La Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, ha presentado, en colaboración AGERS, el Mapa de Ciber-Riesgos.
Se trata de un proyecto destinado a facilitar la valoración de este tipo de riesgos informáticos en función de su probabilidad e importancia. Para ello utiliza una matriz (el mapa de riesgos), que permite mostrar los riesgos según su probabilidad e impacto. La combinación de estos parámetros da lugar a una clasificación de la importancia de la amenaza.
Según informan sus autores, este proyecto supone la continuación de las anteriores Guías de terminología de Ciberseguridad", de 2017 y la "Top Ten Cyber Risks", de 2018, ambas elaboradas entre AGERS e ISMS Forum, cuyo objetivo era facilitar la comprensión del riesgo de la tecnología de la información entre todos los perfiles afectados por este tipo de riesgo. La primera, destinada a hacer comprensibles, para las personas no expertas en las tecnologías de la información, términos utilizados habitualmente y la segunda dedicada a explicar en detalle diez de los principales riesgos tecnológicos, incidiendo en la causa del incidente y las distintas medidas disponibles para evitarlos o minimizarlos.
La presentación de esta nueva Guía corrió a cargo de Juan Gayá, Director de Gerencia de Riesgos en El Corte Inglés Seguros; Belén Medina, Responsable de control de riesgos y seguros, Globalvia; Gianluca D'Antonio, presidente de ISMS Forum y Concepción Cordón, miembro del Comité de la Estrategia de Ciberseguridad Nacional.
Un mapa dinámico, que requiere monitorización continua
Rosana Ramírez Bigordà, Responsable de Control de Riesgos Corporativo en Grupo Abertis, sentó las bases de la sesión focalizándose en la importancia que tiene contar con un Mapa de Riesgos para monitorizar las operaciones que acometemos y los principales riesgos que pueden derivar, así como la mitigación de los mismos. “Es importante tener una cultura del riesgo, ya que no existe un Mapa de Riesgos único para cada empresa. El mapa no es algo estático, hay que establecer sistemas de monitorización continua y de alertas”, comentó la experta.
Cada organización, en función de múltiples características, puede valorar las consecuencias de un ataque de forma diferente. Un mapa de riesgos es algo dinámico, cambia con el tiempo dentro de una empresa. “Sin entender el riesgo es difícil gestionarlo, el Mapa de Ciber-Riesgos nos ayuda a saber de qué hablamos y a buscar medidas de defensa. Para el estudio, cogimos los 10 riesgos que más podían atacarnos e intentamos cuantificarlos y ver si eran más o menos importantes para la organización. Entendimos que teníamos que abordar los riesgos en el sentido más complejo para poder dedicarle una solución distinta a cada uno”, añadió Juan Gaya.
Por este motivo se han desarrollado dos casos, buscando situaciones relativamente extremas. Por un lado, una empresa con una alta dependencia tecnológica: sin sistemas de información operativos, la actividad se paraliza (venta online de productos informáticos) y, por otro, una empresa más tradicional (un pequeño hotel familiar), cuya actividad principal no se sustenta en los sistemas de información. Cada uno de los lectores de este documento podrá verse más identificado con uno u otro caso.
“El Mapa de Riesgos nos permite ordenar en qué tipo de riesgo estamos, qué impacto tiene y cómo lo podemos mitigar, un ejemplo es todo aquel que tiene un impacto alto y una probabilidad remota, en cuyos casos trataremos de transferirlo”, explicó Belén Medina. Sin embargo, la transferencia del riesgo es un tema delicado para las empresas, pues requiere reconocer que no cuentan con los medios necesarios para poder tratar el riesgo, por lo que optan por transferirlo a terceros. “Por parte de los que trabajamos en ciberseguridad la transferencia del riesgo se ve como una derrota, ya que parece que no puedes asumir tus competencias debidamente, pero no es así, hay todavía mucho desconocimiento entre las empresas que proporcionan seguridad y los departamentos de ciberseguridad internos de las organizaciones”, señaló Gianluca D’Antonio, presidente de ISMS Forum.
Riesgos comunes, con independencia del tamaño de la empresa
Lo que más destaca del estudio es que hay dos riesgos comunes independientes del tamaño y el tipo de empresa (grande o pequeña). “La dependencia tecnológica lleva a que los riesgos 5N.1 y el 5N.2 salgan evaluados de la misma manera en probabilidad e impacto, y están asociados a la gestión que se hace en la cadena de proveedores de terceros. Debemos prestar atención a cómo hacemos que el tercero cumpla determinadas cuestiones relacionadas con la seguridad y que incidirán en nuestro negocio”, expuso Concepción Cordón.
El fin último de esta guía es mejorar la gestión del riesgo de una organización, ya sea grande o pequeña, ya que como apuntó Gianluca D’Antonio, “el 46% de ciberataques tienen como objetivo las pequeñas y medianas empresas, que son casi las que más tienen exposición al riesgo”. Los riesgos con alta probabilidad e importancia deben ser especialmente gestionados para reducir al menos uno de estos parámetros. Por este motivo, el documento no termina con la presentación del mapa de riesgos de cada una de las empresas estudiadas, sino con un plan para gestionar los riesgos detectados como los más peligrosos.
El documento se encuentra disponible en la web: www.ismsforum.es