Parece que cada día trae consigo nuevas amenazas comerciales. Desde ataques de ciberseguridad cada vez más oportunistas y sofisticados hasta el mayor riesgo asociado con la inversión en nuevas tecnologías, las empresas están pasando apuros.
Una forma de encontrar una estrategia de gestión de riesgos y seguridad que funcione es observar lo que están haciendo otras empresas. Si bien nada puede garantizar un futuro libre de incidentes, existen medidas que puede tomar para ayudar a que su negocio despegue temprano.
Antes de hacer cualquier cosa, solicite una evaluación de riesgos.
Las evaluaciones de peligros no son algo totalmente nuevo, sin embargo, es la mejor manera de comenzar a implementar una estrategia de gestión de peligros. A través de un análisis de peligros obtendrá una tabla de evaluación de peligros. Esta pirámide le indicará qué eventos son de alto riesgo y cuáles de bajo riesgo para su empresa.
Los eventos catastróficos generalmente tienen una alta probabilidad de ocurrir así como un impacto significativo. Lo contrario ocurre con los eventos de bajo riesgo. Sin embargo, un evento de bajo impacto puede ser de gran importancia si sus consecuencias son devastadoras.
Una revisión de peligros hará que sea más fácil identificar, visualizar y priorizar todo lo que necesita para prepararse.
Las tendencias principales entre la seguridad y gestión de riesgos
Gartner, líder en seguridad y gestión de riesgos, publicó recientemente un informe sobre las tendencias de SRM para 2020. Aquí, dividiremos los hallazgos en fragmentos pequeños.
1 – Los marcos de seguridad que utilizan para priorizar las inversiones de seguridad de datos.
Las empresas están convencidas de que la seguridad de la información no se puede solucionar únicamente con la implementación de nuevas tecnologías. Hoy en día ya no basta con adquirir cualquier producto de seguridad e intentar adaptarlo a las necesidades de tu empresa. Tomemos, por ejemplo, un nuevo mecanismo de ataque que consiste en ventanas emergentes falsas de actualización de Adobe Flash Player que se instalan en el kernel y propagan una amenaza a Mac. Este virus es una de las formas más comunes en que los piratas informáticos intentan introducir código malicioso adicional en una Mac y así redirigir la navegación a sitios web de instalación de software no autorizados.
Para garantizar la seguridad de los datos, es necesario desarrollar un plan que cubra los datos y relacione el contexto en el que se crean y utilizan, así como las leyes que los regulan. Los marcos de gobernanza pueden contribuir a la formulación de directrices para la inversión en tecnología de seguridad.
2 – Está creciendo el interés en implementar o madurar centros de operaciones de seguridad (SOC) con un enfoque en la detección y respuesta a amenazas.
La creciente complejidad de los ataques a la ciberseguridad y la sofisticación de las herramientas para combatirlos han llevado a las empresas a subcontratar los servicios de detección y respuesta. Según Gartner, la cantidad de SOC que se modernizarán con capacidades de respuesta integrada, inteligencia de amenazas y búsqueda de amenazas crecerá del 10% en 2015 al 50% en 2022.
3 – Las declaraciones de apetito de riesgo están relacionadas con los resultados del negocio
Los gerentes de seguridad y riesgos dicen que uno de sus mayores desafíos es comunicarse de manera efectiva con los líderes empresariales. Escribir declaraciones de apetito de riesgo en lenguaje empresarial ayuda a involucrar a las partes interesadas al mostrar el efecto de sus políticas de riesgo en sus resultados. Por ejemplo, mostrar cómo asumir demasiados riesgos puede perjudicar sus intereses, o cómo ser demasiado reacio al riesgo puede provocar la pérdida de oportunidades.
4 – SRM ofrecen paquetes cada vez más premium y con servicios de formación
La demanda de profesionales de la ciberseguridad está aumentando, impulsada por la complejidad de los ataques y las medidas de seguridad. Gartner predice una escasez de 1,5 millones de profesionales de la ciberseguridad para 2021. Los SRM ofrecen servicios y paquetes premium como otra forma en que las empresas pueden aliviar sus necesidades de seguridad proporcionando expertos en seguridad dedicados.
5 – Autenticación biométrica basada en hardware y sin contraseña esta en disminución
Las contraseñas son blancos fáciles para los piratas informáticos que utilizan phishing, ingeniería social, relleno de credenciales y malware como los troyanos. El impulso por un futuro sin contraseñas finalmente está ganando fuerza a medida que los métodos de autenticación basados en hardware y la biometría se vuelven más disponibles y precisos.
6 – Cada vez más mercados bursátiles tradicionales adoptan el enfoque CARTA
El enfoque continuamente adaptable a la evaluación de riesgos y la confianza reconoce que no existe una única solución que proporcione una protección perfecta. Las necesidades de seguridad deben reevaluarse constantemente y las medidas de seguridad deben tener algún tipo de adaptabilidad incorporada. Esto es especialmente cierto en el panorama fluido y en constante cambio de amenazas y protecciones. Al adoptar el enfoque CARTA, puede beneficiarse significativamente de la información proporcionada por una matriz de evaluación de riesgos, como se analizó anteriormente.
7 – Las organizaciones están invirtiendo en la seguridad de la nube como su principal plataforma informática.
Casi toda la industria de TI se está migrando a la nube, y la seguridad y la gestión de riesgos no son diferentes. Esto se debe en gran medida al cambio hacia la seguridad centralizada y la gestión de riesgos a medida que aumenta la necesidad de servicios y experiencia personalizados. Las organizaciones deben invertir en herramientas de gobernanza, como agentes de seguridad para el acceso a la nube, así como en personas y talento para asumir responsabilidades y abordar los riesgos.
Las empresas ya no pueden permitirse el lujo de esperar lo mejor en materia de seguridad
Los incidentes globales de ciberseguridad, en particular los ataques de ransomware como WannaCry, han demostrado el impacto muy real que las vulnerabilidades de seguridad pueden tener en las empresas. No podría llegar en peor momento, ya que las empresas enfrentan una escasez de habilidades en ciberseguridad.
Sin embargo, formalizar las medidas de gestión de seguridad y datos a través de marcos de gobernanza, así como trasladar las preocupaciones de seguridad a servicios centralizados, puede ayudar a aliviar la carga.
Si no sabe por dónde empezar, lo cual es comprensible, una evaluación de riesgos puede indicarle la dirección correcta.
