Preguntamos a varios profesionales qué herramientas usan diariamente para gestión de riesgos cibernéticos. Las respuestas fueron más variadas de lo esperado.
Un equipo en una empresa mediana trabaja principalmente con hojas de cálculo personalizadas en Excel. Tienen una plantilla que desarrollaron durante dos años con fórmulas para calcular niveles de riesgo basados en probabilidad e impacto. La ventaja es que todos saben usar Excel y pueden personalizar lo que necesiten. El problema es mantener versiones sincronizadas entre seis personas. Están considerando migrar a Google Sheets para colaboración en tiempo real, pero les preocupa perder algunas macros complejas que han creado.
Otra organización más grande paga licencias de ServiceNow para gestión integrada de riesgos. Costó cerca de cincuenta mil euros implementarlo correctamente, incluyendo personalización y formación. Ahora pueden vincular vulnerabilidades directamente con activos, tickets de cambio y evaluaciones de riesgo. El sistema genera reportes automáticos que antes les tomaban días compilar manualmente. Sin embargo, admiten que usan solo el treinta por ciento de las funcionalidades disponibles.
Un equipo pequeño adoptó RiskLens hace seis meses para análisis cuantitativo siguiendo el modelo FAIR. Pagan suscripción anual de unos doce mil euros. La curva de aprendizaje fue pronunciada, especialmente para recopilar los datos necesarios. Pero ahora pueden presentar riesgos en términos monetarios que los ejecutivos comprenden mejor.
Finalmente, una startup usa la versión gratuita de Eramba Community. Les funciona porque tienen menos de cien activos que proteger. La interfaz no es moderna pero cubre gestión básica de riesgos, controles y cumplimiento normativo. Cuando crezcan probablemente necesitarán algo más robusto.