Al trabajar en varios campos de la educación y la tecnología, me recuerdan constantemente que debemos aprender durante toda la vida. Con ese espíritu, comparto algo que he aprendido esta semana y que ha resuelto una necesidad empresarial del mundo real para mí y espero que sea de utilidad para los lectores de este blog.
Ya he admitido antes que me encanta la visualización de datos, ya sea en Microsoft PowerBI o en su predecesor: Microsoft Excel. En este caso, tenía muchas ganas de intentar crear un mapa de calor de evaluación de riesgos que me permitiera manipular fácilmente los puntos de datos del mapa de calor a medida que el riesgo cambiara con el tiempo. En particular, quería utilizar un elemento visual que “contara una historia” rápidamente para mis jefes que necesitaban absorber muchos datos muy rápidamente y no querían leer un montón de puntos de texto que contaran esa historia.
Un mapa de calor de riesgos (o mapa de calor de riesgos) es una representación gráfica de los datos de ciberriesgos en la que los valores individuales contenidos en una matriz se representan como colores que connotan un significado. Los mapas de calor de riesgos se utilizan para presentar los resultados de la evaluación de ciberriesgos en un formato fácil de entender, visualmente atractivo y conciso.
Donde hay que interpretar los gráficos y entender las tablas, los mapas de calor son autoexplicativos e intuitivos. Dado que están hechos a medida para poner conjuntos de datos masivos en un contexto fácil de entender, son cada vez más valorados como una herramienta superior de visualización de datos en ciberseguridad para identificar, priorizar y mitigar los riesgos.
El riesgo es el producto de la probabilidad de infracción y el impacto de la misma. En este tipo de mapa de calor, el eje horizontal muestra la probabilidad de una violación de la ciberseguridad. El eje vertical muestra el impacto empresarial de una violación. Los colores son las áreas de riesgo (por ejemplo, las casillas de color verde indican que no se necesita ninguna acción y las casillas rojas indican que se necesita una acción inmediata). Los elementos de riesgo individuales se trazan en el mapa de calor basándose en el impacto empresarial y la probabilidad de que se produzca una violación (Riesgo = Impacto × Probabilidad).
El mapa de riesgos. Un elemento básico del sector desde hace muchos años. El mapa de calor estándar de 3×3, o 5×5 que tiene la probabilidad (o frecuencia) en un eje, el impacto (o magnitud) en el otro, con colores que van del verde al rojo.
Cualquiera que se dedique a la gestión de riesgos y a la ciberseguridad podría suponer que este post será una oportunidad para despotricar de los muchos problemas que suelen asociarse al gráfico de calor o a la matriz de riesgos. Desde ser intrínsecamente subjetivo, “¿Cómo sabes que mi riesgo naranja es el mismo que tu riesgo naranja? Hasta… no fomentar una buena priorización, “¿Qué riesgo rojo es más rojo que los otros rojos?”.
Esto puede resultar chocante para algunos, pero como medio de comunicación, el gráfico de calor hace un trabajo bastante eficaz para transmitir qué riesgos son los que más preocupan a su audiencia. De forma simplificada, utilizando los colores de los semáforos que todos aprendimos en el preescolar (verde, amarillo, rojo), un analista de riesgos puede comunicar de forma rápida y bastante eficaz qué riesgos son los más y los menos preocupantes.
Entonces, ¿por qué el mapa de calor de la evaluación de riesgos tiene tan mala reputación, y más aún, es realmente merecida? El mapa de calor ha recibido una mala reputación debido a su asociación con procesos de evaluación de riesgos deficientes que se basan más en la subjetividad, la sensación y la falta de pensamiento crítico. Como resultado, el mapa de calor es a menudo un indicador principal de una preocupación más sistémica sobre el programa de gestión de riesgos de una organización.
Tanto si se lleva a cabo como parte de un proceso de gestión de riesgos empresariales de base amplia como de un proceso de control interno más centrado, la evaluación de riesgos es un paso fundamental en la gestión de riesgos. Implica evaluar la probabilidad y el impacto potencial de los riesgos identificados.
Los mapas de calor son una forma de representar las evaluaciones cualitativas y cuantitativas resultantes de la probabilidad de ocurrencia del riesgo y el impacto en la organización en caso de que se experimente un riesgo particular.
El desarrollo de un mapa de calor eficaz tiene varios elementos críticos: una comprensión común del apetito de riesgo de la empresa, el nivel de impacto que sería material para la empresa y un lenguaje común para asignar probabilidades e impactos potenciales.
El diagrama del mapa de calor de 5×5 que se muestra a continuación ilustra cómo las organizaciones pueden asignar rangos de probabilidad a caracterizaciones cualitativas comunes de la probabilidad de eventos de riesgo, y un esquema de clasificación de impactos potenciales. También pueden clasificar los impactos sobre la base de lo que es importante en términos financieros, o en relación con la consecución de los objetivos estratégicos. En este ejemplo, los riesgos se priorizan mediante una simple fórmula de multiplicación.