GRC 101: ¿Qué es el Riesgo Cibernético?

BY admin
|

El riesgo cibernético es el riesgo empresarial y la prioridad organizacional de más rápido crecimiento en la actualidad. Según la Encuesta de Percepción de Riesgo Global de 2019, el riesgo cibernético fue clasificado como una de las 5 prioridades principales por el 79% de las organizaciones globales.

El crecimiento del riesgo cibernético está en gran parte vinculado al creciente uso de la tecnología como motor de valor. Las iniciativas estratégicas, como la subcontratación, el uso de proveedores externos, la migración a la nube, las tecnologías móviles y el acceso remoto, se utilizan para impulsar el crecimiento y mejorar la eficiencia, pero también para aumentar la exposición al riesgo cibernético. El riesgo cibernético ha evolucionado de un problema tecnológico a un problema organizacional. En resumen, el riesgo cibernético es un problema de todos.

Un factor agravante aquí es que en las últimas dos décadas, el delito cibernético ha crecido exponencialmente. Según el IC3, el mecanismo de denuncia de delitos cibernéticos del FBI, los daños monetarios por delitos cibernéticos reportados ascendieron a 3 3.5 mil millones en 2019, mientras que las empresas de Ciberseguridad proyectan que los costos globales del delito cibernético se duplicarán a 6 billones de dólares en 2021, frente a los 3 billones de dólares en 2015.

Definición de Riesgo cibernético

El riesgo cibernético, o riesgo de ciberseguridad, es la exposición potencial a pérdidas o daños derivados de los sistemas de información o comunicaciones de una organización. Los ataques cibernéticos, o violaciones de datos, son dos ejemplos de riesgo cibernético que se reportan con frecuencia. Sin embargo, el riesgo de ciberseguridad se extiende más allá del daño y la destrucción de datos o la pérdida monetaria y abarca el robo de propiedad intelectual, las pérdidas de productividad y el daño a la reputación.

Ejemplos de riesgo cibernético

El riesgo cibernético puede ser enfrentado por cualquier organización y puede provenir de dentro de la organización (riesgo interno) o de partes externas (riesgo externo). Los riesgos internos y externos pueden ser maliciosos o no intencionales.

Los riesgos internos se derivan de las acciones de los empleados dentro de la organización. Un ejemplo de riesgo cibernético interno malicioso sería el sabotaje de sistemas o el robo de datos por parte de un empleado descontento. Un ejemplo de riesgo interno involuntario sería un empleado que no instaló un parche de seguridad en un software desactualizado.

Los riesgos externos provienen de fuera de la organización y de sus grupos de interés. Un ataque malicioso externo podría ser una filtración de datos por parte de un tercero, un ataque de denegación de servicio o la instalación de un virus. Un ataque externo involuntario generalmente proviene de socios o terceros que están fuera pero están relacionados con la organización, un proveedor cuyos sistemas de interrupción resultan en una interrupción operativa para su propia organización.

Impacto del Riesgo cibernético

Según Deloitte Advisory Cyber Risk Services, » El riesgo cibernético es un problema que existe en la intersección del riesgo empresarial, la regulación y la tecnología.»En su encuesta Future of Cyber de 2019,
Deloitte descubrió que el impacto de los incidentes de seguridad variaba desde los costos monetarios reales, incluidas las pérdidas financieras debido a interrupciones operativas y multas regulatorias, hasta los costos intangibles, incluida la pérdida de confianza del cliente, la pérdida de reputación o un cambio en el liderazgo.

Los riesgos de ciberseguridad pueden provocar pérdidas cuantitativas e impactos cualitativos. Los costos realizados pueden incluir la pérdida de ingresos debido a interrupciones en la productividad u operaciones, gastos de mitigación y remediación de incidentes, honorarios legales o incluso multas. Los impactos menos tangibles de los incidentes de ciberseguridad, que son difíciles de cuantificar y, por lo general, tardan más en rectificarse, incluyen pérdida de buena voluntad, disminución de la reputación de la marca o debilitamiento de la posición en el mercado.

Gestión del riesgo cibernético

El riesgo cibernético tiene el potencial de afectar todos los aspectos de una organización, incluidos sus clientes, empleados, socios, proveedores, activos y reputación.

Como tal, un programa eficaz de gestión de riesgos cibernéticos involucra a toda la organización. Aunque el equipo de TI o Infosec pueden, en última instancia, poseer la gestión de riesgos de ciberseguridad, el riesgo cibernético está disperso en toda la organización, lo que requiere un enfoque integrado y la colaboración entre divisiones para administrar y mitigar la exposición de manera efectiva.

