ProActivo
El 56% de las empresas cambiaron sus estrategias y planes por las ciberamenazas. La Asociación de Bancos del Perú ASBANC informó que solo el 4% se siente seguro de haber incorporado todos los riesgos relevantes en su estrategia actual. Se trata de un nuevo desafío en el mundo de la Internet de las Cosas.
ASBANC reveló en su boletín, que “una falla de ciberseguridad a gran escala es uno de los cinco riesgos más graves que hoy enfrenta el mundo”.
Dicha publicación precisa datos de la Encuesta Global de Seguridad de la Información 2017-18 “Recuperando la ciberseguridad: prepárese para enfrentar los ataques cibernéticos”, realizada por la consultora EY.
Aquí resumimos las 5 prioridades:
- Generar consciencia sobre la ciberseguridad al interior de la organización
Las compañías necesitan incrementar las capacitaciones sobre conocimientos de ciberseguridad; y enseñar cómo los riesgos cibernéticos impactan en diferentes funciones y proyectos individuales, así como en el negocio en general.
Todos, desde los nuevos hasta los gerentes, deben darse cuenta de cómo un ciberataque puede mermar la confianza en la organización, y cuán dañinas y trascendentales pueden ser las consecuencias.
Asegúrese de que se implemente un programa de gestión de identidad y acceso para limitar el acceso solo a los que lo necesitan, además de herramientas de monitoreo en tiempo real que permitan identificar comportamientos anormales rápidamente.
2. Innovación al integrar la ciberseguridad
Implemente barreras que hagan que se tomen en cuenta y autoricen los riesgos cibernéticos desde el comienzo y en los puntos clave de todas las nuevas iniciativas comerciales; todo desde FinTech y desarrollo de nuevos productos hasta actividades de fusiones y adquisiciones (M&A).
Considere fusionar la analítica cibernética con modelos existentes de centros operacionales de ciberseguridad para identificar brechas muy sofisticadas y difíciles de detectar.
Revise regularmente las áreas que desarrollan robótica e Inteligencia Artificial (IA), y busque oportunidades ventajosas en ambientes controlados.
- Enfocada en el riesgo, priorice lo esencial
En primer lugar, corresponde identificar los procesos y activos del negocio más importantes, e implementar un enfoque diferenciado para protegerlos. Para conocer lo esencial se requiere que las empresas mapeen los procesos comerciales en aplicaciones e infraestructura, e incluyan flujos de datos y dependencias previas y posteriores.
Como un segundo paso determine cómo segmentar o poner en cuarentena a los activos esenciales. Muchas veces, los ciberataques acceden a procesos esenciales a través de activos menos protegidos.
Finalmente, determine los terceros que son esenciales para esos procesos. Las empresas deberían contar con vendedores alternativos a quienes llamar en caso de que los existentes sufran ciberataques, brechas cibernéticas o fallas tecnológicas materiales. Nunca olvide que la resiliencia cibernética es un asunto de gran trascendencia.
- Inteligente y ágil, protegiendo lo esencial
Haga un inventario de sus activos y procesos clave para identificar cuáles son fundamentales. Identifique quién los amenazaría, por qué y qué métodos de ataque implementarían; utilice esta inteligencia de amenazas de manera permanente para mejorar y mantener actualizadas sus evaluaciones de amenazas.
Evalúe qué tan vulnerables son sus activos más importantes basándose en su análisis de amenazas, y enfóquese en el esfuerzo y la inversión al manejar estas vulnerabilidades.
Desarrolle un “modelo cibereconómico”, incorporando sus evaluaciones de amenazas y vulnerabilidades, para identificar las potenciales pérdidas de dinero si sus activos esenciales son atacados.
- Resiliente y escalable, recuperándose y protegiendo el ecosistema
Debe contar con un Programa de Respuesta a Brechas Cibernéticas (PRBC) centralizado para toda la empresa, liderado por un experto en tecnología, sea capaz de manejar la respuesta operativa y táctica del día a día. Ese líder también debe contar con amplia experiencia en el ámbito legal y regulatorio, ya que cualquier brecha cibernética puede desencadenar problemas legales y normativos complejos con impacto en los estados financieros.
El PRBC debe estar documentado e incluir a todas las partes interesadas (desde el Comité y altos ejecutivos hasta el área legal, de recursos humanos, de riesgos, de relaciones públicas, de comunicaciones, TI, unidades de negocio y otros).
Verifique que todas las partes interesadas hayan sido capacitadas en el plan, y que hayan participado en un simulacro de incidente cibernético, para cuestionar y evaluar su capacidad de respuesta.
Reexamine el plan de comunicación de crisis y asegúrese de que no solo cubra partes interesadas externas clave, como organizaciones de seguridad, entidades regulatorias, clientes y medios de comunicación, sino también los diferentes escenarios en los que se necesita comunicación con las partes interesadas, logrando encontrar el balance correcto entre informar demasiado pronto y demasiado tarde.