¿Cuál es el ‘apetito de riesgo cibernético’ de las empresas?

RSA desarrolla un marco de trabajo para ayudar a las empresas a definir su ‘apetito de riesgo cibernético’.

Publicado el 04 Jul 2016

34256_72

RSA, la división de seguridad de EMC, ha anunciado un nuevo marco de trabajo diseñado para que las compañías puedan catalogar y establecer prioridades en materia de riesgos cibernéticos. Este marco, publicado en un informe realizado por RSA con el apoyo de Deloitte Advisory Cyber Risk Services, proporciona a las organizaciones una nueva forma no solo de integrar el riesgo cibernético en su apetito de riesgo global, sino de definir el nivel de riesgo cibernético que están dispuestos a aceptar en el contexto de la estrategia general de la empresa.

Las organizaciones se esfuerzan por mejorar su rendimiento pero muchos de los movimientos fundamentales que realizan los exponen a nuevos riesgos cibernéticos. Dado que no pueden dar marcha atrás en la globalización, la subcontratación, la ampliación de sus redes de terceros o el salto a la nube, necesitarán revisar su forma de evaluar el riesgo. El informe, titulado “Cyber Risk Appetite: Defining and Understanding Risk in the Modern Enterprise”, revela que las organizaciones necesitan un proceso sistemático para definir y clasificar de forma global las fuentes de riesgo cibernético, una nueva forma de identificar los principales colaboradores y propietarios de los riesgos, y una nueva forma para calcular el apetito de riesgo cibernético.

En primer lugar, las organizaciones tienen que redefinir el término “riesgo cibernético”. El término va más allá de ataques planificados contra sistemas de información. Mientras que los ataques son una parte importante de la ecuación, el riesgo cibernético abarca una gama más amplia de las situaciones que conducen a potenciales pérdidas o daños relacionados con la infraestructura técnica del uso de la tecnología dentro de una organización.

El documento ofrece un marco práctico para inventariar y clasificar los riesgos cibernéticos desde diferentes perspectivas. El riesgo cibernético podría ser el resultado de ataques maliciosos deliberados, tales como un hacker que ejecute un ataque con el objetivo de poner en peligro información confidencial. También podrían ser no intencionados, tales como un error del usuario que deja un sistema no disponible temporalmente. Los eventos de riesgo pueden provenir de fuentes externas a la organización, tales como ciberdelincuentes o partners de la cadena de suministro, o de elementos dentro de la organización como empleados o contratistas.

Para evaluar de forma eficaz su apetito de riesgo cibernético, el informe recomienda que las organizaciones hagan un inventario exhaustivo de estos riesgos, cuantifiquen su impacto potencial y establezcan prioridades. Las empresas se deben hacer las preguntas correctas, como por ejemplo qué pérdidas serían catastróficas y qué información no puede caer bajo ningún concepto en manos equivocadas o hacerse pública.

Deben establecer prioridades de los riesgos en función del impacto, situando los sistemas de funcionamiento críticos para el negocio por delante de elementos como la infraestructura básica y el ecosistema extendido (aplicaciones de gestión de la cadena de suministro y portales de partners). Establecer un orden de prioridades debe ser un proceso continuo que implique una constante evaluación y revaluación.

El informe concluye que la capacidad de una organización para cuantificar el riesgo cibernético y tomar decisiones informadas sobre su apetito de riesgo cibernético les facilitará el éxito. Algunos de los costes pueden ser fácilmente cuantificados: costes que incluyen multas, honorarios legales, pérdida de productividad y respuesta a incidentes. Otros costes pueden ser más difíciles de determinar, como una imagen de marca depreciada, y la pérdida de la propiedad intelectual. Las organizaciones necesitan desarrollar la capacidad de demostrar que las inversiones que están realizando se alinean con los riesgos a los que enfrentan.

David Walter, RSA GM, GRC Global, entiende que “el riesgo cibernético es un problema muy importante en las organizaciones en cuanto a riesgo de negocio, regulación y tecnología. Para hacer frente con eficacia a estos riesgos, los responsables de la toma de decisiones deben entender los apetitos de riesgo cibernético de sus organizaciones; lograr un equilibrio entre la naturaleza y la magnitud de los riesgos frente a los beneficios significaría un cambio estratégico. Entonces podrían tomar decisiones más informadas“.

¿Qué te ha parecido este artículo?

La tua opinione è importante per noi!

C
Redacción Computing

Artículos relacionados

Artículo 1 de 4