Muchas organizaciones no disponen de una representación real de su perfil de riesgo cibernético.
La ciberseguridad se ha convertido en elemento crítico de éxito y no solo en una disciplina en el mundo corporativo. Ante este panorama, es de gran sorpresa que según la última Encuesta Global de Seguridad de la Información de EY solo el 18% de empresas consideran que la seguridad de la información influye en su planeación estratégica de forma regular, y para un 55% influye poco o nada en su estrategia corporativa.
“La gestión de riesgos cibernéticos es uno de los pilares de la disciplina de gestión de riesgos hoy en día. Una estrategia de este tipo debidamente implementada tiene un impacto económico significativo en los ingresos de la compañía. Sin embargo, vemos que actualmente muchas empresas no cuentan con una representación real de su perfil de riesgo cibernético. Y, cuando lo tienen, este no está estructurado de una manera fácilmente digerible para los altos mandos. Todo esto dificulta el proceso de toma de decisiones por parte de la Junta Directiva y expone permanentemente la información de la empresa, que podría ser vulnerada fácilmente en un ciberataque”, comentó Gustavo Díaz, Socio Líder de Ciberseguridad para Servicios Financieros de EY Latinoamérica Norte en el marco de la feria virtual “Evolution or revolution? El futuro de los servicios financieros”, organizada por EY a nivel regional.
Contar con una estrategia de gestión de riesgos tiene diversas ventajas, entre las que se permite darle un valor en términos monetarios a los potenciales impactos, lo cual luego le permitirá al directorio de la compañía tomar mejores decisiones y de manera más ágil. No obstante, en la actualidad solo el 32% de los CISO usan el espacio con la Junta Directiva para discutir cuestiones prospectivas, relacionadas a la gestión de riesgos cibernéticos y fomentar el cambio.
Dentro de los retos más relevantes a los que se enfrentan las organizaciones en plano son la alta dependencia en tecnología, el uso de tecnologías emergentes las cuales hacen que aumenten los riesgos, la necesidad de mantener conectados por medio de diversos dispositivos tecnológicos. Así como el hecho de que cada vez se acude más a terceros, como los proveedores de tecnología, para lograr dar soporte a las actividades y operaciones del negocio.
Es por esto que para una correcta estrategia de gestión de riesgos cibernéticos, la organización debe identificar primero cuáles son sus activos de información. Esta es la información que tiene valor para la organización en relación a sus clientes, empleados, productos y servicios. Una vez que se conocen los distintos activos de información de la empresas, se deben identificar las vulnerabilidades que se encuentren en los componentes tecnológicos que soportan los activos de información.
“En el mundo ideal de la gestión de riesgos, la idea es que toda empresa tenga claro cuáles son sus activos de información. Estos se soportan en una gran cantidad de elementos tecnológicos, los cuales están permanentemente expuestos a amenazas constantes y vulnerabilidades que se traducen en escenarios de riesgo. Si no se atienden correctamente estas vulnerabilidades, los impactos económicos para la organización pueden ser significativos (ej.: ingresos dejados de percibir por un ciberataque, así como multas y sanciones que la empresa puede percibir por no haber robustecido adecuadamente sus sistemas de seguridad), así como reputaciones; viéndose esto último traducido en una pérdida de confianza por parte de los clientes o consumidores hacia la organización. Esta situación nos llevó el año pasado a querer implementar una estrategia de gestión de riesgos en Bancolombia y así estar más protegidos en el plano digital”, comentó Alejandro Guerra, Gerente de Riesgos de Ciberseguridad de Bancolombia durante su ponencia en el foro.
Comments