Se dijo de la ciberseguridad esta semana
Conceptos fundamentales para gestionar el ciber riesgo en las compañías
El manejo de riesgos no es una actividad de una sola vez, muchas organizaciones hacen una sola evaluación y continúan sus operaciones sin volver a pensar en esto.
Sin embargo, todas las operaciones diarias involucran un riesgo, además de que el panorama de amenazas evoluciona de un modo rápido y constante.
Si a esto sumamos factores como esquemas híbridos de trabajo o cargas en la nube podemos inferir que la exposición aumenta de manera constante y cada vez que se agrega un punto de acceso nuevo a la red, un nuevo riesgo potencial viene acompañándolo, por tanto el manejo de ciberriesgo debe ser un proceso continuo.
Qué es el ciberriesgo
Definimos ciberriesgo como el riesgo de pérdidas financieras, disrupción o daño a la reputación de una organización debido a alguna falla de sus sistemas de TI.
Si partimos de ese punto, la forma más sencilla de identificar un ciberriesgo es preguntarnos: «Si nuestro sistema o nuestros datos se ven comprometidos qué tanto daño habrá para nuestra reputación y operaciones?»
Factores
Qué factores hay que considerar al momento de hacer una evaluación exhaustiva de ciberriesgos.
- Cuáles son los activos de TI más importantes.
- Qué datos, si se ven comprometidos, tendrían un mayor impacto.
- Cuáles son las amenazas más relevantes y las fuentes de estas.
- Cuáles son las vulnerabilidades internas y externas.
- Cuál es el daño potencial si esas vulnerabilidades son explotadas.
- Cuál es la probabilidad de que esto suceda.
- Qué ciberataques, ciberamenazas o incidentes de seguridad podrían afectar la habilidad del negocio para operar.
- Cuál es el nivel de riesgo con el que la organización se siente cómoda tomando.
Existen omisiones que podrían obstaculizar los esfuerzos de una organización para llevar a cabo un análisis de riesgos acertado. Por ejemplo, no tomar en cuenta riesgos que pueden venir de terceros y tener una visión parcial del alcance, enfocarse en una sola área o analizar sin contexto.
Responsabilidad de todos
Prevenir los ciberriesgos es responsabilidad de cada miembro de la organización.
Si bien es importante definir quién llevará a cabo los análisis de manera periódica, lo es también que los ejecutivos de alto rango y los mismos dueños de las empresas entiendan los flujos de información involucrados.
Al final, la visibilidad a lo largo de toda la organización es crítica para un análisis de riesgos eficaz.