La gestión del ciberriesgo: responsabilidad de los altos mandos

El robo de datos, el fraude digital y los ciberataques, son los principales riesgos por probabilidad para el 2019, solo por detrás de los relativos al clima y desastres naturales. Foto: EFE.

En un mundo digitalizado, la adecuada gestión de los ciberriesgos se ha convertido en un tema de supervivencia para las grandes compañías, con la finalidad de asegurar la total confianza de clientes y socios.

A esta situación, se suman nuevos riesgos como la adopción de nuevas tecnologías como Internet de las cosas (IoT, por sus siglas en inglés), Inteligencia Artificial, etc.

Según el Global Risk Report 2019, realizado por el World Economic Forum con el apoyo de Marsh&McLennan Companies, el robo de datos, el fraude digital y los ciberataques son los principales riesgos por probabilidad para el 2019, solo por detrás de los relativos al clima y desastres naturales.

Como consecuencia, la responsabilidad de la ciberseguridad ha dejado de ser exclusivamente de los departamentos de Tecnología de Información (TI), para incluirse como una tarea de la Alta Gerencia y el Directorio, quienes tomarán las decisiones asesorados por los expertos en el tema. Un buen paso inicial para entender este nuevo escenario consiste en validar si se han implementado las capacidades adecuadas, y evaluar el nivel de madurez en términos de Ciberseguridad en la empresa, en base a un estándar. El National Institute of Standards and Technology (NIST) de Estados Unidos ha desarrollado un Marco de Trabajo de Ciberseguridad muy completo que orienta a las empresas en las capacidades que deberían tener para enfrentar los retos de Ciberseguridad y las estructura en cinco funciones clave:

VEA TAMBIÉN: Se acordaron de nosotras

1. Identificar: Identificación de los activos, capa de gobierno, y prácticas de gestión de ciberriesgo en la organización y en la cadena de suministro.

2. Proteger: Procesos, tecnología y entrenamiento al personal, para que la organización pueda hacer frente a un ciberincidente.

3. Detectar: Equipo, herramientas y procesos para la detección de amenazas.

4. Responder: Capacidades para reaccionar frente a un ciberincidente de manera oportuna y con el menor impacto.

5. Recuperar: Procesos para la restauración de servicios afectados ante un ciberincidente, en los tiempos esperados.

Asimismo, existen tres puntos esenciales que los líderes de las organizaciones deben tener en cuenta al momento de elaborar una estrategia de ciberseguridad: apoyo e involucramiento de la alta gerencia, y la participación de toda la organización, conocimiento de los riesgos y el nivel de exposición. Siempre orientar las acciones teniendo como premisa que un ciberincidente es inminente.

Esto permitirá a las organizaciones incorporar las capacidades más importantes en el momento correcto y hacer frente a las ciberamenazas que acechan hoy en día.

Líder Regional de la Práctica de Consultoría en Ciber-Riesgo de Marsh.