El tratamiento de las amenazas y vulnerabilidades en materia de ciberseguridad comienza con un diagnóstico y análisis de aquellos riesgos tecnológicos, tradicionalmente conocidos como “riesgos de sistemas” o IT.
Estos riesgos de tecnología afectan principalmente a los sistemas de información de las empresas debido a la amplia dependencia que el negocio demanda. Esta afirmación puede resultar abrumadora para aquellas empresas que estén poco experimentadas en materia de seguridad digital y gestión de vulnerabilidades.
Es por esto que, aunque la tecnología haya evolucionado y revolucionado la forma en la que las organizaciones gestionan su negocio en la actualidad, su mayor uso también implica una mayor vulnerabilidad sobre sus propios sistemas.
La transformación digital; nuevo horizonte de oportunidades, pero ¿qué más implica?
Desde la publicidad hasta la automoción, todos los sectores están desarrollando nuevos servicios y modelos de negocio.
Este nuevo horizonte de oportunidades genera también un conjunto de riesgos radicalmente diferente, que las organizaciones deben anticipar y gestionar dentro de sus procesos de transformación digital.
Por ello, la identificación y priorización de los riesgos de la tecnología debe ser la base principal para establecer y fortalecer un marco de ciberseguridad, identificando las mejores soluciones y servicios tanto para su evaluación como para su mitigación y posterior transferencia.
Las vulnerabilidades y riesgos de la tecnología: What’s Now & What’s Next
Tal y como se extrae de nuestro informe What’s Now & What’s Next, el primer factor crítico de riesgo es la tecnología. Las grandes posibilidades que nos aporta la transformación digital exigen a las empresas estar preparadas frente a ataques, amenazas y otros riesgos tecnológicos.
Nuestra experiencia nos indica que no existe un gobierno corporativo, efectivo y centralizado, tanto a nivel de datos como de procesos. De esta forma, es muy probable ser víctima de ataques y acciones de fraude, explotando nuestras propias plataformas tecnológicas debido a la inexistencia de un enfoque holístico integrado.
Los dos factores principales de riesgo en las empresas son:
▷La mayor exposición de cara al mercado, al buscar una integración tecnológica que genere una ventaja frente a la competencia internacional a través de la digitalización.
▷La falta de un inventario de activos correctamente elaborado, así como la carencia de unas políticas adecuadas, con enfoque en materia de ciberseguridad, no solo a nivel de seguridad corporativa.
Por esta razón, en nuestro informe What’s Now & What’s Next, además del riesgo de tecnología, se recogen como principales factores de riesgo adicionales la cadena de suministros y el IoT (Internet of Things). Queda patente que la dependencia en terceros (proveedores, red de partners, etc.) supone un incremento del nivel de riesgo que debe gestionarse adecuadamente.
Los riesgos de la tecnología ilustran cómo, a medida que las organizaciones facilitan y promueven la transición a un enfoque digital en todas las transacciones, la superficie de ataque de los negocios globales se expande rápidamente y, en ocasiones, de forma inesperada.
En otras palabras, gracias a las mejoras y los constantes cambios en tecnología, el volumen de vectores de ataque a los que pueden acceder los ciberdelincuentes dentro de una empresa crece de forma exponencial.
¿Cómo garantizar la alineación e integración de nuestro enfoque en ciberseguridad?
Los riesgos de la tecnología y las vulnerabilidades de ciberseguridad conforman actualmente el bloque de riesgos más transversal para la continuidad del negocio. Una respuesta adecuada a esta cuestión requerirá de un estudio y análisis pormenorizado, que deberá incluir lo siguiente:
▷ Identificar los activos críticos de la organización para integrarlos dentro de los procesos y procedimientos de continuidad del negocio, responsabilidad y gestión, y no menos importante su evaluación debido a que lo que hoy puede no ser completamente relevante o vulnerable, podría suponer un impacto en cualquier momento.
▷Llevar a cabo una evaluación anual de ciberriesgo para identificar las vulnerabilidades y evaluar nuestro perfil de riesgo.
Todas y cada una de las organizaciones, independientemente de su tamaño, deben llevar a cabo un proceso de revisión de sus deficiencias y vulnerabilidades en todas las áreas clave de la empresa, incluyendo negocio, tecnología, usuarios, gobierno, privacidad y seguridad de los activos de información.
▷Definir y mantener vigente una estrategia integral de ciberseguridad que permita aportar garantías sobre la continuidad del negocio.
Esto puede llevarse a cabo mediante la observación del riesgo ciber como un riesgo corporativo de ámbito general y global ya que en caso de incidente las consecuencias impactarán en toda la organización, tanto desde el punto de vista financiero, como legal o reputacional, entre otros.
▷Mantener soluciones y servicios de defensa en constante evolución. Para ello es necesario disponer de servicios expertos como simulacros y ciberejercicios que permitan a la organización prepararse en caso de un ciberincidente real.
Desde Aon asesoramos en todos los ámbitos de gestión del riesgo cibernético, cubriendo tanto la identificación y evaluación, como la mitigación, testeo, transferencia y respuesta, haciendo uso de nuestra metodología Seek, Shield & Solve que garantiza un correcto acercamiento y tratamiento de este riesgo amplio y complejo.
Si quieres saber más sobre nuestro asesoramiento en el Área de Ciberriesgo y sobre nuestra metodología, ponte en contacto con nosotros.
David Rubio | Responsable Nacional de Consultoría y Servicios en Ciberseguridad de Aon España