Los factores tradicionales de gestión de riesgos incluyen la categorización de amenazas, evaluar probabilidades de que suceda un ataque y estimar los daños en caso de no mitigación. Pero, ¿cómo puede valorar alguien las posibilidades de que ocurra un sofisticado ataque en su organización en un año determinado?
Lo cierto es que todas las empresas luchan con esos grandes problemas de estimación, pero hay muchos otros factores que afectan a la gestión de riesgos. Veamos una decena de ellos:
Prevenir vs no hacer nada
Muchas compañías se debaten entre tener un programa de evaluación de riesgos o, directamente, no hacer nada, sobre todo si la empresa no ha tenido antes un incidente. Realmente, no hacer nada es más barato y muchos ven la aplicación de estas estrategias como una pérdida de dinero. Y, es que, es mucho más difícil luchar para ser proactivo que esperar a que suceda el daño y abordarlo.
Riesgo político
La toma de riesgos proactiva conduce al llamado riesgo político. Los directivos proactivos que tienen éxito y aplican políticas de mitigación para que lo malo nunca ocurra se encuentran con que al final no sucede nada. Es decir, han ganado la partida pero nadie lo sabe porque no se ha producido ningún ataque.
Cuando no está controlado el riesgo al 100%
Muchos de los controles y mitigaciones que se dicen que se implementan no llegan al 100%, Los ejemplos más comunes son los parches y las copias de seguridad. La epidemia actual de ransomware ha dejado al descubierto que la mayoría de organizaciones no hacen buenas copias de seguridad. Sólo se necesita un ataque exitoso para comprobar este hecho.
Riesgo institucionalizado: “siempre lo hemos hecho así”
Es muy difícil argumentar en contra de la frase “siempre lo hemos hecho de esta manera”, sobre todo si la empresa no ha recibido ataques. Muchas compañías, incluso, nunca cambian sus contraseñas.
Riesgo de interrupción operacional
Cada política de control puede causar problemas operativos. Es mucho más probable que un empleado sea despedido por interrumpir las operaciones de su compañía que por prevenir de manera proactiva algún riesgo.
Riesgo de insatisfacción de los empleados
Ningún gestor de riesgos quiere enfadar a sus empleados. Para hacerlo, sólo basta con implementar una restricción de acceso a ciertas páginas de Internet. Pero, los usuarios finales son responsables de más del 70% de las violaciones de datos que se producen.
Riesgo de insatisfacción del cliente
Nadie quiere implementar una política o procedimiento que cause malestar en los clientes. Por ejemplo, las compañías de tarjetas de crédito están más preocupadas por negar accidentalmente una transacción legítima que por detener el fraude. No quiere decir que no se preocupen por ello, pero están a un nivel que consideran sostenible a largo plazo.
Riesgo de vanguardia
Estar a la vanguardia en ciberseguridad puede ser objeto de ser mirado como un ‘bicho raro’. Los pioneros en adoptar medidas rara vez son recompensados por ello. A menudo se convierten en las lecciones aprendidas que facilitan adoptar tácticas mejoradas.
Riesgo de pérdida de tiempo
Casi siempre se mira de reojo a lo que pasa en la competencia para, después, tomar medidas. Se esperan a ver qué trucos tienen bajo la manga para después tomar medidas. O, también, esperan a que actúen los ciberatacantes.
“No se puede hacer todo bien”
El año pasado se anunciaron más de 16,000 vulnerabilidades públicas. Y se conocen más de 100 millones de programas de malware únicos. Hay mucho de lo que preocuparse y no hay manera de defenderse de tal tamaño de amenazas.