Navegando por el Laberinto de los Ciberriesgos: Cómo su gestión impulsa el éxito empresarial

Las amenazas cibernéticas evolucionan constantemente, y las empresas que no abordan de manera proactiva estos riesgos corren el riesgo, valga la redundancia, de sufrir ataques devastadores que pueden poner en peligro la integridad de la organización. A continuación, se navegará por el laberinto de los ciberriesgos, explorando la importancia de la gestión de estos y cómo esta práctica no solo protege a las empresas, si no que también impulsa su éxito y sostenibilidad a largo plazo. En la era digital en la que vivimos, la gestión de los riesgos cibernéticos se ha convertido en un elemento crítico para el éxito empresarial.

La gestión de riesgos de ciberseguridad vinculado a la evolución de las amenazas cibernéticas

A fin de comprender la necesidad de la gestión de ciberriesgos, es crucial reconocer cómo han evolucionado las amenazas cibernéticas en los últimos años. En el pasado, los ataques solían ser esporádicos y a menudo motivados por el afán de notoriedad. Sin embargo, actualmente, las motivaciones detrás de los ciberataques varían desde el robo de datos confidenciales hasta el sabotaje de operaciones comerciales y la extorsión financiera, entre otros muchos casos, haciendo que el hecho de ser víctimas de un ciberataque sea el día a día de muchas empresas, independientemente de su tamaño.

Image by 8photo on Freepik

Las tácticas utilizadas por los ciberdelincuentes también se han vuelto más sofisticadas, lo que hace que sea más difícil detectar y defenderse de las amenazas. A través de los ataques de ransomware, por ejemplo, se pueden cifrar datos empresariales críticos y exigir un rescate de determinadas cantidades de dinero para su liberación – acostumbrándose a ser mediante pago con criptomonedas –, lo que puede tener un impacto devastador en las operaciones y la reputación de una empresa.

Sin embargo, una buena gestión de los riesgos de ciberseguridad puede hacer disminuir drásticamente las probabilidades de ser víctimas de un ciberataque.

El valor de la gestión de los ciberriesgos

La gestión de ciberriesgos implica identificar, analizar, evaluar y tratar las amenazas cibernéticas que pueden afectar a una empresa. Aunque ninguna organización puede estar completamente a salvo de los ciberataques, la gestión de ciberriesgos permite a las empresas prepararse para responder eficazmente a estas amenazas y minimizar su impacto.

Para la gestión de riesgos de ciberseguridad existen hoy en día varios estándares, listados de buenas prácticas, entre otras guías que buscan facilitar su implementación en los entornos empresariales, teniendo en cuenta cada caso en concreto. De los más utilizados tendríamos el estándar ISO/IEC 27005 de Gestión de Riesgos de Seguridad de la Información – muy eficaz para complementar un Sistema de Gestión de Seguridad de la Información basado en ISO/IEC 27001 –; el ISO 31000 de Gestión del Riesgo; el NIST SP 800-30 como Guía para llevar a cabo Análisis de Riesgos; el NIST SP 800-37 como Marco de Gestión de Riesgos de Sistemas de Información y Organizaciones; o el NIST SP 800-39 de Gestión de Riesgos de Seguridad de la Información.

Así pues, en base a uno o varios de los estándares nombrados se puede estructurar una metodología de análisis y tratamiento de riesgos de ciberseguridad adaptada a las necesidades de cada organización mediante los siguientes pasos.

Image by azerbaijan_stockers on Freepik

Identificación de ciberriesgos
El primer paso en la gestión de ciberriesgos es la identificación de los mismos. Esto implica, en primer lugar, determinar qué activos queremos englobar dentro de dicha gestión, es decir, qué activos queremos proteger. Una vez seleccionados los activos, se identificarán sus posibles vulnerabilidades y se tendrán en cuenta qué amenazas podrían explotar dichas vulnerabilidades. Algunos ejemplos de ciberriesgos incluyen la pérdida de datos, la interrupción de servicios, la intrusión no autorizada, o el robo de propiedad intelectual.

Análisis de ciberriesgos
Una vez identificados los activos a proteger, sus vulnerabilidades y las amenazas vinculadas, se avanza hacia el siguiente paso, analizar la probabilidad de que dichas amenazas se materialicen y, de ser así, qué impacto supondría para la empresa sin tener en cuenta ninguna medida de seguridad que esté implementada o posibles salvaguardas a implementar. Con ello llegamos a obtener los denominados riesgos potenciales o riesgos inherentes.

