información sobre riesgos, al más alto nivel

Nota

Definición de riesgo e información sobre riesgos

Cinco principios de un sistema basado en el riesgo

Principio 1: Definir un marco y una metodología de evaluación de riesgos

Principio 2: Establecer una metodología para los umbrales de riesgo

Principio 3: Establecer la comprensión de las necesidades basadas en el riesgo

Figura 4-1. Ilustración del NIST del riesgo empresarial y la coordinación3

Principio 4: Acordar un intervalo de evaluación del riesgo

Principio 5: Habilitar procesos de información

Lo esencial

Don’t leave empty-handed

It’s yours, free.

Check it out now on O’Reilly

Figura 4-1. Ilustración del NIST del riesgo empresarial y la coordinación³