La ciberseguridad se ha convertido en una prioridad máxima para las organizaciones de todo el mundo, pero no siempre ha sido así.
Hace solo unos años, muchas empresas no estaban preparadas para hacer frente a amenazas cibernéticas importantes. Uno de los incidentes más notables ocurrió en 2017 con el ataque del ransomware WannaCry, que se propagó rápidamente por todo el mundo, aprovechando vulnerabilidades y secuestrando datos. Afectó a más de 200 000 sistemas de todos los sectores utilizando exploits desarrollados originalmente por la Agencia de Seguridad Nacional de los Estados Unidos (NSA).
Poco después, se produjo el ataque NotPetya, que borró los datos de los equipos y dejó a muchas organizaciones sin estar preparadas, a pesar de la reciente llamada de atención.
Tres métodos para proteger la tecnología y los datos
Los ciberataques, incluidos el phishing, el malware y el ransomware, siguen aumentando en 2024. De hecho, según un estudio reciente de Keeper Security, un sorprendente 92 % de los responsables de TI afirman que los ciberataques son ahora más frecuentes que en 2023. Este aumento pone de relieve el creciente panorama de amenazas y la urgente necesidad de que las empresas refuercen sus defensas de ciberseguridad.
1. Cuantificar el riesgo cibernéticoCuantificar el riesgo cibernético
Traducir el riesgo en términos financieros puede ayudar a los líderes a comprender el impacto potencial. Como hemos visto, las amenazas cibernéticas no hacen más que aumentar. Un informe de IBM de 2024 estima que el coste medio de una violación de datos ha ascendido ahora a 4,88 millones de dólares.
Las organizaciones ya no pueden permitirse adoptar un enfoque reactivo en materia de ciberseguridad. Calcular las pérdidas potenciales permite conocer con claridad en qué medida una brecha de seguridad podría afectar a los resultados financieros y motiva la inversión en defensas más sólidas.
2. Alinear el riesgo cibernético con la estrategia organizativa
Una estrategia de gestión de riesgos cibernéticos debe integrarse en el marco general de riesgos de su organización. El Instituto de Gestión de Riesgosdefine la propensión al riesgocomo «la cantidad y el tipo de riesgo que una organización está dispuesta a asumir para alcanzar sus objetivos estratégicos». Definir la «propensión al riesgo» de su empresa garantiza que sus defensas se ajusten a los objetivos estratégicos.
Los organismos reguladores están presionando ahora a las empresas para que establezcan formalmente una estrategia de riesgo cibernético, lo que ayuda a la dirección a evaluar si están adecuadamente protegidas frente a las amenazas cibernéticas en constante evolución.
Abordar la gestión de los riesgos cibernéticos de esta manera permite incluirla en el marco general de riesgos de la empresa, lo que proporciona información sobre si la exposición es asequible o aceptable.
3. Evaluar periódicamente las defensas cibernéticas y los riesgos de los proveedores.
Las evaluaciones de riesgos cibernéticos deben ser un proceso continuo en todos los departamentos, incluidos los proveedores externos. Esto incluye probar la seguridad de la red, buscar vulnerabilidades y evaluar la eficacia de los controles de seguridad. Los riesgos de terceros deben supervisarse de cerca, ya que los ataques a la cadena de suministro son cada vez más comunes. Las auditorías internas y externas frecuentes, junto con los simulacros, ayudarán a su equipo a responder de forma rápida y eficaz cuando se produzca un incidente.
Tal y como se describe en la«Guía para la implementación de una estrategia de riesgos cibernéticos»,a las empresas les conviene supervisar cuidadosamente sus riesgos cibernéticos en todos los departamentos.
Fuente: Oliver Wyman
En primer lugar, identifique los riesgos mediante una evaluación de riesgos cibernéticos y una evaluación general de la seguridad. En segundo lugar, se deben realizar revisiones por parte de terceros; se debe evaluar la funcionalidad de los controles de seguridad en relación con los requisitos de seguridad y se debe evaluar el impacto interno y de terceros en la seguridad. Por último, evalúe la eficacia general de su plan de BCDR y el grado de finalización de su estrategia en caso de que sea necesario adoptar medidas correctivas.
4. Prueba continua de la respuesta ante incidentes cibernéticos
Su plan de respuesta ante incidentes debe ser exhaustivo y someterse a pruebas frecuentes para ser verdaderamente resistente. Esto implica simular diversos escenarios de ataque, definir claramente las funciones de cada departamento y practicar regularmente los protocolos de comunicación en situaciones de crisis. Los ejercicios de simulación ayudan a las partes interesadas a comprender los matices del riesgo cibernético y a mejorar su preparación. Sin embargo, a medida que evolucionan las amenazas cibernéticas, su plan debe actualizarse y mejorarse periódicamente para garantizar que siga siendo eficaz.
En el panorama actual, los ciberataques no son solo un problema informático, sino también un problema empresarial. Al cuantificar los riesgos, alinear la ciberseguridad con la estrategia y probar rigurosamente los planes de respuesta, las organizaciones pueden defenderse mejor contra posibles interrupciones y mitigar las graves consecuencias de una violación de la seguridad.
Nota del Editor: Este post fue publicado originalmente en Preparis Business Continuity Software. En octubre de 2024, Mitratech adquirió Preparis, un proveedor líder de soluciones de planificación de continuidad de negocio y respuesta a emergencias. El contenido ha sido actualizado para reflejar la oferta ampliada de productos de Mitratech, los avances de la industria y los desarrollos regulatorios.
