Sin embargo, se observa que actualmente muchas empresas no cuentan con una representación real de su perfil de riesgo cibernético. Y, cuando lo tienen, no está estructurado de una manera fácilmente digerible para los altos mandos. Lo anterior dificulta el proceso de toma de decisiones por parte de la Junta Directiva y expone permanentemente la información de la empresa, que podría ser vulnerada fácilmente en un ciberataque.
Páginas de medios y de gobiernos reportan problemas de acceso al mismo tiempo
Una ventaja de contar con una estrategia de gestión de riesgos es que agrega valor en términos monetarios a los potenciales impactos, lo cual permite a la compañía tomar mejores decisiones y de manera más rápida. Sin embargo, actualmente, solo el 32% de los CISO utilizan el espacio con la Junta Directiva para discutir cuestiones prospectivas, relacionadas a la gestión de riesgos cibernéticos e impulsar el cambio.
Algunos de los desafíos más relevantes a los que se enfrentan las organizaciones actualmente en el plano digital son la alta dependencia en tecnología de la información, la cual cada vez se utiliza con mayor frecuencia para soportar las operaciones de los negocios (especialmente, en el ámbito financiero), así como el uso de tecnologías emergentes (ej.: computación en la nube, blockchain, inteligencia artificial), las cuales hacen que se incrementen los riesgos a los que las organizaciones se encuentran expuestas.
En este contexto es importante que, para una debida estrategia de gestión de riesgos cibernéticos, la organización identifique primero cuáles son sus activos de información, es decir, aquellos que tienen valor para la organización con relación a sus clientes, empleados, productos y servicios. Por ejemplo, en el caso de un banco, serían las tarjetas de crédito y sus canales ATM (cajeros automáticos), por decir algunos; los cuales podrían ser vulnerados por un ciberatacante en caso de que no se encuentren debidamente protegidos.
Luego de conocer los distintos activos de información de la empresa, un aspecto fundamental es identificar sus vulnerabilidades o debilidades, las cuales se encuentran presentes en los componentes tecnológicos que soportan dichos activos de información, por ejemplo: bases de datos, servidores y redes en donde se soporta la data de la compañía.