Según ISO 27001 y 27004 en ciberseguridad la clave es medir, medir y medir
El objetivo del presente artículo es sobrevolar sobre la familia ISO 27000, que contiene un amplio...
Cuando presentamos nuestro producto GRC, Motor de Cumplimiento, a clientes potenciales muchos nos preguntan ¿por qué hay que recoger datos para evaluar los controles, si se supone que por sus características y atributos son buenos?
Esta última frase incluye el supuesto de que son buenos porque así los hemos definido e implementando, y que según eso aporta una mitigación determinada.
Pero no te deberías preguntar cómo sabes que son buenos esos controles si no mides su eficacia. Llegados a este punto, todos llegamos al convencimiento de que si no medimos, no lo sabemos.
Los que se mueven en el mundo de los riesgos están familiarizados con la identificación de los riesgos y su valoración. Así, el daño potencial que puede ocasionar un riesgo, si no hacemos nada, normalmente se expresa como sigue:
[1] Riesgo Inherente = Impacto * Frecuencia
Y si lo mitigamos, dependiendo de la calidad de la mitigación aplicada, quedaría en:
[2] Riesgo Residual = Riesgo Inherente * ( 1 - %Mitigación )
En un modelo de cumplimiento basado en la aplicación de varios Controles por Riesgo, la Mitigación será el resultado de las mitigaciones ponderadas de sus Controles. Nosotros preferimos este modelo al de elegir la mayor de todas, puesto que indirectamente estaríamos diciendo que los demás Controles no aportan nada; luego para qué los tenemos si encima nos cuestan dinero.
Según nuestro modelo, el valor de la Mitigación aportada por cada Control viene determinado por cinco atributos acumulativos de mitigación: Automatización; Naturaleza; Frecuencia; Alcance y Especificidad, cuya valoración nos proporcionará el valor del porcentaje final a aplicar.
Recuerdas que hemos iniciado este post hablábamos de "medir", ¿cómo lo aplicamos entonces? Para ello, y en fase de diseño del modelo, se habrá identificado qué Dato objetivo, o varios, cuya evaluación simple o combinada entre ellos, nos proporcione un valor que comparado con el "valor umbral" nos permita tener la certeza de que el Control funciona satisfactoriamente (a esto lo denominamos eficacia del control). En las evaluaciones que resulten positivas se mantiene la mitigación de ese control y en caso contrario se castiga y se baja al 50% de su valor teórico. ¿Esto tiene repercusiones en el estado del cumplimiento?. Claramente sí y por eso usamos el concepto de riesgo residual corregido.
Aún no habíamos definido este concepto y su formulación es como sigue:
[3] RRC = R I * ( 1 - %Mitigación * %Eficacia )
Traduciendo esto a texto, significa que si la medida de la eficacia del control se evalúa como insuficiente, automáticamente esta eficacia pasa del 100% inicial a un 50%. La disminución de la Mitigación elevaría el RR, pudiendo en algún caso dar valores por encima de nuestro apetito al riesgo y hacer saltar las alarmas. Es cuando aparecerían "los indicadores rojos" en nuestro Cuadro de Mandos.
Un ejemplo ayudará a interpretarlo:
Supongamos que el RI de un riesgo se valora en 2O puntos (en una escala de 1-25 sería un valor "riesgo extremo").
Supongamos también que la mitigación de su único control aporta un valor del 60% (mitigación fuerte), luego el riesgo residual sería 20 * (1 - 60%) = 8 (aplicando [2]), lo que lo situaría en un valor de "riesgo moderado".
Si nuestro umbral de apetito al riesgo lo situamos en 10 puntos, en principio nos quedaríamos tranquilos con este 8 al estar por debajo.
Ahora medimos los Datos que hemos decidido que mejor evalúan la eficacia de ese Control y se dictamina que NO cumple y que no es eficaz, luego la mitigación corregida sería penalizada al valor de tan solo un 30% (como resultado de esta operación 60% * 50%). Según esto el RRC sería 20 * (1 - 30%) = 14 puntos (aplicando [3]). Y vaya, ahora ya no estamos tranquilos porque superamos el valor 10 de apetito aceptable. Y a partir de ahí, el Responsable de Cumplimiento decidirá qué debe solicitar a la compañía para corregir este problema.
Siguiendo este hilo conductor podríamos llegar a la conclusión de que para estar seguros hay que evaluar todas las normas todos los días.
Nuestra herramienta permite definir el alcance y la frecuencia de las evaluaciones. Hemos además de suponer que las evaluaciones tienen un coste, bien por el tiempo empleado por los participantes, bien por el coste de la realización de ciertas medidas, luego lo óptimo es identificar qué Normas, o Riesgos específicos, e incluso qué Controles son los más díscolos y sobre los que tenemos que estar permanentemente atentos y deberían ser objeto de una mayor frecuencia de evaluación. Os recordamos que según nuestro modelo, los elementos tienen esta relación jerárquica:
Empresa - Norma - Riesgo - Control
y a cualquiera de estos niveles podríamos lanzar una evaluación que determinaría unos nuevos valores de los Riesgos Residuales.
La determinación de cuándo y a qué nivel se deben lanzar las evaluaciones debe ser objeto de un análisis específico para determinar el coste/beneficio óptimo acorde con los objetivos de cumplimiento planteados y el apetito al riesgo de la compañía.
Ahora ya sabes que con plantear un modelo de cumplimiento no basta. Hay que medir e implementar en la operativa el ciclo de Deming de mejora continua que garantice en el tiempo que todo está bien, y si no lo está, detectarlo para poderlo corregir.
La trayectoria profesional de Eliseo está a caballo entre áreas técnicas y marketing. Actualmente trabaja en el desarrollo de nuevos productos y servicios de Cibernos, tales como "Motor de Cumplimiento", producto específico para el control del cumplimiento, y "TaaS" (Truth as a Service) que utiliza Blockchain para la protección de las evidencias que deban ser utilizadas ante litigios (secretos empresariales, cumplimiento, publicaciones de los medios, actas de comités, tramitación en las AAPP,...).
El objetivo del presente artículo es sobrevolar sobre la familia ISO 27000, que contiene un amplio...
¿Sois conscientes de la cantidad de Responsable de Cumplimiento (RC) que se hacen esta pregunta?,...
Pongámonos en situación. Imagina por un momento el caso de tu empresa. Podría estar siendo...