El riesgo cibernético incrementa su protagonismo en la gestión de riesgos corporativa

Las amenazas crecen y las regulaciones presionan

Según los datos facilitados por INCIBE ( Instituto Nacional de Ciberseguridad), España fue el tercer país más atacado del mundo en 2017 con 120.000 incidentes, sólo por detrás de EEUU y Reino Unido, y todo parece indicar que 2018 ha superado esta cifra puesto que al finalizar el mes de agosto se habían gestionado 88.677 incidentes, de los cuales 83.165 (el 94%) corresponden a ciudadanos y empresas y 5.512 (el 6% restante) a la red académica y operadores críticos.

Este incremento de las amenazas junto con la presión que ejerce el cumplimiento del Reglamento General de Protección de Datos (RGPD), vigente desde el 25 de mayo de 2018, ha obligado a las empresas a tomar conciencia de la necesidad de gestionar la ciberseguridad y de definir responsabilidades respecto a ella.

En este escenario de riesgo cibernético y cumplimiento normativo se hace necesario en las organizaciones empresariales la designación de nuevos responsables como el Delegado de Protección de Datos, o el responsable de la seguridad de la información (CISO en sus siglas en inglés)

Por otro lado, observamos que los estándares y las buenas prácticas de seguridad de la información, como ISO 27001, SOC2, el ENS (Esquema Nacional de Seguridad) , y  las recomendaciones EBA ( Autoridad Bancaria Europea) entre otras, señalan a los órganos de dirección de las empresas como los responsables últimos de la gestión del riesgo cibernético, acompañando a los riesgos tradicionales como el tecnológico, el financiero, y el legal.

La firma Allen & Overy LLP y la correduría y consultoría de gestión de riesgos globales Willis Towers Watson han elaborado informe sobre los riesgos y responsabilidades de los directivos. Por primera vez en 2018, han observado que las preocupaciones de los encuestados están dominadas por las amenazas de pérdida de datos y los ciberataques, que aunque no son nuevos, están avanzando rápidamente tal como se aprecia en la siguiente imagen.

En dicho informe destacan algunos datos significativos

  • El 51% de las empresas públicas experimentaron un ciberataque o brecha de información en 2018. Un aumento considerable respecto del 30% que lo hizo en 2017.

  • El 43% de las grandes empresas ha experimentado una demanda legal  relacionada con un director ejecutivo en los últimos 12 meses.

  • El enfoque del cumplimiento legal sobre la responsabilidad de los ejecutivos en materia de ciberserguridad está cambiando su comportamiento. Un 60% dice que este hecho está influenciando en la toma de decisiones de las organizaciones, mientras que la mitad manifiesta que el apetito de riesgo de su compañía está cambiando.

  • La legislación en materia de salud y seguridad física que afecta al negocio de una empresa es ahora una preocupación importante para el 37% de los encuestados, en comparación con sólo el 18% de los encuestados el año pasado.

¿Quien lidera la gestión de la seguridad de la información?

Uno de los mayores desafíos a los que se enfrenta la junta directiva de una organización en relación al tratamiento del riesgo cibernético es determinar quién debe liderar la gestión de la seguridad de la información. En este sentido la empresas se enfrentan al dilema de elegir entre el generalista y  el especialista.

En septiembre de 2018 se publicaron los resultados de una encuesta global de más de 450 compañías en todo el mundo, patrocinada por Willis Towers Watson, que encontró que casi el 40% de los consultados consideraban que la junta directiva debería supervisar el ciber riesgo, mientras que el 24% consideró que debería ser un comité cibernético especializado.

En el informe se recogen estas palabras de Anthony Dagostino, jefe global de riesgo cibernético en Willis Towers Watson: "La ciber resiliencia comienza en la junta directiva, porque entiende el riesgo y puede ayudar a su organización a establecer la estrategia adecuada para mitigar ese riesgo de manera efectiva. Si bien los CISO siendo los especialistas en seguridad, la mayoría aún tiene problemas para traducir adecuadamente las amenazas en un impacto operativo y financiero para sus organizaciones, qué es lo que la junta directiva quiere saber. " En este sentido, y para cerrar esta brecha de comunicación, los CISO necesitan herramientas que puedan ayudarlos a cuantificar y traducir las vulnerabilidades descubiertas en sus evaluaciones de seguridad.

José de la Peña Muñoz Director de la revista SIC, en su artículo “Ciberseguridad corporativa: ¿Quién manda aquí?” también insiste en la idea de que la gestión de la ciberseguridad debe abordarse desde un punto de vista corporativo: “No queda otra que tratar la gestión de la ciberseguridad desde una óptica corporativa (algunos privados empezaron hace años a orientarse en esta línea), porque el riesgo es corporativo y porque los Consejos de Administración son conscientes de sus responsabilidades y, a diferencia de lo que pasaba antes, saben que sus empresas están expuestas a ciberataques y que tienen la obligación de defenderlas

Herramientas de ayuda para gestionar el riesgo

Los consejeros, los ejecutivos y los CISO pueden y deben prepararse para este nuevo enfoque regulatorio sobre su conducta individual, que les define como responsables últimos de los incidentes de ciberseguridad, y por el que pueden llegar a enfrentarse a cuantiosas sanciones. En este aspecto el informe de Allen & Overy y Willis señala los ciber seguros y las indemnizaciones como mecanismos principales para defenderse;  pero ninguno de ellos ayuda a reducir las sanciones derivadas de la conducta deshonesta, fraudulenta o delictiva; y en todo caso siempre es mejor anticiparse y prevenir, para lo que se hace indispensable el desarrollo de un plan de gestión del riesgo cibernético que incluya la evaluación de la seguridad y que garantice la fortaleza y resiliencia de la organización frente las amenazas e incidentes de seguridad.

 Dentro del plan de gestión del riesgo, la calificación de ciberseguridad de LEET Security es una excelente herramienta ya que, por una parte, permite conocer el nivel de capacidades de ciberseguridad, y en consecuencia mitigar la exposición al riesgo, y por otra, demostrar el nivel de seguridad adoptado. Además, con su exigencia a los proveedores, se extiende esta gestión del riesgo a la cadena de suministro, poniendo de manifiesto una debida diligencia, tanto en el tratamiento del riesgo interno como del que se produce en la relación con terceros. Es por ello que adicionalmente puede favorecer también a la reducción del coste de la póliza del seguro.

All you need is LEET

Recibe nuestras comunicaciones desde este enlace