Opinión

Riesgos y vulnerabilidades cibernéticas; más allá de la tecnología

La ciberseguridad debe comprender un enfoque multicapa que incluya una mayor inversión en personas y procesos, opina Marcela Visbal.

Marcela Visbal

dom 08 marzo 2020 07:00 AM

(Expansión) – En los últimos años se ha incrementado el número de ataques cibernéticos alrededor del mundo por diversas razones, como la exposición de las empresas que se incrementa por la dependencia cada vez mayor de la tecnología. Algunos ejemplos son el incremento del internet de las cosas (IoT), las plataformas en la nube, así como otras aplicaciones tecnológicas que dan a los hackers mayor campo de acción.

Sin embargo, se debe comprender que los riesgos cibernéticos y, en general, la ciberseguridad, no solo están relacionados con la tecnología y el robo de datos, porque un evento cibernético puede afectar la habilidad de una compañía de operar y como consecuencia generarle millones en pérdidas, pero puede tener consecuencias de largo alcance que afectan su reputación y marca, mucho después de que se resuelva la brecha.

Por ende, para poder dimensionar las consecuencias y el posible impacto en el negocio de un evento de esta naturaleza, además del equipo de TI, también los directivos, la Junta, el CFO y en general todas las personas que en alguna medida tengan que ver con el manejo y análisis de riesgo en una compañía deben mirar las amenazas cibernéticas que ponen en riesgo el negocio como algo macro que va más allá de la tecnología.

Además se debe poner énfasis adicional en las personas, el capital y los procesos de cada organización; dos tercios de los incidentes cibernéticos son el resultado directo del comportamiento de los empleados, desde dispositivos perdidos hasta acciones de personas descontentas, y la consecuencia en la mayoría de los casos genera un impacto directo en el capital.

La ciberseguridad

Podemos afirmar que una buena defensa digital no es suficiente, por lo que la ciberseguridad debe comprender un enfoque multicapa que incluya una mayor inversión en personas y procesos. Las vulnerabilidades cibernéticas, bien sean generadas por un ataque de un tercero, o como consecuencia del comportamiento intencional o no de un empleado, siempre están en evolución y en ese mismo sentido la seguridad cibernética no puede ser estática ni reactiva, debe ser evolutiva y preventiva para hacer frente de una manera adecuada y eficiente a la situación que nos ocupa.

Cada empresa debe asegurarse de estar haciendo las inversiones correctas en tecnología, personas y procesos, las cuales proporcionarán a su negocio los mejores resultados de desempeño.

¿Qué debemos hacer?

Algunas recomendaciones:

1. Cada empresa debe conocer su riesgo y vulnerabilidades: entender de qué se quiere defender al momento de crear una estrategia de ciberseguridad y cuál es el posible impacto en caso de un evento negativo.

Es básico identificar dónde se almacenan los datos confidenciales, incluso los que van a proveedores; identificar la dependencia de la red, entender cómo funciona el back up, cuál es la capacidad de almacenamiento y disposición, entre otras. La presente recomendación puede parecer obvia, pero es alto el número de compañías que no conocen su riesgo cibernético.

2. Invertir lo necesario en ciberseguridad: el costo de recuperación puede ser muy alto, por lo que es indispensable que se invierta más para desarrollar la resiliencia, endurecer sus productos y sistemas para dificultar las violaciones de seguridad.

3. Invertir en personas y procesos: cuidar de la tecnología no es suficiente, es vital, pero no es una solución que abarque el 100% del problema. Se debe adoptar un enfoque compuesto, cuidadosamente calibrado para incluir la atención adecuada tanto a las personas como al proceso.

4. Contar con planes de continuidad del negocio y de recuperación de desastres y probarlos: si bien se debe invertir en prevención, también es necesario estar preparados; hay que ser más despiadados que los atacantes.

5. Cuantificar el riesgo: si la ciberseguridad falla, se debe estar preparado para el impacto económico que un evento pueda generar, y la mejor manera para ello es logrando una adecuada cuantificación del riesgo.

6. Compartir el riesgo a través de la transferencia: considero que nunca se sabe si se está adecuadamente seguro en el mundo cibernético, el hecho de estar preparados para evitar los ataques o eventos no es garantía de su no materialización. Por ende, una buena administración del riesgo implica una transferencia a través de una póliza de seguro, de esta forma se logra mitigar la pérdida o parte de ésta.

Te invito a tomar una actitud diferente frente a los riesgos cibernéticos; se debe ser preventivo, tratar de evitar situaciones negativas, en lugar de reactivos, buscando soluciones luego del impacto que no se pudo prevenir.

Sin embargo, la estrategia de seguridad cibernética que se adopte en una empresa debe iniciar en evitar la materialización de los riesgos, seguido por una preparación en caso de su ocurrencia y una adecuada transferencia, todo dentro del marco de la tecnología, las personas, los procesos y el capital.

Nota del editor: Marcela Visbal es líder de la Práctica de Riesgo Cibernético de Willis Towers Watson. Las opiniones publicadas en esta columna pertencen exclusivamente a la autora.

Consulta más información sobre este y otros temas en el canal Opinión