Las amenazas cibernéticas son un desafío aparentemente imposible. Por su propia naturaleza, que cambian rápidamente, sin bordes, asimétricos, son ridículamente difíciles de predecir y administrar. No es de extrañar que el Foro Económico Mundial haya colocado una vez más a la ciberseguridad cerca de la parte superior de su última lista de riesgos globales . De hecho, la sabiduría convencional sostiene que es solo cuestión de tiempo antes de que su organización sea el objetivo de un ciberataque. Y aunque estamos de acuerdo con Andy Bochman , un analista senior de ciberseguridad en el Laboratorio Nacional de Idaho, que “ninguna cantidad de gasto en defensas lo protegerá por completo de los piratas informáticos”, afirmamos que puede reforzar sus defensas para mitigar sustancialmente el riesgo.

En este artículo, nos centramos en el principal desafío en la gestión de la ciberseguridad: la brecha de datos. Muy poca información cibernética está ampliamente disponible, lo que dificulta la evaluación objetiva del impacto potencial de los incidentes. A través de nuestro trabajo con las partes interesadas en todas las regiones e industrias, proponemos un enfoque para identificar qué medir, cómo capturar los datos requeridos y cómo hacer que sean útiles.

Por qué deberíamos compartir información

La información es poder y, en ciberseguridad, es el poder para evitar otros eventos similares. Si se produce una violación en una organización, podemos estar razonablemente seguros de que la misma táctica maliciosa se utilizará en otra organización en el futuro cercano. Si se ponen a disposición los datos sobre esa primera violación conocida, otras organizaciones pueden prepararse y asegurarse de que no se use la misma vulnerabilidad contra ellas. El conocimiento compartido también permite que los reguladores y las fuerzas del orden público administren objetivamente los incentivos para guiar el gobierno corporativo de ciberseguridad, la recopilación de datos y el intercambio de información.

El primer paso es averiguar qué debe medirse exactamente. Para hacer esto, debemos acordar una taxonomía estándar de eventos cibernéticos para poder rastrear y comprender las consecuencias de cualquier ataque. Esta taxonomía debe incluir:

  • fechas relevantes para el incidente (cuándo ocurrió, cuándo se detectó inicialmente, cuándo se informó)
  • tipo de incidente (incumplimiento, malware, denegación de servicio distribuida [DDoS], etc.)
  • tamaño del impacto en los resultados financieros o la capacidad de realizar negocios
  • tipo de impacto (violación de datos, pérdida financiera, operativa, legal, reputacional, propiedad intelectual, etc.)
  • Método utilizado para acceder a la red o los datos (phishing, ransomware, virus, cero días de explotación, etc.)
  • cómo se resolvió el incidente (parche, actualizar la configuración del firewall o el software, etc.) y el costo de la resolución

Por supuesto, ninguna organización quiere declarar públicamente que sufrieron un incidente; no solo quieren evitar revelar vulnerabilidades a los malos actores, sino que no quieren incurrir en el daño a la reputación o financiero que puede conllevar dicha divulgación. Para fomentar el intercambio de información relacionada con la violación, es importante garantizar el anonimato a las organizaciones que informan incidentes. Pero para que los datos de la violación cibernética sean relevantes, cada incidente debe etiquetarse con firmografía, como el tipo de industria de la organización, el rango de ingresos, el número de empleados, la huella geográfica, para que las organizaciones con perfiles similares puedan identificar posibles amenazas e impactos. Con suficientes incidentes reportados, podemos entender mejor la frecuencia y los tipos de incidentes que tienen más probabilidades de ocurrir a nivel industrial, nacional y regional.

Una nota final sobre priorización e inversión: este no es un evento único. El panorama de amenazas cibernéticas está en constante evolución, al igual que los requisitos reglamentarios. La preparación cibernética debe revisarse y ajustarse regularmente.

Cumplimiento y comunicación

Los reguladores de todo el mundo requieren que las compañías divulguen incidentes, pero nuestra investigación muestra que con demasiada frecuencia estos reguladores comparten muy poca información pública para ser de utilidad, si es que comparten alguna. Más concretamente, la mayoría de los reguladores no piden que los tipos correctos de información sean útiles si se comparten. La Comisión de Bolsa y Valores de EE. UU., Por ejemplo, exige que las empresas que cotizan en bolsa divulguen su exposición al riesgo cibernético, pero no exige los tipos específicos de datos que describimos anteriormente. Por lo tanto, no es sorprendente que la mayoría de las empresas simplemente ofrezcan una exención de responsabilidad legal que no ofrece información sobre la exposición o la preparación.

En nuestra investigación observamos que si bien informar sobre los riesgos cibernéticos es un ejercicio puramente basado en el cumplimiento, las compañías elaboran con mayor detalle después de sufrir un incidente cibernético divulgado públicamente.

Si bien el estado actual de la regulación de cumplimiento es bastante inadecuado, nos preocupa que no existan incentivos para que las organizaciones compartan los datos que puedan tener sobre las infracciones cibernéticas y la vulnerabilidad. Para remediar esto, sugerimos una asociación público-privada para brindar a las organizaciones el apoyo operativo que necesitan para monitorear su seguridad y compartir información a través de un recurso confiable.

Un buen ejemplo de este tipo de asociación es Cyber ​​Net , una plataforma en línea desarrollada y administrada por el Equipo Nacional de Respuesta a Emergencias Informáticas de Israel (CERT), parte de la Dirección Nacional de Cibernética de Israel (INCD). Los incentivos para la participación son los que mencionamos anteriormente: acceso a los datos que ayudan a las organizaciones a identificar posibles amenazas y puntos de referencia contra sus pares. Todos los datos se comparten de forma anónima, y ​​el INCD no comparte los datos informados con otras entidades gubernamentales, incluidas las agencias policiales y de investigación. No solo el sector privado puede beneficiarse de este tipo de asociación. Un modelo similar desarrollado para su uso a escala global o regional daría a los gobiernos una visión de las tendencias y los riesgos en evolución en toda su economía para que puedan brindar apoyo en consecuencia.

Creemos que los enfoques nos llevarían un largo camino hacia la gestión del riesgo cibernético. Una vez que adoptemos un enfoque estándar para calcular, medir y comunicar el riesgo cibernético, todos los interesados ​​finalmente podrán tomar decisiones estratégicas basadas en hechos para garantizar la seguridad de los datos de sus empresas, sus socios y sus clientes


Fuente: LINK