La clave para conseguir la aceptación de su hoja de ruta de riesgos cibernéticos con presupuestos ajustados y dificultades de personal.
Esta afirmación no debería sorprender a nadie: este año se ha producido un aumento alarmante del número y la sofisticación de los ciberataques. De hecho, la empresa de seguridad informática NCC Group's Pulso mensual de amenazas de marzo de 2023 informó recientemente de un aumento del 91% en los ataques de ransomware en marzo de 2023 en comparación con febrero de 2023 y un aumento del 62% año tras año en comparación con los datos de marzo de 2022. Por ejemplo el ciberataque a MGM Resorts a principios de este mes: no hay que mirar muy lejos para ver que el ransomware sigue campando a sus anchas.
Mientras tanto, la propuesta de 2022 de la SEC sobre nuevas normas para la gestión de riesgos de ciberseguridad, gobernanza y divulgación de incidentes ha hecho que las empresas públicas se replanteen cómo mantener informados a su Consejo y a las partes interesadas.
Así pues, ya sea por necesidad o por demanda, empresas de todos los tamaños y complejidades están reevaluando y reforzando sus programas de gestión de riesgos cibernéticos. Pero la cuestión es ¿cómo crear programas maduros de ciberseguridad en su empresa mientras se enfrenta a restricciones presupuestarias y reducciones de plantilla? ¿Cómo puede conseguir la aprobación de su Consejo de Administración si carece de conocimientos críticos sobre la evolución del panorama de las amenazas y su impacto potencial?
Afrontar el dilema entre riesgos y recursos
Aumentan los ataques, aumentan los costes, aumenta el número de malhechores: el sector de los riesgos se encuentra en un punto de inflexión. Cuando las empresas pueden planificar y responder con agilidad (y recibir la inversión necesaria para ello), el éxito les pisa los talones. Pero conseguir inversiones en un mercado financieramente restringido es difícil.
Existen 3 obstáculos principales que se interponen entre usted y un programa de gestión de riesgos cibernéticos más sólido que se alinee con los objetivos económicos y operativos de su empresa:
Obstáculo nº 1) Falta de conocimientos técnicos
Las reducciones de plantilla y la rotación de personal han creado lagunas de conocimientos, sobre todo en las organizaciones más pequeñas y a nivel directivo en las grandes empresas.
La solución: Apóyese en las personas de su organización (incluidas las que no pertenecen a su departamento) que tienen las competencias necesarias. Incorpórelos a su programa desde el principio, ahorrándose los costes de formación de los nuevos contratados y minimizando la necesidad de pedir más puestos vacantes.
Obstáculo nº 2) Presupuesto limitado de la CGR
La cuenta de resultados dicta nuestras actividades empresariales, especialmente en el entorno actual, en el que la economía mundial sigue contrayéndose, los despidos y los recortes presupuestarios son frecuentes y la volatilidad de la cadena de suministro es máxima.
Sabiendo que la inversión en iniciativas de ciberseguridad suele considerarse un coste más que una mejora -y que los recursos son escasos en todos los departamentos-, nunca ha sido tan importante para los profesionales del riesgo conectar sus objetivos con el balance final de su empresa.
La solución: Cuantificar el riesgo de violación ¿Cuántos registros hay en esa aplicación concreta? ¿Qué tipo de datos? Cuando se puede poner un signo de dólar o un sello de tiempo delante del alcance del impacto, es más probable que la gente escuche. Pero hay que saber qué le interesa a la organización y adaptar los parámetros a ese modelo.
Obstáculo nº 3) Mantenerse al día de la evolución del panorama de riesgos (y de la red de proveedores)
Menos de una de cada diez organizaciones supervisan activamente los riesgos dentro de sus cadenas de suministro, lo que significa que la subcontratación de servicios a terceros amplifica el riesgo. A medida que las empresas confían más en la asistencia de terceros, el panorama de amenazas sigue creciendo.
La solución: La supervisión y cuantificación continuas de los riesgos le permiten mantener un pulso constante sobre cualquier actualización que pueda afectar a la continuidad de su negocio.
Por supuesto, estas soluciones se simplifican y racionalizan aquí en aras del tiempo. Para una mirada más detallada sobre cómo construir un programa de gestión de riesgos cibernéticos con recursos limitados, explore nuestro Libro Blanco.
