A medida que las empresas calculan el riesgo cibernético, los datos correctos marcan una gran diferencia



Únase a los ejecutivos del 26 al 28 de julio para la semana AI & Edge de Rework. Escuche a los principales líderes discutir temas relacionados con la tecnología AL/ML, IA conversacional, IVA, NLP, Edge y más. Reserva tu pase free of charge ahora!


Las reglas más estrictas propuestas por la Comisión de Bolsa y Valores de EE. UU. para la presentación de informes Ataques ciberneticos tendrá ramificaciones más allá de una mayor divulgación de los ataques al público. Al requerir no solo un informe rápido de incidentes, sino también la divulgación de políticas cibernéticas y gestión de riesgos, dicha regulación en última instancia traerá más responsabilidad por la seguridad cibernética a los más altos niveles de liderazgo corporativo.

Esto significa que las juntas y los ejecutivos deberán aumentar su comprensión de la seguridad cibernética, no solo desde un punto de vista tecnológico, sino también desde un punto de vista de riesgo y exposición comercial. El CFO, el CMO y el resto del C-suite y la junta querrán y necesitarán saber qué exposición financiera enfrenta la empresa debido a una violación de datos y qué tan possible es que eso suceda. infracciones pasará. Esta es la única forma en que podrán desarrollar políticas y planes cibernéticos y reaccionar adecuadamente a las regulaciones propuestas.

Cálculo del riesgo cibernético

Por lo tanto, las empresas deberán poder calcular y poner un valor en dólares a su exposición al riesgo cibernético. Este es el punto de partida para la capacidad de tomar decisiones de seguridad cibernética no en el vacío, sino como parte de las decisiones comerciales generales. Para cuantificar con precisión la exposición a la seguridad cibernética, las empresas deben comprender cuáles son las amenazas y qué datos y activos comerciales están en riesgo, y luego deben multiplicar el costo de una infracción por la probabilidad de que ocurra tal evento para poner un cifra en dólares sobre su exposición.

Si bien existen muchas herramientas automatizadas, incluidas las que usan inteligencia synthetic (IA), que pueden ayudar con esto, la clave para hacerlo bien es asegurarse de que los cálculos se basen en datos reales y relevantes, que son diferentes para cada empresa u organización. .

Piense más allá de los aspectos de seguridad

Cualquier cálculo del costo de una infracción debe tener en cuenta factores que van más allá de los aspectos de seguridad. También debe considerar factores que incluyen la región, la industria, el tamaño de la organización y más, ya que las multas difieren considerablemente según estos aspectos, y dan como resultado grandes diferencias en los costos de gestión de las filtraciones de datos, incluso cuando las filtraciones de datos son muy similares en el mercado. superficie. Por ejemplo, el sector financiero a menudo enfrenta un mayor escrutinio regulatorio y multas más altas que muchos otros sectores.

La ubicación también puede marcar una gran diferencia. Especialmente después de la implementación de la UE RGPD ley, las consecuencias de finés asociados con la exposición de datos personales en los países europeos suelen ser más altos que en otros lugares.

Los montos de las multas también dependen del tipo de datos violados. Los costos también pueden diferir si una infracción provoca el cierre whole del negocio o un daño significativo a la reputación, y todas estas consecuencias dependen de los aspectos únicos de cada negocio. A menos que el cálculo tenga en cuenta las características únicas y específicas de una empresa, los resultados no son útiles.

Distinguir entre costos directos e indirectos

Los cálculos del costo del incumplimiento deben incluir los costos directos e indirectos y distinguir entre ellos. Al considerar costos directos, como multas, otros pagos a terceros o la pérdida de ingresos si las operaciones comerciales se detienen; y costos indirectos como la rotación que a menudo sigue a las infracciones y la pérdida de productividad al reaccionar ante una infracción, las empresas pueden ver el panorama completo. Estos costos potenciales también deben personalizarse para cada negocio, para que puedan planificarse adecuadamente. Por ejemplo, que un sitio internet esté fuera de línea probablemente sea más dañino (y un costo directo) para un sitio de compras en línea que para un bufete de abogados, donde puede ser solo un costo indirecto.

Ver el desglose de los costos, y el cronograma de cuándo deberían pagarse, ayuda a las empresas a planificar dichos gastos y comprender mejor cómo se calculó su cifra de exposición cibernética.

Comprender y reducir la exposición financiera actual

Si bien es útil conocer el costo potencial de una infracción, es solo una parte de la imagen. Los datos también deben usarse para evaluar la probabilidad de ataque para cada activo comercial. Después de todo, la exposición al riesgo cibernético se compone del costo de la infracción multiplicado por la probabilidad. Cualquier calculadora de exposición debe dar la exposición common para dar a las empresas una thought del panorama common, además de la exposición de cada activo comercial o departamento que se está violando.

La exposición cibernética no es solo un número; son múltiples números diferentes para cada aspecto de la organización. Esto significa que es importante trazar, a menudo con la ayuda de IA, posibles rutas de ataque a cada destino de crimson y producir datos sobre la probabilidad de que cada uno sea realmente atacado.

Solo calculando la probabilidad de que cada activo comercial sea violado, y el costo de esa violación, las empresas pueden comprender dónde se encuentra exactamente su exposición y dónde se encuentra cada dólar susceptible. Esto permite a las empresas priorizar y trazar planes efectivos de prevención y mitigación, en lugar de gastar dinero en lo que esperan sean soluciones generales.

La buena noticia sobre la probabilidad de ataque es que este aspecto está en gran medida bajo el management de la empresa. Una vez que comprenden la probabilidad de que cada área del negocio sea víctima de un ciberataque, las organizaciones pueden reducir esa probabilidad, y su exposición common, cerrando vulnerabilidades específicas y tomando otras medidas, como tener un equipo de RI capacitado y listo para intervenir. .

Los datos y la IA son cada vez más prometedores para ayudar a las empresas a calcular el costo y la probabilidad de posibles filtraciones de datos, así como a cuantificar la exposición cibernética. Pero los usuarios realmente necesitan tales herramientas para asegurarse de tener en cuenta los datos relevantes que a menudo se olvidan pero que pueden afectar gravemente el costo de la filtración.

Otro desafío es que los cálculos de exposición, riesgo y costo de incumplimiento deben personalizarse para cada empresa. Para ser efectivos y conducir a planes de mitigación prácticos, los datos utilizados para evaluar el riesgo cibernético deben incluir factores como la cantidad de empleados, las ubicaciones, la industria y más.

A medida que la ciberseguridad tiene más influencia en los inversores y las partes interesadas de la empresa, los datos y la IA sin duda seguirán desempeñando un papel cada vez más central en la traducción del riesgo cibernético en riesgo comercial. Pero solo es útil si se hace bien.

Inbar Ries es director de producto de CYE.

Tomadores de decisiones de datos

¡Bienvenido a la comunidad VentureBeat!

DataDecisionMakers es donde los expertos, incluidos los técnicos que trabajan con datos, pueden compartir información e innovación relacionadas con los datos.

Si desea leer sobre concepts de vanguardia e información actualizada, mejores prácticas y el futuro de los datos y la tecnología de datos, únase a nosotros en DataDecisionMakers.

Incluso podrías considerar contribuyendo con un artículo ¡tuyo!

Leer más de DataDecisionMakers