En un contexto donde reina la inestabilidad, la ambigüedad, la complejidad y la volatilidad provocada por la pandemia de COVID-19, además de la guerra, el alza en las tasas de interés, el incremento en precios y, por consiguiente, un alza en la inflación, las empresas han acelerado el crecimiento y la implementación en el uso de nuevas tecnologías y la transformación de sus operaciones hacia una forma digital, sin embargo, se encuentran expuestas a riesgos de ciberataques que ponen en riesgo la continuidad de sus operaciones.
Se estima que las amenazas de ciberseguridad le costaron al mundo cerca de 6 billones de dólares, durante el 2021. Los países más afectados, por el tamaño de mercado, en América Latina son Brasil y México. De acuerdo con un estudio de PWC, más del 50% de las empresas entrevistadas espera que los ciberataques aumenten en 2022. El foro económico mundial, en su estudio de riesgos globales, sitúa al riesgo de ciberseguridad justo después de los riesgos medioambientales y sociales, es decir, en el lugar 7 para los próximos 5 años. Por otro lado, la empresa KPMG, en un estudio que publicó el pasado 3 de agosto sobre riesgos, menciona que el 55% de las empresas entrevistadas indican que los ataques cibernéticos tienen mayor probabilidad de ocurrir, así que el tema de ciberseguridad es relevante para todos.
¿Cuántas veces en el portal de tu institución financiera o en la aplicación que utilizas comúnmente, te han negado la entrada a su portal (banco, redes sociales, seguros, Fintech) argumentando que está en mantenimiento?, Muchas veces es verdad, sin embargo, en otras muy probablemente están siendo atacadas y deben bloquear accesos para actualizar la aplicación, así que lo mejor es implementar la administración de riesgos e incluir estándares internacionales como ISO 27000. Aquí te dejo algunas recomendaciones para mejorar tu seguridad, siguiendo el proceso de administración de riesgos:
1. Contextualiza
2. Identifica
3. Mide
4. Evalúa
5. Actúa y controla
6. Monitorea y
7. Comunica
Veamos cada punto con detalle:
1. Contextualiza. Se refiere a entender en donde se encuentra la empresa a analizar y en esta parte se busca entender su estrategia y sus objetivos;
2. Identifica. En esta etapa se busca identificar los puntos débiles que tiene la empresa y sus fortalezas. Aquí se busca encontrar los factores que podrían ocasionar un problema, un acceso no permitido, o el robo de información.
Los tipos de ciber ataques los podemos clasificar como: Malware o inserción de software o programas maliciosos; la suplantación de identidad (Phishing), por medio de correo electrónico, mensajes de texto o canales de comunicación; ramsonware que bloquean los accesos a la red, secuestran la información y buscan extorsión; defacement, donde se duplica una página original y se busca robar información, atacar al intermediario, interrumpir el tráfico y filtrar los datos.
3. Mide. En esta etapa se cuantifica el impacto y frecuencia de cada factor de riesgo.
4. Evalúa. En esta parte se estima la probabilidad y la ocurrencia de los posibles riesgos, se evalúan las vulnerabilidades y las amenazas, y se busca definir la prioridad de la acción mitigadora.
5. Actúa y controla. En esta etapa es importante que se consideren acciones como la de asumir el riesgo, reducirlo por medio de controles esquemas de cultura organizacional donde se dé a conocer acciones de protección, eliminarlo o transferirlo. En este último es donde entran los seguros. Actualmente podemos ver en el mercado algunos seguros cuyas coberturas cubren daños a terceros, gastos de investigación y notificación a los afectado por los ataques, de igual forma podemos ver seguros contra pérdidas directas, coberturas legales, incidentes de ciberseguridad como la extorsión o el hackeo
6. Monitorea. En esta etapa se busca establecer controles que permitan ser medidos y controlados de forma continua
7. Comunica. En esta fase se tiene que dar aviso de cualquier situación de ataques para tomar las decisiones necesarias.
El riesgo de ciberataques está siempre latente y cualquier empresa puede ser víctima de estos hackeos, ataques o amenazas. Sólo nos queda protegernos, capacitarnos ante nuevas formas de ataques y administrar correctamente los riesgos.El autor es Profesor de Tiempo Completo de la Escuela de Negocios del Tecnológico de Monterrey, Adscrito al Think Tank Financiero. Es Líder Académico en Finanzas de la Vicerrectoría de Educación Continua.