ISMS Forum Spain, en colaboración AGERS, ha presentado el Mapa de Ciber-Riesgos en la sede del Grupo Abertis, Madrid. Este es un proyecto que supone una continuación de la GUÍA DE TERMINOLOGÍA DE CIBERSEGURIDAD, publicada en 2017 y la GUÍA TOP TEN CYBER RISKS publicada en 2018, ambas elaboradas entre AGERS e ISMS Forum. Estos trabajos siguen manteniendo el objetivo de facilitar la comprensión del riesgo de la tecnología de la información entre todos los perfiles afectados por este tipo de riesgo.
En la primera pretendíamos hacer comprensibles, para las personas no expertas en las tecnologías de la información, términos utilizados habitualmente. En la segunda guía explicábamos en detalle diez de los principales riesgos tecnológicos, incidiendo en la causa del incidente y las distintas medidas disponibles para evitarlos o minimizarlos.
En esta ocasión, damos un paso adelante en cuanto a la complejidad del análisis, ya que vamos a valorar este tipo de riesgos en función de su probabilidad e importancia. Para esto utilizaremos una herramienta habitual en el análisis de los riesgos: el mapa de riesgos. Este consiste en una matriz que permite mostrar los riesgos según su probabilidad e impacto. La combinación de estos parámetros da lugar a una clasificación de la importancia de cada riesgo.
De izquierda a derecha. Belén Medina, Concepción Cordón, Gianluca D'Antonio y Juan Gayá.
La presentación del estudio corrió a cargo de Juan Gayá, Director de Gerencia de Riesgos en El Corte Inglés Seguros; Belén Medina, Responsable de control de riesgos y seguros, Globalvia; Gianluca D'Antonio, presidente de ISMS Forum; y Concepción Cordón, miembro del Comité de la Estrategia de Ciberseguridad Nacional.
“Quería daros la bienvenida hoy en las oficinas del Grupo Abertis a la Presentación del Mapa de Ciber-Riesgos para el sector seguros, una iniciativa conjunta ente Agers e ISMS Forum”. Así comenzó la presentación del encuentro Gianluca D’Antonio, presidente de ISMS Forum Spain, para dar paso a Rosana Ramírez Bigordà, Responsable de Control de Riesgos Corporativo en Grupo Abertis, que sentó las bases de la sesión focalizándose en la importancia que tiene contar con un Mapa de Riesgos para monitorizar las operaciones que acometemos y los principales riesgos que pueden derivar, así como la mitigación de los mismos. “Es importante tener una cultura del riesgo, ya que no existe un Mapa de Riesgos único para cada empresa. El mapa no es algo estático, hay que establecer sistemas de monitorización continua y de alertas”, comentó la experta.
Cada organización, en función de múltiples características, puede valorar las consecuencias de un ataque de forma diferente. Un mapa de riesgos es algo dinámico, cambia con el tiempo dentro de una empresa. “Sin entender el riesgo es difícil gestionarlo, el Mapa de Ciber-Riesgos nos ayuda a saber de qué hablamos y a buscar medidas de defensa. Para el estudio, cogimos los 10 riesgos que más podían atacarnos e intentamos cuantificarlos y ver si eran más o menos importantes para la organización. Entendimos que teníamos que abordar los riesgos en el sentido más complejo para poder dedicarle una solución distinta a cada uno”, añadió Juan Gaya.
Por este motivo se han desarrollado dos casos, buscando situaciones relativamente extremas. Por un lado, una empresa con una alta dependencia tecnológica: sin sistemas de información operativos, la actividad se paraliza (venta online de productos informáticos) y, por otro, una empresa más tradicional (un pequeño hotel familiar), cuya actividad principal no se sustenta en los sistemas de información. Cada uno de los lectores de este documento podrá verse más identificado con uno u otro caso.
“El Mapa de Riesgos nos permite ordenar en qué tipo de riesgo estamos, qué impacto tiene y cómo lo podemos mitigar, un ejemplo es todo aquel que tiene un impacto alto y una probabilidad remota, en cuyos casos trataremos de transferirlo”, explicó Belén Medina. Sin embargo, la transferencia del riesgo es un tema delicado para las empresas, pues requiere reconocer que no cuentan con los medios necesarios para poder tratar el riesgo, por lo que optan por transferirlo a terceros. “Por parte de los que trabajamos en ciberseguridad la transferencia del riesgo se ve como una derrota, ya que parece que no puedes asumir tus competencias debidamente, pero no es así, hay todavía mucho desconocimiento entre las empresas que proporcionan seguridad y los departamentos de ciberseguridad internos de las organizaciones”, señaló Gianluca D’Antonio.
Lo que más destaca del estudio es que hay dos riesgos comunes independientes del tamaño y el tipo de empresa (grande o pequeña). “La dependencia tecnológica lleva a que los riesgos 5N.1 y el 5N.2 salgan evaluados de la misma manera en probabilidad e impacto, y están asociados a la gestión que se hace en la cadena de proveedores de terceros. Debemos prestar atención a cómo hacemos que el tercero cumpla determinadas cuestiones relacionadas con la seguridad y que incidirán en nuestro negocio”, expuso Concepción Cordón.
El fin último de esta tercera guía es mejorar la gestión del riesgo de una organización, ya sea grande o pequeña, ya que como apuntó Gianluca D’Antonio, “el 46% de ciberataques tienen como objetivo las pequeñas y medianas empresas, que son casi las que más tienen exposición al riesgo”. Los riesgos con alta probabilidad e importancia deben ser especialmente gestionados para reducir al menos uno de estos parámetros. Por este motivo, el documento no termina con la presentación del mapa de riesgos de cada una de las empresas estudiadas, sino con un plan para gestionar los riesgos detectados como los más peligrosos.
El documento se encuentra disponible en nuestra web: www.ismsforum.es