A medida que las empresas alcanzan nuevos niveles de digitalización, gracias a una conectividad más rápida, el uso de los datos ofrece una importante oportunidad para supervisar, analizar, predecir y mitigar mejor los riesgos. Sin embargo, los mismos activos presentan nuevas vulnerabilidades que los actores de las ciberamenazas pueden explotar, lo que hace que la protección de los datos, y de los sistemas que los procesan, transfieren y almacenan, sea crucial.
La ciberseguridad figura ahora como una de las principales prioridades a nivel mundial, según la última Encuesta Anual de CEO Globales de PwC, situándose solo por detrás de la pandemia en términos de preocupaciones extremas. Por lo tanto, la estrategia de gestión de riesgos de ciberseguridad ya no debe considerarse una preocupación exclusiva del director de tecnología y del director de informática, sino que también debe figurar en la agenda de todos los directores técnicos y de la cadena de suministro.
Un enfoque predictivo de la garantía de riesgos
Los datos tienen el potencial de transformar la gestión de riesgos y la resistencia. Los datos, análisis y herramientas de información adecuados pueden ayudar a establecer dónde es más probable que se produzca un riesgo futuro, y dónde no, lo que permite centrar los recursos en las áreas en las que está en juego el mayor valor. El uso de estas métricas también puede ayudar a evitar el sesgo emocional en la toma de decisiones: los riesgos que suponemos mayores no siempre son los que requieren una mayor vigilancia.
Si se puede demostrar que un componente o una técnica corren más riesgo de fallar, puede que no tenga sentido inspeccionar o auditar de la misma manera, según el calendario. Del mismo modo, se pueden idear métodos más eficaces para las áreas de menor riesgo, liberando recursos para centrarse en las actividades de mayor riesgo y asegurarlas. Un socio de garantía digital con experiencia podrá ofrecer asesoramiento sobre qué datos supervisar y cómo analizarlos y actuar en consecuencia.
La necesidad de una transformación digital cohesiva
La oportunidad que ofrece la transformación digital es importante, pero la experiencia nos dice que su aplicación puede ser un reto y, si se aborda de forma fragmentada, es poco probable que tenga el impacto adecuado. Un estudio realizado en 2020 reveló que, de las actualizaciones digitales realizadas al comienzo de la pandemia, el 59 % requirieron correcciones a corto plazo para resolver los problemas que surgieron a raíz de un despliegue apresurado. Esto podría haberse evitado si la garantía y la mitigación de riesgos se hubieran integrado mejor en el proceso de gestión del cambio.
Un error común es adoptar un enfoque impulsado por la tecnología, desplegando la tecnología por la tecnología. Es fundamental que el punto de partida de las organizaciones que quieren digitalizar sus operaciones y programas de control de riesgos sean los problemas que quieren resolver, no la tecnología o la fuente de datos que creen que falta. Esto requiere una estrategia de garantía digital cohesiva que incluya la combinación adecuada de personas, procesos y tecnología.
Datos de la cadena de suministro y riesgo de ciberseguridad
La creciente digitalización y los flujos de datos aumentan las vulnerabilidades potenciales que podrían ser explotadas por actores de amenazas maliciosas. Los proveedores son una fuente de datos vital para cualquier empresa que desee obtener una imagen completa de sus operaciones y su garantía de calidad, pero esta cadena de suministro digital también necesita una garantía de ciberseguridad. Las organizaciones deben ser conscientes no solo de su propia estrategia de gestión de riesgos de ciberseguridad, sino del potencial de las ciberamenazas que surgen al evaluar la cadena de suministro.
En los últimos años, hemos asistido a un cambio en el panorama de las ciberamenazas con el ransomware, que no solo ha duplicado su frecuencia hasta representar el 10 % de todas las vulneraciones, sino que se dirige cada vez más a las cadenas de suministro a través del ransomware durmiente. Estos ataques no solo obtienen privilegios en la red anfitriona, sino que también ven cómo todo el ecosistema puede verse afectado. La naturaleza global de las cadenas de suministro aumenta el impacto potencial de estos ataques, incrementando la importancia de la evaluación de riesgos en ciberseguridad.
Hacia una supervisión continua
En este entorno, las auditorías tradicionales y una evaluación anual de los riesgos de ciberseguridad ya no son adecuadas. Solo proporcionan una instantánea de los sistemas en un momento dado y no tienen en cuenta las nuevas vulnerabilidades o los cambios en el sistema necesarios en el ínterin.
Del mismo modo, en el pasado, muchas organizaciones han optado por transferir su gestión de riesgos de ciberseguridad a un proveedor de seguros. Sin embargo, el volumen y la sofisticación de los ciberataques han hecho subir las primas, por lo que las aseguradoras exigen cada vez más a las organizaciones que mitiguen los riesgos de forma proactiva para seguir estando cubiertas. La inversión en un control sólido puede incluso reducir el coste de la póliza de seguro.
Una solución a estos dos problemas es la supervisión continua de los controles. Esto permite a las organizaciones rastrear, en tiempo real, los datos necesarios para una evaluación de riesgos de ciberseguridad, incluidos los obtenidos de los proveedores. Las plataformas de inteligencia de amenazas y los paneles de control pueden facilitar un enfoque de supervisión continua y proactiva.
Garantía colaborativa y en tiempo real
Adoptar un enfoque de colaboración con los proveedores y especialistas puede ayudar a una organización a dar grandes pasos en el desarrollo de un enfoque más inteligente del control de riesgos y en el establecimiento de la garantía de información adecuada en materia de ciberseguridad.
El requisito de certificación según las normas de sistemas de gestión globales, como la ISO 27001, y el derecho a auditar y evaluar la seguridad informática forman parte de muchos acuerdos contractuales. El Marco de Ciberseguridad del Instituto Nacional de Normas y Tecnología (NIST) también está ganando terreno como norma mundial que tiene en cuenta la necesidad de examinar los controles de los proveedores. Esto supone una ventaja mutua para ambas partes, ya que los compradores ayudan a formar y capacitar a los proveedores, aumentando la competencia y la resistencia en toda la cadena. El cambio a la garantía digital y a un modelo continuo de control también tiene el potencial de reducir la necesidad de cualquier coste y perturbación creada por las inspecciones presenciales innecesarias al auditar la cadena de suministro.
A la hora de tomar decisiones sobre los proveedores, el desarrollo de nuevos productos y el crecimiento en nuevas geografías y territorios, la ciberseguridad debe formar parte del debate. La gestión de los riesgos de ciberseguridad debe formar parte de una estrategia de garantía sólida y continua, no solo un punto de control que debe cumplirse en la fase inicial de incorporación.
Conclusión
A medida que la industria se digitaliza, aumenta la necesidad de una garantía más inteligente y en tiempo real contra los riesgos tradicionales y las ciberamenazas. Todo esto apunta a la necesidad de integrar la ciberresiliencia en los programas de control de riesgos digitales de una manera que se adapte a la empresa, abordando las amenazas que se conocen y teniendo en cuenta las que no se conocen. La supervisión continua y en colaboración de los datos operativos y la seguridad de la información, las vulnerabilidades y las amenazas tienen el potencial de mitigar mejor el riesgo, impulsar la eficiencia y facilitar una toma de decisiones más informada.
CASOS DE INTERÉS
Con quiénes trabajamos
Ayudamos a las empresas de decenas de sectores a seguir adelante y alcanzar logros como nunca antes. ¿En qué podemos ayudarle?
