¿Qué tan expuesta está mi organización a los riesgos cibernéticos?

Una gran cantidad de compañías a nivel global ha iniciado la adopción de nuevas tecnologías para el desarrollo de modelos disruptivos de negocio —de la mano de procesos ágiles de innovación—, con la finalidad de afrontar los desafíos de un mundo cada vez más competitivo, interconectado y supervisado.

Esta búsqueda de innovación, no obstante, ha incrementado el grado de exposición de individuos, pequeñas empresas, organizaciones no gubernamentales, gobiernos y grandes corporaciones a riesgos cibernéticos, ya que el uso extendido de tecnologías emergentes ha ido acompañado por un incremento en la vulnerabilidad de los sistemas y, por ende, de la probabilidad de que diversos tipos de atacantes se aprovechen de ella con el fin de obtener información privilegiada, afectar la disponibilidad de servicios tecnológicos u obtener algún beneficio a cambio.

En relación con este punto, el estudio de PwC denominado The Global State of Information Security Survey 2018 (GSISS), que contó con la participación de más 9,500 ejecutivos en 122 países, revela los siguientes resultados interesantes:

• Ante un ciberataque, el 40% de participantes indicó que la interrupción de operaciones sería la consecuencia más crítica, seguida de la pérdida de información sensible (39%), el impacto negativo en la calidad de los productos elaborados (32%), daño físico de la propiedad (29%), y daño en vidas humanas (22%).
• Menos de la mitad de encuestados han adoptado procesos clave para afrontar riesgos cibernéticos en sus sistemas empresariales, tales como pruebas de penetración (42%), evaluación de vulnerabilidades y amenazas (45%), monitoreo e inteligencia en seguridad de información (48%).
• Solo el 44% indica que la alta dirección participa activamente en la estrategia de seguridad de sus empresas.

Al considerar estos hallazgos es importante tener en cuenta que existe una gran disparidad en la preparación para afrontar riesgos cibernéticos entre los países. De acuerdo con el Índice Global de Ciberseguridad 2017 publicado por la ONU, por ejemplo, 38% de los países miembro han publicado estrategias de ciberseguridad, pero solo el 11% cuenta con una estrategia independiente dedicada a la ciberseguridad y el 12% con una estrategia de ciberseguridad en desarrollo. Asimismo, si bien el 61% de los estados miembro tiene un equipo de respuesta a emergencias con responsabilidad nacional, únicamente el 21% publica métricas sobre incidentes de ciberseguridad.

A pesar de que no todos los países ni todas las empresas cuentan con la posibilidad de mantener departamentos de TI con recursos especializados en seguridad, es necesario identificar y gestionar los riesgos cibernéticos considerando los siguientes aspectos:

• Evaluar el riesgo: Identificar cómo se expone la información sensible de la compañía en internet, la nube u otros puntos foco de atacantes maliciosos.
• Crear un plan de contingencia: Implementar procedimientos y prácticas seguras, tales como contraseñas efectivas y requisitos de acceso, asegurando que los empleados sean rigurosos en su cumplimiento.
• Concientizar a los empleados: Esto debería incluir no solo procedimientos y prácticas, sino también conocimiento de cómo informar incidentes y reaccionar frente a amenazas.
• Respaldar información crítica: Emplear tecnología apropiada y buenas prácticas, con el fin de asegurar la restauración oportuna de datos críticos después de un ataque.
• Asegurar las conexiones a internet: Implementar controles antivirus, antispyware u otro software eficaz diseñado para prevenir o minimizar brechas de seguridad, y actualizarlo regularmente.

Es clave recordar que todas las recomendaciones deben ir siempre de la mano con un programa de ciberseguridad alineado al tamaño y complejidad de las operaciones de cada organización, en el marco de políticas de seguridad y ciberseguridad aprobadas por la Alta Dirección y difundidas a lo largo de la empresa, así como alineadas con la estrategia global de la Compañía.  Recordemos las palabras de Jorge González Moore: “En estrategia, es indispensable tener la sensibilidad para la oportunidad”; y, en este caso, la oportunidad de minimizar los riesgos cibernéticos de nuestra organización.