Redacción 14 abril, 2019
La evaluación del riesgo en el centro de la escena de la transformación digital - Marcelo Lozano

La evaluación de los riesgos cibernéticos se considera difícil o incluso imposible. Sin embargo, las empresas tienen que actuar.

Los riesgos cibernéticos son difíciles de predecir ya que el panorama y la tecnología de TI cambian constantemente. Esto ofrece a los atacantes siempre nuevas posibilidades.

Además, el grado de creación de redes en y entre empresas está siempre en línea en dos sectores y países, lo que aumenta el potencial de ataque.

Cada compañía tiene debilidades y riesgos individuales que deben identificarse y evaluarse caso por caso.

¿Cómo pueden las empresas todavía protegerse contra los ataques cibernéticos?

Las empresas valoran los riesgos altos

Existe un mayor conocimiento en las empresas sobre los riesgos cibernéticos basándose en un análisis de la aseguradora.

De acuerdo con los 1,911 clientes y expertos encuestados en el «Barómetro de Riesgo 2018«, los incidentes cibernéticos aumentaron del decimoquinto al segundo lugar en los mayores riesgos del mundo en los últimos cinco años.

Además, la tecnología de la información es el desencadenante más temido para el agente de alto rendimiento de riesgo : la interrupción del negocio.

Como razones de pérdidas económicas después de un incidente cibernético, los encuestados mencionan principalmente las interrupciones del negocio junto con los efectos en la cadena de suministro (67 %).

A esto le siguen daños en la imagen (52 %) y reclamaciones de responsabilidad civil por fugas de datos (45 %).

Además de código malicioso, ransomware, phishing, acceso no autorizado y similares, existen otras amenazas de TI.

Los defectos técnicos, como el software incompatible y el hardware defectuoso o inseguro son un desencadenante, así como los errores de funcionamiento, instalación y programación.

Definir riesgos

Las causas y los efectos de los riesgos cibernéticos son complejos, de gran alcance y, a menudo, impredecibles. Para obtener una indicación del daño potencial causado por los incidentes cibernéticos para las empresas, Münch aconseja calcular el impacto financiero de nueve riesgos:

  • Pérdida de datos propios y de datos de terceros.
  • Pérdida de propiedad intelectual
  • Pérdida financiera
  • Costos de interrupciones y retrasos de negocio.
  • Costo de las medidas de respuesta a incidentes
  • Daño a la reputación
  • Daño fisico
  • daños corporales

Como elabora la evaluación de riesgos un experto

Para identificar las áreas de ataque en las empresas, es necesario realizar encuestas sobre los riesgos cibernéticos potenciales en la fuerza laboral y, sobre todo, a lo largo de toda la cadena de suministro. Además, las evaluaciones realizadas por consultores externos son un medio probado y comprobado, ya que aportan experiencia.

Según los expertos, el riesgo se puede calcular aproximadamente de acuerdo con las siguientes preguntas :

  • ¿Qué información sobre la compañía está disponible públicamente y puede ser utilizada por los atacantes?
  • ¿Qué tan fuerte es la TI de la empresa frente a diferentes vectores de ataque?
  • ¿Qué tan atractiva es la empresa y su negocio para los hackers?
  • ¿Con qué facilidad puede la empresa estar expuesta a los riesgos?

El vínculo entre la TI y los riesgos empresariales

La seguridad, la gestión de riesgos y los negocios deben estar estrechamente vinculados y alineados. Al hacerlo, se debe tener cuidado de salvar los límites entre las disciplinas de la empresa y las ubicaciones geográficas de manera que no surjan nuevas brechas.

Desarrollar la estrategia de seguridad adecuada

Cuando se trata de la estrategia adecuada para proteger a la compañía de los riesgos identificados, una estrategia de defensa no resulta muy prometedora.

Los atacantes siempre tendrán éxito, tarde o temprano. Por lo tanto, se trata de centrarse en las medidas de respuesta a incidentes y de impacto cero.

Es mejor limitar los efectos de los ataques que prepararse solo para la defensa de los ataques.

En la gestión de riesgos y crisis, es importante prepararse para lo peor . Los ataques cibernéticos ahora se han convertido en productos básicos y son fáciles de copiar por los cibercriminales.

Por lo tanto, las empresas esperan ser atacadas con las armas más modernas y destructivas.

Es importante construir una mentalidad de diseño de seguridad integral .

La seguridad no debe verse como un factor de costo, sino que debe aceptarse como un requisito previo para la digitalización .

La estrategia de seguridad debe sustentarse en la motivación de los autores para definir un ataque. Para manejar las preguntas estándar para una evaluación de riesgo considerada muy poco de las características individuales.

Cada empresa tiene otras debilidades

Los ciberdelincuentes están orientados a los beneficios, por lo que casi siempre se dirigen a cosas relacionadas con los negocios . Los líderes empresariales deben mantener informadas las TI y la seguridad sobre lo que está sucediendo en el negocio.

¿Existen, por ejemplo, importantes inversiones, adquisiciones o inversiones?

Bajo ciertas circunstancias, los detalles personales también juegan un papel.

¿Un líder tiene rivales o enemigos personales que quieren hacerle daño?

Sobre la base de esta información, es importante preparar y tomar medidas de protección.

Estos deben ser continuamente probados y mejorados por pruebas de penetración.

La tecnología no funciona por seguridad sin conocimiento. Por lo tanto, es importante establecer la seguridad como parte integral del aseguramiento de la calidad en la empresa.

El papel del seguro

A pesar de todas las medidas de seguridad en la empresa siempre hay un riesgo residual. En contraste, las empresas pueden protegerse con un seguro especial.

Un seguro cumple la función de garantizar la supervivencia de una empresa después de un ataque.

Sin embargo, nunca es posible cubrir todos los riesgos en su totalidad.

Para el futuro, la tormenta espera que las aseguradoras cooperen con las compañías en la igualdad de condiciones como proveedor de experiencia legal en riesgos cibernéticos.

Ninguna empresa puede acumular y mantener el nivel necesario de conocimiento interno.

 

Por Marcelo Lozano – General Publisher IT Connect Latam

A %d blogueros les gusta esto: