Cibergestión: ¿basada en el riesgo o en el cumplimiento?

Compartir

"Enfoque basado en el riesgo" y "enfoque basado en el cumplimiento": probablemente le suenen. Estos dos términos pueden traducirse al francés como "approche par les risques " y " approche par la conformité ", y seguramente dividirán al mundo cibernético.

En términos sencillos, se refieren a la mentalidad con la que los CISO construyen su ciberestrategia. Pero, ¿cómo elegir un bando? Y, sobre todo, ¿debería realmente elegir uno?

Riesgo frente a cumplimiento: ¿un duelo en la cumbre?

Podríamos simplificar estos términos diciendo que el primero procede del "miedo a ser herido " (a sufrir un ciberataque), mientras que el segundo procede del "miedo a la policía " (a ser detenido por incumplimiento).

Enfoque de cumplimiento: ¿de qué estamos hablando?

El cumplimiento puede dividirse en tres ámbitos distintos:

  • cumplimiento de las mejores prácticas (NIST, guía de higiene de la ANSSI, etc.);
  • cumplimiento de la normativa aplicable ;
  • cumplimiento de los requisitos de certificación.

Si tenemos en cuenta que el 72% de las organizaciones se ven afectadas por al menos una normativa(Barómetro CESIN) y que las certificaciones son un activo empresarial innegable, está claro que el enfoque de cumplimiento es imprescindible.

¿En qué consiste? Puede resumirse en 4 etapas:

  1. identificar los reglamentos o normas que deben seguirse ;
  2. evaluar el desfase entre éstas y la situación actual;
  3. tomar las medidas necesarias para colmar la brecha;
  4. mantener el cumplimiento (y corregir si es necesario).

Cumplimiento de la normativa: ventajas e inconvenientes

La principal ventaja del enfoque de cumplimiento es doble: permite hacer frente a los riesgos jurídicos y, al mismo tiempo, responder a los retos empresariales de la organización.

Pero también tiene sus defectos (después de todo, ¿quién no los tiene?). Uno de ellos es la falta de objetividad en la medición del cumplimiento: para una misma situación, el índice de cumplimiento declarado puede variar entre el 80% y el 100%, según la persona encargada de evaluarlo...

También está la complejidad de gestionar las auditorías y, sobre todo, la fuerte dependencia de la dirección: sin el apoyo y la legitimidad del nivel C, el CISO puede tener dificultades para imponer medidas de cumplimiento a las que los equipos no siempre ven sentido.

Enfoque basado en el riesgo: ¿de qué estamos hablando?

Adoptar un enfoque basado en el riesgo implica (una vez más) 4 pasos:

  1. identificar un posible escenario de incidente;
  2. analizar el impacto que tendría un incidente de este tipo en los distintos agentes de la organización;
  3. evaluar la probabilidad de este escenario (motivaciones y recursos del agente de la amenaza, nivel actual de seguridad, etc.);
  4. aplicar medidas correctoras para mitigar este riesgo (y medir los resultados).

Enfoque basado en el riesgo: pros y contras

A diferencia del enfoque basado en el cumplimiento, el enfoque basado en el riesgo tiene la ventaja de ser interfuncional y colaborativo. Al hablar con los distintos departamentos sobre SUS riesgos, lo que les puede ocurrir y cómo les afectará, en general se capta mucho mejor su atención.

El enfoque basado en el riesgo nos hace más flexibles y proactivos, permitiéndonosanticipar posibles amenazas específicas antes de que se materialicen.

La guinda del pastel es que resulta más fácil justificar las inversiones cibernéticas demostrando la rentabilidad de las acciones desplegadas, en particular cuantificando el impacto que un ataque podría haber tenido en la organización.

Pero este enfoque tiene su talón de Aquiles:

  • El enfoque basado en el riesgo no tranquiliza realmente a los clientes y otras partes interesadas externas (a diferencia de la certificación);
  • El proceso de análisis puede ser engorroso y llevar mucho tiempo, lo que deja poco tiempo para ocuparse del riesgo en sí;
  • Es difícil cuantificar con precisión el nivel de riesgo de una empresa, y aún más difícil comparar estos niveles entre las distintas entidades de una organización.

Enfoque basado en el riesgo o en el cumplimiento: la correspondencia

¿Es el enfoque híbrido el punto óptimo para la gestión cibernética?

¿Y si el "enfoque de cumplimiento " y el "enfoque de riesgo " fueran en realidad dos etapas de una misma estrategia de gestión? ¿Y si fueran acumulativos en lugar de excluyentes?

Eso es lo que parece decirnos la pirámide RM EBIOS (si es que las pirámides pueden hablar).

Enfoque de riesgo o de cumplimiento: el enfoque híbrido de la pirámide de GR de Ebios

Al final, todo es cuestión de tiempo y de madurez dela organización.

  • En un primer momento, elenfoque de conformidad permite establecer los principios básicos de higiene y, a continuación, integrar el marco reglamentario y normativo aplicable.
  • Sólo en una fase posterior (o en las organizaciones que ya tienen un buen nivel de madurez cibernética) se puede poner en marcha elenfoque basado en el riesgo, aunque sin poner fin al proceso de cumplimiento.

El objetivo final: un enfoque híbrido que integre la base del cumplimiento con un planteamiento basado en el riesgo.

La esquina de los números

Durante nuestro seminario web sobre el tema del riesgo frente al cumplimiento, preguntamos a los participantes qué enfoque preferían en su día a día. Y descubrimos que el enfoque híbrido era (con diferencia) el ganador, siendo adoptado por el 58% de los encuestados.

Los demás compartieron el resto de la tarta con :

  • 25% para el enfoque de cumplimiento ;
  • 8% para el enfoque basado en el riesgo ;
  • 8% para un enfoque "instintivo".

Tenacy Buenas noticias: ¡ha sido diseñada (entre otras cosas) para ayudarle aconciliar el riesgo y el cumplimiento! Trazabilidad, coherencia, informes, colaboración, base de conocimientos... la herramienta incorpora todas las funciones que necesita para una gestión híbrida eficaz.

Para ver cómo puede ser, reserve su demostración.

Reserve mi demostración de la plataforma