Los análisis del riesgo han evolucionado desde enfoques centrados exclusivamente en vulnerabilidades técnicas hacia modelos más abstractos y sistémicos, capaces de explicar la recurrencia de los incidentes de seguridad en contextos tecnológicos y organizativos muy diversos, lo que implica hacer foco en los patrones de riesgo como instrumento principal en la identificación de las configuraciones… Seguir leyendo Patrones de riesgo
Categoría: GRC
Bayes y el riesgo
Thomas Bayes (c. 1701-1761) fue un matemático y teólogo inglés que desarrolló el teorema que formaliza la inferencia bayesiana en la que se aborda la «probabilidad inversa», que consiste en inferir la probabilidad de una hipótesis a partir de los efectos observados, invirtiendo el sentido habitual de la probabilidad condicional. Es decir, supongamos que analizamos logs… Seguir leyendo Bayes y el riesgo
El círculo conductual
Lo cierto es que no en pocas empresas el análisis de riesgos de ciberseguridad vive en un mundo, y la formación de usuarios en otro. Los primeros generan matrices de impacto y probabilidad muy sofisticadas, mientras que la segunda se traduce en cursos genéricos que cambian poco año tras año, con el consiguiente desajuste, pues… Seguir leyendo El círculo conductual
Teoría de juegos
La teoría de juegos es ampliamente utilizada en economía y estrategia militar porque proporciona un marco formal para analizar este tipo de dinámicas, además de que permite representar los posibles cursos de acción de cada actor, cuantificar sus resultados esperados y descubrir puntos de equilibrio en los que las estrategias de ambos se estabilizan. Esto, aplicado… Seguir leyendo Teoría de juegos
El riesgo como deuda
El riesgo de ciberseguridad ha sido tradicionalmente tratado como un fenómeno probabilístico basado en la ocurrencia e impacto de eventos adversos. Sin embargo, la naturaleza sistémica, acumulativa y de alta interdependencia de los entornos tecnológicos modernos ha demostrado que gran parte de la exposición cibernética no se materializa de forma súbita, sino que se acumula gradualmente… Seguir leyendo El riesgo como deuda
Dimensionamiento basado en riesgo
El dimensionamiento de los equipos de ciberseguridad ha sido históricamente un punto de debate entre CISOs y directivos, ya que tradicionalmente se ha basado en modelos que asignan recursos humanos según el tamaño de la infraestructura tecnológica —como el número de usuarios, servidores o endpoints— y, aunque práctico, resulta limitado al ignorar factores esenciales como… Seguir leyendo Dimensionamiento basado en riesgo
La cultura del riesgo
La cultura de riesgo es un constructo organizacional multidimensional y dinámico que integra conocimientos, actitudes, emociones y prácticas compartidas para percibir, evaluar y gestionar riesgos de manera coherente y proactiva, funcionando como un motor de resiliencia, innovación y ventaja competitiva, cuya efectividad depende de la alineación entre las dimensiones cognitiva, afectiva y conductual, así como… Seguir leyendo La cultura del riesgo
Cuando el castellano nos juega una mala pasada
En la gestión de riesgos digitales, el lenguaje no es un asunto menor, puesto que la forma en la que nombramos y categorizamos un riesgo influye en cómo se interpreta, prioriza y finalmente se gestiona en una organización. En español solemos utilizar la palabra «emergente» para referirnos tanto a lo «emergent» como a lo «emerging«, dos términos en inglés que,… Seguir leyendo Cuando el castellano nos juega una mala pasada
FAIR: poniendo números al riesgo
En el mundo de la gestión de riesgos, las matrices de colores y los cálculos semicuantitativos son herramientas porque permiten tener una visión rápida de amenazas y priorizar acciones. Sin embargo, cuando llega el momento de hablar con la dirección de la empresa, esos gráficos suelen quedarse cortos. FAIR es una metodología desarrollada por Jack Jones a principios de… Seguir leyendo FAIR: poniendo números al riesgo
NICE y la búsqueda de equipo
El Marco NICE (National Initiative for Cybersecurity Education Framework) es una estructura desarrollada por el Departamento de Seguridad Nacional de EE. UU. que busca establecer un lenguaje común para describir el trabajo, las habilidades y los conocimientos necesarios en el ámbito de la ciberseguridad. En este sentido, dado que todos los recursos teóricos pueden encontrarse vía web, lo que… Seguir leyendo NICE y la búsqueda de equipo