Parece que cada día trae nuevas amenazas comerciales. Desde ataques de seguridad cibernética cada vez más oportunistas y sofisticados hasta el mayor riesgo asociado con la inversión en nuevas tecnologías, las empresas están luchando.
Una forma de encontrar una estrategia de gestión de riesgos y seguridad que funcione es observar lo que están haciendo otras empresas. Si bien nada puede garantizar un futuro sin incidentes, hay pasos que puede seguir para ayudar a que su negocio despegue temprano.
Antes de hacer nada, solicite una evaluación de riesgos
Las evaluaciones de peligros no son algo totalmente nuevo, sin embargo, es la mejor manera de comenzar a implementar una estrategia de gestion de peligros. A través de un análisis de peligros, obtendrá una tabla de evaluación de peligros. Esta pirámide indicará qué eventos son de alto riesgo y cuáles son de bajo riesgo para su empresa.
Por lo general, los eventos catastróficos tienen una alta probabilidad de ocurrir, además de un impacto significativo. Lo opuesto es verdad para los sucesos de bajo riesgo. Sin embargo, un evento de bajo impacto puede ser de gran importancia si sus consecuencias son devastadoras.
Una revisión de los peligros hará que sea más sencillo identificar, visualizar y priorizar todo lo que necesita para prepararse.
Principales tendencias en seguridad y gestión de riesgos
Gartner, el líder en seguridad y gestión de riesgos, publicó recientemente un informe sobre las tendencias de SRM para 2020. Aquí, desglosaremos sus hallazgos en fragmentos pequeños.
1 – Los marcos de gobernanza de seguridad de datos se utilizan para priorizar las inversiones en seguridad de datos
Las compañías están convencidas de que la seguridad de la información no se puede resolver únicamente con la implementación de nuevas tecnologías. Actualmente, ya no basta con adquirir cualquier producto de seguridad e intentar adaptarlo a las necesidades de su empresa. Tomemos como ejemplo un nuevo mecanismo de ataque que consiste en ventanas emergentes falsas de actualización de Adobe Flash Player que se instalan en el núcleo y que esparcen una amenaza para Mac. Este virus es una de las formas más comunes en que los piratas informáticos intentan colar código malicioso adicional en una Mac y, por lo tanto, redirigen la navegación hacia sitios web de instalación de software no autorizados.
Para garantizar la seguridad de los datos, es necesario elaborar un plan que abarque los datos y que relacione el contexto en el que se crean y utilizan, además de las leyes que los regulan. Los marcos de gobernanza pueden contribuir a la formulación de pautas para la inversión en tecnología de seguridad.
2 – Las declaraciones de apetito de riesgo están relacionadas con los resultados del negocio
Los gerentes de seguridad y riesgos dicen que uno de sus mayores desafíos es comunicarse de manera efectiva con los líderes empresariales. Escribir declaraciones de apetito por el riesgo en lenguaje comercial ayuda a involucrar a las partes interesadas al mostrar el efecto de sus políticas de riesgo en sus resultados. Por ejemplo, mostrar cómo asumir demasiados riesgos puede perjudicar sus intereses, o ser demasiado reacio a los riesgos puede provocar la pérdida de oportunidades.
3 – El interés en implementar o madurar centros de operaciones de seguridad (SOC) con un enfoque en la detección y respuesta de amenazas está creciendo
La creciente complejidad de los ataques de ciberseguridad y la sofisticación de las herramientas para combatirlos han llevado a las empresas a externalizar los servicios de detección y respuesta. Según Gartner, la cantidad de SOC que se modernizarán con capacidades de respuesta integrada, inteligencia de amenazas y caza de amenazas crecerá del 10 % en 2015 al 50 % para 2022.
4 – La autenticación basada en hardware, biométrica y sin contraseña está en aumento
Las contraseñas son objetivos fáciles para los piratas informáticos que utilizan phishing, ingeniería social, relleno de credenciales y malware como troyanos. El impulso por un futuro sin contraseña finalmente está cobrando fuerza a medida que los métodos de autenticación basados en hardware y la biometría se vuelven más disponibles y precisos.
5 – Los SRM ofrecen cada vez más paquetes premium y servicios de capacitación
La demanda de profesionales de ciberseguridad está aumentando, impulsada por la complejidad de los ataques y las medidas de seguridad. Gartner predice una escasez de 1,5 millones de profesionales de ciberseguridad para 2021. Los SRM ofrecen servicios y paquetes premium como otra forma en que las empresas pueden descargar sus necesidades de seguridad al proporcionar expertos en seguridad dedicados.
6 – Las organizaciones están invirtiendo en la seguridad en la nube como su plataforma informática principal
Casi todo el sector de TI se está trasladando a la nube, y la seguridad y la gestión de riesgos no son diferentes. Esto se debe en gran medida al cambio hacia la seguridad centralizada y la gestión de riesgos a medida que aumenta la necesidad de experiencia y servicios personalizados. Las organizaciones deben invertir en herramientas de gobierno, como agentes de seguridad para el acceso a la nube, así como en personas y talento para asumir la responsabilidad y abordar el riesgo.
7 – Cada vez más mercados de valores tradicionales están adoptando el enfoque CARTA
El enfoque de adaptación continua a la evaluación de riesgos y la confianza reconoce que no existe una mejor solución que brinde una protección perfecta. Las necesidades de seguridad deben reevaluarse constantemente y las medidas de seguridad deben tener algún tipo de adaptabilidad incorporada. Esto es especialmente cierto en el panorama fluido y en constante cambio de amenazas y protecciones. Al adoptar el enfoque CARTA, puede beneficiarse significativamente de la información proporcionada por una matriz de evaluación de riesgos, como se discutió anteriormente.
Las empresas ya no pueden darse el lujo de esperar lo mejor cuando se trata de seguridad
Los incidentes globales de seguridad cibernética, en particular los ataques de ransomware como WannaCry, han demostrado el impacto muy real que las vulnerabilidades de seguridad pueden tener en las empresas. No podría llegar en peor momento, ya que las empresas enfrentan una escasez de habilidades en ciberseguridad.
Sin embargo, formalizar las medidas de gestión de datos y seguridad a través de marcos de gobernanza, así como descargar las preocupaciones de seguridad a los servicios centralizados, puede ayudar a aliviar la carga.
Si no sabe por dónde empezar, lo cual es comprensible, una evaluación de riesgos puede indicarle la dirección correcta.