La ciberseguridad es tarea de todos

Los riesgos cibernéticos no pueden ser combatidos sólo por el departamento de TI, sobre todo si se les hacen peticiones ajenas a las iniciativas de ciberseguridad. Del mismo modo, la tecnología que sirve a fines singulares puede crear más perjuicios que beneficios. Dado que la tecnología de gestión de riesgos está comprometida con los riesgos de toda la empresa, puede servir como solución para toda la empresa, aunque los retos empresariales que haya que resolver, como los de TI, no estén necesariamente dentro del ámbito tradicional de la gestión de riesgos. La creciente preocupación por la ciberseguridad hace que los departamentos de TI trabajen más que nunca. Por ejemplo, el ransomware -programa malicioso que codifica los datos y pide un rescate para descifrarlos- aumentó un 6.000% en 2016, según un estudio de estudio de IBM publicado a finales del año pasado.

Estas estadísticas ponen de manifiesto una carga real para los ya sobrecargados departamentos de TI. No sólo están ocupados luchando contra virus, hackers, ransomware y similares, sino que siguen cargados con las responsabilidades cotidianas que siempre han recaído en TI.

Durante el tercer trimestre de 2017, la Asociación Nacional de Comisionados de Seguros adoptó la Ley Modelo de Seguridad de Datos de Seguros. La ley modelo, que no es jurídicamente vinculante como una ley promulgada, sirve de «marco a partir del cual los reguladores de seguros de cada estado pueden crear sus propias normas de ciberseguridad», según el artículo de Property and Casualty 360, «5 cosas que debes saber sobre la nueva ley modelo de seguridad de datos de la NAIC«. Property Casualty 360 dice que las cinco cosas que todo el mundo debe saber sobre la ley modelo son:

  1. El panorama del ciberriesgo está evolucionando.
  2. Los requisitos de ciberseguridad del estado de Nueva York para las empresas financieras influyeron en la ley modelo de la NAIC.
  3. La ley modelo de la NAIC es diferente de una ley promulgada.
  4. Las empresas de seguros deben prescribir prácticas específicas de ciberseguridad.
  5. Se espera que los consejos de administración de las empresas tomen la iniciativa en materia de ciberseguridad.

Si buscas eficiencias en tus propios departamentos de gestión de riesgos o afines, concretamente invirtiendo en software o tecnología, quizá quieras considerar y luego transmitir cómo podría ayudar esa inversión a tu sobrecargado personal informático, tanto desde el punto de vista de la seguridad como de la eficiencia.

En otras palabras, ayúdales a ayudarte.

Cómo combatir 3 grandes retos informáticos

Teniendo en cuenta que la ciberseguridad es uno de los principales riesgos para las organizaciones hoy en día, la tecnología de gestión integrada de riesgos es una herramienta natural para ayudar a combatirla, aunque no esté directamente dirigida a los usuarios de TI. He aquí tres retos informáticos que la tecnología de gestión integrada de riesgos puede ayudar a resolver:

1. Seguridad

Ya sabemos que proteger los datos organizativos se ha convertido en una función crítica de departamentos de informática. En consecuencia, quieren soluciones con seguridad integral. The right risk management technology will automatically include the following controls, (just to name a few):

  • Políticas de contraseñas que pueden definirse para ajustarse a las normas del cliente, incluidos los tiempos de espera, la longitud y la seguridad de la contraseña
  • Funciones de seguridad definidas/asignadas por el cliente para los usuarios -hasta el nivel de campo- para impedir el acceso no autorizado a cualquier parte de tu sistema, incluidos objetos, informes, diseños de página y vistas, y campos específicos.
  • Protección de servidores en instalaciones de centros de datos de primer nivel con controles de acceso físico adecuados
  • Cortafuegos con perímetros estrictamente controlados, sistemas de detección de intrusos y supervisión proactiva de registros
  • Servicios de validación de terceros que atestigüen la naturaleza segura del software

2. Conformidad

Cumplimiento informático es un conjunto especializado de actividades para garantizar que una organización cumple los requisitos de las obligaciones contractuales y las normativas informáticas impuestas por el gobierno para la protección de los activos y procesos de datos. El incumplimiento de esta función puede acarrear multas y sanciones contractuales sustanciales, así como la pérdida de negocio.

Permitir que tu departamento de TI se centre en iniciativas de ciberseguridad requiere, por supuesto, una tecnología segura que cumpla las normas más exigentes. normas más estrictas impuestas tanto por los organismos internos como por los reguladores.

