Las organizaciones son cada vez más conscientes de la importancia del riesgo de la tecnología. Las noticias sobre problemas de seguridad de la información como hackeos, filtraciones de datos, ransomware (secuestro de datos) o ciberataques han crecido exponencialmente en los últimos años.
Según la firma IdentityForce, entre enero y septiembre de 2019, se expusieron 7,9 mil millones de registros, representando un aumento del 33% respecto al año anterior. Una de las violaciones de datos recientes más conocidas, por ejemplo, fue en 2020 el hallazgo de las credenciales de más de 500.000 cuentas de Zoom que estaban a la venta en la conocida como “dark web”.
Por tanto, para nadie ya pasa desapercibido que el riesgo de la tecnología es real, crucial para las operaciones de la organización y debe abordarse. Ahora bien, no se puede identificar ese riesgo de la tecnología únicamente como el riesgo cibernético. Analizamos por qué.
¿Es más amplio el riesgo de la tecnología que el riesgo cibernético?
El riesgo de la tecnología se refiere a cualquier riesgo de pérdida financiera, interrupción de las operaciones o daño a la reputación de una organización como resultado de un fallo o problema de sus sistemas de tecnología de la información. Y el riesgo cibernético es un subconjunto del riesgo tecnológico.
Los profesionales de TI suelen tener un conocimiento técnico muy bueno del riesgo cibernético y de los sistemas tecnológicos empleados en la organización. Sin embargo, generalmente solo se enfocan en los impactos inmediatos de las violaciones de datos, como la cantidad de registros expuestos y la solución de la causa de la violación. Y no abordan los riesgos que para el funcionamiento del negocio tiene la tecnología.
Así, los impactos negativos que supone ese riesgo cibernético son más amplios y, por lo general, están fuera del alcance del Departamento de TI:
- La continuidad del negocio.
- Responsabilidad de terceros.
- Afectación a la reputación.
- Cumplimiento normativo.
Minimizar, por ejemplo, el tiempo de inactividad ante un ataque cibernético, son consecuencias sobre las que un Departamento de TI relativamente eficaz puede actuar. Esto no implica que el ataque no genere costes y que el daño a la reputación sea irreversible, por mencionar solo dos de los impactos relacionados.
Comprender y gestionar el riesgo de la tecnología de forma eficaz requiere un enfoque integral centrado en el negocio u organización, y no solo que el área de TI tenga la capacidad de disminuir los impactos del riesgo cibernético.
El riesgo de la tecnología va más allá del riesgo cibernético ¿Cómo ayudan los profesionales en #SeguridadInformación a prevenir los riesgos? #SGI #ISO27001 Clic para tuitear¿Cómo comprender y gestionar el riesgo de la tecnología de manera eficaz?
Tras el análisis anterior, la conclusión es que los profesionales en el área de TI tienen un conocimiento técnico extenso y profundo, pero que no cuentan con las competencias, las herramientas y el conocimiento sobre gestión de riesgos y comprensión de un fenómeno tan complejo como el riesgo de la tecnología y su alcance, como para garantizar la seguridad y la tranquilidad que la organización y sus clientes, empleados, proveedores y asociados necesitan.
Y esto sucede en gran parte, porque no han sido formados para esta tarea, que es diferente a la gestión técnica, casi científica, y porque su enfoque va hacia la reacción y no hacia la prevención. Ellos piensan en el impacto inmediato tras la ocurrencia de la violación.
Por supuesto, los seguros podrían ser una respuesta a algunos de los problemas generados tanto por el riesgo de la tecnología como por el riesgo cibernético. Pero, ¿hasta dónde resultan efectivos y a qué coste?
Es necesario pensar en los seguros contra el riesgo cibernético como algo similar a la responsabilidad civil y como una forma de protección para mitigar el impacto financiero del riesgo, pero no como una medida de protección real, sobre todo en lo que relacionado con el cumplimiento normativo y con la posible erosión de la reputación y el buen nombre.
Pero, además de lo mencionado, encontramos otros frentes en los que los servicios de una aseguradora se tornan inoperantes:
- Parálisis financiera ocasionada por la imposibilidad de operar, ocasionada por algún impedimento para acceder a los datos, a la red o a la información en general.
- Todas las estrategias comerciales se detienen, incluso el lanzamiento de nuevos productos, la implementación de software, y el despacho de productos.
- Las noticias sobre la violación se propagan rápidamente a través de redes sociales, afectando negativamente la reputación de la organización.
Al final, es evidente la necesidad de contar con profesionales especializados en riesgos, como principales determinadores en la toma de decisiones sobre la gestión del riesgo de la tecnología como del riesgo cibernético.
Este tipo de profesionales requerirán un marco apropiado para abordar los riesgos, y el más adecuado sin duda será ISO 27001 estándar internacional para la Gestión de la Seguridad de la Información.
Diplomado de Seguridad de la Información ISO/IEC 27001
La implementación de un Sistema de Gestión de Seguridad de la Información requiere contar con profesionales expertos en el tema y en la norma. Una opción es contratar consultores externos, pero otra, un poco más rentable si tenemos en cuenta la transferencia de conocimiento, es formar profesionales al interior de la organización que comuniquen y socialicen el conocimiento para beneficio a largo plazo.
El Diplomado de Seguridad de la Información ISO/IEC 27001 es el programa de la Escuela Europea de Excelencia, diseñado para dotar a los alumnos del conocimiento, competencias, habilidades y herramientas necesarios para implementar, certificar, auditar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información basado en la norma internacional ISO 27001.
Hoy, cuando la información es el mayor activo que posee una organización, este programa se convierte en una plataforma de lanzamiento para tu carrera hacia los más altos niveles. Proyecta tu carrera ahora.
Pero antes, no dejes de consultar si puedes beneficiarte de una de las becas de nuestro programa Excellence.
