Guía de determinación de riesgos y materialidad del CISO


Explicación

2024 es un año de volatilidad sin precedentes en ciberseguridad. Los cambios regulatorios, los incidentes de servicios de terceros y la inminente incertidumbre económica hacen que la participación de la junta directiva en los programas de gestión de riesgos sea crítica.

También cuesta dinero. En organizaciones donde la junta directiva no participa activamente en las discusiones cibernéticas, el costo de una violación de datos es de dos a tres veces mayor. Además, a los CISO se les pide cada vez más que encuentren formas innovadoras de comunicar el entorno de riesgo de su empresa a las partes interesadas.

Además, los reguladores están imponiendo nuevos deberes fiduciarios. Por ejemplo, las regulaciones cibernéticas de la Comisión de Bolsa y Valores de EE. UU. exigen la divulgación de incidentes cibernéticos “importantes” dentro de los cuatro días posteriores a la determinación de la importancia del evento para ayudar a las juntas directivas a responder a las crecientes amenazas cibernéticas de Masu. La regla también requiere la divulgación anual de los riesgos materiales y cómo la empresa gestiona esos riesgos.

Los CISO utilizan definiciones acordadas de materialidad para comunicar los riesgos a la alta dirección y a la junta directiva. Esto le permite aclarar qué significa la materialidad para su organización específica y evaluar la probabilidad de un incidente cibernético. Sin embargo, para muchos CISO, la materialidad sigue siendo un término vago que puede interpretarse en función del entorno de ciberseguridad único de una organización.

Determinación de la pérdida de material utilizando puntos de referencia de la industria

En el centro de la confusión respecto de la materialidad está determinar qué constituye una “pérdida significativa”. Se trata de un debate difícil, pero esencial para empezar. La definición más clara de la industria publicada hasta la fecha proviene del Dr. Jack Freund, director de riesgos de Kovrr y miembro distinguido de la AISS, y Natalie Jorion, creadora de Freund-Jorion Cyber ​​​​Materiality Heuristic está valorada en el 0,01% de los ingresos del año pasado. lo que equivale aproximadamente a 1 punto básico de ingresos (como se explica a continuación, esto equivale aproximadamente a 1 hora de ingresos para una empresa Fortune 1000).

Al comparar varios umbrales con puntos de referencia de la industria, las organizaciones pueden obtener una comprensión más clara de su vulnerabilidad a ataques cibernéticos graves. Kovrr creó recientemente un modelo predictivo de incidentes cibernéticos experimentados por empresas Fortune 1000 en los Estados Unidos. Cada organización fue analizada de acuerdo con una colección personalizada de eventos y respuestas de los controles de seguridad para crear una evaluación de Cuantificación de Riesgos Cibernéticos (CRQ) que revela la probabilidad y el costo de cada evento por industria.

El Informe de riesgo cibernético de Fortune 1000 estima la probabilidad de que las empresas de Fortune 1000 sufran una pérdida cibernética por encima de un umbral. Por ejemplo, el modelo evalúa el potencial de pérdidas cibernéticas por un total de 50 millones de dólares, lo que equivale aproximadamente a 1,2 días de ingresos. Aunque se trata de una cantidad grande, sigue siendo bastante baja. Un incidente de 100 millones de dólares equivale a 2,4 días de ingresos, y un incidente de 500 millones de dólares equivale a casi dos semanas de trabajo. Esta es definitivamente una pérdida significativa para la empresa promedio Fortune 1000.

Para poner estas cifras en contexto, el ingreso anual promedio de una empresa Fortune 1000 es de aproximadamente 15 mil millones de dólares, o alrededor de 41 millones de dólares en ingresos diarios. Esta es una interpretación más práctica de los resultados del modelo y es útil para la planificación financiera.

Probabilidad promedio esperada de severidad del evento. Fuente: Informe de riesgos cibernéticos de Fortune 1000 (Peter Dyson, Kovrr, noviembre de 2023)

El gráfico anterior muestra la probabilidad de que una organización en una industria en particular experimente una pérdida, dependiendo de su tamaño. Las pérdidas pueden surgir de un único evento importante o de una serie de incidentes más pequeños que señalan debilidades en la postura de ciberseguridad de una organización.

En particular, industrias como las financieras y de bienes raíces, el comercio minorista, los servicios públicos, la extracción de petróleo y gas y la minería tienen un 10% o más de posibilidades de que un evento cibernético cause pérdidas de 50 millones de dólares o más en 12 meses. una probabilidad superior al 5% (1 entre 20) de sufrir daños por valor de 100 millones de dólares o más.

Una probabilidad de 1 entre 10 de que ocurra un evento que le cueste a su organización los ingresos de un día puede parecer una probabilidad alta, pero si ese evento se reduce a una hora, esa probabilidad se vuelve aún mayor.

Definir la importancia de protegerse de eventos críticos

Los CISO pueden emplear una variedad de estrategias para determinar los umbrales de materialidad y realizar las inversiones necesarias en áreas del negocio con mayor probabilidad de plantear riesgos significativos. Con definiciones claras, los ejecutivos y líderes de ciberseguridad pueden trabajar juntos para tomar decisiones basadas en datos que reflejen con precisión el panorama de amenazas de la organización.

En primer lugar, los CISO deben identificar qué factores de eventos tienen más probabilidades de causar pérdidas significativas dentro de una industria determinada. Hay tendencias generales, como el alto costo de las filtraciones de datos, pero se necesita una evaluación más sofisticada. Por ejemplo, el siguiente cuadro que muestra los costos promedio (más probables) por tipo de evento muestra que la extorsión y los eventos de proveedores de servicios son de alto riesgo para muchas organizaciones.

Gravedad por tipo de evento. Fuente: Informe de riesgos cibernéticos de Fortune 1000 (Peter Dyson, Kovrr, noviembre de 2023)

A través de los conocimientos financieros proporcionados por las soluciones CRQ, los CISO pueden comunicar de manera efectiva a la junta directiva los beneficios de una mejor gestión, postura y prácticas de seguridad, y potencialmente reducir la probabilidad y el costo general de eventos críticos.

Finalmente, es importante monitorear continuamente los riesgos de su organización. El entorno de amenazas externas y los costos de remediación cambian periódicamente.

Se espera que 2024 sea uno de los años más desafiantes para los profesionales de la ciberseguridad, pero implementar un marco basado en datos que defina claramente las pérdidas significativas puede ayudarlo a tener discusiones más francas con su junta directiva y fomentar una cultura de resiliencia cibernética.



Fuente: https://www.darkreading.com/cyber-risk/a-ciso-s-guide-to-materiality-and-risk-determination