COMENTARIO
Muchos líderes de ciberseguridad comenzarán cada año nuevo con predicciones para el próximo año. Es posible que haya visto un diluvio en él el mes pasado: “Los ataques cibernéticos seguirán siendo un problema”. “Este cierto país prohibirá los pagos de rescate”.
Pero como fundador y CEO de la compañía de seguridad cibernética, así como un corredor de seguros aprobado, creo que, en lugar de predicciones, lo que realmente necesitamos para protegernos es una mejor comprensión de probabilidad. ¿Para qué? Las predicciones no inspiran soluciones. Las probabilidades hacen.
Para entender por qué la probabilidad es tan importante en la ciberseguridad, y por qué hace que las predicciones no se centren en los datos muy inadecuados, veamos qué probabilidad es realmente.
Comprender los matices de la probabilidad
La comprensión tradicional de la probabilidad tiende a ser incorrecta. Muchos lo tratan simplemente como la frecuencia de los eventos en muchas pruebas (piense: gire una habitación). Esto requiere conjuntos de datos extremadamente grandes, y estos conjuntos de datos deben ser estables y consistentes. Sin embargo, la lucha contra los actores de amenaza no es una empresa estable ni una compañía coherente. La ciberseguridad es, por lo tanto, intrínsecamente dinámica e incierta; Necesitamos un paradigma más matizado.
La probabilidad bayesiana, que considera la probabilidad como un “grado de creencia” basado en los datos disponibles y el juicio experto, permite la flexibilidad y la adaptabilidad necesaria en la ciberseguridad. Aunque los datos pueden ser limitados y las condiciones evolucionan rápidamente, siempre podemos usar este enfoque para construir modelos de riesgo para la superficie de una sola amenaza de una empresa. Estos modelos de riesgo combinan las probabilidades de datos antes mencionadas con variables como el vencimiento de control, las quejas de seguridad cibernética y factores comerciales y de la industria para crear evaluaciones de riesgos específicas y actualizadas. Por lo tanto, este modelo de probabilidad bayesiano es a lo que me refiero cuando digo “probabilidad”.
Aprender del seguro
Podemos obtener mucho sobre el riesgo cibernético y la probabilidad de lo que puede parecer una fuente sorprendente: los datos del seguro. Porque mi empresa proporciona segurería cibernética Además de las estrategias de gestión de riesgos, tenemos visibilidad en la cantidad de quejas de seguro que se han convertido en “material” para una empresa. En otras palabras, podemos ver no solo la cantidad de ataques que nuestros clientes han enfrentado, sino también cuáles fueron los verdaderos impactos financieros. Si bien hemos visto aumentar la frecuencia de las afirmaciones en casi un 35% en 2024, estos De hecho, las quejas se han convertido en equipo a un ritmo más bajo que vimos en 2023.
¿Qué significa eso? En el nivel más granular, esto significa que las empresas de nuestra cartera no pierden tanto dinero de los ataques cibernéticos que podrían tener. Es alentador en sí mismo, pero también sugiere una tendencia más amplia y alentadora: el delito cibernético está ahí para quedarse, pero las empresas mejoran para resistir los peores efectos. Y no estamos solos en ver esta tendencia positiva: Coveware reportado recientemente Una caída importante en las tasas de pago de rescate, mientras que Palo Alto Networks predecir un cambio En la efectividad de los requisitos de ransomware, a medida que las organizaciones invierten cada vez más en posturas de seguridad cada vez más, pero también en arquitecturas más cibernéticas.
Ya sea a través de estrategias de gestión de riesgos, un Más características y consejos proactivosLas inversiones en ciberacoso y las mejores herramientas de seguridad en clase, o una combinación de estas, las empresas se vuelven más resistentes, incluso si los cibercriminales se vuelven más inteligentes y rápidos.
Poner los datos y la IA a trabajar
Estas mejoras en la atenuación del daño por ataque cibernético en el último año no ocurren de forma aislada. Son el resultado de una concentración renovada y se concentran mejor en la seguridad de los datos de seguridad y riesgo. Cuando tenemos los datos correctos, y los modelos de buena probabilidad, podemos adoptar una comprensión mucho más informada de lo que sucederá en el futuro y los impactos potenciales.
Para nosotros, esto significa construir un modelo complejo basado en los datos que tenemos. Nuestros modelos se construyen como una red de desencadenantes de eventos y señales de entrada; Juntos, informan la probabilidad de que ocurran pérdidas, las pérdidas en la playa cuando ocurren y las probabilidades asociadas con el tamaño de las pérdidas en la playa. Lo hacemos de acuerdo con el tipo de peligro que puede materializarse en estas pérdidas, incluidas las perturbaciones comerciales, la violación de datos, el fraude y la extorsión.
La tasa a la que los peligros causan pérdidas están influenciadas por la madurez de los controles de seguridad que tienen nuestros clientes. Otorgamos la relación entre estas señales, su nivel y su producción de acuerdo con los grados de creencias de nuestros expertos, datos que afirman ciber Esta gran red facilita nuestro razonamiento probabilístico, y los resultados que observamos tienden a ser bastante precisos.
Resistir la mentalidad de FUD
El miedo, la incertidumbre y la duda (FUD) a menudo oscurecen nuestra visión con respecto a la toma de decisiones de ciberseguridad y las proyecciones futuras. Es comprensible: los ataques cibernéticos contra grandes organizaciones han afectado a muchos de nosotros directamente. Tal vez no podrías obtener una receta a tiempo después Cambiar el ataque de atención médica. O tal vez hayas recibido una opinión de que Sus datos habían sido violados Después de un ataque contra AT&T. Incluso si no se ha visto afectado personalmente, un ataque en la portada de los periódicos de la desgracia puede hacer que intente recurrir al futuro y suponer que el desastre es inminente, o peor aún, que no hay nada que podamos hacer al respecto. .
Pero cuando eliminamos nuestras gafas FUD y observamos los datos fríos y duros, estas hipótesis se vuelven poco incorrectas. Esta es la razón por la cual la evaluación de riesgos con un modelo probabilístico puede darnos una visión general mucho mejor no solo lo que probablemente suceda, sino también impactos reales. Y cuando entendemos mejor los impactos potenciales, podemos conceptualizar soluciones mucho más efectivas. Piense: elija herramientas de seguridad completas que protejan todo lo que una empresa identifica sus “joyas de la corona”; Construya un equipo completo detrás del Director de Seguridad de la Información de una empresa (CISO) y la incorporación de nuevos miembros de la Junta Directiva de Landing Cyber; E incluso invertir en ciberguro.
Además, es la probabilidad, y no la falta de datos difíciles, lo que nos ayudan rápidamente a tomar decisiones importantes bajo presión e incertidumbre. Aunque las probabilidades pueden basarse en información subjetiva, cuando se usan en un marco objetivo, demuestran una forma efectiva de mejorar el valor de las decisiones difíciles que tomamos. Y cuando nos sentimos más seguros en estas decisiones, obtenemos mejores soluciones que pueden hacernos esencialmente invencibles para todo lo que los cibercriminales pueden lanzar nuestro camino este año.