Evaluación técnica de ciberriesgos: ¿cuáles son sus beneficios y cómo se lleva a cabo?

Durante 2020, el Instituto Nacional de Ciberseguridad (INCIBE) gestionó 133.155 incidentes de ciberseguridad en España. Las empresas son las más afectadas por este tipo de incidentes que no dejan de ganar en complejidad técnica (nuevos ataques, nuevas técnicas y nuevas tecnologías). A nivel corporativo, dichos riesgos van más allá de lo evidente, y tienen también mucho que ver con cómo las organizaciones integran la ciberseguridad en su cultura y su estrategia de negocio.

“La ciberseguridad ya no es solo tecnología. Los líderes de seguridad involucran cada vez más a los líderes empresariales y a sus equipos en la mejorar la resiliencia cibernética de la organización. Además, obtener el máximo valor de cada euro invertido en ciberseguridad es cada vez más importante”, señala Claudia Piccirilli, Product Director, Cyber Analytics, Willis Towers Watson.

Las ventajas de una evaluación técnica de ciberriesgos

A la hora de reforzar la ciberseguridad de la empresa, es tan necesario identificar las vulnerabilidades críticas como estar seguro de que la inversión en seguridad respalda la estrategia corporativa y proporciona el mayor retorno posible. Es aquí donde encajan las evaluaciones técnicas de ciberriesgos, pensadas para respaldar la labor de quienes toman las decisiones y cimentar una respuesta adecuada ante el riesgo. Este tipo de evaluaciones tienen cuatro grandes ventajas:

• Reducir costes a largo plazo. Identificar las amenazas y trabajar para mitigarlas reducirá los incidentes de seguridad, lo cual supondrá un ahorro a largo plazo.
• Mejorar la comprensión de los riesgos de la organización. Así, se obtiene una idea clara de dónde mejorar la seguridad de la empresa.
• Evitar interrupciones de la red y tiempo de inactividad de las aplicaciones. De esta manera, se asegura una disponibilidad continua de los recursos de la empresa.
• Evitar la pérdida de información y las violaciones del reglamento general de protección de datos.

Las evaluaciones técnicas de ciberriesgos también ayudan a entender la capacidad real de la empresa para recuperarse tras un ataque.

Además de aclarar qué vulnerabilidades tiene la organización, las evaluaciones técnicas de ciberriesgos también ayudan a entender la capacidad real de la empresa para recuperarse tras un ataque. Y es que son clave tanto para la gestión de riesgos cibernéticos como para la gestión de riesgos empresariales.

Durante una evaluación técnica de los ciberriesgos, generalmente, se clasifican los riesgos en función de su gravedad y probabilidad, se definen las amenazas y las vulnerabilidades de la empresa para cada una de ellos y se detallan los daños financieros y de reputación que podrían derivarse de los incidentes.

 

Los pasos de una evaluación técnica de ciberriesgos

Lo más importante a la hora de hacer una evaluación técnica de los ciberriesgos de la empresa es entender qué datos e infraestructura se tienen y cuál es su valor. Es decir, la organización debe conocer qué datos recopila, dónde los almacena y durante cuánto tiempo, quién tiene acceso a ellos y cómo se documentan los procesos a los que se someten dichos datos. A partir de ahí, la evaluación técnica de ciberriesgos se puede desarrollar en siete pasos, según nuestra experta.

1. Definir los activos críticos para el negocio y su valor. En función de esta información, se podrán delimitar, entre otras cosas, las prioridades de inversión, empezando por proteger los activos más importantes.
2. Identificar y priorizar los activos. En función de su definición, es posible determinar qué activos es necesario someter a la evaluación técnica, ya que no siempre es aconsejable hacerla para cada elemento de la empresa.
3. Identificar las ciberamenazas, entendidas como cualquier vulnerabilidad que puede ser explotada para causar daños en la organización. Las amenazas más serias son aquellas que suponen un riesgo para los activos más críticos.
4. Identificar las vulnerabilidades probables. En este siguiente paso, la evaluación técnica pasa de pensar en todo lo que podría pasar a pensar en los riesgos que son más probables.

“Si proteger los activos cuesta más de lo que valen, es posible que no tenga sentido implementar acciones de control o mitigación específicas”

5. Evaluar los sistemas y mecanismos de control y definir nuevos, de ser necesario. Los controles pueden implementarse a través de medios técnicos, como hardware o software, autenticación de dos factores o detección de fugas de datos, o por medios no técnicos como políticas de seguridad más estrictas.
6. Calcular la probabilidad y el impacto de diferentes escenarios. El siguiente paso es evaluar la probabilidad de que ocurran las amenazas definidas y su impacto potencial. Esta información ayudará a determinar cuánto invertir en la mitigación de los riesgos identificados.
7. Priorizar los riesgos en función del coste de la prevención frente al valor de los datos. Con este último paso, podemos definir las acciones que es necesario implementar de forma inmediata, las que deben tomarse a medio plazo y las que no son prioritarias.

“Si proteger los activos cuesta más de lo que valen, es posible que no tenga sentido implementar acciones de control o mitigación específicas”, concluye Claudia Piccirilli, de Willis Towers Watson. “La clave está en reconocer el coste de la prevención frente al valor de los activos y así poder priorizar. La realización de evaluaciones técnicas de ciberriesgos permitirá alinear la estrategia corporativa con la de ciberseguridad”.