La ciberdefensa ha estado en los reflectores en los últimos años, debido al número y grado de severidad de los incidentes cibernéticos, y a la extensa digitalización de muchas organizaciones. Lo anterior ha llamado la atención de las áreas directivas de las empresas; sin embargo, este es un tema que necesita ser abordado con el enfoque apropiado y con la trascendencia requerida, como un componente de la administración integral del riesgo.
Conozca la publicación “Prevención de lavado de dinero. Gestión de riesgos latentes"
Varios incidentes demuestran el alto riesgo y de qué manera hackers y organizaciones cibercriminales se encuentran extremadamente activos. Hoy, más que nunca, los empresarios y la Alta Dirección necesitan asegurarse de que sus compañías cuentan con la protección adecuada: esto no es una tarea simple porque el mundo de la ciberseguridad tiende a ser evasivo por el grado de especialización y tecnología que se está utilizando.
En la actualidad, es muy difícil diferenciar entre aquellos hackers que destruyen un sitio web y las organizaciones criminales que utilizan una estrategia sistemática para tratar de robar información de las compañías, por lo que es realmente esencial que los ejecutivos de las empresas estén actuando activamente en la lucha por la ciberdefensa.
Cabe señalar que la ciberdefensa o ciberseguridad, consiste en el esfuerzo para prevenir daños por alteración, interrupción o mal uso de las Tecnologías de la Información (TI); si ocurre un daño, se contempla la reparación de este. Los daños podrían consistir en el deterioro de la disponibilidad de las TI, restricción sobre estas, o violación de la confidencialidad y/o la integridad de la información almacenada en los entornos de TI.
Una pregunta a considerar es por qué este tema es relevante para ser discutido en las juntas del Consejo de Administración y Supervisión. Después de todo, la ciberdefensa no es nada nuevo. Sin embargo, el creciente número de incidentes, y la gravedad de estos ha aumentado en tal medida que la ciberdefensa es ya una clave sustancial en las organizaciones, pues corren un riesgo financiero relacionado a un fraude o pérdida de ingresos, y un posible daño en su reputación y su propiedad intelectual.
La fuerte tendencia hacia la digitalización que está demandando la evolución en las empresas, ha llevado a que la salvaguarda y la protección de la información pueda ser de relevancia estratégica.
Por ejemplo, una organización no puede permitirse el perder su propiedad intelectual, que a su vez constituye parte de su ventaja competitiva en el mercado.
Como consecuencia, el rápido crecimiento del número de incidentes reportados en ciberdefensa, por naturaleza, atrae la atención de clientes, medios de comunicación y reguladores
Perfil de riesgo de la organización
Es importante estar conscientes de que una seguridad al 100% es una ilusión y que la búsqueda de la seguridad total conducirá no solo a la frustración, sino también posiblemente a una falsa percepción de estar protegido.
En este sentido, el Consejo de Administración debe abordar el tema de manera estructural, desde una perspectiva de Gestión de Riesgos, con todas las defensas y respuestas identificadas, con la idea de construir un sistema robusto y a la vez compacto. No se deben tomar decisiones basadas en el miedo, sino desde el punto de vista de sus propias fortalezas, con la conciencia del riesgo que corre la organización conforme al perfil de la empresa, su industria y su naturaleza.
El punto de inicio para adentrase al riesgo cibernético de la organización es la determinación del perfil de riesgo. Entre las cuestiones relevantes para determinar este perfil se encuentran:
- ¿Cuál es el ambiente de negocios de la organización? ¿En qué mercados se encuentra activa? ¿En qué medida la empresa depende de la digitalización para la prestación de sus servicios?
- ¿A qué grupo de delincuentes cibernéticos le resulta atractiva la organización? ¿Con qué recursos podría desplegar el ataque?
- ¿Qué vulnerabilidades podrían explotar los cibercriminales? Considerando no solo vulnerabilidades técnicas, sino las existentes incluso por el factor humano
- ¿Qué objetivo podría ser relevante dentro de la organización? ¿Y también dentro del mercado donde la organización está activa?
- ¿Cuáles son los requisitos legales en materia de seguridad cibernética en la organización?
Con base en un análisis de estos cinco aspectos, una organización es capaz de determinar su perfil de riesgo y la cantidad de riesgo que está dispuesta a aceptar, así como el conjunto adecuado de controles en relación con su ciberseguridad.
Finalmente, no hay que olvidar que un incidente en otra organización es automáticamente una amenaza potencial para nuestra propia empresa, y que los criminales cibernéticos no son genios invencibles, al contrario: son vulnerables con una adecuada estrategia de Ciberdefensa y Administración de Riesgos.
