El riesgo es inevitable. Sólo hay que mirar alrededor para ver los obstáculos tecnológicos, económicos y competitivos que los directores de sistemas de información no solo deben gestionar, sino vencer. Una encuesta global de riesgos de PwC revela que el 75% de los líderes de riesgos afirman que las presiones financieras limitan su capacidad para invertir en la tecnología avanzada necesaria para evaluar y controlar los riesgos. Sin embargo, no abordar con éxito el riesgo con un programa eficaz de gestión de riesgos es buscar el desastre.
¿Está haciendo su organización todo lo posible para protegerse de las amenazas internas y externas? Estas reglas básicas pueden ayudarle a asegurarse de que va por el buen camino.
Regla 1. Empezar con un nivel de apetito de riesgo aceptable
Una vez que un CIO entiende el apetito de riesgo de su organización, todo lo demás (estrategia, innovación, selección de tecnología) puede alinearse sin problemas, dice Paola Saibene, consultora principal de la empresa de asesoramiento empresarial Resultant. Pero establecer ese apetito de riesgo, es decir, el nivel de riesgo aceptable en una situación específica, es un reto, ya que muchas organizaciones entienden intuitivamente el riesgo, pero no lo definen explícitamente ni lo comunican de forma estructurada, señala Saibene.
“De hecho, los directores de informática a menudo confunden la gestión de riesgos con el cumplimiento o la ciberseguridad, pero el riesgo es mucho más amplio”, afirma, y aconseja a los responsables de TI que designen a un responsable de riesgos empresariales que pueda ser el mejor aliado del director de informática, ayudando a gestionar los riesgos, acelerar las iniciativas estratégicas y orientar sobre dónde es necesaria la precaución y dónde es posible la rapidez.
La gestión de riesgos es uno de los aspectos más incomprendidos, pero valiosos, del liderazgo, observa Saibene. Cuando los CIO adoptan marcos de riesgo, pueden identificar de forma proactiva los riesgos relacionados con las TI, proponer estrategias de mitigación y colaborar eficazmente con los responsables de riesgos. “Esto no solo refuerza la aceptación de los ejecutivos, sino que también acelera el progreso”, explica.
Regla 2. Inventario de aplicaciones
La regla de gestión de riesgos más importante para cualquier director de sistemas de información es mantener un inventario completo y actualizado de toda la cartera de aplicaciones de la organización, identificando y mitigando de forma proactiva los riesgos de seguridad antes de que puedan materializarse, aconseja Howard Grimes, director general del Cybersecurity Manufacturing Innovation Institute, una red de institutos de investigación estadounidenses centrados en el desarrollo de tecnologías de fabricación a través de asociaciones público-privadas.
Esto puede parecer sencillo, pero muchos directores de sistemas de información no cumplen con esta disciplina fundamental, observa Grimes. “Los riesgos suelen surgir cuando una organización descuida la gestión rigurosa de la cartera de aplicaciones, sobre todo con la rápida adopción de nuevas herramientas basadas en la IA que, si no se controlan, pueden exponer inadvertidamente la propiedad intelectual de la empresa”.
Al carecer de una revisión y racionalización estructurada de las aplicaciones, las organizaciones se vuelven vulnerables a ineficiencias operativas, fallos de cumplimiento y riesgos cibernéticos que aumentan exponencialmente, advierte Grimes. “Los CIO deben adoptar un enfoque proactivo y preventivo, gestionando las aplicaciones empresariales de forma integral para evitar brechas de seguridad antes de que surjan”.
Una de las principales preocupaciones actuales es la rápida adopción de herramientas basadas en inteligencia artificial que, aunque promueven la eficiencia, también suponen un riesgo para la propiedad intelectual de las empresas, afirma Grimes. “Las organizaciones deben implementar mecanismos para proteger la propiedad intelectual y evitar que los datos confidenciales se introduzcan en motores de inteligencia artificial públicos. En muchos casos, las empresas deberían optar por modelos de inteligencia artificial cerrados y patentados que no estén conectados a Internet, garantizando así que los datos críticos permanezcan seguros dentro de la empresa”.
Grimes añade: “Los directores de sistemas de información deben racionalizar todas las aplicaciones, recursos y activos de su empresa, asegurándose de que se eliminan las herramientas redundantes o innecesarias, se abordan de forma proactiva las brechas de seguridad y los empleados no introducen aplicaciones no autorizadas en el ecosistema de TI”. También debe evaluarse cuidadosamente la ampliación del uso de una aplicación más allá de su propósito original, aconseja, ya que hacerlo puede introducir riesgos de seguridad imprevistos. “Además, sin una racionalización frecuente y proactiva de las aplicaciones, el ‘app creep’ puede conducir a ineficiencias, un mayor riesgo cibernético y cargas innecesarias para los equipos de soporte de TI”, afirma.
Regla 3. Ser proactivo
Todo director de informática debe adoptar un enfoque proactivo de la ciberseguridad, recomienda Jonathan Selby, director de prácticas tecnológicas de la consultora de gestión de riesgos Founder Shield. Sugiere crear una cultura en la que la seguridad sea lo primero mediante la formación de los empleados, las actualizaciones de los sistemas y la aplicación de medidas de seguridad integrales, incluido un plan de respuesta a incidentes.
