La gestión de riesgos es un desafío para la mayoría de las empresas, pero las brechas de seguridad no son su principal preocupación. La mayoría teme que el daño a largo plazo a su reputación provendrá de su incapacidad para manejar el riesgo, hablaremos de ello en esta entrada.
Los resultados mostrados provienen de una nueva encuesta titulada "El imperativo para aumentar la inteligencia de riesgo empresarial", patrocinado por RiskVision y dirigido por el Instituto Ponemon. Los investigadores encuestaron a 641 personas involucradas en los programas de gestión de riesgos de su organización para conocer el estado de la inteligencia del riesgo empresarial.
Descubrieron que el mayor temor resultante de un pobre programa de gestión de riesgos es el daño a la reputación (63%). Incumplimientos de seguridad y interrupción del negocio empatados en segundo lugar; cada una fue citada por el 51% de los encuestados.
"Fue una sorpresa", dice Joe Fantuzzi, presidente y CEO de RiskVision. "A pesar de todo el ruido y las cuestiones relacionadas con la ciberseguridad, las organizaciones realmente temen los daños de su marca que pueden provenir de sanciones regulatorias, pero también pueden provenir de pérdida de propiedad intelectual o accidentes como perder computadoras portátiles con información sensible".
Los consejos de administración han tenido comités para evaluar riesgo de manera continúa, pero históricamente se han centrado en los peligros relacionados con el riesgo financiero, el riesgo de mercado, el riesgo cambiario y el riesgo crediticio. El riesgo informático y cibernético sigue siendo nuevo para ellos.
"Hay una creciente conciencia de que necesitan entender este tipo de riesgos", dice Fantuzzi. A medida que los ciberataques en las empresas se vuelven más publicitados, los líderes empresariales enfrentan la responsabilidad de predecir la probabilidad, y el impacto potencial, de las brechas de seguridad. Muchos están luchando para determinar el mejor enfoque para modelar el riesgo.
La encuesta descubrió que menos de la cuarta parte (24%) de los encuestados dice que su organización tiene una estrategia claramente definida de gestión de riesgos que es relevante en toda la empresa. Un tercio no tiene una estrategia claramente definida. Sólo el 37% dijo que su proceso de gestión de riesgos era "muy efectivo".
Hay varias barreras que las organizaciones enfrentan al crear e implementar planes de manejo de riesgos. Por ejemplo, más de la mitad (53%) de los encuestados dice que hay una falta de colaboración entre los equipos de finanzas, operaciones, cumplimiento, legal y de TI en los proyectos de gestión de riesgos.
Los problemas del presupuesto demuestran otro obstáculo, según el estudio más de la mitad (52%) de los encuestados no tienen un presupuesto formal sobre la estrategia de riesgo empresarial. Otros obstáculos clave para alcanzar los objetivos de gestión de riesgos son la falta de recursos (44%), la complejidad (44%) y la imposibilidad de empezar (43%).
Vale la pena señalar que se han hecho algunos progresos. Dieciocho meses antes del estudio, sólo el 21% de las empresas informó que medía el riesgo en tiempo real con la toma de decisiones automatizada de la unidad de negocio, el análisis a nivel de la junta y las métricas. Hoy en día, ese número ha alcanzado el 32%.
Además, entre los negocios con presupuestos formales dedicados a la gestión de riesgos, el 58% planea gastar entre $ 1M y $ 5M en productos de gestión de riesgos en el próximo año fiscal, según el estudio.
Para las organizaciones que trabajan para reducir su riesgo de seguridad de TI, Fantuzzi recomienda comenzar con un inventario de activos.
"Muchas personas no tienen un buen inventario de sus activos", señala. "Y no se trata de determinar cuántas aplicaciones o servidores de red tiene, necesita saber quiénes son sus propietarios y cuál es su criticidad, qué pasa con ellos y qué se almacena en ellos".
El manejo de la criticidad es importante, continúa, porque algunos datos son más riesgosos que otros. Analice activos y las amenazas que pueden atacarlos, ejecute exploraciones regulares de vulnerabilidades y mantenga una lista de prioridades de lo que importa.
Los líderes empresariales que tomen estos pasos tendrán una lista bien documentada en caso de un incidente.
CONOCE EL RIESGO EN CIBESEGURIDAD DE TU EMPRESA
Si tienes algún comentario o requerimiento adicional puedes contactarme en mi dirección de correo electrónico: mtorres@smartekh.com
*Kelly Sheridan/DarkReading/2017