Durante 2020, el Instituto Nacional de Ciberseguridad (INCIBE) gestionó 133.155 incidentes de ciberseguridad en España. Las empresas son las más afectadas por este tipo de incidentes que no dejan de ganar en complejidad técnica (nuevos ataques, nuevas técnicas y nuevas tecnologías). A nivel corporativo, dichos riesgos van más allá de lo evidente, y tienen también mucho que ver con cómo las organizaciones integran la ciberseguridad en su cultura y su estrategia de negocio.
“La ciberseguridad ya no es solo tecnología. Los líderes de seguridad involucran cada vez más a los líderes empresariales y a sus equipos en la mejorar la resiliencia cibernética de la organización. Además, obtener el máximo valor de cada euro invertido en ciberseguridad es cada vez más importante”, señala Claudia Piccirilli, Product Director, Cyber Analytics, Willis Towers Watson.
A la hora de reforzar la ciberseguridad de la empresa, es tan necesario identificar las vulnerabilidades críticas como estar seguro de que la inversión en seguridad respalda la estrategia corporativa y proporciona el mayor retorno posible. Es aquí donde encajan las evaluaciones técnicas de ciberriesgos, pensadas para respaldar la labor de quienes toman las decisiones y cimentar una respuesta adecuada ante el riesgo. Este tipo de evaluaciones tienen cuatro grandes ventajas:
Además de aclarar qué vulnerabilidades tiene la organización, las evaluaciones técnicas de ciberriesgos también ayudan a entender la capacidad real de la empresa para recuperarse tras un ataque. Y es que son clave tanto para la gestión de riesgos cibernéticos como para la gestión de riesgos empresariales.
Durante una evaluación técnica de los ciberriesgos, generalmente, se clasifican los riesgos en función de su gravedad y probabilidad, se definen las amenazas y las vulnerabilidades de la empresa para cada una de ellos y se detallan los daños financieros y de reputación que podrían derivarse de los incidentes.
Lo más importante a la hora de hacer una evaluación técnica de los ciberriesgos de la empresa es entender qué datos e infraestructura se tienen y cuál es su valor. Es decir, la organización debe conocer qué datos recopila, dónde los almacena y durante cuánto tiempo, quién tiene acceso a ellos y cómo se documentan los procesos a los que se someten dichos datos. A partir de ahí, la evaluación técnica de ciberriesgos se puede desarrollar en siete pasos, según nuestra experta.
“Si proteger los activos cuesta más de lo que valen, es posible que no tenga sentido implementar acciones de control o mitigación específicas”, concluye Claudia Piccirilli, de Willis Towers Watson. “La clave está en reconocer el coste de la prevención frente al valor de los activos y así poder priorizar. La realización de evaluaciones técnicas de ciberriesgos permitirá alinear la estrategia corporativa con la de ciberseguridad”.