Últimamente, nos estamos acostumbrado a ver en la prensa no especializada información sobre ataques e incidentes de ciberseguridad: fraudes financieros, sitios de e-commerce que no están operativos, datos personales o confidenciales que son robados o filtrados y muchos otros.
Esto sucede ya que estos incidentes dejaron de ser considerados temas de impacto solamente tecnológico o problemas exclusivos de los Departamentos de Sistemas, el impacto es mucho mayor siendo que afecta todas las áreas de negocio de la organización.
Un ciberataque afecta la totalidad del negocio
Clientes, usuarios, ciudadanos, las operaciones, la producción, la reputación de la organización y la marca, propiedad intelectual, satisfacción de clientes, estos y muchos más se ven afectados. Se podría decir que todo afecta de manera directa o indirecta los ingresos económicos y el valor del negocio.
La manera en que vaya a impactar este tipo de incidentes en ciberseguridad sobre un negocio, va a depender mucho de la actividad y sector del mercado en el que se encuentre la organización.Una entidad financiera estará más expuesta a ataques dirigidos con el objetivo de robo o fraude financiero. Una empresa de retail puede ser un blanco atractivo para fraude o ataques de denegación de servicio que deje fuera de operación sus sitios transaccionales. Una institución de salud puede ver afectada su reputación o exponerse a sanciones normativas si se filtran datos confidenciales de sus pacientes.
Estar preparado asegura una recuperación rápida: “Ciber-resilencia”
En Security Advisor proponemos el desarrollo de actividades de consultoría que permitan establecer que tan expuesta está una organización a sufrir un incidente de ciberseguridad y determinar que capacidades tiene para hacer frente al incidente, recuperarse y seguir operando. En resumen, establecer que tan “ciber-resiliente” es la organización.
Una de las funciones que tiene un CISO o responsable de ciberseguridad dentro de la organización, es lograr un adecuado nivel de concientización de los recursos humanos, de manera que comprendan a los riesgos que están expuestos, el impacto que puede tener en la organización y las mejores prácticas que van a reducir la probabilidad que se presente un incidente y minimizar el impacto en caso que se produzca.
Es fundamental que la Alta Dirección comprenda los conceptos de riesgo a nivel ciberseguridad y su impacto en el negocio. Esta concientización de la Alta Dirección es la que va a habilitar la generación de iniciativas y sus correspondientes presupuestos. Además de integrar el componente ciberseguridad en las demás iniciativas de la organización.
Un equipo especializado
El área de Consultoria de Security Advisor tiene una oferta de servicios orientados a la concientización de Directorios y Alta Dirección que permiten que estas instancias de la administración conozcan los conceptos fundamentales de ciberseguridad, amenazas y casos actuales y el posible impacto en el negocio.
Teniendo en cuenta el impacto que un incidente de ciberseguridad puede tener en el negocio, también es importante incluir dentro de la estrategia de ciberseguridad de la organización a los proveedores. Tanto proveedores tecnológicos, como proveedores de servicios y productos.Un proveedor puede convertirse en fuente de vulnerabilidades o vector de ataque la organización, pero también un incidente de seguridad en un proveedor puede impactar en la continuidad de negocio de la organización.
En resumen, teniendo en cuenta el impacto que un incidente de ciberseguridad puede tener en el negocio de la organización, además de enfocarse en temas específicos de tecnología de ciberseguridad (encriptación o tokenización de datos sensibles, autenticación de transacciones por mecanismos multifactor, etc.), es fundamental que las organizaciones pongan el foco adecuado en sus procesos (definición adecuada de roles y perfiles, segregación de funciones, etc.) y en concientización de sus recursos humanos (actividades de concientización para Directorios y Alta Dirección).
Sobre Security Advisor
Es una empresa especializada en la Seguridad de la Información. Se dedica a brindar apoyo a las áreas tecnológicas y de negocio de la organización, evaluando su estado de ciberseguridad, y definiendo e implementando la mejor estrategia con el objetivo de minimizar el impacto que un incidente de ciberseguridad pueda generar en el negocio. Links directos:ConsultoríaAnálisis de VulnerabilidadesSecurity Advisor
Autor: Carlos Jaureche
Gerente Comercial Security Advisor Chile
Conecta