En la actualidad, las empresas enfrentan un reto mayúsculo: los ataques cibernéticos, que buscan explotar al máximo las vulnerabilidades de las organizaciones. En este contexto, saber cómo gestionar los riesgos de ciberseguridad es imprescindible.

Hoy en día, el incremento de los ataques cibernéticos es inminente. De acuerdo con Kaspersky, en América Latina crecieron en un 59 % entre 2016 y 2017. Asimismo, los ataques son cada vez más sofisticados, potentes y con mayor alcance e impacto. Ante el crecimiento de los ciberdelicuentes, las compañías, sean grandes o pequeñas, se ven en la obligación de convertirse en ciberseguras.

Para alcanzar tal condición, deberán cumplir algunos requisitos, como implementar elementos técnicos en sus infraestructuras de TI que no permitan accesos no autorizados o pérdidas de importante información. Otra medida fundamental a tomar en cuenta es gestionar los riesgos de ciberseguridad.

¿Cuáles son estos riesgos y cómo gestionarlos?

Los riesgos de ciberseguridad, por lo general, están vinculados a intrusiones, phishing, contagio de algún tipo de código malicioso, entre otros. La gestión de riesgos de ciberseguridad se debe entender como «uno de los pilares fundamentales para salvaguardar la confidencialidad, disponibilidad e integridad de los activos de información, infraestructuras críticas y datos personales en el ciberespacio».

Para que una empresa consiga gestionar con éxito cada riesgo, deberá acudir a algunas normas, como el FFIEC, NIST, ISO 31000:2018 o el ISO/IEC 27005:2001. Todas ellas ofrecen un marco de referencia para el estudio, identificación y mitigación de los riesgos de ciberseguridad.

«Según estas normas, para determinar estos riesgos se debe establecer un alcance sobre la base de los procesos core del negocio«. Tras fijar dicho alcance, la compañía debe crear un inventario de sus activos (con sus respectivos propietarios) y realizar una evaluación de los mismos teniendo en cuenta la confidencialidad, disponibilidad e integridad.

Posteriormente, se ejecuta la detección de las amenazas, así como de las vulnerabilidades. «Luego se definen los criterios de aceptación de los riesgos y se realiza el cálculo de cada uno considerando el impacto y la probabilidad de ocurrencia«, señala el académico. Este proceso culmina con la asignación de propietarios de los riesgos y con el plan de tratamiento de los mismos.

La gestión de riesgos de ciberseguridad se presenta como una medida obligatoria para cualquier organización si desea sobrevivir en el tiempo y progresar. Su importancia radica en que no solo protegerá los activos de mayor valor de una empresa, sino que, a través de su ejecución, también conseguirá cuidar la reputación de la misma.