RSA ha definido un nuevo marco de trabajo diseñado para que las compañías puedan catalogar y establecer prioridades en materia de riesgos cibernéticos. Este marco, publicado en un informe realizado por RSA con el apoyo de Deloitte Advisory Cyber Risk Services, proporciona a las organizaciones una nueva forma no sólo de integrar el riesgo cibernético en su apetito de riesgo global, sino de definir el nivel de riesgo cibernético que están dispuestos a aceptar en el contexto de la estrategia general de la empresa.
El informe, titulado “Cyber Risk Appetite: Defining and Understanding Risk in the Modern Enterprise”, señala que las organizaciones necesitan un proceso sistemático para definir y clasificar de forma global las fuentes de riesgo cibernético, una nueva forma de identificar los principales colaboradores y propietarios de los riesgos, y una nueva forma para calcular el apetito de riesgo cibernético.
En primer lugar, tienen que redefinir el término “riesgo cibernético”. El término va más allá de ataques planificados contra sistemas de información. Mientras que los ataques son una parte importante de la ecuación, el riesgo cibernético abarca una gama más amplia de las situaciones que conducen a potenciales pérdidas o daños relacionados con la infraestructura técnica del uso de la tecnología dentro de una organización.
El documento ofrece un marco práctico para hacer inventario y clasificar los riesgos cibernéticos desde diferentes perspectivas. El riesgo cibernético podría ser el resultado de ataques maliciosos deliberados, tales como un hacker que ejecute un ataque con el objetivo de poner en peligro información confidencial. También podrían ser no intencionados, tales como un error del usuario que deja un sistema no disponible temporalmente. Los eventos de riesgo pueden provenir de fuentes externas a la organización, tales como ciberdelincuentes o partners de la cadena de suministro, o de elementos dentro de la organización como empleados o contratistas.
Para evaluar de forma eficaz su apetito de riesgo cibernético, el informe recomendó que las organizaciones hagan un inventario exhaustivo de estos riesgos, cuantifiquen su impacto potencial y establezcan prioridades. Las empresas se deben hacer las preguntas correctas, como por ejemplo qué pérdidas serían catastróficas y qué información no puede caer bajo ningún concepto en manos equivocadas o hacerse pública. Deben establecer prioridades de los riesgos en función del impacto, situando los sistemas de funcionanmiento críticos para el negocio por delante de elementos como la infraestructura básica y el ecosistema extendido (aplicaciones de gestión de la cadena de suministro y portales de partners). Establecer un orden de prioridades debe ser un proceso continuo que implique una constante evaluación y revaluación.
El informe concluyó que la capacidad de una organización para cuantificar el riesgo cibernético y tomar decisiones informadas sobre su apetito de riesgo cibernético les facilitará el éxito. Algunos de los costos pueden ser fácilmente cuantificados: costos que incluyen multas, honorarios legales, pérdida de productividad y respuesta a incidentes. Otros costos pueden ser más difíciles de determinar, como una imagen de marca depreciada, y la pérdida de la propiedad intelectual. Las organizaciones necesitan desarrollar la capacidad de demostrar que las inversiones que están realizando se alinean con los riesgos a los que enfrentan.
-IDG.es