Gestión de riesgos y confianza mediante crowdsourcing
Sin riesgos y gestión de riesgos, las empresas no pueden generar confianza. Explore el papel que desempeña la gestión de riesgos colaborativa en la confianza con IDC.
Encontré inspiración para este blog mientras escuchaba el tema «¿Cómo sabe si es bueno en seguridad?» podcast en una caminata matutina recientemente. Los anfitriones e invitados del podcast, «Defense in Depth», hablaron sobre la gestión de riesgos y las métricas que los líderes de seguridad podrían usar para determinar si son seguros. Hablaron sobre las estructuras de informes y lo que le gustaría saber a la alta dirección para comprender la seguridad y el riesgo.
Incluso mencionaron la confianza, ese concepto amorfo y difícil de definir que intentamos aplicar a las marcas y medir a partir de nuestros clientes. Gracias a David Spark ( @dspark ), productor de la serie CISO, coanfitrión invitado Geoff Belknap ( @geoffbelknap ), CISO de LinkedIn y a su invitado Justin Berman ( @justinmberman ), ex CISO de Dropbox por sus ideas en su último pódcast. (Compartimos un canal de Slack en común y los considero maestros a cuyos pies a menudo me siento en busca de inspiración y educación [#tinkerers]).
Si escuchas el episodio del podcast, verás que los caballeros cubren mucho terreno. Agregaría 2 puntos a su discusión:
- Un desarrollo adicional de la confianza porque creo que en la nueva era digital y especialmente después de COVID, la confianza se está convirtiendo rápidamente en algo sin lo que las empresas no pueden prescindir, y
- Una predicción de IDC FutureScape: Worldwide Future of Trust 2021 Predictions sobre la gestión de riesgos mediante crowdsourcing y cómo la automatización será esencial para hacer esto realidad. «Para el 2023, los requisitos colectivos de gestión de riesgos entre los principales y terceros obligarán al 50% de los proveedores de servicios de seguridad y riesgos de terceros a emplear herramientas analíticas avanzadas».
Los cinco pilares de la confianza
La confianza es un concepto que IDC ha adoptado dentro de sus prácticas Future of X o FOX. Me siento en el Future of Trust Council. Define la confianza dentro de cinco pilares (ver más abajo): riesgo, cumplimiento, privacidad, seguridad y responsabilidad social y ética.
Gestión de riesgos y riesgos: la capa fundamental de confianza
Como vemos en esta figura, el riesgo es fundamental. Sin una comprensión del riesgo y una gestión adecuada del riesgo, no hay confianza. El futuro de la confianza define la seguridad y el cumplimiento como obligatorios, pero también casi fundamentales. Los estratos estratégicos son la privacidad y la ética y la responsabilidad.
Permítame escuchar sobre la capa fundamental del riesgo y cómo sin ella la confianza no puede existir. Y hagamos una conexión entre la naturaleza intemporal y abstracta del riesgo. Si bien el riesgo puede cuantificarse de alguna manera y percibirse como lineal, no es una solución única para todos. La postura de riesgo de una organización no puede ni debe igualar la de otra.
El riesgo dependerá de la industria, el tamaño, el tipo de datos del cliente y su arquitectura de TI (local, nativa de la nube, multinube…). La postura de riesgo también está determinada por la necesidad empresarial. Algunas empresas tal vez necesiten una seguridad menos reforzada y estén menos preocupadas por el riesgo, mientras que otras cerrarán todas las escotillas que puedan y mostrarán una gran aversión al riesgo. Históricamente, el riesgo ha sido una función empresarial, incluso únicamente una función financiera. Pero con el tiempo, la ciberseguridad se ha infiltrado debido al impacto comercial y la pérdida financiera de las infracciones.
La intersección del riesgo y la confianza
Entonces, ¿dónde se cruza esto con la confianza? Considere la brecha de Target en 2013. El CEO de Target renunció después de que la compañía perdió 40 millones de tarjetas de crédito y débito de sus clientes a manos de los atacantes, y las ganancias cayeron un 46% año tras año en comparación con el mismo trimestre. Dos años más tarde, los únicos efectos evidentes a largo plazo fueron una mayor conciencia, regulación y gasto . ¿El cliente dejó de comprar en Target? No. Si bien muchos postulan que Target perdió la confianza del consumidor, todavía tengo que encontrar pruebas.
