En su escritorio están los proyectos de transformación digital de la empresas: uno para la venta en línea, otro de teletrabajo y un tercero para implantar Internet de las cosas en la planta y en las tiendas. ¿Ya contempló los riesgos operativos y tecnológicos?
Al basar su negocio cada vez más en los datos debe ser consciente de los potenciales daños o peligros que están asociados al uso de las nuevas tecnologías. No solo se trata de prever un ataque de un hacker . Puede ocurrir un evento (un desastre natural: una inundación o un terremoto), un incendio o que un empleado descontento provoque un daño.
¿De quién sería la responsabilidad por las pérdidas que un hecho de esos puede provocar? Las culpas son compartidas, pero es a la gerencia general, y no solo al encargado de tecnología, adonde se apuntará . Una falla puede deberse a una extendida cultura de descuidos.
“Todo el mundo es una fuente de riesgo cibernético”, advirtió Marcos Nehme, director de la división técnica de la firma RSA. “Fracasos públicos se vuelven personales. Fracasos personales se hacen públicos. Pequeños errores de juicio o de supervisión de la política pueden tener consecuencias nefastas”.
RSA es una marca especializada en seguridad informática, asociada a la firma Dell EMC, recientemente formada.
Un estudio de Gartner mostró que, a nivel global, el 77% de los chief ejecutives officers están conscientes de los riesgos asociados a las iniciativas digitales.
Otro reciente reporte de Harvard Business Review advirtió que una firma puede perder hasta el 86% del valor de mercado debido a los riesgos estratégicos, el 9% por los riesgos operativos y 3% a causa de los riesgos legales y de cumplimiento.
Se recomienda dar prioridad a la inversión en los controles para optimizar el riesgo, elevar la visibilidad de los peligros y mejorar la gestión con una mayor transparencia y rendición de cuentas.
LEA TAMBIÉN Las cinco tendencias tecnológicas a las que se deberá poner atención en el 2016
Más allá de la ciberseguridad
En la mayoría de las empresas de América Latina el riesgo digital ha quedado relegado al aseguramiento de los equipos físicos que contienen la información.
Con las nuevas tecnologías, el riesgo demanda una estrategia distinta que mantenga a la empresa segura y productiva. La gestión del riesgo es más que un parche contra virus informáticos.
“Solo una correcta estrategia que minimice el riesgo digital garantiza el éxito de la empresa”, dijo Matías Haidbauer, líder de IBM Security Costa Rica.
Lo correcto es analizar y definir las necesidades de digitalización y diseñar las soluciones, incorporando todas las medidas y los servicios necesarios para proteger la información a nivel de la red, la infraestructura (equipos y centros de datos) y las aplicaciones corporativas.
Después se debe mantener el monitoreo constante para asegurarse de que los controles son los correctos y están actualizados.
La atención también debe centrarse en indicadores y alarmas que tengan que ver con la cantidad de ataques a las aplicaciones web, análisis de comportamiento de los usuarios, vulnerabilidades de la red, la gestión de la identidad del usuario y la exposición de datos a usuarios no confiables.
Esa es una tarea que debe ser liderada por el gerente general y el de tecnología. Ellos tienen la responsabilidad de destinar tiempo, recursos, definir políticas y alinear la estrategia de riesgo a los objetivos corporativos.
Al encargado de seguridad le corresponderá, por delegación, la implementación de las medidas técnicas. Eso incluye la instalación de soluciones “modestas”: escáneres de vulnerabilidades, parches virtuales, monitores de bases de datos, encriptadores, firewalls y antivirus, entre otros.
También abarca el uso de herramientas avanzadas para gestión del riesgo (QRadar de IBM o GRC Archer de RSA, por ejemplo) y, por supuesto, garantizarse que las aplicaciones son seguras.
LEA TAMBIÉN La disrupción no es tecnológica: es mental y del modelo de negocios
Eso no basta. La alta dirección debe crear una cultura de protección de las interacciones digitales y de la información del negocio y de sus clientes. “Este tema debe ser la prioridad para todas las empresas que basan sus negocios en aplicaciones y datos”, afirmó Paulo Veloso, director regional de la unidad de negocios de seguridad para de Hewlett Packard Enterprise Company (HPE).
Claves de la gestión del riesgo digital
¿Qué es el riesgo digital? Potencial de pérdida o daños asociados al uso de la tecnología dentro de una organización.
Causas: Las pérdidas pueden ser provocadas por ataques de hackers, desastres naturales, incendios o daños físicos (provocados o accidentales). También puede deberse al deterioro de los datos almacenados.
Acciones: Medidas y servicios de protección a nivel de la red, la infraestructura (centro de datos) y las aplicaciones de negocios.
Gerente general: Es el principal responsable de impulsar acciones para la mitigación del riesgo al implementar los planes de transformación digital del negocio.
Gerente de tecnología: Debe velar por la protección de la información y la prevención ante posibles desastres provocados o no.
Gerente de seguridad: Hay empresas que cuentan con una unidad de riesgos operacionales, continuidad de negocio y seguridad informática que coordina con otras áreas.
Fuente HPE, IBM y RSA.