:quality(75)/cloudfront-us-east-1.images.arcpublishing.com/elcomercio/7RXTPW6Y5ZFBFIRO6GZG7COSBE.jpg)
Líder de Consultoría en Ciberseguridad para Latinoamérica de Marsh Advisory
En los últimos años, alrededor del mundo, los ataques cibernéticos han ido aumentando de manera significativa. En un reciente estudio de Marsh en conjunto con Microsoft, casi tres cuartas partes de los encuestados menciona que su organización había experimentado uno o más ataques cibernéticos en el último año (aproximadamente el 75% de empresas), siendo los tipos más comunes el phishing/ingeniería social y el ataque cibernético tipo ransomware.
Ante este panorama, es necesario entender que la gestión de riesgos cibernéticos debe ser una responsabilidad compartida en la empresa. Pero, ¿cómo ven los empleados su papel en los seguros cibernéticos?
Los responsables de TI / Seguridad de la información / Ciberseguridad consideran que son los más implicados, debido a que el 90% refieren que son los que toman las decisiones o formaban parte del equipo de esta área. Por otro lado, los profesionales que pertenecen al consejo administrativo, dirección general y la presidencia, se consideran como los últimos responsables en la toma de decisiones en materia de seguros cibernéticos, seguidos de cerca por la gestión de riesgos y las finanzas. No obstante, es necesario que los líderes de las organizaciones entiendan los problemas de riesgo a los que se enfrenta la empresa, así pues, se ayuda a alinear a los responsables a tomar decisiones adecuadas y dirigir la estrategia, además de presentar un mensaje unido a otras partes interesadas, ya sean internas o externas.
Mejores prácticas para crear una gestión de riesgos cibernéticos en la empresa
La gestión de riesgos cibernéticos requiere la participación y el involucramiento de diferentes áreas de la organización. Esto incluye desarrollar los conocimientos y la concientización, además de proveer las capacidades y recursos necesarios adecuados a nivel de mitigación y transferencia de la gestión del riesgo cibernético de la organización.
En primer lugar, es importante resaltar que toda organización puede ser víctima de un ataque cibernético, para ello es importante que los líderes de la organización puedan comprometerse a tener una comunicación continua con relación a la gestión del plan, estrategia, y revisión posterior de algún tipo de incidente.
En segundo lugar, se sabe que el ransomware es una de las principales amenazas cibernéticas, pero no es la única. Para un trabajo en conjunto, los líderes de la organización deben recibir actualizaciones periódicas de las amenazas, aprobar una estrategia de respuesta a diversos escenarios, así como también participar en simulaciones de ciber-crisis. Adicionalmente, se debe conservar un plan de respuesta a incidentes cibernéticos que se tiene que revisar y analizar anualmente, además de realizar ejercicios de capacitación para apoyar a las partes interesadas a comprender sus funciones en caso de algún ataque.
Por último, las organizaciones siguen enfrentando limitaciones en términos financieros para la gestión del riesgo cibernético, lo que perjudica su capacidad para capacitar a toda la organización y generar una cultura de ciberseguridad adecuada; por lo tanto, es necesario que los líderes tengan conocimiento del impacto financiero de los principales ciber-riesgos que afectan a sus compañías y brinden los recursos necesarios para hacerles frente.
Lograr sinergias entre los colaboradores de una organización a través de una cultura de ciberseguridad en la que los colaboradores entiendan su rol en la protección de los activos, detección de situaciones extrañas y respuesta ante ciberincidentes contribuirá a reducir el ciberriesgo, disminuir costos generados por un ciberataque y por ende aumentar la ciberresiliencia en las organizaciones.
