lunes, 3 de julio de 2023

EL RIESGO DE LA TECNOLOGIA VA MÁS ALLÁ DEL RIESGO CIBERNETICO

GALO LIMA, Oficial de Cumplimiento y Seguridad Informática, 0981478818, galolima@hotmail.com

  

CONCEPTOS CLAVES:

Plan de continuidad del negocio (ISO 27002:2022 Control No. 3).- Un plan de continuidad del negocio es un plan logístico para la práctica de cómo una organización debe recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo predeterminado después de una interrupción no deseada o desastre. La actualización a ISO 27002:2022 incorpora 11 nuevos controles:

  1. Inteligencia de amenazas.
  2. Seguridad de la información en la nube.
  3. Continuidad del negocio.
  4. Seguridad física y su supervisión.
  5. Configuración.
  6. Eliminación de la información.
  7. Encriptación de datos.
  8. Prevención de fugas de datos.
  9. Seguimiento y monitoreo.
  10. Filtrado web.
  11. Codificación segura.

EL RIESGO DE LA TECNOLOGÍA VA MÁS ALLÁ DEL RIESGO CIBERNÉTICO

Las organizaciones son cada vez más conscientes de la importancia del riesgo de la tecnología. Las noticias sobre problemas de seguridad de la información como hackeos, filtraciones de datos, ransomware (secuestro de datos) o ciberataques han crecido exponencialmente con el pasar el tiempo.

En los últimos 4 años, se expusieron 21,9 mil millones de registros, representando un aumento del 103%. Una de las violaciones de datos recientes más conocidas, por ejemplo, fue en 2020 el hallazgo de las credenciales de más de 500.000 cuentas de Zoom que estaban a la venta en la conocida como “dark web”.

Por tanto, para nadie ya pasa desapercibido que el riesgo de la tecnología es real, crucial para las operaciones de la organización y debe abordarse. Ahora bien, no se puede identificar ese riesgo de la tecnología únicamente como el riesgo cibernético. Analizamos por qué.

¿Es más amplio el riesgo de la tecnología que el riesgo cibernético?

El riesgo de la tecnología se refiere a cualquier riesgo de pérdida financiera, interrupción de las operaciones o daño a la reputación de una organización como resultado de un fallo o problema de sus sistemas de tecnología de la información. Y el riesgo cibernético es un subconjunto del riesgo tecnológico.

Los profesionales de TI suelen tener un conocimiento técnico muy bueno del riesgo cibernético y de los sistemas tecnológicos empleados en la organización. Sin embargo, generalmente solo se enfocan en los impactos inmediatos de las violaciones de datos, como la cantidad de registros expuestos y la solución de la causa de la violación. Y no abordan los riesgos que para el funcionamiento del negocio tiene la tecnología.

Así, los impactos negativos que supone ese riesgo cibernético son más amplios y, por lo general, están fuera del alcance del Departamento de TI:

  1. La continuidad del negocio.
  2. Responsabilidad de terceros.
  3. Afectación a la reputación.
  4. Cumplimiento normativo.

Minimizar, por ejemplo, el tiempo de inactividad ante un ataque cibernético, son consecuencias sobre las que un Departamento de TI relativamente eficaz puede actuar. Esto no implica que el ataque no genere costes y que el daño a la reputación sea irreversible, por mencionar solo dos de los impactos relacionados.

Comprender y gestionar el riesgo de la tecnología de forma eficaz requiere un enfoque integral centrado en el negocio u organización, y no solo que el área de TI tenga la capacidad de disminuir los impactos del riesgo cibernético. 

¿Cómo comprender y gestionar el riesgo de la tecnología de manera eficaz?

Tras el análisis anterior, la conclusión es que los profesionales en el área de TI tienen un conocimiento técnico extenso y profundo, pero que no cuentan con las competencias, las herramientas y el conocimiento sobre gestión de riesgos y comprensión de un fenómeno tan complejo como el riesgo de la tecnología y su alcance, como para garantizar la seguridad y la tranquilidad que la organización y sus clientes, empleados, proveedores y asociados necesitan.

Y esto sucede en gran parte, porque no han sido formados para esta tarea, que es diferente a la gestión técnica, casi científica, y porque su enfoque va hacia la reacción y no hacia la prevención. Ellos piensan en el impacto inmediato tras la ocurrencia de la violación.

Por supuesto, los seguros podrían ser una respuesta a algunos de los problemas generados tanto por el riesgo de la tecnología como por el riesgo cibernético. Pero, ¿hasta dónde resultan efectivos y a qué coste?

Es necesario pensar en los seguros contra el riesgo cibernético como algo similar a la responsabilidad civil y como una forma de protección para mitigar el impacto financiero del riesgo, pero no como una medida de protección real, sobre todo en lo que relacionado con el cumplimiento normativo y con la posible erosión de la reputación y el buen nombre.

Pero, además de lo mencionado, encontramos otros frentes en los que los servicios de una aseguradora se tornan inoperantes:

  1. Parálisis financiera ocasionada por la imposibilidad de operar, ocasionada por algún impedimento para acceder a los datos, a la red o a la información en general.
  2. Todas las estrategias comerciales se detienen, incluso el lanzamiento de nuevos productos, la implementación de software, y el despacho de productos.
  3. Las noticias sobre la violación se propagan rápidamente a través de redes sociales, afectando negativamente la reputación de la organización.

Al final, es evidente la necesidad de contar con profesionales especializados en riesgos, como principales determinadores en la toma de decisiones sobre la gestión del riesgo de la tecnología como del riesgo cibernético.

Este tipo de profesionales requerirán un marco apropiado para abordar los riesgos, y el más adecuado sin duda será ISO 27001, 27002 estándares internacionales para la Gestión de la Seguridad de la Información.

Blogs relacionados

 

Suscribirse a: Entradas (Atom)