Integración de los riesgos de ciberseguridad en el marco de riesgos empresarial

El Instituto Nacional de Estándares y Tecnología de Estados Unidos (‘NIST’) publicó, el 26 de enero de 2022, su borrador del Informe NIST 8286C “Escenificación de los riesgos de ciberseguridad para la gestión de riesgos empresariales y la supervisión de la gobernanza”. El objetivo es permitir a los profesionales de riesgos integrar mejor las actividades de Gestión de Riesgos de CiberSeguridad (CSRM) en los procesos de Gestión de Riesgo Empresarial (ERM) más amplios. 

El borrador se basa en informes anteriores del NIST en la serie 8286: 

• NISTIR 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM) – es el documento fundacional, describe los procesos de alto nivel. 
• NISTIR 8286A, Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management – describe la identificación del riesgo y su análisis 
• NISTIR 8286B, Prioritizing Cybersecurity Risk for Enterprise Risk Management – describe métodos para aplicar los objetivos de la empresa para priorizar los riesgos identificados y, posteriormente, para seleccionar y aplicar las respuestas apropiadas.

Los documentos mencionados arriba, proporcionan detalles sobre el riesgo de las partes interesadas, dirección y métodos para evaluar y gestionar el riesgo de ciberseguridad a la luz de los objetivos de la empresa NISTIR 8286C describe cómo la información, tal como se ingresa en los registros de riesgos de ciberseguridad, puede integrarse como parte de un enfoque holístico para garantizar que los riesgos para la información y tecnología se consideran adecuadamente para la cartera de riesgo empresarial. 

El documento reconoce que si bien ERM es un campo de conocimiento bien establecido, existe la oportunidad de expandir y mejorar la coordinación entre los gestores de riesgos de ciberseguridad y los gestores de riesgo en los niveles más altos. Esta serie de documentos de NIST pretende ser un paso inicial en esa integración, reconociendo explícitamente la necesidad de investigación y colaboración adicionales. 

Si bien como lo establece el propio documento, se trata de un borrador abierto a comentarios y futuros trabajos, se destacan los siguientes aportes del trabajo: 

• Se describe la agregación de información CSRM desde varias fuentes dentro de la Organización 
• Se describen los métodos para integrar los detalles del riesgo cibernético en un registro de riesgos de seguridad que cubra a toda la empresa, brindando conciencia y capacidades de reporte para informar a las partes interesadas sobre los riesgos clave. 
• Revisa el sistema de gobierno corporativo y los componentes para mantener un programa integral de gestión de la ciberseguridad. Describe metodologías de ejemplo que ayudan a informar los ajustes estratégicos y las evaluaciones en curso. 
• Describe los procesos para monitorear las condiciones de riesgo de ciberseguridad, evaluar opciones potenciales sobre cómo responder a los cambios y ajustar la estrategia de riesgo o las actividades de gestión de riesgo.
• Proporciona una conclusión a toda la serie NISTIR 8286 en apoyo de la Integración entre CSRM/ERM.

En relación a futuros trabajos, el documento manifiesta que próximos puntos de enfoque pueden incluir información sobre Evaluaciones de Impacto para el Negocio (BIA), que son fundamentales para comprender la exposición y la oportunidad. Informes adicionales pueden explorar orientación específica con respecto a los límites de riesgo (es decir, el apetito por el riesgo, la tolerancia y la capacidad) y una explicación más detallada de técnicas de análisis de riesgo. 

Otro de los puntos en los cuales NIST continúa realizando extensas investigaciones y publicaciones es el vinculado a métricas, un tema que sin duda respaldará el rendimiento de ERM/CSRM, medición, seguimiento y comunicación.