Evaluación de ciberriesgos
Aunque pueda crear confusión a veces, hay que tener claro que el análisis y la evaluación de los ciberriesgos no son lo mismo. Habiendo expuesto ya qué se entiende por análisis de ciberriesgos, la evaluación de ciberriesgos se realiza al comparar los valores resultantes de los riesgos potenciales con un elemento producto de la metodología escogida: los criterios de riesgos. Independientemente de que se trate de una metodología cuantitativa, cualitativa o mixta, es en este momento cuando se decide – según cada valor de riesgo potencial –, si se trata de un riesgo bajo, medio, alto, o crítico para la empresa.

Asimismo, es en este momento cuando se pueden considerar aquellos controles de seguridad ya implementados en la organización, los cuales harán disminuir el valor del riesgo potencial obtenido y, al mismo tiempo, nos hará obtener los niveles de riesgo conocidos como riesgos residuales.

Image by 8photo on Freepik

Por otro lado, considerando otro elemento resultante de la metodología seleccionada, y siendo éste muy estratégico, el nivel de apetito al riesgo vinculado con la tolerancia al riesgo de la organización nos permitirá seleccionar la solución más adecuada para la siguiente fase al considerar unos determinados niveles de riesgo objetivos.

Tratamiento de los ciberriesgos

En este instante debemos seleccionar la opción apropiada para el tratamiento de los ciberriesgos evaluados previamente. Comúnmente, se suele elegir para cada riesgo residual una de las siguientes opciones:

• Evitar el riesgo, decidiendo no iniciar o continuar con la actividad que genera el riesgo.
• Modificar el riesgo, cambiando la probabilidad de que ocurra un evento o una consecuencia o cambiar la gravedad de la misma.
• Retención del riesgo, mediante elección informada.
• Compartir el riesgo, dividiendo responsabilidades con otras partes, ya sea interna o externamente – por ejemplo, compartir las consecuencias a través de una compañía de seguros –.

En el caso de querer modificar el riesgo, se entiende como querer mitigarlo. La mitigación de riesgos implica tomar medidas, y esto puede incluir la implementación de medidas de ciberseguridad, como firewalls, software anti-malware, sistemas de detección de intrusiones, concienciación de empleados sobre prácticas seguras, entre otras muchas salvaguardas.

Salvaguardas las cuales muchas veces, como en el caso de la determinación de la metodología de análisis y tratamiento de los riesgos, se basan en listados de controles y/o buenas prácticas en ciberseguridad adquiridos de estándares y/o regulaciones existentes según cada caso concreto como por ejemplo, del estándar ISO/IEC 27002, el NIST CSF, el UK CE, el SWIFT CSCF, el CMMC, los controles CIS, PCI DSS, RGPD, etc. Dichas medidas deberán ser implementadas a través de un Plan de tratamiento de riesgos, el cual será monitorizado y evaluado en determinados periodos de tiempo respecto a su ejecución y eficacia.

Beneficios de la gestión de los ciberriesgos

Teniendo claro cómo analizar y tratar los ciberriesgos identificados, queda claro también que la gestión de ciberriesgos no solo protege a las empresas de amenazas cibernéticas, sino que también aporta una serie de beneficios que impulsan al éxito empresarial, beneficios como:

Image by Freepik

Protección de activos digitales
Como resultado de la fase de identificación de los ciberriesgos mencionada con anterioridad, uno de los beneficios más obvios de la gestión de riesgos de ciberseguridad es la protección de los activos digitales de una empresa. Estos activos incluyen datos confidenciales, propiedad intelectual, información financiera y sistemas críticos. La gestión de riesgos ayuda a identificar y mitigar las vulnerabilidades que podrían poner en peligro estos activos, asegurando su integridad y confidencialidad.

Continuidad del negocio
Los ataques cibernéticos pueden interrumpir gravemente las operaciones comerciales en niveles normales. La gestión de riesgos de ciberseguridad incluye la planificación de la continuidad del negocio para garantizar que una empresa pueda seguir funcionando incluso después de un incidente de seguridad. Esto implica la creación de planes de contingencia, la implementación de sistemas de respaldo y la capacitación de empleados para responder adecuadamente a situaciones de crisis, tal y como se expuso en nuestro anterior artículo "La Importancia de una Buena Estrategia de Continuidad de Negocio y cómo conseguirla: Protegiendo el Éxito Empresarial ante la Adversidad". En última instancia, la continuidad del negocio garantiza que una empresa pueda recuperarse rápidamente de un ataque y minimizar el tiempo de inactividad.