Avance rápido hasta 2020 y el año de Covid-19. Considere su propia relación con empresas que no aplicaron una higiene adecuada o no usaron máscaras. Considere a los directores ejecutivos de aerolíneas que escribieron correos electrónicos prometiendo asientos intermedios vacíos, uso obligatorio de máscaras y toma de temperatura solo para ver esos mismos aviones abarrotados de asientos intermedios completos y pasajeros sin máscara en las noticias locales.
Considere los restaurantes locales donde tuvo que abrirse paso a codazos a través de una sala de espera abarrotada para firmar una tarjeta de crédito para recoger su cena para llevar anunciada como «sin contacto». Ahora, por otro lado, piense en una buena experiencia como un minorista que ofrece servicio de recogida en la acera y envía mensajes a su teléfono celular cuando su pedido está listo, lo que le permite decir que está en camino y describir su automóvil para entregar a . ¿Ahora en quién confías?
Aquí está la conexión. Aquellas empresas que dieron un giro rápido en los primeros días de la pandemia para dar prioridad a la seguridad del cliente son en las que confiamos. ¿Habían realizado un ejercicio de tolerancia al riesgo antes de la pandemia? No lo sé, pero apuesto a que están haciendo uno ahora (y pronto tendremos datos sobre esto). Cuanto mejor conozcamos nuestras deficiencias y posibles fallas en el peor de los casos, más rápido y de manera más completa podremos reaccionar. Esto calma los nervios de nuestros clientes.
La gestión de riesgos de colaboración colectiva es la intersección de la subcontratación de la identificación y el seguimiento de la gestión de riesgos a los empleados, las partes interesadas más allá de la gobernanza, el riesgo y el cumplimiento (GRC) y los equipos de seguridad y, francamente, a las masas de usuarios de Internet y empresas. Nos pide a todos que nos mantengamos seguros unos a otros y que identifiquemos los riesgos potenciales.
Para traer esto de vuelta al podcast que escuché, no todos ven el riesgo de la misma manera, ni con el mismo impacto comercial potencial, así que imagínese si otros en su industria pensaran que algo era arriesgado y lo compartieran con usted, aumentando así su conciencia sobre ¿eso? Esto sucede en el consorcio FS ISAC en la actualidad, pero no sucede de manera consistente y lo suficientemente amplia a menos que cree círculos de confianza para la telemetría de riesgos y amenazas en una plataforma de inteligencia de amenazas o TIP.
Este es un comienzo, pero imagínese involucrar a todos en su empresa e industria y, francamente, a todos en las masas de Internet, para hacer sonar la alarma cuando haya peligro. Esto es lo que se supone que debe hacer la gestión de riesgos mediante crowdsourcing, pero es difícil. Sin duda, se necesitan herramientas analíticas avanzadas como el aprendizaje automático y la automatización. La automatización de procesos robóticos es quizás un ejemplo demasiado básico, pero lo que hizo RPA para agilizar las tareas humanas, la automatización de la gestión de riesgos colaborativa lo hará en el futuro. Solo piense en las presentaciones ante la SEC, que han sido muy manuales hasta hace poco. De hecho, una encuesta realizada ahora con 6 años por el Consejo de la Agenda Global sobre el Futuro del Software y la Sociedad del Foro Económico Mundial afirma que el 75% de sus encuestados cambiarán el 30% de todas las auditorías corporativas a la IA para 2025 (me gustaría que repitieran esto estudio).
¿Busca más información sobre cómo medir y cuantificar eficazmente el riesgo de ciberseguridad y su impacto en el negocio? Obtenga más información sobre el programa de gestión de asesoramiento de riesgos y privacidad (RAMP) de IDC
Traducción del artículo original de IDC
https://blogs.idc.com/2021/02/05/crowdsourced-risk-management-and-trust/
Feb 5, 2021