Aunque la ciberseguridad ya es una preocupación importante para las empresas de todas las formas y tamaños, puede volverse aún más problemática si se resuelve de forma aislada y no se considera en el contexto de la gestión del riesgo empresarial.

El problema de la ciberseguridad

Los incidentes cibernéticos son sin duda un gran riesgo para las empresas hoy en día. Si lees cualquier informe sobre «Los principales riesgos para las empresas», es más que probable que los incidentes cibernéticos aparezcan. Por ejemplo, según el Informe del Barómetro de Riesgos de Allianz para 2018el 40% de los encuestados citaron los incidentes cibernéticos como su principal riesgo, lo que lo convierte en el segundo riesgo más preocupante de la lista, justo por detrás de la continuidad empresarial. Y esto es sólo un informe muy conocido del sector. Puedes encontrar resultados similares en el informe Perspectivas ejecutivas sobre los principales riesgos 2018coeditado por Protiviti y la Iniciativa de ERM de la Universidad Estatal de Carolina del Norte, y en la Encuesta anual de Percepción de los Riesgos Mundiales 2018 del Foro Económico Mundial del Foro Económico Mundial. La ciberseguridad se pone continuamente de relieve porque los ciberataques y las violaciones de datos están aumentando, junto con los costes asociados a estos sucesos. De hecho, los incidentes cibernéticos dirigidos a empresas casi se duplicaron, pasando de 82.000 en 2016 a 159.700 en 2017, según el Informe sobre Tendencias de Incidentes Cibernéticos y Brechaspublicado en enero por Online Trust Alliance. Los costes estimados asociados a los incidentes cibernéticos varían mucho, pero un informe de 2017 de Lloyds of London, elaborado conjuntamente con la empresa de modelización de riesgos Cyence, estima que un gran ciberataque mundial podría desencadenar pérdidas económicas de 53.000 millones de dólares. En la actualidad, la brecha de Equifax Inc., que comprometió los datos personales de 147 millones de clientes en 2017, podría ser la brecha más cara de la historia. La oficina de información crediticia registró 164 millones de dólares en costes antes de impuestos durante el segundo semestre de 2017, y se supone que los costes relacionados con la filtración aumentarán en otros 275 millones de dólares este año, lo que sitúa los costes totales en 439 millones de dólares, según una convocatoria de resultados de Equifax en marzo.

La ciberseguridad es A problema, no EL Problema

Teniendo en cuenta la creciente frecuencia y el aumento de los costes de los incidentes cibernéticos, parece que son un problema enorme. Y lo son. Pero no son el único problema. Al igual que todos los riesgos emergentes que vinieron antes de la cibernética, y todos los riesgos emergentes que vendrán después de la cibernética, los incidentes cibernéticos no son aislados. Por tanto, si intentas resolver los ciberriesgos en el vacío, en realidad expondrás a tu organización a toda una serie de otros riesgos. Por eso gestión del riesgo empresarial como parte de tu gestión integrada de riesgos es tan importante. La Gestión Integrada de Riesgos requiere que una organización mire a través de sus muchos departamentos y sus muchos retos empresariales, y comprenda cómo se conectan todos ellos. No se trata sólo de encontrar todos los riesgos de una organización y resolverlos por separado. En lugar de eso, se trata de indagar realmente para ver cómo determinados riesgos y determinadas soluciones podrían afectar al siguiente riesgo, al siguiente departamento del pasillo o al siguiente proceso empresarial. Incluso por sí sola, la ciberseguridad es un problema complejo, impulsado por otros múltiples retos como el creciente número de adversarios que quieren penetrar en la red de cualquier organización, la sobrecarga de aplicaciones dentro de las organizaciones y la galopante escasez de personal informático. Debido a esta complejidad, el Instituto Nacional de Normas y Tecnología elaboró un marco de ciberseguridad que las organizaciones pueden adoptar voluntariamente, y que consiste en normas, directrices y buenas prácticas para gestionar los riesgos relacionados con la ciberseguridad. Su objetivo es proteger a las empresas y hacerlas más resistentes tras un incidente cibernético. Sin embargo, si entretejer la ciberseguridad en tu ERM o programa de gestión integrada de riesgos suena como un ejercicio que da vueltas a la cabeza, o si adoptar el marco de ciberseguridad del NIST suena igual de desalentador, no tiene por qué ser así. Invertir en la tecnología de gestión de riesgos adecuada puede ayudarte.

La Gestión Integrada de Riesgos es la Respuesta

Ante todo, la tecnología de gestión de riesgos adecuada servirá como solución integrada de gestión de riesgos que abarque diversos departamentos y retos empresariales, con el objetivo de ser una única fuente de verdad en toda la empresa. La tecnología de gestión de riesgos integrada basada en la nube, en concreto, puede hacer aflorar tu información de riesgos relevante -desde cualquier lugar de tu organización donde se oculte-, analizarla, conectarla con otros datos internos y externos, y normalizarla de forma segura en la nube. Todo esto te permitirá responder fácilmente a preguntas empresariales críticas y centrar tu atención donde más se necesita, ayudando en última instancia a tu organización a ejecutar la ERM. Pero más allá de ayudarte a cumplir objetivos de ERM más elevados, esta tecnología también puede ayudarte con el esfuerzo más centrado en reducir el número de aplicaciones digitales que utiliza tu organización, lo que en realidad puede mejorar la seguridad. De hecho, la tecnología integrada de gestión de riesgos a menudo puede sustituir a las siguientes soluciones (y más) que son ofertas singulares de algunos proveedores:

  1. Análisis de Inteligencia Empresarial
  2. Sistemas de gestión de riesgos empresariales
  3. Interno y Sistemas de auditoría operativa
  4. Sistemas de gestión de la salud y la seguridad
  5. Sistemas de gestión de riesgos de proveedores
  6. Sistemas de Continuidad de Negocio

Menos tiempo dedicado a gestionar múltiples aplicaciones puede crear una enorme eficiencia para el departamento de TI, y permitir dedicar más tiempo a la ciberseguridad. Además, menos aplicaciones significan probablemente menos riesgo de que una o varias de esas aplicaciones provoquen una infracción o incumplan la normativa. Y, hablando de cumplimiento, la tecnología adecuada de gestión de riesgos también puede sustituir a Sistemas de gestión del cumplimiento y la normativa-ayudándote a cumplir todos los requisitos que estés obligado a cumplir o que hayas instituido voluntariamente, incluso los relacionados con la ciberseguridad. La tecnología permite una supervisión coherente, actualizaciones automáticas y amplios informes para que puedas identificar y controlar toda la gama de estos requisitos.

En conclusión

A pesar de las ventajas de la capacidad de la tecnología de gestión integrada de riesgos para aliviar los problemas de cumplimiento, ya sea de la ciberseguridad o de cualquier otra cosa, es importante recordar que eso es sólo la punta del iceberg en cuanto a lo que puede hacer la tecnología. Es sólo una pequeña pieza del rompecabezas… igual que los ciberriesgos son una pequeña pieza del rompecabezas de la gestión de riesgos. A medida que las organizaciones intentan adelantarse a los riesgos e incidentes cibernéticos, es importante que no se queden atrás en la evaluación y el tratamiento de otros riesgos emergentes. Con la mentalidad y la tecnología adecuadas, es más fácil adoptar un enfoque holístico del riesgo y abordar eficazmente varios riesgos a la vez para mejorar la seguridad.