Liderazgo y comunicación ejecutiva, Tecnologías de próxima generación y desarrollo seguro, Detección de amenazas CRQ puede ayudar a las organizaciones a optimizar la inversión, mejorar la resiliencia y gestionar las amenazas Chris Novak, director sénior, Consultoría de ciberseguridad de Verizon • 3 de septiembre de 2024 En mayo de 2023, una banda de ransomware que se autodenomina CL0P abusó de un exploit de día cero de la herramienta de transferencia de archivos MOVEit, robando datos de organizaciones gubernamentales, públicas y financieras de todo el mundo. Ver también: Introducción a Elastic Security: modernización de las operaciones de seguridad La empresa de software emitió rápidamente un parche, pero el daño fue extenso y profundo, y afectó a decenas de millones de personas en uno de los mayores ataques de transferencia de archivos de la historia. Entre las instituciones afectadas se encontraban gigantes contables y financieros, junto con una importante aerolínea estadounidense, entre otros. A medida que continúan las consecuencias de este ataque, quedan preguntas: ¿Qué se podría haber hecho para prevenir los ataques? ¿Cuál es el plan para prevenir tales ataques en el futuro? Ponerle precio a los riesgos cibernéticos Cuando los ejecutivos comprenden plenamente el impacto y el coste potenciales de las ciberamenazas, pueden asignar mejor los recursos necesarios para combatirlas. Esto mejora la resiliencia operativa y garantiza que la organización siga siendo lo suficientemente ágil para responder a los cambios tecnológicos, económicos y normativos en evolución. En esencia, la urgencia de que las organizaciones comprendan mejor los riesgos y los costes de los ciberataques está impulsada por el aumento de los ciberataques y sus impactos. Por ejemplo, se prevé que el coste estimado de los delitos cibernéticos aumente de 8,15 billones de dólares en 2023 a 13,82 billones de dólares en 2028, según Statista. El Informe de investigaciones de violaciones de datos de 2024 de Verizon revela un crecimiento sustancial de los ataques que explotan las vulnerabilidades para iniciar las violaciones, mostrando un aumento del 180% con respecto al DBIR de 2023, con ataques que involucran principalmente ransomware y otros actores de amenazas relacionados con la extorsión. Las aplicaciones web fueron el principal vector de estos puntos de entrada iniciales, que es el enfoque también utilizado en el ataque a MOVEit. Para ayudar a mejorar su comprensión de los riesgos, muchas organizaciones están recurriendo a la cuantificación del riesgo cibernético, que enfatiza una metodología cuantificada basada en datos para ayudar a los CISO y líderes empresariales a comprender, gestionar y reducir mejor los riesgos de ciberseguridad. CRQ es una herramienta crucial a medida que las amenazas de ciberseguridad evolucionan en complejidad y sofisticación, ya que puede ayudar a contextualizar la comprensión de una organización de los posibles impactos financieros de las ciberamenazas. Ventajas de CRQ Estos son algunos de los impulsores clave detrás de la necesidad de CRQ hoy: Dependencia tecnológica: dada la dependencia global cada vez mayor de la tecnología conectada, las superficies de ataque y los impactos de las infracciones se magnifican. Se recomienda que las organizaciones cuantifiquen los riesgos para aumentar la asignación específica de recursos para proteger los activos críticos. Demandas de eficiencia: muchas organizaciones enfrentan el desafío de hacer más con menos. Un enfoque basado en datos como CRQ ayuda a optimizar las inversiones y los objetivos de resiliencia, lo que ayuda a asignar recursos donde más se necesitan. Gestión de seguros cibernéticos: un proceso CRQ puede generar datos que pueden ser útiles para las organizaciones y sus proveedores de seguros cibernéticos en la gestión de los costos y la cobertura de las pólizas mediante una evaluación de riesgos más específica. Presión regulatoria: la creciente supervisión regulatoria puede requerir que los líderes ajusten sus informes de incidentes de ciberseguridad. CRQ puede ayudar a las organizaciones a agilizar las demandas de informes al proporcionar métricas cuantificables. Las organizaciones pueden aprovechar el análisis CRQ para ayudar a desarrollar un programa de riesgos cibernéticos administrado estratégicamente. Puede ayudar a los equipos de seguridad a estimar el valor y la eficacia de diferentes estrategias de mitigación de riesgos, activo