Sin embargo, puedes contribuir aún más a la misión crítica de tu departamento informático de proteger el entorno digital de tu organización introduciéndole soluciones que hagan que el departamento sea más eficiente, liberando a los profesionales para que se centren más en la ciberseguridad y menos en los quebraderos de cabeza administrativos asociados a la gestión de los riesgos de cumplimiento.

Algunas características de la tecnología de gestión de riesgos que los informáticos podrían apreciar son una pista de auditoría completa de toda la actividad de cumplimiento, incluidos los atestados; un registro un registro limitado de activos con relaciones utilizadas para definir la ubicación, posesión, configuración, software, etc.; soluciones totalmente configurables según los requisitos de tu organización; e informes que permitan identificar rápidamente todas las instancias de cualquier tipo de activo.

3. Sobrecarga de la aplicación

Igual que A los departamentos de TI no les faltan retos, como tampoco les faltan aplicaciones tecnológicas que mantener. De hecho, a menudo se ven ralentizados por la proliferación de aplicaciones con las que funcionan sus empresas hoy en día.

Los departamentos de TI dedican una enorme cantidad de tiempo a actualizar o modificar las aplicaciones de sus organizaciones para conseguir que funcionen, y mucho menos que trabajen juntas para obtener el máximo beneficio.

Por eso, invertir en soluciones que realmente puedan consolidar o reducir la cantidad de aplicaciones que se utilizan, especialmente en servidores internos, puede crear una enorme eficiencia para el departamento de TI y, de hecho, reducir los riesgos de seguridad.

Menos tiempo dedicado a gestionar múltiples aplicaciones podría significar más tiempo dedicado a la ciberseguridad. Además, menos aplicaciones significan probablemente menos riesgo de que una o varias de esas aplicaciones provoquen una infracción o incumplan la normativa.

La tecnología integrada de gestión de riesgos está diseñada para abarcar una gran variedad de departamentos y retos empresariales, con el objetivo de ser una única fuente de verdad en toda la empresa.

Por tanto, es un candidato ideal para sustituir a toda una serie de aplicaciones, desde los sistemas de gestión de riesgos empresariales y los sistemas de gestión de la salud y la seguridad, hasta los sistemas de gestión de riesgos de proveedores y los sistemas de gestión del cumplimiento y la normativa.

La tecnología de gestión de riesgos, por su propia naturaleza, está hecha para abarcar una gran variedad de departamentos y retos empresariales. Al igual que el riesgo organizativo es amplio, también lo son las soluciones que alberga un sistema de información de gestión de riesgos. De hecho, la tecnología de gestión de riesgos a menudo puede sustituir a las siguientes soluciones (y más) que son ofertas singulares de algunos proveedores:

  1. Análisis de Inteligencia Empresarial
  2. Sistemas de gestión de riesgos empresariales
  3. Sistemas de auditoríainterna y operativa
  4. Sistemas de gestión de la salud y la seguridad
  5. Sistemas de Gestión de Cumplimiento y Normativa
  6. Sistemas de gestión de riesgos de proveedores
  7. Sistemas de Continuidad de Negocio

Esto, por supuesto, llega al núcleo de ayudar a las TI a ser más eficientes y, en efecto, más seguras.

