Etiqueta: GRC

Patrones de riesgo

Los análisis del riesgo han evolucionado desde enfoques centrados exclusivamente en vulnerabilidades técnicas hacia modelos más abstractos y sistémicos, capaces de explicar la recurrencia de los incidentes de seguridad en contextos tecnológicos y organizativos muy diversos, lo que implica hacer foco en los patrones de riesgo como instrumento principal en la identificación de las configuraciones… Seguir leyendo Patrones de riesgo

Decisiones

Los riesgos —tanto en ciberseguridad como en la vida— no son otra cosa que la aceptación de algo incómodo, que es que vivimos en una incertidumbre estructural y, aun así, tenemos que decidir y responsabilizarnos de lo que decidimos. Lo cierto es que el riesgo es una forma moderna de nombrar a una vieja pregunta,… Seguir leyendo Decisiones

Bayes y el riesgo

Thomas Bayes (c. 1701-1761) fue un matemático y teólogo inglés que desarrolló el teorema que formaliza la inferencia bayesiana en la que se aborda la «probabilidad inversa», que consiste en inferir la probabilidad de una hipótesis a partir de los efectos observados, invirtiendo el sentido habitual de la probabilidad condicional. Es decir, supongamos que analizamos logs… Seguir leyendo Bayes y el riesgo

El círculo conductual

Lo cierto es que no en pocas empresas el análisis de riesgos de ciberseguridad vive en un mundo, y la formación de usuarios en otro. Los primeros generan matrices de impacto y probabilidad muy sofisticadas, mientras que la segunda se traduce en cursos genéricos que cambian poco año tras año, con el consiguiente desajuste, pues… Seguir leyendo El círculo conductual

Dimensionamiento basado en riesgo

El dimensionamiento de los equipos de ciberseguridad ha sido históricamente un punto de debate entre CISOs y directivos, ya que tradicionalmente se ha basado en modelos que asignan recursos humanos según el tamaño de la infraestructura tecnológica —como el número de usuarios, servidores o endpoints— y, aunque práctico, resulta limitado al ignorar factores esenciales como… Seguir leyendo Dimensionamiento basado en riesgo

Cuando el castellano nos juega una mala pasada

En la gestión de riesgos digitales, el lenguaje no es un asunto menor, puesto que la forma en la que nombramos y categorizamos un riesgo influye en cómo se interpreta, prioriza y finalmente se gestiona en una organización. En español solemos utilizar la palabra «emergente» para referirnos tanto a lo «emergent» como a lo «emerging«, dos términos en inglés que,… Seguir leyendo Cuando el castellano nos juega una mala pasada

¿Qué no es un riesgo?

¿Quién no ha escuchado nunca en una reunión o comité afirmaciones como “tenemos un riesgo en el servidor”, “el ransomware es un riesgo creciente”, o incluso “los usuarios son el mayor riesgo”?. Estas expresiones, aunque bien intencionadas, revelan una confusión fundamental entre lo que constituye un riesgo y lo que no lo es.  Desde un… Seguir leyendo ¿Qué no es un riesgo?

NICE y la búsqueda de equipo

El Marco NICE (National Initiative for Cybersecurity Education Framework) es una estructura desarrollada por el Departamento de Seguridad Nacional de EE. UU. que busca establecer un lenguaje común para describir el trabajo, las habilidades y los conocimientos necesarios en el ámbito de la ciberseguridad.  En este sentido, dado que todos los recursos teóricos pueden encontrarse vía web,  lo que… Seguir leyendo NICE y la búsqueda de equipo

Chile, parte 1 – Ley de ciberseguridad

Como el lunes 8 de abril se publicó la Ley Marco de Ciberseguridad en Chile, primera de la región, y hace escasamente 5 días se aprobó en el Congreso la Ley de Protección de Datos, quedando pendiente de control constitucional y promulgación, vamos a lanzar 3 posts desgranando los puntos más interesantes de cada norma, de… Seguir leyendo Chile, parte 1 – Ley de ciberseguridad