“Sin entender el riesgo es difícil gestionarlo, el Mapa de Ciber-Riesgos nos ayuda a saber de qué hablamos”

12 noviembre, 2019
12 Compartido 1,030 Visualizaciones
  • ISMS Forum Spain, en colaboración AGERS, ha presentado el Mapa de Ciber-Riesgos en la sede del Grupo Abertis, Madrid. Este es un proyecto que supone una continuación de la GUÍA DE TERMINOLOGÍA DE CIBERSEGURIDAD, publicada en 2017 y la GUÍA TOP TEN CYBER RISKS publicada en 2018, ambas elaboradas entre AGERS e ISMS Forum.
  • Estos trabajos siguen manteniendo el objetivo de facilitar la comprensión del riesgo de la tecnología de la información entre todos los perfiles afectados por este tipo de riesgo.

En la primera pretendíamos hacer comprensibles, para las personas no expertas en las tecnologías de la información, términos utilizados habitualmente. En la segunda guía explicábamos en detalle diez de los principales riesgos tecnológicos, incidiendo en la causa del incidente y las distintas medidas disponibles para evitarlos o minimizarlos.

En esta ocasión, damos un paso adelante en cuanto a la complejidad del análisis, ya que vamos a valorar este tipo de riesgos en función de su probabilidad e importancia. Para esto utilizaremos una herramienta habitual en el análisis de los riesgos: el mapa de riesgos.  Este consiste en una matriz que permite mostrar los riesgos según su probabilidad e impacto. La combinación de estos parámetros da lugar a una clasificación de la importancia de cada riesgo.

La presentación del estudio corrió a cargo de Juan Gayá, Director de Gerencia de Riesgos en El Corte Inglés Seguros; Belén Medina, Responsable de control de riesgos y seguros, Globalvia; Gianluca D’Antonio, presidente de ISMS Forum; y Concepción Cordón, miembro del Comité de la Estrategia de Ciberseguridad Nacional.

Quería daros la bienvenida hoy en las oficinas del Grupo Abertis a la Presentación del Mapa de Ciber-Riesgos para el sector seguros, una iniciativa conjunta ente Agers e ISMS Forum”. Así comenzó la presentación del encuentro Gianluca D’Antonio, presidente de ISMS Forum Spain, para dar paso a Rosana Ramírez Bigordà, Responsable de Control de Riesgos Corporativo en Grupo Abertis, que sentó las bases de la sesión focalizándose en la importancia que tiene contar con un Mapa de Riesgos para monitorizar las operaciones que acometemos y los principales riesgos que pueden derivar, así como la mitigación de los mismos. “Es importante tener una cultura del riesgo, ya que no existe un Mapa de Riesgos único para cada empresa. El mapa no es algo estático, hay que establecer sistemas de monitorización continua y de alertas”, comentó la experta.

Cada organización, en función de múltiples características, puede valorar las consecuencias de un ataque de forma diferente. Un mapa de riesgos es algo dinámico, cambia con el tiempo dentro de una empresa. “Sin entender el riesgo es difícil gestionarlo, el Mapa de Ciber-Riesgos nos ayuda a saber de qué hablamos y a buscar medidas de defensa. Para el estudio, cogimos los 10 riesgos que más podían atacarnos e intentamos cuantificarlos y ver si eran más o menos importantes para la organización. Entendimos que teníamos que abordar los riesgos en el sentido más complejo para poder dedicarle una solución distinta a cada uno”, añadió Juan Gaya.

Por este motivo se han desarrollado dos casos, buscando situaciones relativamente extremas. Por un lado, una empresa con una alta dependencia tecnológica: sin sistemas de información operativos, la actividad se paraliza (venta online de productos informáticos) y, por otro, una empresa más tradicional (un pequeño hotel familiar), cuya actividad principal no se sustenta en los sistemas de información. Cada uno de los lectores de este documento podrá verse más identificado con uno u otro caso.

El Mapa de Riesgos nos permite ordenar en qué tipo de riesgo estamos, qué impacto tiene y cómo lo podemos mitigar, un ejemplo es todo aquel que tiene un impacto alto y una probabilidad remota, en cuyos casos trataremos de transferirlo”, explicó Belén Medina. Sin embargo, la transferencia del riesgo es un tema delicado para las empresas, pues requiere reconocer que no cuentan con los medios necesarios para poder tratar el riesgo, por lo que optan por transferirlo a terceros. “Por parte de los que trabajamos en ciberseguridad la transferencia del riesgo se ve como una derrota, ya que parece que no puedes asumir tus competencias debidamente, pero no es así, hay todavía mucho desconocimiento entre las empresas que proporcionan seguridad y los departamentos de ciberseguridad internos de las organizaciones”, señaló Gianluca D’Antonio.

Lo que más destaca del estudio es que hay dos riesgos comunes independientes del tamaño y el tipo de empresa (grande o pequeña). “La dependencia tecnológica lleva a que los riesgos 5N.1 y el 5N.2 salgan evaluados de la misma manera en probabilidad e impacto, y están asociados a la gestión que se hace en la cadena de proveedores de terceros. Debemos prestar atención a cómo hacemos que el tercero cumpla determinadas cuestiones relacionadas con la seguridad y que incidirán en nuestro negocio”, expuso Concepción Cordón.

El fin último de esta tercera guía es mejorar la gestión del riesgo de una organización, ya sea grande o pequeña, ya que como apuntó Gianluca D’Antonio, “el 46% de ciberataques tienen como objetivo las pequeñas y medianas empresas, que son casi las que más tienen exposición al riesgo”. Los riesgos con alta probabilidad e importancia deben ser especialmente gestionados para reducir al menos uno de estos parámetros. Por este motivo, el documento no termina con la presentación del mapa de riesgos de cada una de las empresas estudiadas, sino con un plan para gestionar los riesgos detectados como los más peligrosos.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Forrester nombra a Thycotic líder en gestión de identidades privilegiadas
Actualidad
23 compartido1,187 visualizaciones
Actualidad
23 compartido1,187 visualizaciones

Forrester nombra a Thycotic líder en gestión de identidades privilegiadas

Vicente Ramírez - 29 noviembre, 2018

  El Informe del Q4 ‘Forrester Wave: Gestión de Identidades Privilegiadas’ evalúa a once fabricantes en base a 35 criterios.…

Mobilelron amplía la integración con Microsoft para soportar el Servicio de Cumplimiento de Dispositivos de Microsoft Intune
Actualidad
17 compartido2,139 visualizaciones
Actualidad
17 compartido2,139 visualizaciones

Mobilelron amplía la integración con Microsoft para soportar el Servicio de Cumplimiento de Dispositivos de Microsoft Intune

Vicente Ramírez - 9 julio, 2019

Los clientes de Microsoft y MobileIron tendrán más opciones de seguridad móvil, con aplicaciones como Office 365. MobileIron, la primera…

Amparo, nueva solución del CCN-CERT para el estudio simplificado de sistemas
Actualidad
18 compartido954 visualizaciones
Actualidad
18 compartido954 visualizaciones

Amparo, nueva solución del CCN-CERT para el estudio simplificado de sistemas

Vicente Ramírez - 11 diciembre, 2019

La solución pretende agilizar el proceso de acreditación de equipos aislados. Esta solución guía al usuario en todos los aspectos…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.