Cumplimiento normativo
En muchos sectores, existen regulaciones estrictas relacionadas con la seguridad de los datos y la privacidad. La gestión de riesgos de ciberseguridad ayuda a las empresas a cumplir con estas normativas, evitando posibles sanciones y multas. Un enfoque proactivo en la gestión de riesgos demuestra el compromiso de una empresa con la seguridad de la información y la privacidad de los datos, lo que puede generar confianza entre los clientes y socios comerciales.

Protección de la reputación
La reputación de una empresa es uno de sus activos más valiosos. Los ataques a la integridad de los datos, entre otros ataques cibernéticos, pueden dañar gravemente la reputación de una empresa. La gestión de riesgos de ciberseguridad ayuda a prevenir estos incidentes y, en caso de que ocurran, permite una respuesta rápida y efectiva. Una empresa que demuestra un compromiso sólido con la seguridad cibernética está mejor preparada para mantener la confianza de sus partes interesadas y proteger su reputación.

Ahorro de costos
Si bien la inversión en ciberseguridad puede parecer costosa, la gestión de riesgos de ciberseguridad a menudo resulta en ahorros a largo plazo. La prevención de ataques y la reducción del tiempo de inactividad pueden evitar costos significativos asociados con la recuperación después de un incidente. Además, al identificar y abordar proactivamente las vulnerabilidades, una empresa puede evitar gastos adicionales relacionados con el cumplimiento normativo y multas.

Ventaja competitiva
Las empresas que demuestran un compromiso sólido con la ciberseguridad pueden utilizarlo como un punto de venta y diferenciarse de la competencia. Los clientes y socios comerciales tienden a preferir trabajar con empresas que toman en serio la seguridad de los datos. La gestión de riesgos de ciberseguridad puede convertirse en una ventaja competitiva que atrae a clientes y socios comerciales.

Mejora de la toma de decisiones
La gestión de riesgos de ciberseguridad implica una evaluación constante de las amenazas y vulnerabilidades. Esto no solo protege a la empresa, sino que también mejora la toma de decisiones. Los datos y análisis relacionados con la gestión de riesgos pueden proporcionar información valiosa sobre cómo mejorar la infraestructura de TI, las políticas de seguridad, las inversiones tecnológicas, etc.

Fomento de la cultura de seguridad
La gestión de riesgos de ciberseguridad también contribuye a fomentar una cultura de seguridad en toda la organización. Cuando el personal está capacitado y es consciente de los riesgos cibernéticos, es menos propenso a cometer errores que podrían resultar en incidentes de seguridad. Una cultura de seguridad sólida es un elemento fundamental en la estrategia de ciberseguridad de una empresa.

Referencias

• CIS Critical Security Controls Version 8
• https://www.cisecurity.org/controls/v8
• Cybersecurity Maturity Model Certification (CMMC) v2
• https://dodcio.defense.gov/CMMC/Model/
• ISO/IEC 27005:2022 Seguridad de la Información, ciberseguridad y protección de la privacidad – Guía para la gestión de riesgos de seguridad de la información.
• https://tienda.aenor.com/norma-iso-iec-27005-2022-080585
• ISO/IEC 27001:2022 Seguridad de la Información, ciberseguridad y protección de la privacidad – Sistemas de Gestión de Seguridad de la Información – Requerimientos
• https://tienda.aenor.com/norma-iso-iec-27001-2022-082875
• ISO/IEC 27002:2022 Seguridad de la Información, ciberseguridad y protección de la privacidad – Controles de Seguridad de la Información
• https://tienda.aenor.com/norma-iso-iec-27002-2022-075652
• ISO/IEC 31000:2018 Gestión del Riesgo. Directrices
• https://tienda.aenor.com/norma-une-iso-31000-2018-n0059900
• NIST SP 800-30 Rev.1 Guide for Conducting Risk Assessments
• https://csrc.nist.gov/pubs/sp/800/30/r1/final
• NIST SP 800-37 Rev.2 Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy
• https://csrc.nist.gov/pubs/sp/800/37/r2/final
• NIST SP 800-39 Managing Information Security Risk: Organization, Mission, and Information System View
• https://csrc.nist.gov/pubs/sp/800/39/final
• NIST Cybersecurity Framework
• https://www.nist.gov/cyberframework/framework
• PCI Data Security Standard 4.0
• https://www.pcisecuritystandards.org/document_library/
• Reglamento (UE) 2016/679 del Reglamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos
• https://www.boe.es/doue/2016/119/L00001-00088.pdf
• SWIFT Customer Security Controls Framework (CSCF) 2023
• https://www.swift.com/es/node/300801
• UK Cyber Essentials 2023
• https://www.ncsc.gov.uk/cyberessentials/resources

---

Autor: Albert Moner -ISO 27001 L.A.
Dpto. de Consultoría