«La Gestión de Riesgos Cibernéticos debe ser una prioridad en la agenda de todo gerente y debemos velar por actuar coordinadamente.»
En la medida que estamos expuestos a más comunicación e información nos enteramos de nuevos temas que a primera vista consideramos que son especializados y creemos que no competen a la dirección general de una empresa. Ya en este momento hay una preocupación porque el término transformación digital empieza a aparecer saturado y todas las actividades empresariales buscan asociarse a este, quizás buscando una vigencia y una actualización a sus conceptos tradicionales. Pero lo que nadie puede rebatir en este momento es que las circunstancias nos han obligado a estar más conectados virtualmente y a depender más de la tecnología para lograr los objetivos de nuestras empresas.
Hay que tener cuidado en no confundir los términos y el hecho que trabajemos de manera remota no necesariamente significa que seamos unos tele-trabajadores. La mayoría de las empresas estamos utilizado herramientas que nos permiten trabajar así, tener vídeo conferencias y compartir información, pero aún son pocas las que cuentan con sistemas de trabajo integrales y han apropiado una cultura real de trabajadores remotos. Esto implicará construir documentos de forma colaborativa, integrar los diferentes medios de comunicación y tener una trazabilidad real de lo que cada uno hace.
En medio de nuestra nueva realidad aparece otro de estos términos que empieza a ser muy relevante: la ciberseguridad. Los datos son nuestro principal activo y en la medida que utilizamos más medios para trasportarlos estamos más expuestos.
Internet ha representado una verdadera revolución económica y en la medida que aumentamos su utilización crece nuestra dependencia por la información que allí se mueve. Eso es algo que todos entendemos incluidos los delincuentes. Ya la criminalidad cibernética es catalogada como una industria y hay muchas personas e incluso empresas que lo desarrollan como una actividad permanente por su alta rentabilidad. Esto nos tiene que hacer pensar que todos estamos expuestos a posibles intentos de apropiarse de nuestra información o como comúnmente se denominan ataques cibernéticos.
La pandemia mundial y nuestras nuevas condiciones de trabajo han evidenciado esta realidad y vemos como todos los días nos llegan correos sospechosos de personas desconocidas que nos ofrecen muchos temas que parecen formales e interesantes pero que pueden estar siendo la puerta de entrada para una invasión a nuestros sistemas y nuestra información. Las estadísticas de los centros de monitoreo muestran que los ciberataques han crecido de manera exponencial en los últimos meses y aunque la cultura de reporte no es tan elevada se sabe que los casos en los que los delincuentes han logrado su objetivo, es igualmente muy alta.
En el mercado encontramos muchas iniciativas que se pueden considerar aisladas, para ayudarnos a actuar frente a estos riesgos evidentes. Desde la implementación de herramientas como antivirus, administración de contraseñas, canales dedicados de comunicación o ayudas más sofisticadas que aplican a grandes organizaciones hasta soluciones como charlas, capacitaciones o pólizas de seguros entre otras. Cuando tenemos una alta exposición a riesgos sabemos que lo que se debe hacer es abordar el problema de forma integral.
Aunque en mi opinión muchos de los estándares de calidad internacional pueden resultar un poco rígidos y no siempre aplicables al común de las empresas, sí reconozco que tienen una aproximación formal y rigurosa a las realidades empresariales. Es así como en la norma ISO 31.000 encontramos los lineamientos generales de una adecuada Gestión de Riesgos. Parámetros aplicables a diferentes situaciones de exposición y con una metodología simple para mitigar el impacto que estos riesgos pueden tener en la actividad productiva.
Por lo tanto, nuestra recomendación para protegerse ante los riesgos cibernéticos que nos inundan cada vez más es implementar una política integral de gestión de riesgos cibernéticos en la empresa. ¿Pero, en qué consiste esta? Vamos a describir unos elementos muy elementales para iniciar los trabajos basados en los conceptos básicos de gestión de riesgos: Integrar, diseñar, Identificar, analizar, evaluar y tratar.
Todos estos de la mano con acciones de medición y la comunicación. Sin pretender que esta sea una reseña técnica ni de capacitación sí es importante mencionar que cada una de estas fases tiene un contenido profundo que se debe conocer, pero que en acá esbozamos de la siguiente manera.
Le puede interesar: Disrupción al Derecho
Integrar
La integración se refiere a la importancia de articular nuestro programa con la planeación estratégica de la compañía y que haga parte de un programa continuo y administrado por los directivos.
Diseñar
Con relación al diseño debemos pensar que sea un programa que llegue a todos los empleados y que pueda tener indicadores de medición lógicos y viables de generar. Como se hablará de un concepto que puede ser relativamente abstracto como los datos es necesario delimitar el alcance del programa.
Identificar
Identificación de riesgos se va a centrar en categorizar la información que administramos en la organización para saber cuál es la realmente relevante, comúnmente llamada en la industria como la “joya de la corona”. ¿Qué le pasa a mi negocio si pierdo algo de esa información? ¿Qué tanto tiempo nos vamos a demorar en recuperar esa información?
Analizar
El análisis de los riesgos se centra en detallar las condiciones de exposición y las implicaciones que tiene cada una de las afectaciones. Por ejemplo, qué tanto afecta a mis clientes, a los entes regulatorios o a terceros. ¿En qué casos pueden ocurrir los problemas y qué medidas de contingencia tenemos? ¿Cuáles son los riesgos inherentes a mi actividad? es decir aquellos en los que tenemos un nivel de riesgo mayor por el desarrollo de la misma.
Evaluar
La evaluación entra ya en un campo un poco más específico cuando se trata de información y es la acción de cuantificar su impacto. Esto implica valorar cada una de las categorías de riesgos lo cual supone que tenemos un sistema de costeo bien desarrollado en nuestra empresa.
Tratar
Por último, están las acciones de tratamiento del riesgo donde definimos cuales son las herramientas y medidas que vamos a implementar para mitigar nuestros riesgos con un análisis de costo beneficio que no afecte nuestro negocio.
Siguiendo estos pasos podemos dar inicio a un programa básico de gestión de riesgos enfocados en la ciberseguridad. Pero es de resaltar que las estadísticas y las observaciones mundiales evidencian que los principales riesgos están centrados en dos factores. EL primero son las personas y el segundo son los terceros con los que interactúa nuestra empresa. Aunque tengamos muchas políticas, medidas y controles una falla en el comportamiento humano es muy difícil de controlar si no hay una conciencia y se actúa de forma ligera.
La seguridad informática es una responsabilidad de todos los empleados y más ahora que en el trabajo desde nuestras casas mezclamos actividades laborales con las personales desde los mismos sistemas de información, y por último los terceros, pues en muchos casos tomamos medidas y acciones para protegernos de los riesgos cibernéticos pero les damos accesos relativamente sencillos a los terceros para que entren a nuestra red y no verificamos qué medidas toman ellos.
La Gestión de Riesgos Cibernéticos debe ser una prioridad en la agenda de todo gerente y debemos velar por actuar coordinadamente. Es necesario involucrar a todos los empleados y velar porque sea un programa continuo que sea evaluado periódicamente por la alta dirección para así lograr una verdadera apropiación del mismo.
Lea también: Gobierno Digital: Covid19, Transformación Digital y Social