Por: CP Iván Rodríguez. Colaborador de Auditool.
Las organizaciones han venido incorporando tecnologías digitales como inteligencia artificial (IA), automatización robótica de procesos (RPA del inglés Robotic Process Automation)[1] y aplicaciones basadas en la nube en sus operaciones a un ritmo vertiginoso. Un estudio reciente de Polaris Market Research encontró que se prevé que el tamaño y la participación del mercado de transformación tecnológica aumenten a una tasa de crecimiento anual compuesta del 24% entre 2022 y 2030[2].
A medida que esta transformación tecnológica crea más activos digitales propiedad de la empresa (con volúmenes masivos de datos confidenciales de empleados, clientes y proveedores) los equipos de seguridad de la información deben asumir la gran responsabilidad de mantener programas de gestión de riesgos de tecnología de la información (TI) efectivos y resistentes. Sin embargo, un desafío común que enfrentan muchos líderes de seguridad de TI es obtener el apoyo de la alta dirección para conseguir que las organizaciones realicen las inversiones necesarias en recursos para administrar áreas críticas de riesgo de seguridad de la información.
Por ello, la cuantificación del riesgo es crucial, pues define el impacto de un riesgo de seguridad de TI en el negocio en términos de dinero. Por ejemplo, categorizar el impacto comercial en términos de dinero (pérdida financiera o pérdida de nuevos negocios) del riesgo de que el software de gestión de relaciones con los clientes (CRM del inglés Customer Relationship Management) de una empresa pierda todos los datos de los clientes, esto es impactante y claro de entender.
Por otro lado, la cuantificación de riesgos permite a los directores de seguridad de la información (CISO por sus siglas en inglés Chief Information Security Officer) hablar con los ejecutivos de negocios en un idioma familiar, lo que puede facilitar enormemente el proceso de obtención del apoyo necesario para la inversión en ciberseguridad. Sin embargo, si la cuantificación del riesgo es un objetivo tan beneficioso y práctico, cabe preguntarse por qué hay equipos de seguridad de la información que no tienen éxito.
No hay que olvidar que la cuantificación del riesgo es un proceso iterativo y continuo que les permite a las empresas gestionar riesgos proactivamente, proteger activos valiosos y mantener una ventaja competitiva en un entorno cambiante con una constante evolución de amenazas y desafíos. Frente a este panorama, los profesionales de seguridad de la información y los auditores deben comprender las barreras existentes para la cuantificación del riesgo y los mitos que la rodean y, en ese sentido, dar los pasos concretos que permitan cuantificar con éxito los riesgos y comunicar los impactos críticos de estos a los terceros interesados.
La columna vertebral de la gestión ágil de riesgos de TI es el análisis y modelado de riesgos precisos implementados desde el comienzo de las nuevas iniciativas comerciales. Sin embargo, no todos los ejecutivos de negocios están consultando con profesionales de riesgos desde el principio. Por esta razón, debe abordarse la desconexión entre la seguridad de la información y el negocio; de no ser así, los esfuerzos de gestión de riesgos de seguridad de TI de una organización estarán incompletos y la organización puede permanecer expuesta a riesgos que pueden afectar las estrategias y objetivos comerciales clave.
Algunas de las dificultades para la cuantificación del riesgo están basadas en mitos y pueden ser superadas de una manera que no es muy compleja[3]:
- Mito: no se pueden empezar a cuantificar los riesgos hasta terminar de implementar el Análisis Factorial de Riesgo de Información (FAIR por sus siglas en inglés Factor Analysis of Information Risk)
El FAIR es un análisis cuantitativo de riesgo muy útil[4]. Se trata de un modelo de análisis que representa un excelente marco de objetivos para el cual las empresas deben trabajar. Sin embargo, a menudo se tergiversa como una barrera de entrada para la cuantificación del riesgo. La idea de que sólo podrá cuantificar sus riesgos al finalizar la implementación de FAIR es un mito limitante, especialmente porque FAIR es un proceso que requiere mucho tiempo y puede extenderse durante un año o más.
¿Cómo se supera este mito? Los equipos de seguridad de la información, en el proceso de implementación de FAIR, no necesitan esperar hasta su finalización para comenzar a cuantificar sus riesgos. Dicha cuantificación es un proceso iterativo que se basa en datos de riesgo cualitativos a los que la organización ya tiene acceso. Por lo tanto, es posible comenzar a cuantificar y gestionar los riesgos sin utilizar FAIR, o incluso mientras se prepara para FAIR.
- Mito: no se cuenta con el tiempo ni los recursos para FAIR, por lo que no se hará cuantificación de riesgos.
La realidad es que es posible que algunos equipos de seguridad de la información no tengan el tiempo, los recursos o la intención de implementar FAIR en el futuro previsible. Sin embargo, estos equipos corren el riesgo de perder la oportunidad de proporcionar información esencial sobre riesgos a la alta dirección en los días, semanas y meses hasta que estén listos para implementar FAIR.
¿Cómo se supera este mito? Los equipos de seguridad de la información pueden tomar medidas para comenzar a cuantificar sus riesgos. Puede resultar útil emplear una escala de madurez o una lista de verificación de riesgos para comenzar.
- Mito: no es un buen momento para empezar porque se desconoce cuál es el mejor enfoque.
Si no es posible cuantificar efectivamente y comunicar los riesgos de TI a la alta dirección, los activos de TI seguirán siendo vulnerables y cualquier esfuerzo existente para mitigar los riesgos se verá afectado. Posponer el inicio es la opción más arriesgada de todas, pues al creer que debe esperarse el momento adecuado, se pueden perder oportunidades de tomar decisiones basadas en riesgos en el presente.
¿Cómo se supera este mito? Más que debatir los pros y los contras de la evaluación de riesgos es importante replantear la comprensión de la cuantificación de riesgos, la cual corresponde a cualquier evaluación de riesgos que la empresa realice actualmente. Hay que sentirse cómodo con el programa de riesgos empleado para valorar y evaluar los riesgos sin que haya ideas que impidan comenzar.
Tal como acabamos de ver, no es necesario iniciar de ceros, sino que lo importante es hacerlo lo antes posible para evitar perder oportunidades de proporcionar datos críticos de riesgos a la alta dirección y comenzar a administrar los riesgos clave.
[1] La automatización robótica de procesos (RPA) es una tecnología que imita la forma en que los humanos interactúan con el software para realizar tareas repetibles de gran volumen. Tomado de: https://www.computerweekly.com/es/definicion/Automatizacion-de-procesos-roboticos-RPA
[2] Ver: https://www.polarismarketresearch.com/industry-analysis/digital-transformation-market
[3] Basado en: https://www.auditboard.com/resources/ebook/scaling-itrm-the-promise-and-challenges-of-risk-quantification/
[4] Véase: https://www.cybersaint.io/blog/a-pocket-guide-to-factor-analysis-of-information-risk-fair
CP Iván Rodríguez - CIE AF
Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.
Bogotá D.C., Colombia.
Y luego Agregar a la pantalla de inicio.