por activo. Al comprender qué inversiones pueden generar el mejor retorno de la inversión en función de los costos estimados de los riesgos potenciales, las organizaciones pueden tomar mejores decisiones sobre el software, la infraestructura o los proveedores que pueden ayudar a resolver sus mayores desafíos de ciberseguridad. La forma correcta de obtener el apoyo del liderazgo Los CISO enfrentan desafíos para comunicar los riesgos técnicos a las partes interesadas no técnicas. CRQ ayuda a cerrar la brecha al traducir los riesgos cibernéticos en métricas financieras que tienen más probabilidades de resonar entre los ejecutivos y los miembros de la junta. Esto puede facilitar mejores datos de toma de decisiones, lo que puede ayudar a las partes interesadas en la ciberseguridad y a los equipos de liderazgo a alinearse más fácilmente en las iniciativas de ciberseguridad. Los datos CRQ también pueden influir en las primas de seguros de ciberseguridad y en las mejoras de la cobertura. Las aseguradoras pueden considerar los datos de riesgo cuantificables estimados generados por CRQ como parte de su proceso de suscripción para adaptar las pólizas, lo que podría reducir las primas y mejorar los términos de la cobertura. El CRQ de Verizon, por ejemplo, ayuda a los CISO a proporcionar a las partes interesadas relevantes información financiera estimada que puede facilitar decisiones mejor informadas y basadas en datos sobre inversiones en ciberseguridad, según Chris Novak, director sénior de consultoría de ciberseguridad en Verizon. Novak dijo que una mejor comunicación es fundamental, especialmente para las organizaciones estadounidenses que enfrentan requisitos cada vez más estrictos de la SEC. «Los altos ejecutivos y la junta directiva están comenzando a reconocer que hay un tema candente en la sala», dijo Novak. «Los CISO pueden enfrentar un escrutinio adicional y riesgos de responsabilidad. Eso hace una gran diferencia». Los CISO a menudo no tienen un presupuesto adecuado para abordar los riesgos de ciberseguridad, pero aún así deben dar fe de la postura de seguridad de la empresa en los informes regulatorios. Un ciberataque a una empresa de tecnología muy publicitado incluyó víctimas de todo el gobierno federal de Estados Unidos. El CISO se enfrentó a posibles sanciones legales «que habrían sido la primera vez después de un incidente de ciberseguridad», dijo Novak. El creciente escrutinio podría llevar a que los CISO con mucha experiencia «se alejen de ciertos trabajos a menos que puedan asegurar un mayor nivel de apoyo y compromiso de los líderes ejecutivos durante sus conversaciones sobre los riesgos», agregó. Adoptar un enfoque cuantificado para la gestión de riesgos de ciberseguridad, junto con el análisis de ejemplos del mundo real, puede despejar el camino hacia conversaciones más productivas. CRQ puede ayudar a «cerrar la brecha entre los equipos técnicos y los líderes ejecutivos, fomentando un enfoque más unificado para la ciberseguridad», dijo Novak. El impacto de la IA y CRQ La inteligencia artificial ha revolucionado CRQ al ayudar a mejorar la precisión, la eficiencia y las capacidades predictivas de las evaluaciones de riesgos. Los modelos de riesgo impulsados ​​​​por IA analizan datos históricos para pronosticar futuras ciberamenazas, lo que ayuda a las organizaciones a priorizar las inversiones en ciberseguridad donde más se necesitan. La IA también ayuda a cuantificar los impactos financieros de los riesgos cibernéticos al simular diferentes escenarios de amenazas y las posibles consecuencias. Las aseguradoras ya están adoptando la IA para analizar y adaptar las pólizas específicamente a los riesgos presentados por organizaciones individuales. “Este enfoque no solo puede ayudar a mejorar la precisión de las políticas, sino que también puede ayudar a las empresas a obtener mejores condiciones de cobertura”, afirmó Novak. Las organizaciones pueden aprovechar el análisis CRQ para ayudar a optimizar sus inversiones en ciberseguridad, mejorar la resiliencia operativa, gestionar las amenazas en evolución y responder a los requisitos de informes regulatorios. Para obtener más información sobre el marco CRQ de Verizon y cómo puede ayudar a mejorar las inversiones y la resiliencia en ciberseguridad de una organización, lea los últimos conocimientos aquí. URL de la publicación original: https://www.databreachtoday.com/blogs/quantifying-risks-to-make-right-cybersecurity-investments-p-3701