La importancia del riesgo cibernético

El mundo está atravesando por un proceso de transformación económica, social y tecnológica. Gracias a la Revolución Industrial 4.0, el mundo está cada vez más conectado y hacer negocios de una manera ágil y eficiente jamás había sido tan sencillo. Sin embargo, esta transformación también conlleva unos riesgos importantes, que no se pueden dejar de lado.

Una de las principales transformaciones de la Revolución 4.0 es la digitalización. La alta dependencia a los sistemas y tecnologías hace indispensable contar con una adecuada gestión de los riesgos cibernéticos para poder garantizar la continuidad de los negocios. El riesgo cibernético se ha convertido en una de las principales preocupaciones de las empresas en el mundo. De acuerdo con los resultados de la Encuesta de Percepción sobre el Riesgo Cibernético 2019, realizada entre Marsh y Microsoft, 76% de las empresas colombianas considera que el riesgo cibernético está entre sus cinco principales preocupaciones, contra 73% en Latinoamérica y 82% del resto del mundo.

Estos resultados demuestran que el riesgo cibernético ha pasado de ser considerado como un riesgo de tecnología a convertirse en uno de los principales riesgos estratégicos de las organizaciones, pero aún se percibe que en la mayoría de las organizaciones se sigue gestionando más, como un tema técnico y a cargo de los equipos de tecnología y, no desde la alta dirección.

Uno de los principales hallazgos de la encuesta fue que 93% de los encuestados en Colombia, manifestaron que sus inversiones en gestión del riesgo cibernético de los últimos 12 a 24 meses había sido en tecnología para proteger sus dispositivos, mientras que solo 48% de los encuestados invirtieron en la identificación de servicios externos, recursos y expertos para brindar apoyo durante un incidente cibernético. Estos resultados pueden sugerir que las compañías aún consideran que el riesgo cibernético puede ser eliminado a través de la tecnología, y no están invirtiendo en herramientas que les permitan, más allá de la identificación y protección, tener capacidades de respuesta y recuperación frente a incidentes cibernéticos.

Un paso inicial para una adecuada gestión del riesgo cibernético es validar si se han implementado las capacidades adecuadas y evaluar el nivel de madurez en términos de Ciberseguridad en la empresa. El National Institute of Standards and Technology (Nist, por sus siglas en inglés) ha desarrollado un Marco de Trabajo de Ciberseguridad muy completo que orienta a las empresas en las capacidades que deberían tener para enfrentar los retos de la seguridad cibernética, a través de las siguientes cinco funciones clave:

1. Identificar: Identificación de los activos, capa de gobierno, y prácticas de gestión de riesgo cibernético en la organización y en la cadena de suministro.
2. Proteger: Procesos, tecnología y entrenamiento al personal, para que la organización pueda hacer frente a un incidente cibernético.
3. Detectar: Equipo, herramientas y procesos de detección de amenazas.
4. Responder: Capacidades para reaccionar frente a un incidente cibernético de manera oportuna y con el menor impacto.
5. Recuperar: Procesos para la restauración de servicios afectados ante un incidente cibernético en la red, en los diferentes tiempos esperados.