Asegurando el Futuro: La Importancia de la Evaluación de Madurez Cibernética

Comprender el riesgo es una cosa, pero ¿cómo saber si su organización tiene lo necesario para resistir esos riesgos? Establecer la madurez cibernética puede ayudar a determinar la resiliencia, dónde se encuentran las fortalezas y debilidades, y qué debe suceder para mejorar esos procesos de seguridad.

Evaluación de Madurez Cibernética

En su reciente informe “El Estado de la Ciberseguridad 2023”, ISACA describe la madurez cibernética como un trabajo en progreso. La referencia no es solo un guiño al hecho de que las evaluaciones deben realizarse periódicamente, sino al hecho de que la aceptación no es tan alta como debería ser. El número de personas que realizan evaluaciones periódicas (65%) no ha cambiado en los últimos dos años, lo que revela que la adopción se ha estancado.

Esto parece sorprendente dado que la demanda de verificar el nivel de madurez cibernética dentro de la organización nunca ha sido tan alta. Ante la escalada de riesgos que genera más reclamaciones, los proveedores de seguros cibernéticos ahora están presionando para que se realicen evaluaciones de madurez cibernética para determinar su exposición al riesgo al cotizar pólizas, por ejemplo. Lo más probable es que tales demandas se conviertan en la norma a medida que estos proveedores busquen aumentar la penetración en el mercado frente a amenazas cada vez mayores (actualmente aumentan las primas y frenan la aceptación).

Dónde Agrega Valor

Existen otros beneficios claros para la empresa a la hora de determinar la madurez cibernética. Al identificar brechas en los controles de seguridad (y, por lo tanto, riesgos potenciales para la organización), puede ayudar a informar a la junta directiva sobre la postura de seguridad cibernética, mientras que la alta dirección, en medio de una recesión y una crisis de habilidades, debe centrarse en. Cuando se trata de invertir, poder determinar dónde y cómo dedicar el gasto también es invaluable.

Además, como medir la madurez es un proceso proactivo basado en riesgos que busca lograr una mejora continua, también puede reducir la probabilidad y el costo de un impacto: el informe Estado de la ciberdefensa 2023 de Kroll encontró que aquellos con un alto nivel de madurez cibernética experimentan menos incidentes de seguridad. Y como se centra en el proceso, la madurez cibernética puede ayudar a incorporar una cultura de seguridad dentro de la empresa.

Qué Impide la Aceptación?

Según el informe de ISACA, los principales obstáculos son el tiempo necesario para realizar la evaluación, la falta de personal para realizarla y la falta de experiencia interna.

Pero también hay diferencias marcadas dependiendo del tamaño de la empresa: las PYMES a veces tendrán menos gobernanza, como procesos efectivos de protección de datos o gestión de riesgos, mientras que las empresas más grandes, si bien tienen la mano de obra e incluso pueden tener un equipo de auditoría interna dedicado, pueden ser estirado o, en algunos casos, inexperto.

Tampoco es raro encontrar organizaciones donde el registro de riesgos está incompleto, con listas de activos que no contienen bienes tangibles como activos de información como datos personales/financieros o propiedad intelectual, por lo que esto debe abordarse como parte del ejercicio.

Para que sea valiosa, una evaluación de la madurez cibernética debe ser exhaustiva y sistemática para que pueda repetirse y los resultados compararse a lo largo del tiempo para demostrar y medir el progreso realizado.

Cómo se Lleva a Cabo

Los evaluadores analizan la madurez a través de entrevistas con personal clave, la revisión de documentos y políticas, y la observación de cómo se realizan los procesos para determinar con qué eficacia se mitigan los riesgos.

Las áreas que probablemente se incluyan en la evaluación incluyen gestión de activos, gobernanza, evaluación de riesgos, riesgos de la cadena de suministro, gestión de identidades y control de acceso, concientización y capacitación del personal, monitoreo de seguridad, detección de amenazas y planificación de respuesta y recuperación. Luego, los resultados se incluyen en un informe completo que establece qué áreas han logrado las mejores prácticas y dónde se necesitan más acciones.

La frecuencia con la que se debe repetir el ejercicio sigue siendo un tema de debate. El informe de ISACA encontró que las evaluaciones se realizaban predominantemente anualmente, pero el consenso fue que cada vez más empresas realizan estas evaluaciones con mayor frecuencia.

El siguiente período más popular fue cada 1 a 6 meses. Esto tiene claros beneficios, ya que permite a la empresa reevaluar su postura de seguridad a la luz de cualquier cambio realizado, información que luego puede usarse para cumplir con los objetivos de cumplimiento y reducir aún más las primas de seguros. Pero también parece que algunos se limitan a hablar del proceso, llevando a cabo la evaluación cada dos años y, a veces, a intervalos incluso más largos.

La adopción ha sido impulsada en gran medida por la regulación. Del Informe de madurez de ciberseguridad 2023 de CYESec se desprende claramente que las industrias más reguladas, como las finanzas, el comercio minorista y la industria, son las más avanzadas en términos de madurez. Es probable que la introducción de más regulaciones basadas en riesgos, como DORA, PCI DSS 4.0 y NIS2, estimule aún más la adopción.

De manera similar, el ciberseguro está actuando ahora como impulsor en otros sectores, obligando a las empresas a ser más proactivas y adoptar un enfoque basado en el riesgo.

Para realmente mover la aguja y hacer que las pruebas de madurez cibernética sean parte integrante de la gestión de la ciberseguridad, debemos incorporarlas a la forma en que las organizaciones se miden a sí mismas y a su eficacia de forma natural. Como proceso relevante para empresas de todas las formas y tamaños, ya sea que se realice internamente o a través de un tercero, no hay razón por la cual la evaluación de la madurez cibernética no pueda convertirse en una práctica estándar y, al hacerlo, ayudar a perfeccionar los informes, los presupuestos, y asignación de recursos, así como la promoción de mejores prácticas.