A continuación se muestran 4 pasos clave que su organización puede tomar para implementar una estrategia sólida de gestión de riesgos cibernéticos.

  1. Comprender su perfil de riesgo: Comprender su perfil de riesgo y la exposición potencial requiere una evaluación de amenazas en toda la empresa.
    • Identifique los riesgos empresariales críticos para determinar las aplicaciones, sistemas, bases de datos y procesos sujetos al riesgo cibernético. Considere la variedad de amenazas externas e internas, desde errores involuntarios de usuario hasta acceso de terceros y ataques maliciosos.
    • Realizar evaluaciones de riesgos con todas las partes interesadas para evaluar la probabilidad y el impacto potencial de la exposición al riesgo cibernético, incluidos los efectos interdivisionales y secundarios y las dependencias tecnológicas. Considere la exposición de terceros, ya que se han convertido cada vez más en vectores de incidentes cibernéticos, y el riesgo planteado por la expansión del perímetro tecnológico debido a los requisitos de trabajo desde el hogar.
    • Cuantifique los riesgos, incluido el posible impacto financiero, operativo, de reputación y de cumplimiento de un incidente de riesgo cibernético. Un marco de puntuación de riesgos puede ayudar a proporcionar una clasificación más holística de las amenazas.
  2. Establecer una Estrategia para Toda la Empresa: Establecer un marco estratégico para toda la empresa para la gestión de riesgos cibernéticos
    • Priorizar los riesgos mediante el empleo de un marco de medición de riesgos compartido y sistemas de informes para priorizar los riesgos de manera efectiva en toda la organización y permitir la asignación de recursos informada.
    • Considere los estándares de riesgo específicos de la industria e incorpore cualquier requisito de cumplimiento específico en su práctica de gestión de riesgos cibernéticos.
    • Establezca y comunique una estrategia de gestión de riesgos cibernéticos y de TI para toda la empresa. La infraestructura tecnológica y el uso de aplicaciones son fundamentales en todas las organizaciones. Por lo tanto, la exposición al riesgo cibernético puede ocurrir en cualquier división, por lo que es una prioridad de la organización, en lugar de una de TI.
  3. Invierta en Infraestructura de Gestión de Riesgos Cibernéticos
    • Evalúe los requisitos del sistema para comprender dónde se originan las amenazas cibernéticas de la organización y proporcione una guía para los tipos de sistemas requeridos. Una organización distribuida y basada en la nube tendrá necesidades diferentes a las de una organización con uso intensivo de activos físicos. Considere cómo opera actualmente su empresa para asegurarse de que una plataforma de GRC se adapte a las necesidades cambiantes.
    • La inversión potencial en software GRC u otras herramientas de gestión de riesgos cibernéticos también debe tener en cuenta los requisitos de notificación de riesgos y gestión de incidentes, los flujos de trabajo, la facilidad de uso, la flexibilidad y la capacidad de expansión futura.
  4. Establecer un Proceso Dinámico de Gestión del Riesgo Cibernético
    • Establecer una supervisión sólida mediante el mantenimiento de un inventario actualizado de las amenazas potenciales y la cuantificación dinámica del impacto potencial y los costos de mitigación de los incidentes cibernéticos.
    • Comuníquese con terceros para garantizar que sus protocolos de seguridad se ajusten a los estándares y prácticas de la organización.
    • Invierta en capacitación: con la rápida evolución de la tecnología y los riesgos de ciberseguridad relacionados, la gestión de riesgos cibernéticos no es una solución estática, marque la casilla. Las organizaciones pueden gastar grandes sumas en infraestructura de seguridad de última generación, pero un programa de gestión de riesgos cibernéticos verdaderamente eficaz requiere una capacitación efectiva de las partes interesadas.

Solución de Gestión de Riesgos de TI de LogicGate

A medida que explota la escala y el alcance del riesgo cibernético, ¿cómo puede su organización evaluar, cuantificar, administrar y mitigar con precisión el riesgo de ciberseguridad? La gestión de riesgos de ciberseguridad requiere una plataforma sólida que permita la participación en toda la empresa y la gestión eficaz de los riesgos.

Establecer una cultura de conciencia del riesgo cibernético es más fácil con una interfaz personalizada y flexible. El Software de Gestión de Riesgos de Seguridad de TI de LogicGate proporciona las herramientas compartidas que necesita para comunicar el marco de riesgos de su empresa, proteger sus activos de información y cumplir con los estándares de la industria, para que pueda mantener la reputación de su organización y proteger a su empresa, empleados, clientes y clientes.