La ciberseguridad es ahora una guerra en varios frentes, afirma Selby. “Ya no podemos permitirnos el lujo de anticiparnos a los ataques que se nos presentan de frente”. Los líderes deben reconocer la interdependencia de un plan sólido de gestión de riesgos: cada nivel del plan desempeña un papel vital. “No es solo una póliza de responsabilidad cibernética la que hace el trabajo pesado, ni siquiera una formación de primera categoría para los empleados lo que constituye tu armadura, es todo”.
La mejor manera de minimizar el riesgo es empezar de arriba abajo, aconseja Selby. “No hay necesidad de reducir la cobertura de responsabilidad cibernética ni de aflojar el plan de respuesta”, afirma. La ciberseguridad debe ser un esfuerzo de todos. “Cada miembro del equipo desempeña un papel vital en la protección de los activos digitales de la empresa”.
Regla 4. Formalizar la gestión de riesgos en toda la empresa
Los directores de informática y sus departamentos ya realizan la gestión de riesgos a diario, así que ¿por qué no formalizar el proceso e integrarlo en el resto del negocio?, pregunta Will Klotz, consultor senior de seguridad de riesgos en GuidePoint Security, una empresa de servicios de ciberseguridad. “Lo mejor es hacer intencionadamente de la gestión de riesgos una parte de la gestión, las decisiones y las operaciones cotidianas”, sugiere.
Al expresar el riesgo en términos que toda la empresa pueda entender, se puede garantizar una priorización adecuada de los proyectos y debates más significativos con las partes interesadas menos técnicas, todo ello mientras se genera confianza en toda la organización, afirma Klotz.
Regla 5. Ser realista
Muchas organizaciones tienen estrategias de gestión de riesgos poco realistas que no abordan los riesgos del mundo real, o cómo se materializan esos riesgos, afirma Brian Soby, director de tecnología y cofundador del proveedor de servicios de seguridad SaaS AppOmni. Soby recomienda poner a prueba el programa de gestión de riesgos actual de la empresa frente a incidentes del mundo real. “Vemos infracciones en las noticias mensualmente, si no semanalmente”, observa. Para cada uno de esos incidentes, tome las circunstancias de la infracción o ataque y aplíquelas a su empresa, aconseja Soby. “¿Acaso el resultado sería que su empresa habría terminado en los mismos titulares?”.
Soby cree que existe una gran desalineación entre los tipos de amenazas y riesgos que las empresas creen que deben mitigar y los riesgos a los que realmente se enfrentan. “Las organizaciones deben evaluar sus programas de gestión de riesgos en relación con la realidad, y la forma más fácil de hacerlo es simplemente comparar el programa de su organización con incidentes reales para ver cuál habría sido el resultado”. Aconseja que se observen los enfoques que otras empresas están adoptando para mitigar el riesgo mediante la formación en seguridad y los controles técnicos. “Compáralos con las brechas del mundo real que estamos viendo”.
Regla 6. Buscar la resiliencia
El enfoque de una empresa debe estar en la resiliencia y en la creación de sistemas que puedan recuperarse rápidamente de cualquier interrupción, dice Greg Sullivan, socio fundador de la empresa de ciberseguridad y gestión de riesgos CIOSO Global, y exdirector de información de Carnival Corp. “Los sistemas resilientes abordan múltiples vectores de amenaza simultáneamente al tiempo que se alinean con las prioridades empresariales”, afirma. “Este enfoque también crea un marco medible con métricas de RTO (objetivo de tiempo de recuperación) y RPO (objetivo de punto de recuperación)”.
Sullivan afirma que los directores de informática suelen cometer el error de invertir en exceso en medidas defensivas y preventivas, descuidando la resiliencia y las capacidades de recuperación. “Esto crea un desequilibrio y una falsa sensación de seguridad”, advierte. “Es primordial que todas las partes interesadas participen en la recuperación y sigan procedimientos de recuperación bien ensayados y comunicados”.
Todas las empresas necesitan un plan actualizado de recuperación ante desastres y continuidad del negocio, aconseja Sullivan. “Estos planes ayudan a crear resiliencia al tiempo que se centran en restaurar los sistemas y una estrategia operativa para mantener las funciones empresariales de misión crítica. Lo más importante es que este plan debe ponerse a prueba y perfeccionarse con regularidad”.
Regla 7. Alinear la gestión de riesgos de TI con los objetivos empresariales
El área de TI nunca debe existir de forma aislada: debe apoyar directamente los objetivos empresariales al tiempo que protege contra las amenazas tecnológicas relevantes, afirma John Bruce, CISO de la empresa global de ciberseguridad Quorum Cyber.
Una fuerte alineación entre TI y negocio garantiza que las inversiones en TI aporten valor empresarial en lugar de solo capacidades técnicas, afirma Bruce. “Cuando los objetivos empresariales y de TI están sincronizados, las organizaciones toman decisiones de riesgo más inteligentes, asignan los recursos de manera más eficaz y obtienen el apoyo de los ejecutivos”, explica. “Este enfoque transforma la tecnología de un centro de costes a un facilitador de negocios”.
Bruce recomienda establecer una estructura formal de gobernanza de riesgos que incluya el patrocinio ejecutivo. “Al desarrollar registros de riesgos que vinculen los riesgos tecnológicos con los impactos empresariales, y utilizar métricas centradas en el negocio que los ejecutivos puedan entender, el CIO puede establecer un comité de riesgos interfuncional con las partes interesadas del negocio para llevar a cabo revisiones periódicas de los riesgos”, afirma.
Leave a Reply