Ciberseguridad: 10 claves para fortalecer la gestión de riesgos

Hoy en día, la ciberseguridad es vista como un aspecto técnico del negocio. Sin embargo, la seguridad cibernética es un tema más complejo que requiere ser atendido por la alta dirección de las organizaciones. Si la gerencia general de una empresa no cuenta con un indicador que le permita realizar una planificación ordenada de las inversiones que se deben ejecutar en este ámbito, es probable que las mismas se posterguen, exponiendo a la organización ante riesgos de seguridad no atendidos oportunamente.

Según BDO Global, con la creciente popularidad del Internet de las cosas (IoT), se ha generado un aumento del 600% de los ataques cibernéticos contra dispositivos conectados a IoT en el último año, lo que conlleva a que la dirección de la empresa esté trabajando para determinar la estrategia y las inversiones correctas que permitan asegurar sus activos de datos vitales, garantizar que las operaciones comerciales respeten los requisitos de cumplimiento regulatorio, así como reducir el impacto de los litigios por violación de datos.

La mejor práctica para abordar cada una de estas preocupaciones es aplicar un programa de ciberseguridad basado en riesgos que permita adoptar medidas de protección contra las posibles amenazas que una organización enfrentaría, identificando las vulnerabilidades internas en relación con el entorno de amenazas externas en evolución.

Víctor Vera Tudela, director de Consultoría de BDO Perú, recomendó el uso de un enfoque de ciberseguridad basado en riesgos para combatir los ataques cibernéticos y mitigar las costosas violaciones de datos en la red. Este enfoque de evaluación analiza el perfil de las potenciales amenazas que una empresa debe enfrentar según sus operaciones e industria.

Ante este contexto, pueden adoptarse 10 directrices para fortalecer la ciberseguridad de las organizaciones:

1. Contratar expertos para llevar a cabo diagnósticos avanzados de ciberseguridad.

2. Contratar a un Director de Seguridad de la Información (CISO) o un Oficial de Protección de Datos (DPO) que dependa de una Gerencia que le dé un respaldo adecuado para elaborar un programa sólido de gestión de riesgos de ciberseguridad y privacidad de datos que sea implementado en la organización.

3. Implementar el cifrado de software avanzado con autenticación multi-factor.

4. Ofrecer programas de educación y formación en ciberseguridad oportunos y eficaces para toda la organización.

5. Aplicar un programa de gestión de parches de seguridad de software oportuno y eficaz.

6. Garantizar que la organización ha desarrollado y aplicado un sólido programa de gobernanza de la información para localizar, rastrear y proteger todos los activos de datos.

7. Revisar y ejecutar pruebas periódicas del plan de reporte de incidentes de seguridad de la organización.

8. Revisar y ejecutar pruebas periódicas del plan de continuidad de operaciones, así como el plan de recuperación de desastres de la organización.

9. Realizar o externalizar la detección de incidentes de seguridad y respuesta gestionada mediante el aprendizaje automático avanzado y aplicaciones de Inteligencia Artificial (IA).

10. Verificar el cumplimiento de la organización y de los socios de negocios de los requisitos reglamentarios de ciberseguridad y privacidad de datos, mediante evaluaciones independientes de cumplimiento y riesgo.

Es posible que las organizaciones no se den cuenta de lo valiosa que es una estrategia de ciberseguridad hasta que aparezca alguna vulnerabilidad que sea explotada por terceros y que la afecte en términos financieros o reputacionales. Es una labor ardua de los responsables de ciberseguridad traducir los riesgos de ciberseguridad en términos del negocio con el fin de incrementar el nivel de conciencia de los empresarios y gerentes para obtener su respaldo en bien de la organización.