La ciberseguridad se ha convertido en un factor crítico de éxito y no solo en una disciplina en el mundo corporativo. Sin embargo, sorprende que según la última Encuesta Global de Seguridad de la Información de EY, publicada en el 2020, solo el 18% de empresas opina que la seguridad de la información influye en su planeación estratégica de forma regular, y para un 55% influye poco o nada en su estrategia corporativa.
“La gestión de riesgos cibernéticos es uno de los pilares de la disciplina de gestión de riesgos hoy en día. Una estrategia de este tipo debidamente implementada tiene un impacto económico significativo en los ingresos de la compañía. Sin embargo, vemos que actualmente muchas empresas no cuentan con una representación real de su perfil de riesgo cibernético. Y, cuando lo tienen, este no está estructurado de una manera fácilmente digerible para los altos mandos. Todo esto dificulta el proceso de toma de decisiones por parte de la Junta Directiva y expone permanentemente la información de la empresa, que podría ser vulnerada fácilmente en un ciberataque”, comentó Gustavo Díaz, socio líder de Ciberseguridad para Servicios Financieros de EY Latinoamérica Norte en el marco de la feria virtual “Evolution or revolution? El futuro de los servicios financieros”, organizada por EY a nivel regional.
Una ventaja de contar con una estrategia de gestión de riesgos es que permite ponerle un valor en términos monetarios a los potenciales impactos, lo cual le permite luego al directorio de la compañía tomar mejores decisiones y de manera más rápida. Sin embargo, actualmente, solo el 32% de los CISO utilizan el espacio con la Junta Directiva para discutir cuestiones prospectivas, relacionadas a la gestión de riesgos cibernéticos, e impulsar el cambio.
Algunos de los desafíos más relevantes a los que se enfrentan las organizaciones actualmente en el plano digital son:
1. La alta dependencia en tecnología de la información, la cual cada vez se utiliza con mayor frecuencia para soportar las operaciones de los negocio (especialmente, en el ámbito financiero).
2. El uso de tecnologías emergentes (ej.: computación en la nube, blockchain, inteligencia artificial), las cuales hacen que se incrementen los riesgos a los que las organizaciones se encuentran expuestas.
3. La necesidad de mantenernos conectados a través de diferentes dispositivos tecnológicos, ya sea por motivos personales o laborales.
4. El hecho que cada vez se recurra más a terceros, proveedores de tecnología, para poder soportar las actividades y operaciones del negocio. Esto se convierte en un riesgo al tener estas personas acceso a la tecnología e información de la empresa.
Por ello, es importante que, para una debida estrategia de gestión de riesgos cibernéticos, la organización identifique primero cuáles son sus activos de información. Se trata de aquella información que tiene valor para la organización en relación a sus clientes, empleados, productos y servicios.
Por ejemplo, en el caso de un banco, serían las tarjetas de crédito y sus canales ATM (cajeros automáticos), por decir algunos; los cuales podrían ser vulnerados por un ciberatacante en caso no se encuentren debidamente protegidos.
Luego de conocer los distintos activos de información de la empresa, un aspecto fundamental es identificar sus vulnerabilidades o debilidades, las cuales se encuentran presentes en los componentes tecnológicos que soportan dichos activos de información (ej.: bases de datos, servidores y redes en donde se soporta la data de la compañía).
“En el mundo ideal de la gestión de riesgos, la idea es que toda empresa tenga claro cuáles son sus activos de información. Estos se soportan en una gran cantidad de elementos tecnológicos, los cuales están permanentemente expuestos a amenazas constantes y vulnerabilidades que se traducen en escenarios de riesgo. Si no se atienden correctamente estas vulnerabilidades, los impactos económicos para la organización pueden ser significativos (ej.: ingresos dejados de percibir por un ciberataque, así como multas y sanciones que la empresa puede percibir por no haber robustecido adecuadamente sus sistemas de seguridad), así como reputaciones; viéndose esto último traducido en una pérdida de confianza por parte de los clientes o consumidores hacia la organización. Esta situación nos llevó el año pasado a querer implementar una estrategia de gestión de riesgos en Bancolombia y así estar más protegidos en el plano digital”, comentó Alejandro Guerra, gerente de Riesgos de Ciberseguridad de Bancolombia durante su ponencia en el foro.
