Noticias, SEGURIDAD
La ciberseguridad está directamente vinculada a la reputación de una empresa. Si una organización es atacada o sufre un incidente de este tipo y se pone de manifiesto que la causa de ello ha sido la falta de medidas de seguridad, se traducirá en una pérdida de confianza de los usuarios en esa organización, puesto que puede representar una falta de atención o cuidado por los responsables de la misma en la custodia de la información y los datos de sus clientes o usuarios.
Cada vez se está asumiendo con más fuerza por parte de los consumidores y usuarios que su información personal es valiosa y debe ser protegida, y el hecho de que la organización no tome las medidas adecuadas para protegerla supone una brecha en esa confianza necesaria para entablar y mantener relaciones comerciales.
El daño reputacional puede ser, en algunos casos, considerablemente superior al daño económico directo, puesto que afecta al fondo de comercio, a la imagen comercial y, en definitiva, al potencial de la empresa como generadora de negocio por la venta de sus productos o servicios.
Por todo ello, la seguridad de la información se ha convertido en un elemento esencial para las Organizaciones, sean públicas o privadas, que debe contemplarse como un elemento esencial de su estrategia, que deberá contemplar la implantación de políticas y procesos de control que garanticen la integridad, disponibilidad y confidencialidad de dicha información.
Resulta, así, esencial, poner en marcha un proceso que contempla diferentes fases: identificar y evaluar los riesgos, la mejora de los procesos de seguridad, su cuantificación, la eventual transferencia del riesgo y respuesta ante los ataques y daños derivados de la pérdida de información. La correcta definición e implantación del proceso garantizará en mayor o menor medida la limitación de impactos tecnológicos, así como los legales, regulatorios, financieros y reputacionales.
En la fase de identificación y evaluación, los riesgos son identificados, analizados y evaluados. Los resultados de este análisis se han de documentar, incluyendo amenazas y vulnerabilidades, y acciones prioritarias. En este proceso se deben asignar también las fuentes del riesgo, su probabilidad e impacto en el negocio.
La siguiente etapa supone el tratamiento y mejora del riesgo. Definir los controles a implementar, con el fin de reducir el nivel de riesgo previamente identificado. En caso de no haber llevado a cabo una correcta e íntegra evaluación del riesgo, la respuesta no será efectiva y completa.
El resultado de este proceso será una lista con controles y objetivos de control seleccionados, un plan de tratamiento de riesgos que incluye la aceptación de riesgos residuales, un plan de implementación de control y solicitudes de cambios en el proceso de gestión de cambios de la seguridad de la información.
La tercera fase es cuantificar, en términos económicos, el impacto de los riesgos, mediante un análisis detallado que permita determinar las consecuencias financieras resultantes en caso de pérdida en aquellos escenarios de riesgo cibernético identificados, valorando y cuantificando tanto la pérdida máxima estimada como la pérdida máxima probable, con el fin de evaluar y facilitar la transferencia del riesgo al mercado asegurador.
Como última etapa se ha de definir el proceso de respuesta, cuyo objetivo es detectar, informar, evaluar y gestionar incidentes. Los resultados de este proceso se utilizan para mejorar y robustecer otras actividades como la gestión de cambios y la concienciación y formación a empleados.
La concienciación en materia de ciberseguridad debe basarse en el establecimiento de un programa de concienciación, formación y educación para garantizar que todo el personal reciba la educación necesaria en materia de ciberseguridad, mitigando el riesgo y reduciendo los niveles residuales aplicables.
Mención aparte, merece el hecho de que, con frecuencia, los servicios de IT son externalizados. Los proveedores de servicios son terceros que colaboran con nuestra organización para facilitar, permitir y mejorar el funcionamiento de la misma, cada vez más conectados a nuestro entorno tecnológico de forma directa y, en muchos casos, accediendo al interior de nuestros sistemas tecnológicos con permisos específicos de todo tipo, desde los más limitados hasta los más amplios.
Por ello, a la hora de establecer un esquema de seguridad de nuestro entorno tecnológico y de nuestra información, resulta un elemento clave la gestión de los proveedores como eslabón fundamental de esa cadena. De nada sirve disponer de las medidas de seguridad más avanzadas y del esquema de cumplimiento más perfeccionado, si el proveedor que se conecta a mi entorno y accede a la información no dispone del mismo nivel de medidas de seguridad.