Definición de riesgo cibernético
El riesgo cibernético se produce cuando se pone en peligro la confidencialidad o la integridad de la información o de la tecnología de la información y puede dar lugar a pérdidas financieras, impactos operativos negativos y daños a los sistemas, organizaciones, gobiernos y personas. El riesgo cibernético se relaciona con la pérdida de información o tecnología de la información en cualquiera de sus formas, ya sean datos o los propios sistemas, a través de cualquier incidente cibernético.
El riesgo cibernético existe debido a la incertidumbre inherente asociada a las necesidades tecnológicas y de disponibilidad de datos que dan lugar a un acceso fácil a grandes volúmenes de información para muchos usuarios y sistemas. El acceso no autorizado puede producirse por muchas razones, desde empleados despistados o negligentes hasta accesos con privilegios excesivos o incluso espionaje corporativo. Además, las organizaciones pueden tardar tiempo en descubrirlo y comprenderlo, lo que ralentiza los tiempos de respuesta y agrava los trastornos de la organización y los daños a la reputación.
A pesar de las terribles advertencias en torno al riesgo cibernético, es una consecuencia probable de los enormes beneficios de las tecnologías digitales y el acceso a los macrodatos. En lugar de cumplir los requisitos básicos de ciberseguridad y esperar lo mejor, las empresas sanas se centran en gestionar adecuadamente el riesgo cibernético, desde la comprensión de su constante evolución hasta la obtención de las mejores herramientas y técnicas para hacerle frente.
Gestión del riesgo cibernético
La gestión del riesgo cibernético, especialmente para la empresa, requiere cada vez más sistemas altamente sofisticados que desarrollen y mantengan profesionales de élite expertos en ofrecer soluciones organizacionales globales integrales. Para proteger la reputación de la organización, también es fundamental comprender, medir y gestionar el riesgo cibernético sin problemas y con confianza. Esto requiere no solo saber qué riesgos cibernéticos existen, sino también cuantificar su impacto potencial y priorizar las estrategias de mitigación de riesgos.
La interconexión de la empresa significa que el riesgo cibernético de un solo incidente puede extenderse rápidamente a muchas áreas de la organización, con una espiral de daños que aumenta exponencialmente a medida que la empresa intenta reaccionar y recuperarse. Más allá de los sospechosos habituales de phishing, ransomware y violación de datos, la gestión proactiva y reactiva del riesgo cibernético requiere tener en cuenta las siguientes situaciones:
- Mejoras y actualizaciones del sistema
- Migración a la nube
- Implementación de nuevas tecnologías, como el Internet de las cosas (IoT)
- Incorporación de nuevas relaciones con terceros
- Fusiones y adquisiciones
- Normativas nuevas y actualizadas
- Respuestas a litigios civiles
- Pérdida accidental de información confidencial
- Amenazas maliciosas externas e internas
Para gestionar los riesgos cibernéticos es crucial reaccionar con rapidez, pero de forma metódica y cuidadosa, ante los retos relacionados con la ciberseguridad.
Aunque el equipo de TI lleva la batuta, limitar la gestión de los riesgos cibernéticos a un solo departamento de la empresa demuestra una poca visión de futuro y, probablemente, agravará los problemas en caso de emergencia. Junto con la formación habitual en ciberseguridad, los miembros del equipo necesitan pruebas y simulacros para practicar las respuestas adecuadas ante ciberemergencias sin entrar en pánico y empeorar potencialmente el problema.
Redefinición del riesgo cibernético
La empresa que realmente reconoce y se prepara para el riesgo cibernético tiene la oportunidad de redefinirlo, de una sombra oscura y aterradora que amenaza continuamente a la organización, a una buena práctica empresarial que sirve como diferenciador de mercado. El programa que la empresa desarrolle para gestionar el riesgo cibernético puede servir como valor añadido y símbolo de integridad y responsabilidad organizacional para clientes, analistas, miembros del consejo de administración, inversionistas y otras partes interesadas, y generar confianza en la marca y la reputación de la empresa.
La redefinición del riesgo cibernético requiere considerarlo como una cuestión estratégica que afecta a toda la empresa, en lugar de un reto de seguridad aislado que debe gestionar el equipo de TI. Las percepciones sobre el volumen y la intensidad del riesgo cibernético pueden variar ampliamente en toda la empresa si no se establece, se logra y se divulga un entendimiento básico. La gestión del riesgo cibernético depende de una evaluación y determinación precisas del riesgo cibernético.
Evaluación y determinación del riesgo cibernético
Incluso las organizaciones empresariales pueden subestimar el riesgo cibernético si se consideran a sí mismas de bajo riesgo porque no son una de las principales marcas de renombre, empresas de servicios financieros ni empresas de salud que más a menudo aparecen en los titulares relacionados con los ataques cibernéticos. Sin embargo, el riesgo cibernético no se relaciona únicamente con las categorías de la industria; las extensas operaciones digitales generan numerosas vulnerabilidades y las amenazas pueden venir de muchas direcciones diferentes. Evaluar y determinar el riesgo cibernético es una parte integral de la comprensión de la postura general de ciberseguridad de la empresa.
La idea común que se tiene sobre el hacker solitario, descontento y vestido con capucha que vive en un garaje debe borrarse en toda la empresa. Aunque los ataques cibernéticos de los hackers dominan los titulares de las noticias, los empleados deben ser conscientes de la amplitud y la escala de la delincuencia organizada en lo que respecta al riesgo cibernético, así como de las muchas formas en que la empresa podría verse afectada, incluidos los fallos técnicos catastróficos y la interrupción de las operaciones comerciales.
Identificación de los elementos del riesgo cibernético
Un debate abierto en todos los niveles de la organización favorece una evaluación adecuada del riesgo cibernético. Este debate debe ser continuo y evolucionar al ritmo del entorno de amenazas que cambia constantemente. Los temas que se deben introducir incluyen:
- Vulnerabilidades y exposiciones conocidas y sospechosas de la organización, los sistemas y los datos
- Ciberataques recientes, sus efectos y las reacciones positivas y negativas de las organizaciones atacadas
- Cambios en la legislación y la normativa
- Estrategias actualizadas y nuevas en materia de riesgos cibernéticos
- Retos operativos de TI, como una integridad deficiente del sistema
Entre los elementos específicos que deben revisarse periódicamente figuran:
- Políticas y procedimientos de acceso remoto
- Uso de dispositivos que pertenecen a la empresa para realizar actividades no laborales
- Seguridad y protección de los dispositivos, incluidas las normas de dispositivos propios (BYOD)
- Acceso físico a las oficinas de la empresa
- Integridad del sistema de TI
- Recuperación de la red en caso de catástrofe
- Documentación de la política de ciberseguridad
Identificar el riesgo cibernético le permite a la empresa madurar continuamente la resistencia organizacional en lo que respecta no solo a los datos de los clientes, sino también a los datos financieros internos y a la propiedad intelectual.
La cuantificación del riesgo cibernético facilita un debate en niveles organizacionales superiores, el cual tiene en cuenta las metas y objetivos empresariales y sitúa la mitigación del riesgo cibernético como facilitador de la resistencia operativa.
Gestión global del riesgo cibernético
La globalización y el aumento de la interconectividad favorecen el crecimiento de las empresas, pero cuando se combinan con una ciberdelincuencia cada vez más sofisticada y extendida, y con el progresivo número y gravedad de los ciberataques, también aumenta el riesgo cibernético. Llevar a cabo negocios en zonas con distintas normativas sobre privacidad también presenta muchos retos logísticos, desde evitar multas hasta gestionar las notificaciones de violaciones de datos y responder a las solicitudes de acceso a la información del titular.
Se espera que la legislación sobre privacidad de muchos países sea aún más estricta en los próximos años. Los gobiernos también se han implicado cada vez más en la protección de la información y los sistemas, lo que se traduce en mayores niveles de escrutinio sobre cómo se llevan a cabo las operaciones empresariales.
Una respuesta rápida es clave para gestionar el riesgo cibernético durante un incidente cibernético sin importar el tamaño de la superficie de ataque, pero también presenta muchos más desafíos para la empresa internacional. Entre las consideraciones importantes de un programa global de gestión de riesgos cibernéticos se incluyen los siguientes consejos para reducir el riesgo cibernético.
Consejos para reducir el riesgo cibernético
No es adecuado para la empresa tener un enfoque único para disminuir el riesgo cibernético. Los puntos débiles en la fuerza laboral, la información, las operaciones y los sistemas varían mucho entre las grandes organizaciones, al igual que las soluciones para realizar mejoras de ciberseguridad realistas, escalables y sostenibles. Una evaluación de la experiencia, los procesos y la tecnología que tenga la empresa y de cómo interactúan es un buen primer paso para comprender qué debe hacerse luego.
Crear una política de ciberseguridad
- Establecer la dirección y la naturaleza del enfoque de ciberseguridad de la empresa
- Enumerar los activos que deben abordarse, las amenazas previstas para esos activos y qué procedimientos y sistemas de ciberseguridad los protegen
- Identificar los puntos débiles, especialmente la dependencia excesiva de terceros y las vulnerabilidades del “factor humano”
- Considerar el impacto de los dispositivos más antiguos en la vulnerabilidad de la organización y establecer normas que eviten la dependencia de software y sistemas operativos obsoletos y que no cuenten con soporte
- Cruzar el cumplimiento normativo y los mandatos normativos con la política de ciberseguridad de la organización para garantizar una cobertura adecuada y evitar la duplicación de esfuerzos con eficiencias incorporadas
- Estructurar la formación y el desarrollo de los miembros del equipo para ofrecer una visión completa del riesgo cibernético de la organización y cumplir los requisitos de ciberseguridad
- Determinar el ritmo de las revisiones de la política cibernética, así como los eventos que desencadenen las revisiones, como las adquisiciones y el lanzamiento de nuevas unidades de negocio
- Controlar y supervisar cuidadosamente el acceso de los usuarios a los datos y sistemas de la empresa y cómo se utiliza dicho acceso durante la incorporación, las transiciones y las desincorporaciones
Aumentar la inversión en la formación de los empleados
- Garantizar un fuerte apoyo entre los equipos de TI y los ejecutivos mediante la cuantificación de las tácticas de mitigación del riesgo cibernético para el liderazgo y la divulgación de la resiliencia operativa
- Mejorar la concienciación y los conocimientos mientras se sigue proporcionando una base sólida en relación con las ciberamenazas, el riesgo cibernético, cómo funcionan los ciberataques y cómo responder a un presunto ciberataque
- Simular ataques de phishing y realizar simulacros al tiempo que se les suministra a los empleados recursos para buscar ayuda sin temor a ser disciplinados o avergonzados
- Explicar claramente las políticas de BYOD, wifi, correo electrónico y redes sociales, revisarlas periódicamente y ofrecer a los empleados la oportunidad de hacer preguntas en cualquier momento
Aplicar las mejores prácticas de ciberseguridad
- Crear una cultura de ciberseguridad y un enfoque inteligente y reflexivo del riesgo cibernético; los riesgos emergentes, incluido el impacto de las nuevas tecnologías en la empresa, deben anticiparse de forma proactiva
- Examine the options for mitigating cyber risk to determine the proper mix for the organization:
- Soluciones tecnológicas, incluidos software y hardware de ciberseguridad
- Consultoría y formación, incluida la evaluación del riesgo cibernético, el modelado de pérdidas basado en escenarios, el análisis de impacto, la evaluación comparativa y la gestión de la reputación
- Servicios como pruebas de penetración, caza de amenazas y detección de endpoints
- Generar oportunidades para que las distintas partes interesadas de la empresa compartan conocimientos y participen en planes de respuesta a crisis cibernéticas
- Alinear la gestión de riesgos cibernéticos con el ciclo de vida de ciberseguridad de la organización para lograr una mitigación y recuperación más coherentes
- Considerar la ciberseguridad y su equilibrio en la asignación de recursos junto con la planificación y respuesta a otros riesgos e interrupciones, como los que afectan a la cadena de suministro
- Garantizar un programa de gestión de riesgos cibernéticos basado en datos que utilice inteligencia de riesgos, inteligencia de amenazas, modelos económicos basados en riesgos y herramientas de cuantificación
Generar indicadores clave de rendimiento (KPI) relacionados con el riesgo cibernético
Mientras que la cuantificación de la exposición al riesgo cibernético ayuda a la empresa a comprender la eficacia de los controles de ciberseguridad desde una perspectiva financiera, la selección de KPI le permite crear y evolucionar un plan mensurable de mitigación del riesgo cibernético. Entre los posibles KPI relacionados con el riesgo cibernético se encuentran:
- Nivel de preparación
- Eficacia de la priorización del riesgo cibernético
- Cantidad de exposiciones
- Identificación de los activos que son susceptible del riesgo cibernético
- Gestión del acceso de los usuarios y aplicación del principio de privilegios mínimos
- Dispositivos no identificados en las redes internas
- Calificación promedio de seguridad de terceros
- Financial consequences of cyber risk
- Pérdida de ingresos
- Disminución del precio de las acciones
- Pérdida de la productividad
- Multas
- Gastos de litigios
- Intentos de intrusión
- Incidentes relacionados con la ciberseguridad
- Tiempo de respuesta a incidentes de terceros
- Tiempo de detección del riesgo cibernético
- Tiempo de contención del riesgo cibernético
- Tiempo de reparación del riesgo cibernético
Preguntas frecuentes sobre riesgos cibernéticos y ciberseguridad
El panorama del riesgo cibernético y la ciberseguridad cambia constantemente. Cada innovación tecnológica trae consigo nuevos retos de riesgos cibernéticos junto con los beneficios de la propia tecnología. Por ejemplo, el Internet de las cosas (IoT) amplió la superficie de ataque para muchas organizaciones, ya que los ciberdelincuentes comenzaron rápidamente a explotar las nuevas oportunidades que creó el aumento de la conectividad.
A continuación, se presentan preguntas frecuentes sobre el riesgo cibernético y la ciberseguridad, las cuales proporcionan apoyo fundamental para entender cómo mitigar el riesgo cibernético.
¿Qué es la ciberseguridad?
La ciberseguridad protege la información, datos, programas, redes y sistemas contra accesos no autorizados. Proteger estos activos de los ciberataques requiere un programa de ciberseguridad sólido y en constante evolución que siga el ritmo del cambiante clima de amenazas.
La ciberseguridad es cada vez más exigente, no solo debido al creciente panorama de amenazas, sino porque la empresa es responsable de más datos y sistemas a medida que aumentan las necesidades tecnológicas. Las organizaciones también necesitan inteligencia empresarial sofisticada cuando se trata de ciberataques y deben estar dispuestas a invertir continuamente en personas, procesos y tecnologías para mejorar la ciberseguridad y mitigar los riesgos cibernéticos.
¿Cómo se relacionan el riesgo cibernético y la ciberseguridad?
El término “ciberseguridad” incluye los procesos, prácticas y tecnologías que las organizaciones utilizan para proteger datos y sistemas. La ciberseguridad le permite a la empresa disminuir el riesgo cibernético y recuperarse de un ciberataque.
El riesgo cibernético es inevitable para cualquier organización que utilice tecnología; la ciberseguridad aborda el riesgo cibernético encontrando y corrigiendo deficiencias en la ciberseguridad. La ciberseguridad ayuda a disminuir la posibilidad de un ciberataque, así como a limitar los riesgos cibernéticos y apoyar la recuperación en caso de que la organización sufra un incidente cibernético.
¿Qué es un ciberataque?
Un ciberataque se produce cuando los ciberdelincuentes intentan exponer, destruir o robar información o datos mediante el acceso no autorizado a sistemas electrónicos. El malware, el ransomware, el phishing y la denegación de servicio (DoS) son tipos de ciberataques.
La finalidad de los ciberataques es relevante para la empresa a la hora de diseñar planes para minimizar el riesgo cibernético. Los ataques dirigidos se centran en una organización específica, mientras que los ciberataques no dirigidos incluyen tantos usuarios, dispositivos, servicios o sistemas como sea posible.
¿Qué organizaciones no son susceptibles del riesgo cibernético?
Aunque algunos sectores y empresas son atacadas con menos frecuencia que otras, todas las organizaciones que utilizan datos y tecnología son vulnerables a los ciberataques y deben anticiparse y prepararse para mitigar los riesgos cibernéticos.
¿Quién es responsable de la ciberseguridad de la empresa?
Aunque el director de seguridad de la información (CISO), el director de informática (CIO) o el director de seguridad (CSO) son técnicamente responsables de la ciberseguridad, lideran los programas y serán considerados responsables de los incidentes de ciberseguridad, todos los empleados de la empresa deben entender cómo seguir las políticas y procedimientos de la organización y asumir su responsabilidad en relación con la aplicación y el mantenimiento de dichas políticas y procedimientos. Debido al gran tamaño de la empresa y a su panorama de amenazas, olvidarse de la ciberseguridad, excepto cuando se lleva cabo activamente la formación, no es una opción.
¿Cuáles son los tres pilares de la seguridad de la información?
Los tres pilares de la seguridad de la información (InfoSec) son confidencialidad, integridad y disponibilidad (la triada CID).
- Confidencialidad: Garantizar que los sistemas estén protegidos de accesos externos no autorizados
- Integridad: Garantizar que no se hayan manipulado los datos y que sean correctos y fiables
- Disponibilidad: Garantizar que las aplicaciones, redes y sistemas estén operativos y puedan utilizarse cuando sea necesario
Estos tres pilares son la base para crear y mantener un programa sólido de ciberseguridad. Proteger la confidencialidad, integridad y disponibilidad le permite a la empresa comprender mejor cómo el riesgo cibernético se corresponde con los objetivos de seguridad primarios.
¿Cuál es la diferencia entre el riesgo cibernético y las ciberamenazas?
El término “riesgo cibernético” se refiere al impacto potencial de una ciberamenaza en una organización. Considera las posibilidades de un incidente cibernético, incluidas las pérdidas financieras, la imposibilidad de realizar negocios, el estrés operativo, los daños a los sistemas técnicos y la negatividad asociada a la reputación y la marca de la empresa.
Una “ciberamenaza” se define como cualquier suceso en el que los datos y sistemas de una organización puedan verse afectados por un acceso no autorizado a su tecnología, incluido el posible daño, alteración o divulgación no autorizada de datos. Los ciberdelincuentes aprovechan las ciberamenazas para robar o destruir datos, con muchos motivos posibles, como el beneficio económico, el activismo y el espionaje.
¿Qué es el seguro de riesgos cibernéticos?
El seguro de riesgo cibernético proporciona apoyo experto para gestionar las repercusiones de una violación de la privacidad de los datos, ransomware u otro ciberataque y cobertura para que la organización vuelva a estar operativa si es necesario. También puede proporcionar asistencia en relación con cualquier daño a terceros, honorarios legales e impactos regulatorios sufridos debido a un ciberataque. Además, pueden ofrecerse servicios de riesgos cibernéticos como formación de empleados, preparación y respuesta ante incidentes y análisis forense.
Los seguros de riesgos cibernéticos constituyen una parte muy pequeña, pero creciente, del sector de los seguros. Las empresas que gestionan grandes cantidades de datos personales y dependen de la tecnología digital son las más propensas a considerar la compra de un seguro de riesgos cibernéticos. Las cadenas de suministro también aumentan la exposición de algunas empresas; darse cuenta del impacto organizacional potencial y de los costos de un ciberataque en la cadena de suministro puede despertar el interés por obtener un seguro de riesgos cibernéticos.
Gran cantidad de beneficios relacionados con la mitigación del riesgo cibernético
A medida que la empresa crece y se expande aprovechando las nuevas tecnologías y activos, el riesgo cibernético aumenta y la ciberseguridad se vuelve más difícil y compleja. Las continuas inmersiones profundas en activos e identidades en todos los entornos ayudan a la empresa a realizar un seguimiento de las vulnerabilidades en evolución y a priorizar estratégicamente la mejor manera de abordar el riesgo cibernético en apoyo de las metas y objetivos de la organización.
Además de los beneficios obvios de la mitigación de riesgos cibernéticos, como la reducción de las pérdidas financieras y la disminución del tiempo de inactividad operativa, la empresa que implementa un programa sólido de gestión de riesgos cibernéticos puede tener más confianza en sus capacidades para cumplir los requisitos reglamentarios y normativos, gestionar su camino a través de incidentes cibernéticos con un menor grado de preocupación por la pérdida de datos y sistemas afectados, y disfrutar de una mayor seguridad con respecto a la estabilidad de la organización.
Quizás también le interese:
Asuma el control de su plataforma en la nube.
Obtener más información sobre Identity Security de SailPoint.