Gestión del Ciber riesgo, ¿conozco cuán vulnerable es mi organización?

Es muy común que, en mis conversaciones con clientes de distintos países, escuche sobre la incertidumbre que sienten frente a su nivel de protección ante un ciberataque. Este sentimiento suele estar motivado por las noticias sobre incidentes cibernéticos que afectan a compañías con inversiones tecnológicas envidiables, equipos diversos y altamente calificados, regulaciones cumplidas y procesos bien establecidos, y aun así, sufren ataques exitosos.

Desde hace varios años, existe una estrategia que nos invita a cambiar nuestra forma de pensar, planear, actuar e invertir, con el propósito de anticiparnos a situaciones indeseables. Esa estrategia se llama Gestión del Ciber Riesgo.

Se trata de un enfoque proactivo, en el que las organizaciones están comenzando a invertir entre el 1% y el 5% de su presupuesto. Mientras que, la mayor parte del gasto sigue concentrándose en la protección reactiva (alrededor del 65%) y en la recuperación o resiliencia (aproximadamente el 30%). A pesar de esto, los incidentes siguen ocurriendo, lo que indica que invertir solo en reaccionar nos mantiene en un estado permanente de respuesta, es decir, vivimos esperando actuar únicamente cuando algo falla.

Por su parte, el framework de NIST fue actualizado en febrero de 2024, e incluyó un nuevo componente: la Gobernabilidad, que incorpora precisamente la Gestión del Ciber Riesgo como parte esencial de la estrategia.

Ahora bien, ¿qué se necesita para desplegar esta estrategia? Lo primero que debemos entender es que la gestión del ciber riesgo debe ser continua. Su frecuencia definirá el nivel de madurez de la organización: ¿se hace anualmente, semestralmente, trimestralmente o casi en tiempo real? Entonces, la gran pregunta es: ¿qué nivel de madurez desea para su organización?

El proceso de gestión del ciber riesgo consta de cuatro etapas principales: primero, es fundamental inventariar todos los activos digitales de la organización. Como este es un proceso continuo, no basta con un archivo estático; se requiere una plataforma capaz de actualizar constantemente los activos, como identidades, computadores, servidores y demás recursos, tanto locales como en la nube.

Luego, se deben identificar las vulnerabilidades, amenazas y consecuencias. Esto va más allá de revisar únicamente el software: también implica detectar malas configuraciones o activos digitales que no estén gestionados adecuadamente, ya que representan puntos débiles que los ciberdelincuentes pueden explotar, poniendo en riesgo la operación del negocio.

En tercer lugar, es necesario calcular el riesgo de cada activo digital considerando su contexto. A menudo se cree que el riesgo lo determina el activo por sí solo, pero en realidad también depende de su interacción con otros activos dentro del ecosistema digital de la organización. Y finalmente, se debe mitigar o reducir el nivel de riesgo de cada activo digital, lo que contribuye directamente a disminuir el riesgo general de la organización y fortalece su postura frente a posibles ciberamenazas.

Este enfoque se alinea con una frase famosa del físico y matemático Lord Kelvin: “lo que no se define, no se puede medir. Lo que no se mide, no se puede mejorar. Lo que no se mejora, se degrada siempre”. Cuando este proceso se pone en marcha, se logra el resultado deseado: mejorar.

Si volvemos al sentimiento de incertidumbre de los clientes, podemos concluir que muchas veces proviene del hecho de que están preparados solo para reaccionar, pero no cuentan con la capacidad de conocer y corregir hoy los riesgos que podrían desencadenar un ciber incidente en el futuro.

Los invito a leer el próximo artículo, en el que profundizaremos más sobre esta estrategia.