“Sin entender el riesgo es difícil gestionarlo, el Mapa de Ciber-Riesgos nos ayuda a saber de qué hablamos”

12 noviembre, 2019
12 Compartido 1,273 Visualizaciones
  • ISMS Forum Spain, en colaboración AGERS, ha presentado el Mapa de Ciber-Riesgos en la sede del Grupo Abertis, Madrid. Este es un proyecto que supone una continuación de la GUÍA DE TERMINOLOGÍA DE CIBERSEGURIDAD, publicada en 2017 y la GUÍA TOP TEN CYBER RISKS publicada en 2018, ambas elaboradas entre AGERS e ISMS Forum.
  • Estos trabajos siguen manteniendo el objetivo de facilitar la comprensión del riesgo de la tecnología de la información entre todos los perfiles afectados por este tipo de riesgo.

En la primera pretendíamos hacer comprensibles, para las personas no expertas en las tecnologías de la información, términos utilizados habitualmente. En la segunda guía explicábamos en detalle diez de los principales riesgos tecnológicos, incidiendo en la causa del incidente y las distintas medidas disponibles para evitarlos o minimizarlos.

En esta ocasión, damos un paso adelante en cuanto a la complejidad del análisis, ya que vamos a valorar este tipo de riesgos en función de su probabilidad e importancia. Para esto utilizaremos una herramienta habitual en el análisis de los riesgos: el mapa de riesgos.  Este consiste en una matriz que permite mostrar los riesgos según su probabilidad e impacto. La combinación de estos parámetros da lugar a una clasificación de la importancia de cada riesgo.

La presentación del estudio corrió a cargo de Juan Gayá, Director de Gerencia de Riesgos en El Corte Inglés Seguros; Belén Medina, Responsable de control de riesgos y seguros, Globalvia; Gianluca D’Antonio, presidente de ISMS Forum; y Concepción Cordón, miembro del Comité de la Estrategia de Ciberseguridad Nacional.

Quería daros la bienvenida hoy en las oficinas del Grupo Abertis a la Presentación del Mapa de Ciber-Riesgos para el sector seguros, una iniciativa conjunta ente Agers e ISMS Forum”. Así comenzó la presentación del encuentro Gianluca D’Antonio, presidente de ISMS Forum Spain, para dar paso a Rosana Ramírez Bigordà, Responsable de Control de Riesgos Corporativo en Grupo Abertis, que sentó las bases de la sesión focalizándose en la importancia que tiene contar con un Mapa de Riesgos para monitorizar las operaciones que acometemos y los principales riesgos que pueden derivar, así como la mitigación de los mismos. “Es importante tener una cultura del riesgo, ya que no existe un Mapa de Riesgos único para cada empresa. El mapa no es algo estático, hay que establecer sistemas de monitorización continua y de alertas”, comentó la experta.

Cada organización, en función de múltiples características, puede valorar las consecuencias de un ataque de forma diferente. Un mapa de riesgos es algo dinámico, cambia con el tiempo dentro de una empresa. “Sin entender el riesgo es difícil gestionarlo, el Mapa de Ciber-Riesgos nos ayuda a saber de qué hablamos y a buscar medidas de defensa. Para el estudio, cogimos los 10 riesgos que más podían atacarnos e intentamos cuantificarlos y ver si eran más o menos importantes para la organización. Entendimos que teníamos que abordar los riesgos en el sentido más complejo para poder dedicarle una solución distinta a cada uno”, añadió Juan Gaya.

Por este motivo se han desarrollado dos casos, buscando situaciones relativamente extremas. Por un lado, una empresa con una alta dependencia tecnológica: sin sistemas de información operativos, la actividad se paraliza (venta online de productos informáticos) y, por otro, una empresa más tradicional (un pequeño hotel familiar), cuya actividad principal no se sustenta en los sistemas de información. Cada uno de los lectores de este documento podrá verse más identificado con uno u otro caso.

El Mapa de Riesgos nos permite ordenar en qué tipo de riesgo estamos, qué impacto tiene y cómo lo podemos mitigar, un ejemplo es todo aquel que tiene un impacto alto y una probabilidad remota, en cuyos casos trataremos de transferirlo”, explicó Belén Medina. Sin embargo, la transferencia del riesgo es un tema delicado para las empresas, pues requiere reconocer que no cuentan con los medios necesarios para poder tratar el riesgo, por lo que optan por transferirlo a terceros. “Por parte de los que trabajamos en ciberseguridad la transferencia del riesgo se ve como una derrota, ya que parece que no puedes asumir tus competencias debidamente, pero no es así, hay todavía mucho desconocimiento entre las empresas que proporcionan seguridad y los departamentos de ciberseguridad internos de las organizaciones”, señaló Gianluca D’Antonio.

Lo que más destaca del estudio es que hay dos riesgos comunes independientes del tamaño y el tipo de empresa (grande o pequeña). “La dependencia tecnológica lleva a que los riesgos 5N.1 y el 5N.2 salgan evaluados de la misma manera en probabilidad e impacto, y están asociados a la gestión que se hace en la cadena de proveedores de terceros. Debemos prestar atención a cómo hacemos que el tercero cumpla determinadas cuestiones relacionadas con la seguridad y que incidirán en nuestro negocio”, expuso Concepción Cordón.

El fin último de esta tercera guía es mejorar la gestión del riesgo de una organización, ya sea grande o pequeña, ya que como apuntó Gianluca D’Antonio, “el 46% de ciberataques tienen como objetivo las pequeñas y medianas empresas, que son casi las que más tienen exposición al riesgo”. Los riesgos con alta probabilidad e importancia deben ser especialmente gestionados para reducir al menos uno de estos parámetros. Por este motivo, el documento no termina con la presentación del mapa de riesgos de cada una de las empresas estudiadas, sino con un plan para gestionar los riesgos detectados como los más peligrosos.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Así es cómo unos hackers robaron más de 100.000 dólares duplicando una tarjeta SIM
Actualidad
10 compartido1,521 visualizaciones
Actualidad
10 compartido1,521 visualizaciones

Así es cómo unos hackers robaron más de 100.000 dólares duplicando una tarjeta SIM

Alicia Burrueco - 24 septiembre, 2019

El hackeo de tarjetas SIM se ha convertido en uno de los métodos favoritos de los hackers para robar dinero…

🎙#CyberCoffee09 con Alfonso Linares: «Hoy en día es más fácil que te roben en Internet que en la calle»
CyberCoffee
28 compartido3,790 visualizaciones
CyberCoffee
28 compartido3,790 visualizaciones

🎙#CyberCoffee09 con Alfonso Linares: «Hoy en día es más fácil que te roben en Internet que en la calle»

Vicente Ramírez - 19 septiembre, 2019

Si se puede hablar de tendencias dentro del sector de la ciberseguridad, una de las grandes tendencias de presente y…

Radware identifica siete extensiones maliciosas de Chrome que afecta a 100.000 usuarios
APTS
10 compartido1,691 visualizaciones
APTS
10 compartido1,691 visualizaciones

Radware identifica siete extensiones maliciosas de Chrome que afecta a 100.000 usuarios

Mónica Gallego - 15 mayo, 2018

Identifican siete extensiones maliciosas de Chrome con un 'malware' que ha afectado al menos a 100.000 usuarios. Radware, compañía de…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.