Las empresas valoran los riesgos altos

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Existe un mayor conocimiento en las empresas sobre los riesgos cibernéticos basándose en un análisis de la aseguradora.

De acuerdo con los 1,911 clientes y expertos encuestados en el “Barómetro de Riesgo 2018“, los incidentes cibernéticos aumentaron del decimoquinto al segundo lugar en los mayores riesgos del mundo en los últimos cinco años.

Además, la tecnología de la información es el desencadenante más temido para el agente de alto rendimiento de riesgo: la interrupción del negocio.

Como razones de pérdidas económicas después de un incidente cibernético, los encuestados mencionan principalmente las interrupciones del negocio junto con los efectos en la cadena de suministro (67 %).

A esto le siguen daños en la imagen (52 %) y reclamaciones de responsabilidad civil por fugas de datos (45 %).

Además de código malicioso, ransomware, phishing, acceso no autorizado y similares, existen otras amenazas de TI.

Los defectos técnicos, como el software incompatible y el hardware defectuoso o inseguro son un desencadenante, así como los errores de funcionamiento, instalación y programación.

Definir riesgos

Las causas y los efectos de los riesgos cibernéticos son complejos, de gran alcance y, a menudo, impredecibles. Para obtener una indicación del daño potencial causado por los incidentes cibernéticos para las empresas, Münch aconseja calcular el impacto financiero de nueve riesgos:

  • Pérdida de datos propios y de datos de terceros.
  • Pérdida de propiedad intelectual
  • Pérdida financiera
  • Costos de interrupciones y retrasos de negocio.
  • Costo de las medidas de respuesta a incidentes
  • Daño a la reputación
  • Daño fisico
  • daños corporales

Como realiza la evaluación de riesgos un experto

Para identificar las áreas de ataque en las empresas, es necesario realizar encuestas sobre los riesgos cibernéticos potenciales en la fuerza laboral y, sobre todo, a lo largo de toda la cadena de suministro. Además, las evaluaciones realizadas por consultores externos son un medio probado y comprobado, ya que aportan experiencia.

Según los expertos, el riesgo se puede calcular aproximadamente de acuerdo con las siguientes preguntas:

  • ¿Qué información sobre la compañía está disponible públicamente y puede ser utilizada por los atacantes?
  • ¿Qué tan fuerte es la TI de la empresa frente a diferentes vectores de ataque?
  • ¿Qué tan atractiva es la empresa y su negocio para los hackers?
  • ¿Con qué facilidad puede la empresa estar expuesta a los riesgos?

El vínculo entre la TI y los riesgos empresariales

La seguridad, la gestión de riesgos y los negocios deben estar estrechamente vinculados y alineados. Al hacerlo, se debe tener cuidado de salvar los límites entre las disciplinas de la empresa y las ubicaciones geográficas de manera que no surjan nuevas brechas.

 

 

Por Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS