Inicio / Seguridad / Cómo trabajar las políticas de riesgo en una empresa

Cómo trabajar las políticas de riesgo en una empresa

Cada vez más riesgos, y más complejos, acechan a la tecnología. Esto es algo que las empresas no tienen que dejar pasar por alto, por lo que no solo deberán llevar a cabo un control cada vez riguroso sino que tendrán que incorporar su gestión como un pilar estratégico del negocio.

Cómo hacerlo fue expuesto por diferentes ponentes en la jornada “Ciberseguridad en la empresa” que llevaron a cabo la APD y AON España, con la colaboración de ISMS Forum en Madrid.

Mucho se está hablando de la inseguridad que conlleva el Internet de las Cosas, la gran amenaza. Lo dicen hasta los propios fabricantes de seguridad y lo recordaba Gianluca D´Antonio, presidente de ISM Forum y CIO del Grupo FCC, en su ponencia “Ciberseguridad en la estrategia de la empresa”: cuando compramos cualquier producto tecnológico, independientemente de su tamaño o de su utilida, nos fijamos en todo menos en la seguridad. ¿Tenemos en cuenta si esas conexiones contienen un firewall? La respuesta es negativa, advertía. ”Depositamos nuestra confianza digital en determinados productos que nos llegan con la transformación digital, en servicios que pueden verse alterados por alguien sin avisar”. Y es que tal y como manifiesta, “hablar de transformación digital sin hablar de sus riesgos nos va a llevar a una jungla digital, sobre todo si tenemos en cuenta que en las empresas digitales el riesgo no se mitiga comprando un cortafuegos. Hay que cubrir todo el ciclo de vida del dato”, recomienda, sin olvidar la confidencialidad, la auditabilidad y la disponibilidad, ni la trazabilidad y la confidencialidad porque, tal y como dijo: “la gestión de riesgos debería estar embebida en todas las etapas”.

“En el mundo digital pueden acceder a nuestros sistemas personas de las que no podemos tener confianza”, observó. Sin embargo, cuando se establecen relaciones de confianza, los negocios se llevan a cabo de una manera mucho más rápida, al tiempo que disminuyen los gastos. Pero a medida que vamos teniendo problemas de seguridad, vamos perdiendo la misma, por lo que según Gianluca D´Antonio, lo más recomendable es incluir sistemas de seguridad en todos los ámbitos y todas las etapas, ya que si los proveedores no cuentan con este control, no sirve de nada solo con el nuestro”. También recomendó no aplicar la seguridad como un parche porque, además de caro no resulta efectivo y no funciona. Y contar con mayores precauciones en el móvil, donde llevamos toda nuestra vida , así como formar a un mayor perfil de trabajadores en esta materia en la que existe una gran demanda de profesionales que no se cubre.

La tecnología como facilitador de la gestión corporativa de riesgos

Carmen Segovia, directora de ciberriesgos de AON, sostuvo que la gestión del ciberriesgo no es un problema técnico del área de IT sino que debe dividirse en el seno del sistema deAdministración.

En el horizonte presentó varios desafíos: trabajar  las políticas del riesgo correctamente y hacer que sean conocidas por todos los empleados. Matener un mínimo de servicio con los clientes frente a una brecha de seguridad. Detectar, valorar y neutralizar posibles amenazas. Dar respuesta a las mismas, trasladando la cultura de la seguridad a toda la organización ya que los empleados tecnológicos tienen que ser conscientes de que pueden ser engañados.

Bajo todo esto, Carmen Segovia plantea que la dirección asuma nuevas responsabilidades. El CEO tiene que pensar en un nuevo paradigma y prepararse ante un posible ataque. Pero para ello se le requiere un fuerte liderazgo, con el fin de dar una respuesta eficaz ante el ataque, al ser la piedra angular a la hora de desarrollar una cultura de seguridad, coordinando la comunicación entre todas las figuras implicadas en el ataque.

El director financiero es otro elemento clave, según la directive, ya que también tiene que tener en cuenta la importancia de prevenir, porque en las brechas de seguridad se busca información sobre dinero, apunta. En este sentido, dicha figura tiene que ser muy active, al estar de cara a sus clientes.

Aunque, en su opinión, es el CISO el que más peso está cogiendo en este sentido, siendo quien debe alinear los esfuerzos con los objetivos estratégicos del negocio.

Las contraprestaciones de la tecnología

En un momento en el que hemos pasado del dato estático al data emotion en una sociedad conectada para hacernos la vida más fácil, ¿cuáles son las implicaciones que esto conlleva?

El desarrollo de la tecnología está llegando a límites insospechados a la hora de facilitarnos la vida pero ¿cuál es la contraprestación a cambio? No sentirnos todo lo seguros o con la privacidad que desearíamos, asi lo afirma Juan Miguel Manzanas, comisario general de la policía judicial del Ministerio de Interior. No en vano, y tal y como recuerda, muchas veces tenemos que aceptar las condiciones que las aplicaciones nos imponen para no quedarnos desfasados y en muchos casos no prestamos atención a lo importante que es nuestra información.

Y, aunque Alberto Gómez, chief technology officer del Grupo Barrabés, reconoce que los usuarios no estamos en una posición fuerte, más allá de aceptar o denegar, hay compañías que se posicionan como garantes de datos de carácter personal.

José Ramón Monleón, chief information security officer de Orange España reconoce que, gracias al big data, el cliente se ha convertido en el producto-”Todo está conectado”, dice, “confiamos en quien nos vende los dispositivos relacionados con el IoT, pensando que van a ser seguros, pero hay que preguntarse si los mismos tendrían que llevar un certificado de seguridad”. Algo para lo que el sello calidad podria ayudarnos, reconoce Iván Sánchez, chief information officer de Sanitas. Siendo también fundamental la ética del dato, porque en el mundo del usuario y de la empresa es fundamental el nexo entre ética y transparencia.

Aunque para Alberto Gómez la mayoría de las empresas no hacen big data como tal porque el mismo no tiene tanto que ver con almacenar grandes cantidades de información. “Se está usando para crear modelos de negocio nuevos”.

¿Aplicación pública o privada?

¿Dónde va a tener mayor aplicación práctica? En el ámbito empresarial, responden los ponentes, mientras reconocen que se va a dar una revolución hacia el mundo de los servicios dentro del mundo big data, con servicios que ahora desconocemos. ¿Hacia dónde nos va a llevar la siguiente evolución? Hacia los medios de pago, aseguran.

Otra de las tendencias pasa por que todo esto esté embebido. Incluso anuncian que va a llegar un modelo híbrido.

Limitando los abusos

Durante el debate también se planteó qué podría suponer limitar los abusos del big data para la privacidad. Para Alberto Gómez es difícil delimitar esto cuando lo que te dan es más importante que lo que tú das. “El límite lo pones en el valor que nos aportan los datos”, apunta. A lo que Juan Miguel Manzanas añade que “hasta que no llegue el momento del valor que aportamos como usuarios, no va a haber un cierto equilibrio”.

La importancia de contar con un seguro de ciberriesgo y ciberfraude

Ante un problema grave de seguridad empresarial no basta con una solución estática de gestión de riesgos, ni con un seguro tradicional que no ha sido adaptado a las innumerables consecuencias derivadas de los ciberriesgos.

Todas las empresas que recopilen, mantengan, cedan o almacenen información privada o confidencial, estén sujetas a una normativa sectorial que regule su actividad o a una normativa específica en cuanto a seguridad en las comunicaciones electrónicas o redes; dependan o gestionen infraestructuras críticas, etc.; deberìan contar con un seguro de estas características. El mismo requiere actuar cuanto antes con peritos forenses ante una brecha o evidencia de la misma.

Este tipo de riesgos mitigan la pérdida económica de la empresa por lucro y extracostes derivados de un fallo de seguridad o fallos del sistema. También comprenden los gastos en la contratación de servicios para gestionar un incidente: la investigaciòn forense, el asesoramiento legal, la notificacion a afectados y reguladores… así como las responsabilidades civiles: por fallo de privacidad, fallo de seguridad o infracción en contenidos multimedia y procedimientos regulatorios en materia de privacidad.

Hay que tener en cuenta un aspecto fundamental, advierte Carmen Segovia, “si bien hasta ahora no ha sido obligado notificar sobre este tipo de problemas, con la entrada del nuevo Reglamento de Proteccion de Datos Europeo (GDPR), a partir de mayo de 2018 sí será necesario,

¿Como avisar a los afectados? Para esto se requiere un asesoramiento tecnológico, comenta la directora de ciberriesgos de AON.Mediante la póliza se va a poder ofrecer la gestión de identidad o contratar un experto en Comunicación, con el fin de iniciar una campaña para minimizar el impacto que el daño pueda causar en la imagen impresarial…

En daños propios la póliza abre la pérdida de beneficios por fallo de seguridad en la Red.

Y en cuanto a la ciberextorsión, cubre el robo de información confidencial:  los gastos de expertos en informática forense y el pago de un rescate para finalizar la amenaza.

En cuanto a la responsabilidad, se cubren los gastos ocasionados a terceros como los relacionados con la violación de datos de carácter personal, por poner algunos ejemplos.

Apostando por…

La mayoría de las pólizas apuestan por un panel de servicios de firmas de primera línea especializadas en carácter de datos personales.

Y ahora, como la tendencia pasa por externalizar gran parte de los servicios o ir a la nube, este tipo de polizas tienen que extender la póliza a los proveedores de servicios externos.

En definitiva, tal y como Carmen Segovia lo define, “la póliza de fraude es el seguro de incendios del consejo de administración”.

INMA ELIZALDE

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *