*
La evolución de la transformación digital, hace que se desarrollen también los riesgos asociados en el contexto tecnológico y, por ello, han aparecido nuevos tipos de seguro como el de ciberriesgos, o la creación de planes de contingencias, cuyos objetivos son las de reducir las grandes pérdidas económicas que pueden ocasionar las brechas de seguridad en las empresas actuales, a lo que habitualmente llamamos riesgos de ciberseguridad.
Con la era digital en la que vivimos, tenemos que enfrentarnos a riesgos nuevos que son difíciles de controlar y que hacen que tanto las empresas como los directivos de las mismas sean muy vulnerables, ya sea a un daño en la reputación de la corporación o a una pérdida económica.
Cómo protegerse de contingencias sobre ciberseguridad.
El riesgo tecnológico es patente y evitarlo es primordial. Para ello se puede utilizar un factor tradicional y no necesariamente tecnológico: simplemente pensar como piensa un ciberdelincuente.
Se deben identificar los comportamientos que pueden prevenir un posible ataque digital, sentar las bases de la ciberseguridad de la empresa y medir la capacidad de seguridad entre el comportamiento del proveedor y de los empleados. Estas son solo algunas de las claves que no debemos pasar por alto para maximizar los esfuerzos de sensibilización, comunicación y formación en cada empresa.
Es importante gestionar el riesgo de seguridad cibernética combinando tres puntos de vista distintos: el desarrollo de políticas de cumplimiento normativo, una continuada inversión en seguridad digital como respaldo de datos y contar con una póliza de seguros como protección económica.
Lo importante es aplicar primeras medidas para evitar hacer uso del seguro, ya que esto implicará que la empresa a sufrido un daño importante, muchas veces irreparable, aunque se cobre el siniestro. Hoy en día el respaldo de los datos es una actividad ineludible que nadie puede pasar por alto.
Hay que tener en cuenta que un seguro tradicional no dará cobertura a los gastos derivados de un posible ciberataque. Por eso es muy importante prestar atención a las diferentes opciones que ofrecen las aseguradoras del mercado y conocer de qué forma se pueden contratar estos seguros para que cubran realmente las necesidades de cada organización.
En algunas ocasiones será necesario complementar la póliza suscrita con un seguro específico para ciberataques o fraudes. Estas opciones son la mejor forma de asegurarnos una protección integral frente a las consecuencias de un incidente crítico de seguridad.
Los informes actuales destacan que las organizaciones exploran y reconocen el valor de los activos que guardan relación con la información y la tecnología. Esto es así a pesar de que invierten cuatro veces más recursos en cobertura aseguradora para activos históricos como instalaciones, equipamientos y propiedades.
La norma ISO 27005 contiene recomendaciones para gestionar e identificar los riesgos.
¿Qué es la norma ISO 27005?
Esta norma facilita que se intensifique en las empresas la utilización de la tecnología de la información.
Los riesgos asociados a las empresas se transforman, y por este motivo se hace necesario que se adapten y creen constantemente nuevos medios y metodologías para conservar la seguridad de la información que las empresas necesitan proteger.
Utilizar metodología ágil e integrada facilita la gestión de riesgos a nivel tecnológico, ya que pretende minimizar el impacto de la violación de seguridad en cualquiera de sus dimensiones.
Marco para la gestión de los riesgos: ISO 27005
El riesgo procedente de las tecnologías incide en los objetivos organizacionales y puede ser la causa de otros riesgos. La alteración, el daño, la interrupción o el fallo que se pueda derivar de utilizar de la TI puede llegar a suponer una pérdida muy significativa en cualquier empresa, ya sean pérdidas financieras, acciones legales o multas. Por otro lado, la imagen corporativa de la empresa se verá afectada y eso supondrá inconvenientes estratégicos y operativos.
Por ejemplo, si una entidad financiera se enfrenta a la caída de la red eso supondría suspender operaciones normales y, como consecuencia. se tendría que afrontar un caos en la atención de los usuarios durante el tiempo de la misma. En estas circunstancias no suele durar más de una hora, pero sin duda la repercusión serán pérdidas financieras y, sobre todo, que la imagen del banco frente a sus clientes quedaría afectada.
Este hecho fue real. Sucedió en Colombia y permitió que se desarrollase la metodología propuesta para gestionar el riesgo según su origen tecnológico basado en los estándares ISO 27005 y 31000, que se llevan a cabo con diferentes especificaciones y adaptaciones según el tipo de riesgo.
La ISO 27001 aportó una serie de recomendaciones y buenas prácticas correspondientes a la seguridad de la gestión de servicios para combatir estos sucesos.
Con todo ello, se ajusta la metodología y se crean planes de contingencia adecuados para gestionar estos incidentes tecnológicos.
Metodología para gestión de riesgo tecnológico
El método que se ha diseñado para proceder sobre estos procesos ha tenido en cuenta la necesidad de facilitar la comunicación y el entendimiento entre el funcionamiento de la organización y la definición de las interacciones necesarias para localizar los riesgos asociados y los activos.
También es necesario analizar los procesos que permiten una visión global de la organización, además del apoyo que se requiere para mostrar la necesidad de gestionar y proteger cualquier proceso crítico al que pueda enfrentarse la empresa.
Este trabajo no es algo aislado, porque la visión tiene en cuenta el factor humano que será el encargado de desarrollar y realizar el proceso. Así, los análisis de procesos toman en cuenta las actividades críticas que los sustentan y que se encargan de mantener la cadena de valor que hace que se ofrezcan desde la empresa distintos servicios y productos.
Cuando la gestión de riesgos tecnológicos tiene en cuenta la integración con otros sistemas de gestión empresarial, los procedimientos están basados en la ISO 31000. Con esta metodología se trata de alinear la gestión de los riesgos bajo el esquema empresarial, es decir, incluye en dicha gestión de continuidad las identificaciones de dependencias claves, las fases de apoyo, los procesos críticos y los activos, así como también las amenazas.
Es un error pensar que gestionar la continuidad es un tratamiento de riesgos, ya que este será el soporte para definir los impactos que puedan llegar a producir la no disponibilidad en la empresa. Por otro lado, todos los activos de soporte de procesos analizados son otro punto en el que trabajar. Será necesario analizar el software, el hardware y otros recursos físicos y humanos.
La finalidad de clasificar un análisis es poder enfocar el estudio sobre los recursos críticos sin que se lleguen a extender a activos irrelevantes.
Si te ha interesado este POST te invitamos a que leas también: