POR: DIANA SÁNCHEZ
Las empresas de cualquier tamaño y sector utilizan y confían en la tecnología y los
sistemas conectados pare realizar sus actividades. Para evitar vulnerabilidades por
ciberataques, es necesario tener una una robusta gestión del riesgo cibernético.
Patricia Fuentes, Country Manager de Quest Software México, define el riesgo cibernético como el proceso de identificar, evaluar y mitigar los riesgos potenciales para los sistemas de información y los datos de una organización, para mantener la confidencialidad, la integridad y la disponibilidad de los datos.
La gestión del riesgo cibernético, incluye la protección de información confidencial, el
cumplimiento de regulaciones y normativas locales, nacionales e internacionales, la
reputación de la empresa y los procesos diarios.
Para implementar la gestión del riesgo cibernético, es necesario establecer un programa o procesos donde las empresas comprendan su entorno y los riesgos a los que están
expuestos. Entre los pasos a implementar, están: la evaluación del estado actual de la
seguridad de la información de la organización, identificación de riesgos potenciales,
priorizar los riesgos y determinar cuáles necesitan más atención.
Dependiendo del último punto, se deberá implementar los controles de seguridad
adecuados para reducir o mitigar el riesgo de un incidente de seguridad. Existen los
siguientes controles:
- Administrativos. Son políticas, procedimientos y directrices que proporcionan un
marco para gestionar la seguridad dentro de una organización.
- Técnicos o lógicos. Soluciones técnicas que las organizaciones utilizan para proteger
sus sistemas y datos de las amenazas.
- Físicos. Son medidas de seguridad física que implementan las organizaciones para
proteger sus activos, como edificios, equipos y centros de datos.
- Operativos. Son procesos que las organizaciones utilizan para administrar sus
operaciones y garantizar que las medidas de seguridad funcionen según lo previsto
- Gestión. Incluyen evaluaciones de riesgos, auditorías de seguridad y presupuestos.
El proceso de gestión de riesgos cibernéticos se debe monitorear y actualizar
regularmente en base a las más recientes amenazas, los requisitos cambiantes de negocio, los nuevos sistemas, etc.