Las certificaciones en ciberseguridad se han convertido en un elemento casi omnipresente en el discurso corporativo. ISO 27001, ENS, SOC 2, certificaciones profesionales, sellos, acreditaciones. Y, aunque en muchos sectores no tenerlas te puede dejar fuera del mercado; tenerlas, en cambio, puede llegar a ser un lastre, por lo que desde una perspectiva de gestión de… Seguir leyendo El valor de las certificaciones
Etiqueta: Gestión de riesgos
Bayes y el riesgo
Thomas Bayes (c. 1701-1761) fue un matemático y teólogo inglés que desarrolló el teorema que formaliza la inferencia bayesiana en la que se aborda la «probabilidad inversa», que consiste en inferir la probabilidad de una hipótesis a partir de los efectos observados, invirtiendo el sentido habitual de la probabilidad condicional. Es decir, supongamos que analizamos logs… Seguir leyendo Bayes y el riesgo
El círculo conductual
Lo cierto es que no en pocas empresas el análisis de riesgos de ciberseguridad vive en un mundo, y la formación de usuarios en otro. Los primeros generan matrices de impacto y probabilidad muy sofisticadas, mientras que la segunda se traduce en cursos genéricos que cambian poco año tras año, con el consiguiente desajuste, pues… Seguir leyendo El círculo conductual
Teoría de juegos
La teoría de juegos es ampliamente utilizada en economía y estrategia militar porque proporciona un marco formal para analizar este tipo de dinámicas, además de que permite representar los posibles cursos de acción de cada actor, cuantificar sus resultados esperados y descubrir puntos de equilibrio en los que las estrategias de ambos se estabilizan. Esto, aplicado… Seguir leyendo Teoría de juegos
Dimensionamiento basado en riesgo
El dimensionamiento de los equipos de ciberseguridad ha sido históricamente un punto de debate entre CISOs y directivos, ya que tradicionalmente se ha basado en modelos que asignan recursos humanos según el tamaño de la infraestructura tecnológica —como el número de usuarios, servidores o endpoints— y, aunque práctico, resulta limitado al ignorar factores esenciales como… Seguir leyendo Dimensionamiento basado en riesgo
Cuando el castellano nos juega una mala pasada
En la gestión de riesgos digitales, el lenguaje no es un asunto menor, puesto que la forma en la que nombramos y categorizamos un riesgo influye en cómo se interpreta, prioriza y finalmente se gestiona en una organización. En español solemos utilizar la palabra «emergente» para referirnos tanto a lo «emergent» como a lo «emerging«, dos términos en inglés que,… Seguir leyendo Cuando el castellano nos juega una mala pasada
¿Qué no es un riesgo?
¿Quién no ha escuchado nunca en una reunión o comité afirmaciones como “tenemos un riesgo en el servidor”, “el ransomware es un riesgo creciente”, o incluso “los usuarios son el mayor riesgo”?. Estas expresiones, aunque bien intencionadas, revelan una confusión fundamental entre lo que constituye un riesgo y lo que no lo es. Desde un… Seguir leyendo ¿Qué no es un riesgo?
LIINE4EDU, una nueva metodología para el modelado de amenazas a la privacidad
La Agencia Española de Protección de Datos (AEPD) publico hace unas semanas una nota técnica sobre una metodología de modelado de amenazas centrada en la privacidad, diseñada para entender y gestionar riesgos específicos relacionados con el tratamiento de datos personales. ¿Qué es el modelado de amenazas? Antes de profundizar, definamos qué entendemos por modelado de… Seguir leyendo LIINE4EDU, una nueva metodología para el modelado de amenazas a la privacidad
Mapeo de proveedores
El Business Impact Analysis (BIA) es una herramienta clave para determinar la criticidad de un proveedor en tanto que, al identificar y evaluar los servicios y procesos críticos de negocio, podemos estimar cómo afectaría a la organización la interrupción de un tercero. Una vez hayamos identificado dichos servicios y procesos críticos, debemos mapear quién, cómo y cuándo actúa el… Seguir leyendo Mapeo de proveedores