El ciberriesgo es la exposición de una organización a daños económicos y de reputación como resultado de incidentes cibernéticos. Y aunque su asociación con la ciberdelincuencia es inmediata, no puede ni debe ser exclusiva: muchas violaciones de datos provienen de errores involuntarios, hacktivismo (que formalmente no es ciberdelincuencia), equivocaciones o sabotajes internos
Índice de temas
Por qué crecen los ciberriesgos
Los riesgos cibernéticos o ciberriesgos representan una amenaza creciente para empresas de todos los tamaños y sectores. Y esta realidad se sustenta en (al menos) dos factores: el aumento continuado del número y la gravedad de los ataques, y la mayor proliferación y valor de los datos.
A este respecto, el reciente Informe Clusit revela un incremento del 12% en el número de ataques en 2023, siendo cuatro, de cada cinco casos, de gravedad alta o crítica. En España, INCIBE, en su balance de ciberseguridad, refleja un crecimiento del 24% en el mismo periodo, con más de 83.000 incidentes gestionados desde su CERT. Mención aparte requieren las Administraciones Públicas, con 107.777 incidentes gestionados por el CCN-CERT, de los cuales, el 34% fueron clasificados con un nivel de peligrosidad alto, muy alto o crítico.
Ante tal escenario, y dado que los datos son elementos cada vez más atractivos para los ciberdelincuentes, las empresas necesitan desarrollar y ejecutar una estrategia de ciberseguridad que comprenda simultáneamente un enfoque preventivo y reactivo ante cualquier amenaza, interna o externa. Pero antes, es necesario pensar en términos de gestión de riesgos y realizar una evaluación de ciberriesgos.
Evaluación de los ciberriesgos, el primer paso hacia la seguridad
El ciberriesgo es la exposición de una organización a daños económicos y de reputación como resultado de incidentes cibernéticos. Y aunque su asociación con la ciberdelincuencia es inmediata, no puede ni debe ser exclusiva: muchas violaciones de datos provienen de errores involuntarios, hacktivismo (que formalmente no es ciberdelincuencia), equivocaciones o sabotajes internos. Todos ellos difieren del típico ataque externo con fines de extorsión.
Las empresas deben ser conscientes de la existencia del ciberriesgo, de sus posibles consecuencias y, sobre todo, de su incapacidad para eliminarlo al 100%. Y aunque la solución inmediata pasa por mantenerse vigilante, han de avanzar hacia una adecuada estrategia de gestión del ciberriesgo que abarque amenazas, vulnerabilidades e impacto.
La evaluación de ciberriesgos es un proceso estructurado que las compañías utilizan para identificar, evaluar y mitigar los ciberriesgos. Su objetivo es proporcionar una visión detallada de las vulnerabilidades existentes, las ciberamenazas potenciales y las consecuencias de los ciberriesgos, con el fin de identificar las prioridades de actuación.
Cómo funciona una evaluación de ciberriesgos
Aunque puede variar de una organización a otra, una evaluación de ciberriesgos suele seguir una serie de pasos clave.
Como primera medida, la recopilación de información sobre los activos digitales críticos de la empresa, incluidos datos, redes, aplicaciones y sistemas, ofrecerá una estimación inicial aproximada de lo que requiere protección.
El siguiente paso, guiado por consultores experimentados, es la identificación de las amenazas potenciales que puedan comprometer la seguridad, operatividad y confidencialidad de estos activos. Y aunque las principales suelen ser ataques externos vía malware, phishing y DDoS; actos de sabotaje o errores internos, es importante realizar un análisis en profundidad de las mismas, ampliando el perímetro para incluir las identidades y la reputación de la marca.
Para que los riesgos se conviertan en daños concretos o en violaciones de la normativa, es necesaria la presencia de vulnerabilidades específicas y de actores de amenazas que puedan explotarlas en su propio beneficio. La evaluación de vulnerabilidades permitirá escanear y detectar vulnerabilidades, identificando la gravedad real para la empresa.
Por último, un análisis del impacto ayudará a calcular las repercusiones financieras, operativas y de reputación (estas son las más difíciles de cuantificar) de un ataque, para comprender mejor las consecuencias y priorizar las acciones de mitigación del riesgo.
Tras evaluar los ciberriesgos, es hora de defender
Tras la evaluación del riesgo cibernético, ya es posible poner en marcha una adecuada estrategia de seguridad. Dicho plan de ciberseguridad, que estará condicionado por el análisis realizado previamente, deberá tener en cuenta (en términos de priorización) tanto las amenazas más probables como las de mayor impacto.
Para gestionar eficazmente estos riesgos, la definición de un enfoque metodológico permitirá precisar funciones, procedimientos y políticas de seguridad, a fin de minimizar el riesgo cibernético y garantizar una respuesta rápida y eficaz en caso necesario. Del mismo modo, la suma de herramientas y tecnologías avanzadas como por ejemplo el cifrado, los sistemas de acceso multifactor o los sistemas de protección de la red y de endpoints, posibilitará la creación de una estrategia de protección efectiva al incluir herramientas preventivas, reactivas y de remediación.
Si el reto es la pericia, cada vez más escasa en nuestros días, una opción recomendable es recurrir a operadores especializados, capaces de vigilar constantemente la infraestructura de sus clientes, detectar comportamientos sospechosos y actuar en consecuencia.
En este ámbito es esencial confiar en socios tecnológicos de servicio que estén certificados en marcos tan importantes como SOC 1, SOC 2 y SOC 3, o en ISO 27001, sobre gestión de la seguridad de la información. Otras certificaciones relacionadas con la gestión de seguridad de la información que es importante solicitar a un proveedor de servicios de ciberseguridad son ISO 27017, ISO 27018 e ISO 27701, o ISO 27035, para la gestión de incidentes.
