Para evaluar operativamente el ciberriesgo, las organizaciones pueden optar por llevar a cabo procesos de evaluación del nivel de madurez basadas en estándares como son la ISO 27002 (2013) – Information technology -Security techniques – Code of practice for information security controls o el NIST Cybersecurity Framework v1.1 (2018) – Framework for Improving Critical Infrastructure Cybersecurity, por poner tan sólo algunos ejemplos; o iniciar un proyecto de evaluación y tratamiento de riesgos, utilizando metodologías internacionalmente reconocidas como la ISO 27005 (2014) – Information technology – Security techniques – Information security management risk management, Magerit v3.0, CRAMM, etc.
La realización de este tipo de ejercicios, absolutamente necesarios para entender en profundidad la exposición al ciberriesgo de las organizaciones se caracterizan por:
Desde Willis Towers Watson, creemos que como complemento (o incluso dependiendo del objetivo y alcance del proyecto como sustitución) a este tipo de iniciativas, las organizaciones deben llevar a cabo una evaluación estratégica del ciberriesgo que se caracteriza por: