El ecosistema digital se complica y, con él, se disparan los ciber riesgos. Ecosistemas abiertos, cadenas de proveedores completamente digitalizadas y tecnologías emergentes impulsan la innovación y el negocio, pero abren la puerta a nuevas ciber amenazas. Entender los ciber riesgos es el primer paso para controlarlos y minimizar su impacto.
El informe The Cybersecurity Imperative, elaborado por The Wall Street Journal con la participación de Willis Towers Watson, analiza el impacto de los ciber riesgos en la continuidad del negocio, la reputación de la compañía o la cuenta de resultados. Y establece una serie de recomendaciones, en base a los datos obtenidos, para que las organizaciones alcancen la excelencia en ciberseguridad.
Una de las principales conclusiones del informe es que la madurez digital de una compañía no siempre se ve acompañada de madurez en ciberseguridad. Es decir, la digitalización no conlleva necesariamente avances en ciberseguridad. De acuerdo con el estudio, más de la mitad de las organizaciones consideradas líderes digitales no contaban con estrategias líderes frente a los ciber riesgos.
“La innovación digital incrementa la complejidad y los riesgos. Por ejemplo, un directivo podría pensar que hoy puede usar servicios en la nube para casi todo. Pero no estaría pensando en los problemas para la continuidad del negocio, la necesidad de un backup o los riesgos de la infraestructura tecnológica heredada”, señala Matthew Johnson, CISO de Willis Towers Watson. Para minimizar riesgos, las organizaciones deberían desarrollar su ciberseguridad al mismo ritmo que la digitalización.
Los problemas de ciberseguridad pueden a llegar a ser muy complejos. Sin embargo, una serie de medidas básicas pueden reducir considerablemente los ciber riesgos. Según el informe, las organizaciones deben comenzar por integrar los medidas más básicas. Aunque estas no están oficialmente definidas, se trata de aspectos como:
La ciberseguridad debe pasar a ser una prioridad en todo momento y en todos los departamentos
De acuerdo con el informe, muchas organizaciones todavía limitan su estrategia de ciberseguridad a los departamentos técnicos. Al mismo tiempo, la mayoría son conscientes de que la baja concienciación y formación de la plantilla entrañan graves riesgos. Por ello, la ciberseguridad debe pasar a ser una prioridad en todo momento y en todos los departamentos. Un archivo malicioso adjunto en un mensaje de atención al cliente o un email de phishing al departamento de ventas puede poner en jaque a toda la organización.
Al igual que sucede con el resto de la plantilla, los miembros de la directiva no tienen por qué ser expertos en ciberseguridad. Sin embargo, deben ser capaces de entender los ciber riesgos y el impacto potencial en el negocio. En aquellos sectores en los que los riesgos cibernéticos sean más elevados, sí es aconsejable contar con un directivo experto en seguridad, como el CISO. Además, la comunicación entre expertos y no expertos debe ser fluida.
“Uno de los grandes desafíos que tenemos los profesionales de la ciberseguridad es que hablamos en un idioma diferente. Solemos tener dificultades para expresar los ciber riesgos en términos de negocio”, explica Matthew Johnson, CISO de Willis Towers Watson. “Tenemos que aprender a llevar el debate a un lenguaje de negocio. Por ejemplo, en lugar de decir, si no hacemos esto, no cumpliremos con la regulación, debemos decir, si hacemos esto, se reducirá el time-to-market para nuevos productos”.
Las compañías deben prepararse para los ciber ataques y las interrupciones en el negocio mediante ejercicios, practicando tanto a nivel ejecutivo como en la plantilla
Las preocupaciones por los ciber riesgos no deben llegar una vez que se ha diseñado un servicio o se está a punto de lanzar un nuevo producto. La seguridad debe estar en el centro de todos los procesos para evitar retrasos y sobrecostes inesperados. Para ello, los expertos en ciberseguridad deben pasar a formar parte del debate y de los procesos de negocio lo antes posible.
El término resilience se usa, de forma general, para definir la capacidad de resistencia de una organización ante imprevistos y la flexibilidad para recuperar la operatividad tras un incidente. Esto se aplica a cualquier tipo de riesgo, desde fraudes hasta problemas con la reputación de la compañía. De acuerdo con el informe, pocas organizaciones dedican los recursos suficientes a asegurar que son capaces de resistir una caída del sistema o un ataque por ransomware como WannaCry.
“Las compañías deben prepararse para los ciber ataques y las interrupciones en el negocio mediante ejercicios, practicando tanto a nivel ejecutivo como en la plantilla”, señala el informe The Cybersecurity Imperative. Esto es especialmente importante en empresas pequeñas y medianas. Estas no suelen tener el mismo acceso a expertos en ciberseguridad que las grandes, pero pueden sufrir daños desproporcionadamente grandes.
La inversión en ciberseguridad es clave para protegerse de los ataques y minimizar los riesgos. Sin embargo, los costes de estas medidas pueden ser elevados, por lo que los gastos deben hacerse de forma estratégica. Adquirir la última solución tecnológica puede ser importante, pero también lo es contar con una plantilla preparada y fichar a un equipo de ciberseguridad competente.
Por otro lado, se debe encontrar un equilibrio entre el gasto en medidas preventivas y la inversión en herramientas correctivas. Descuidar uno de los dos aspectos puede disparar los riesgos. En definitiva, la clave para el éxito y alcanzar la excelencia en ciberseguridad es una estrategia bien construida, que tenga claras las prioridades y que contemple desde el presupuesto hasta la comunicación entre departamentos, pasando por la implementación de medidas básicas y la concienciación de toda la plantilla.
The Cybersecurity Imperative: la gestión de los ciber riesgos en un mundo digital cambiante
¿Cómo crear una organización resistente a los ciberataques?
El D&O y la importancia de la tecnología: 3 ejemplos de ciberataques
¿Dónde contratar una póliza de seguro de auto para un vehículo con licencia VTC? Los…
El cambio normativo en España respecto a los planes de pensiones trata de impulsar la…
Para que las personas que cobran una pensión pública no pierdan poder adquisitivo, año a…
Reinvertir la desgravación de los planes de pensiones en el propio plan es una forma…
Hasta el año 2013, las pensiones de jubilación se calculaban en base a los últimos…
El año pasado se despidió con buenos números para el sector turístico. Aunque todavía no…