NUEVAS TECNOLOGÍAS

Se presenta  el Mapa de Ciber-Riesgos, una herramienta clave para que juristas y expertos identifiquen los riesgos en su empresa

By 11th noviembre 2019 No Comments

El 46% de ciberataques tienen como objetivo las pequeñas y medianas empresas, que son casi las que más tienen exposición al riesgo.

 ISMS Fórum Spain, en colaboración AGERS, ha presentado el Mapa de Ciber-Riesgos en la sede del Grupo Abertis, Madrid. Este es un proyecto que supone una continuación de la GUÍA DE TERMINOLOGÍA DE CIBERSEGURIDAD, publicada en 2017 y la GUÍA TOP TEN CYBER RISKS publicada en 2018, ambas elaboradas entre AGERS e ISMS Fórum. 

Estos trabajos siguen manteniendo el objetivo de facilitar la comprensión del riesgo de la tecnología de la información entre todos los perfiles afectados por este tipo de riesgo. 

En esta ocasión, esta entidad da un paso  adelante en cuanto a la complejidad del análisis, ya que se valora  este tipo de riesgos en función de su probabilidad e importancia. Para esto utilizan  una herramienta habitual en el análisis de los riesgos: el mapa de riesgos. Este consiste en una matriz que permite mostrar los riesgos según su probabilidad e impacto. La combinación de estos parámetros da lugar a una clasificación de la importancia de cada riesgo.

Hay que recordar que la Asociación Española para el Fomento de la Seguridad de la Información, ISMS Fórum Spain, es una organización sin ánimo de lucro fundada en enero de 2007 para promover el desarrollo, conocimiento y cultura de la Seguridad de la Información en España y actuar en beneficio de toda la comunidad implicada en el sector.

 Creada con una vocación plural y abierta, se configura como un foro especializado de debate para empresas, organizaciones públicas y privadas, investigadores y profesionales donde colaborar, compartir experiencias y conocer los últimos avances y desarrollos en materia de Seguridad de la Información. ISMS Forum Spain tiene ya a más de 250 empresas asociadas y más de 1.200 profesionales asociados. La Asociación es ya, por tanto, la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.

La presentación del estudio corrió a cargo de Juan Gayá, Director de Gerencia de Riesgos en El Corte Inglés Seguros; Belén Medina, Responsable de control de riesgos y seguros, Globalvia; Gianluca D’Antonio, presidente de ISMS Forum; y Concepción Cordón, miembro del Comité de la Estrategia de Ciberseguridad Nacional.

“Quería daros la bienvenida hoy en las oficinas del Grupo Abertis a la Presentación del Mapa de Ciber-Riesgos para el sector seguros, una iniciativa conjunta ente Agers e ISMS Forum”. Así comenzó la presentación del encuentro Gianluca D’Antonio, presidente de ISMS Forum Spain, para dar paso a Rosana Ramírez, Responsable de Control de Riesgos Corporativo en Grupo Abertis.

Ramírez   sentó las bases de la sesión focalizándose en la importancia que tiene contar con un Mapa de Riesgos para monitorizar las operaciones que acometemos y los principales riesgos que pueden derivar, así como la mitigación de los mismos. “Es importante tener una cultura del riesgo, ya que no existe un Mapa de Riesgos único para cada empresa. El mapa no es algo estático, hay que establecer sistemas de monitorización continua y de alertas”, comentó la experta. 

Cada organización, en función de múltiples características, puede valorar las consecuencias de un ataque de forma diferente. Un mapa de riesgos es algo dinámico, cambia con el tiempo dentro de una empresa. 

“Sin entender el riesgo es difícil gestionarlo, el Mapa de Ciber-Riesgos nos ayuda a saber de qué hablamos y a buscar medidas de defensa. Para el estudio, cogimos los 10 riesgos que más podían atacarnos e intentamos cuantificarlos y ver si eran más o menos importantes para la organización. Entendimos que teníamos que abordar los riesgos en el sentido más complejo para poder dedicarle una solución distinta a cada uno”, añadió Juan Gaya.

Por este motivo se han desarrollado dos casos, buscando situaciones relativamente extremas. Por un lado, una empresa con una alta dependencia tecnológica: sin sistemas de información operativos, la actividad se paraliza (venta online de productos informáticos) y, por otro, una empresa más tradicional (un pequeño hotel familiar), cuya actividad principal no se sustenta en los sistemas de información. Cada uno de los lectores de este documento podrá verse más identificado con uno u otro caso. 

La importancia del Mapa de Riesgos

“El Mapa de Riesgos nos permite ordenar en qué tipo de riesgo estamos, qué impacto tiene y cómo lo podemos mitigar, un ejemplo es todo aquel que tiene un impacto alto y una probabilidad remota, en cuyos casos trataremos de transferirlo”, explicó Belén Medina.

 Sin embargo, la transferencia del riesgo es un tema delicado para las empresas, pues requiere reconocer que no cuentan con los medios necesarios para poder tratar el riesgo, por lo que optan por transferirlo a terceros. 

De izquierda a derecha. Belén Medina, Concepción Cordón, Gianluca D’Antonio y Juan Gayá.

“Por parte de los que trabajamos en ciberseguridad la transferencia del riesgo se ve como una derrota, ya que parece que no puedes asumir tus competencias debidamente, pero no es así, hay todavía mucho desconocimiento entre las empresas que proporcionan seguridad y los departamentos de ciberseguridad internos de las organizaciones”, señaló Gianluca D’Antonio.

Lo que más destaca del estudio es que hay dos riesgos comunes independientes del tamaño y el tipo de empresa (grande o pequeña). “La dependencia tecnológica lleva a que los riesgos 5N.1 y el 5N.2 salgan evaluados de la misma manera en probabilidad e impacto, y están asociados a la gestión que se hace en la cadena de proveedores de terceros. Debemos prestar atención a cómo hacemos que el tercero cumpla determinadas cuestiones relacionadas con la seguridad y que incidirán en nuestro negocio”, expuso Concepción Cordón. 

El fin último de esta tercera guía es mejorar la gestión del riesgo de una organización, ya sea grande o pequeña, ya que como apuntó  D’Antonio, “el 46% de ciberataques tienen como objetivo las pequeñas y medianas empresas, que son casi las que más tienen exposición al riesgo”. Los riesgos con alta probabilidad e importancia deben ser especialmente gestionados para reducir al menos uno de estos parámetros”. 

Al mismo tiempo recordó que el documento con las explicaciones de lo que es un mapa de riesgo se encuentra en la web de ismsforum “ Por este motivo, el documento no termina con la presentación del mapa de riesgos de cada una de las empresas estudiadas, sino con un plan para gestionar los riesgos detectados como los más peligrosos”. apunto

Si necesitas los servicios de une especialista en ciberseguridad, no dudes en consultar nuestro directorio sin compromiso.

Por @LuisjaSanchez, Periodista Jurídico.

    ¿Buscas un abogado especialista ?

    Te ayudamos a encontrar abogado de confianza en tu ciudad, gratis y sin compromiso. Contamos con una amplia red de abogados colaboradores por toda España y en cualquier materia.

    He leído y acepto las Condiciones de Uso y Privacidad, incluida la cesión de mis datos a los colaboradores del servicio

    Leave a Reply