Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Gestión de Riesgos de Ciberseguridad > El Riesgo de Medir el Riesgo
The Risk of Measuring Risk

El Riesgo de Medir el Riesgo

by Andreas Wuchner updated noviembre 23, 2024 Gestión de Riesgos de Ciberseguridad
Reading Time: 5 minutes

La medición automatizada de la efectividad de los controles es una idea muy buena conceptualmente. Cuando puedes combinar las brechas de control con información relevante sobre amenazas, obtienes una imagen clara sobre los riesgos cibernéticos técnicos reales que enfrenta tu negocio. Si se hace correctamente, te proporciona una visión integral de lo que está sucediendo en tu organización.

Desafortunadamente, las organizaciones no pueden afirmar con confianza que sus controles están realmente implementados en todos los lugares esperados. Como sabes, la esperanza no es una estrategia. En muchas organizaciones, los inventarios de activos y servicios (así como de API) no son ni completos ni actuales. Los inventarios útiles requieren una triangulación y reconciliación continua entre varias fuentes de datos para asegurar que las organizaciones tengan una efectividad de control precisa y completa.

Informe 2023 Informe de Pronóstico para Gestionar el Riesgo de Exposición de Contenido Confidencial

El Camino hacia la Reducción de Riesgos: Medir la Cobertura de los Controles de Seguridad

Por eso, medir los riesgos y confiar solo en sus resultados tiene sentido si tienes un firme control sobre la cobertura de tus controles de seguridad. De lo contrario, tomas decisiones basadas en información de riesgo defectuosa. La métrica de cobertura de controles de seguridad te permite ver cuán ampliamente se han implementado tus controles en tu entorno. Esta visibilidad es esencial para el éxito de tu programa general de medición de riesgos cibernéticos.

La única manera de tener verdadera confianza en tu programa de seguridad general es medir no solo la efectividad operativa de tus controles, sino también medir la cobertura de tus controles. Como profesional de seguridad, quiero y necesito saber dónde tengo brechas. Son las cosas que no sabes las que te meten en problemas.

Las brechas suelen ocurrir en ausencia de un control, o cuando un control ha fallado. Todos vivimos en un mundo altamente dinámico y la transformación digital continua sigue alterando el statu quo. Estos cambios también pueden interrumpir tus controles; algunos pueden no implementarse, algunos pueden ser eliminados, o algunos pueden fallar. Cada organización de seguridad debe ser capaz de capturar estas deficiencias lo antes posible.

“Como profesional de seguridad, quiero y necesito saber dónde tengo brechas. Son las cosas que no sabes las que te meten en problemas.”

Una mirada adecuada a la cobertura de controles puede ofrecer aún más valor. La cobertura de controles es un punto de datos esencial en la cuantificación de riesgos. Metodologías como FAIR (Análisis Factual del Riesgo de Información) y CyberVaR (Valor Cibernético en Riesgo) permiten a las organizaciones cuantificar el riesgo.

CyberVaR, en particular, está muy orientado a los datos. Examina una amplia variedad de aspectos de seguridad, riesgo y controles, incluyendo el panorama de amenazas externas, eventos internos, escenarios de amenazas, capacidad de seguridad, cobertura de controles de seguridad y tu postura de seguridad general. Reúne todos estos elementos para darte una visión del riesgo residual general que luego puede cuantificarse en un valor significativo para el negocio.

Para proporcionar un alto nivel de confianza en tu postura de seguridad general, necesitas saber:

  1. que tus controles están funcionando efectivamente, y
  2. que tienes una cobertura del 100%, definida por tus políticas.

Debes entender dónde están tus brechas de control para abordar y remediar esas brechas. Si no sabes dónde están las brechas, es ahí donde es más probable que ocurran las brechas de seguridad.

Informe Evalúa la Privacidad y Cumplimiento de tus Comunicaciones de Contenido Sensible Informe de Comunicaciones de Contenido Sensible de Kiteworks 2022

Tu Clave para el Éxito: Automatización

La ruta hacia el éxito aquí es la automatización. Cuando un proceso está automatizado, obtienes resultados precisos una y otra vez. No tienes que cuestionar los datos o la validez de los resultados.

La automatización también te permite reducir tus costos operativos. Te guste o no, cada función de seguridad debe encontrar formas de reducir sus costos operativos y maximizar su productividad. Cuando automatizas los procesos no solo de tus métricas de cobertura de controles, sino de todas tus mediciones de seguridad, reduces tu costo de operaciones y escalas más rápido.

Los estudios de referencia de la industria muestran que los equipos de seguridad a menudo pasan el 36% de su tiempo en informes. Automatizar este proceso permite a las personas de seguridad enfocarse más en hacer seguridad en lugar de reportarla.

“Cuando automatizas los procesos no solo de tus métricas de cobertura de controles, sino de todas tus mediciones de seguridad, reduces tu costo de operaciones y escalas más rápido.”

Si la automatización no es una opción, sufrirás el destino de crear métricas de cobertura de controles de calidad manualmente. Tendrás que ir a cada herramienta individualmente, compilar todos los datos juntos, luego limpiar, agregar, normalizar, deduplicar y correlacionar todos esos datos dispares. Y para cuando hayas hecho todo eso y estés listo para usar los datos, ya podrían estar desactualizados. Como resultado, surgirán preguntas sobre la integridad de los datos, y las discusiones sobre la reducción de riesgos se desmoronarán.

No Olvides Comunicar tus Controles

Hay numerosos interesados dentro de una organización que necesitan ver tus métricas de seguridad hasta el nivel de la junta directiva. Esto se aplica particularmente a la cobertura de tus controles.

El público principal son los propietarios de los controles, ya sea que estén dentro de la función de seguridad, el equipo de infraestructura, el desarrollo de aplicaciones o el personal de primera línea. Es importante que el propietario del control entienda la cobertura de los controles así como cómo están funcionando esos controles para que puedan abordar cualquier deficiencia o exposición. Esto es especialmente importante para el equipo de primera línea, porque son responsables de gestionar el riesgo y necesitan tomar medidas para abordar cualquier brecha.

Otros públicos interesados son las personas en las funciones de cumplimiento, auditoría y regulatorias. Estos interesados deben poder confiar en los datos de los controles para tomar decisiones informadas, medir el cumplimiento de la política e identificar cualquier brecha o riesgo dentro de ese entorno. Con datos completos y precisos, estas personas pueden impulsar conversaciones basadas en riesgos y tomar acciones según sea necesario.

Para concluir, surge un tema común aquí: Confianza en los datos. Cuando todos usamos el mismo conjunto de datos, entendemos dónde y cómo se derivaron y tenemos una alta confianza en la precisión de los datos porque han sido automatizados. Cuando todos usan el mismo conjunto de datos y confían en él, las discusiones se centran en el riesgo y los compromisos y priorizaciones correctas, no en la precisión de los informes.

Recursos Adicionales

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks