En primer lugar, es necesario conocer qué se entiende por metodología y cómo se aplica esta definición, cuando la llevamos al campo de la gestión del ciberriesgo.
Definimos el concepto de metodología como el conjunto de mecanismos o procedimientos racionales, empleados para el logro de un objetivo, o serie de objetivos que dirige una investigación científica. En el caso de las metodologías de gestión de los riesgos cibernéticos, estos objetivos se concretan en:
Existen diferentes aproximaciones o enfoques para llevar a cabo una gestión integral de los ciberriesgos. Los estándares, marcos y metodologías que pueden ser utilizados serán diferentes dependiendo del tipo de aproximación que se lleve a cabo:
Ocurre cuando consideramos que la propia gestión de los diferentes ciberriesgos (económicos, políticos, ambientales, tecnológicos), proporciona a una organización, empresa o entidad, una ventaja competitiva que les permite diferenciarse de sus competidores.
En este caso, lo que se persigue es facilitar la integración de información relacionada con ciberriesgos (cuáles son, con qué probabilidad ocurren, qué impacto tiene en la organización, qué iniciativas se pueden llevar a cabo para gestionarlos) en iniciativas más estratégicas tipo ERM o similar.
Este tipo de metodologías requieren llevar a cabo un minucioso inventario de activos, incluyen diferentes técnicas para asignar probabilidades e impactos, proponen taxonomías de amenazas, vulnerabilidades y contramedidas, proporcionan habitualmente métricas para calcular el impacto de los riesgos cibernéticos, etc.
Se caracteriza por ayudar a entender las relaciones e interdependencias entre los activos existentes y cómo un incidente de seguridad en uno de ellos puede afectar negativamente a aquellos que están por debajo, a través de lo que se denomina efecto cascada.
Además, dependiendo del alcance, contexto y objetivos del proyecto, será necesario utilizar estándares y marcos de trabajo más orientados a establecer un conjunto de actividades básicas que deben ser desarrolladas para reducir ciberriesgos, o bien apoyarse en aquellos que proponen taxonomías y mejores prácticas específicas para llevar a cabo una gestión integral del riesgo cibernético.
Por último, diversas instituciones y organizaciones como la International Organization for Standardization (ISO) o el National Institute of Standards and Technology (NIST) se encargan de diseñar y/o avalar estas mejores prácticas.