La violación de datos, principal riesgo para las empresas

Equifax, una agencia estadounidense de informes de crédito de los consumidores, anunció el incidente de ciberseguridad a finales de la semana pasada, provocando una caída de las acciones de hasta el 14%. Según el anuncio, los delincuentes se aprovecharon de una vulnerabilidad de la aplicación de un sitio web estadounidense para acceder a la información, incluidos nombres, números de la Seguridad Social, fechas de nacimiento, direcciones y, en algunos casos, números del carné de conducir y de la tarjeta de crédito. Y aunque Equifax es único en el sentido de que todo su modelo de negocio se basa esencialmente en datos de clientes altamente sensibles, la mayoría de las empresas tienen almacenados datos de este tipo sobre clientes o empleados, especialmente cuando se trata de datos de seguros personales y reclamaciones, gran parte de los cuales reflejan la información confiscada en la filtración de Equifax. Esto significa esencialmente que ninguna empresa puede ser demasiado precavida. La ciberseguridad se considera sistemáticamente uno de los principales riesgos para las empresas, y se calcula que la ciberdelincuencia cuesta a la economía mundial 445.000 millones de dólares al año, según un informe del Centro de Estudios Estratégicos e Internacionales titulado «Pérdidas netas: Estimación del coste global de la ciberdelincuencia». En este desafortunado entorno en el que los ciberataques son aparentemente acontecimientos de «cuando» más que de «si», las organizaciones buscan obviamente formas de minimizar el impacto de una brecha de ciberseguridad en sus negocios. Naturalmente, las empresas piensan en recurrir a los seguros para que les ayuden a reducir los daños potenciales, pero conseguir pólizas de ciberresponsabilidad no es tarea sencilla porque las aseguradoras se esfuerzan por suscribir con precisión estos riesgos, según información de la Asociación Nacional de Comisionados de Seguros (NAIC). Dicho esto, las empresas necesitan normas y procesos para reducir los ciberriesgos y los daños asociados, tanto a efectos de mitigación de riesgos como de elegibilidad para el seguro de ciberresponsabilidad. Según la NAIC, es probable que las aseguradoras quieran acceder a los planes de respuesta ante catástrofes de las empresas para poder evaluar su gestión del riesgo de redes, sitios web, activos físicos y propiedad intelectual; detalles sobre cómo pueden acceder los empleados y otras personas a los sistemas de datos; e información sobre el software antivirus y antimalware, la frecuencia de las actualizaciones y el funcionamiento de los cortafuegos.

4 preguntas a los proveedores sobre ciberseguridad

La tecnología de gestión de riesgos adecuada puede, de hecho, ayudar con varias piezas del rompecabezas de la ciberseguridad al que se enfrentan las empresas hoy en día, en particular, aliviando la carga de tu departamento informático y mejorando tus procesos de respuesta ante catástrofes. Por ejemplo, una tecnología de gestión de riesgos verdaderamente integrada puede sustituir a innumerables aplicaciones (desde soluciones de gestión de riesgos empresariales y de la ley Sarbanes-Oxley, a soluciones de gestión de siniestros y de cumplimiento y gestión normativa, pasando por soluciones de gestión de la salud y la seguridad). Con menos aplicaciones o sistemas que gestionar, y menos carga para tu servidor interno, tu departamento informático podría tener más tiempo para centrarse en esfuerzos de ciberseguridad más amplios y de mayor impacto. En realidad, esto es sólo la punta del iceberg de lo que la tecnología de gestión de riesgos puede hacer por tu departamento informático y la ciberseguridad. En cuanto a los planes de recuperación ante desastres, la tecnología de gestión de riesgos puede automatizar todo el proceso de respuesta ante desastres: Si se produce una brecha de ciberseguridad, el sistema puede poner en marcha automáticamente el plan de respuesta ante catástrofes, alertando a las partes interesadas del suceso y de los siguientes pasos que deben dar las personas responsables. Un enfoque bien engrasado y oportuno no sólo ayudará probablemente a gestionar la reputación en tales situaciones, sino que también podría ayudar a cumplir la normativa, ya que cada vez hay más requisitos a nivel mundial sobre cómo deben gestionarse los datos y las posteriores violaciones. La tecnología de gestión de riesgos sirve para ayudar a las organizaciones con la amplia gama de riesgos a los que se enfrentan sus negocios hoy en día, incluida la ciberseguridad. La ciberseguridad es una cuestión que las organizaciones no pueden tomarse a la ligera, ni internamente ni con sus proveedores. La ciberdelincuencia cuesta a la economía mundial unos 445.000 millones de dólares anuales, según un informe del Centro de Estudios Estratégicos e Internacionales titulado «Pérdidas netas: Estimación del coste global de la ciberdelincuencia». Independientemente del tipo de tecnología que despliegues en tu empresa y de su función prevista -ya sea para gestionar riesgos, contenidos, clientes, etc.-, tienes que asegurarte de que es segura y de que el proveedor de tecnología de apoyo cuenta con los mejores procedimientos de ciberseguridad de su clase. He aquí cuatro preguntas que debes hacer a cualquier proveedor de tecnología que te proporcione software como servicio o maneje tus datos, para asegurarte de que minimiza los riesgos de ciberseguridad para tu empresa:

  1. ¿Está certificada la seguridad de los datos de tu empresa (es decir, SSAE-16 Tipo 1 y Tipo 2, SOC-2, etc.)?
  2. ¿Qué hace tu empresa, más allá de la certificación, para estar preparada ante las nuevas amenazas?
  3. ¿Tiene tu empresa equipos de respuesta de ciberseguridad?
  4. ¿Tu empresa o tus socios tienen su propia cobertura de seguro de ciberseguridad?

Estas preguntas son ciertamente pertinentes a la hora de relacionarse con proveedores de tecnología de gestión de riesgos, ya que los datos sobre riesgos, seguros y siniestros pueden ser muy sensibles.

Cómo elegir las soluciones adecuadas

¿Cómo te abres paso entre tanto bombo y platillo e invertir en las soluciones que, en última instancia, marcarán la mayor diferencia en toda la organización -incluida la gestión de riesgos-, de modo que el departamento de riesgos, el de TI, el de compras y la dirección de la empresa sientan que están sacando el máximo partido a su dinero? El ciclo Gartner Hype para la gestión de riesgos1 describe los servicios relacionados, plataformas de software, aplicaciones, métodos y herramientas que las organizaciones pueden utilizar para desarrollar programas para resistir los eventos de riesgo o aprovechar las oportunidades relacionadas con el riesgo».

A continuación, las organizaciones pueden determinar si les conviene adoptar la tecnología desde el principio, adoptar un enfoque más moderado o esperar a que la tecnología esté totalmente madura antes de invertir.

Los clientes de Gartner pueden acceder al Gartner Hype Cycle 2017 para la Gestión de Riesgos aquí.

El más reciente Gartner Hype Cycle for Risk Management destaca la madurez de las soluciones y aplicaciones para categorías como gestión integrada de riesgosgestión de riesgos digitales, gestión de riesgos informáticos análisis predictivo, gestión integral del riesgo, cumplimiento y supervisión corporativosy muchos más.

Aunque no profundiza en soluciones tecnológicas concretas de determinados proveedores, sí que enumera proveedores de muestra (incluido Riskonnect) junto con las categorías de soluciones que presenta.

Herramientas como el Gartner Hype Cycle for Risk Management pueden ayudarte en tus esfuerzos de diligencia debida.

Conocer el alcance de lo que hay disponible y saber si las soluciones están en el punto de maduración que tiene sentido para tu organización te llevará a tomar mejores decisiones y a obtener mejores resultados.

Obtén más información sobre las soluciones tecnológicas de gestión de riesgos de Riskonnect que se alinean con las soluciones del Hype Cycle de Gartner para la Gestión de Riesgos, entre las que se incluyen: gestión integrada de riesgos análisis predictivo, gestión integral de riesgos y cumplimiento y supervisión corporativos.

La tecnología de gestión de riesgos adecuada no sólo debe ser segura, sino que debe ser capaz de ayudar realmente al funcionamiento de tu programa de ciberseguridad. Por ejemplo, una tecnología de gestión de riesgos verdaderamente integrada puede liberar a tu departamento informático de la gestión de tantas aplicaciones; agilizar el proceso de recuperación ante desastres en caso de infracción; o ayudar en los esfuerzos de prevención y cumplimiento mediante el seguimiento de los requisitos de formación en ciberseguridad, junto con la finalización de la formación de los empleados.

Conclusión

En conclusión, aunque es importante investigar adecuadamente las prácticas de ciberseguridad de tus proveedores, no olvides plantear también a tus responsables internos de TI las preguntas mencionadas. Irónicamente, a menudo las organizaciones se dan cuenta de que no cumplen los mismos requisitos de seguridad de los datos que piden a sus proveedores durante los procesos de adquisición o implantación. Hoy en día, los riesgos cibernéticos están en el punto de mira de las empresas, ya que cada vez son más las que caen presas de costosas y perjudiciales filtraciones de datos. Prepárate para este riesgo -y para tantos otros- con la ayuda de la tecnología de gestión de riesgos. 1 Gartner, Hype Cycle for Risk Management, 2017, julio de 2017

Gartner no respalda a ningún vendedor, producto o servicio descrito en sus publicaciones de investigación, y no aconseja a los usuarios de tecnología que seleccionen sólo a los vendedores con las calificaciones más altas u otra designación. Las publicaciones de investigación de Gartner consisten en las opiniones de la organización de investigación de Gartner y no deben interpretarse como declaraciones de hecho. Gartner renuncia a todas las garantías, expresas o implícitas, con respecto a esta investigación, incluidas las garantías de comerciabilidad o idoneidad para un fin determinado. .