Este breve artículo repasa porqué la gestión de riesgos de seguridad de la información (en adelante GRSI) es tan importante en cualquier organización, hace un breve análisis de algunas de las causas que impiden una adecuada GRSI y presenta ideas para que el cambio surja desde la alta dirección de las organizaciones, dado que en ella recae la responsable final del tema.
Introducción
Gestionar riesgos es inherente a la actividad humana, de alguna manera todos lo hacemos: tanto en el ámbito personal como profesional la vida está llena de decisiones que tomamos buscando eliminar o disminuir los riesgos.
Así pues, aunque pareciera que cualquiera entiende de riesgos y sabe gestionarlos, lo cierto es que no se hace del todo bien en algunas organizaciones y, lo que es más preocupante, su alta dirección no termina de entender que es la principal responsable del tema, en particular en lo que tiene que ver con la GRSI.
Frecuentemente, incluso de manera intuitiva o informal, las organizaciones trabajan en la gestión de riesgos materiales o comerciales, que conforme adquieren madurez se convierten en prácticas bien desarrolladas de DRP (Disaster Recovery Plan) y BCP (Business Continuity Plan), sin embargo, conforme nos movemos a un mundo cada vez más dependiente de la información, y de las infraestructuras digitales que la almacenan y soportan, se incrementa el trabajo pendiente en lo concerniente a la GRSI.
La GRSI debe ser parte de la vida diaria de cualquier organización. La economía globalizada, la dependencia creciente en los sistemas digitales de información, el explosivo crecimiento del cibercirmen y la naturaleza VUCA del entorno actual obligan a ello, pues la operación, incluso la supervivencia de las organizaciones actuales está determinada en buena medida por el correcto manejo de la información de su ecosistema.
Una GRSI deficiente acarrea muchos problemas: costos adicionales, pérdida de competitividad, indisponibilidad de infraestructura o servicios, daños económicos por delincuencia (en especial el cibercrimen), multas por incumplimiento regulatorio un largo etcétera.
Ahora bien, aunque la GRSI es responsabilidad de todos los miembros de una organización, la alta dirección es quien debe rendir cuentas sobre el tema, por ello está llamada a convertirse en su principal patrocinador, impulsando su adopción como parte importante de la gestión integral de riesgos, a todo lo ancho y largo de cada organización.
Existen múltiples factores que dificultan una adecuada GRSI y la alta dirección debe ser la primera en entenderlos. A continuación, se listan los que considero más importantes para lograr el nivel de consciencia adecuado, de manera la GRSI sea un componente de la gestión integral de riesgos (por falta de espacio me limito a listar los factores, sin abundar en su origen y, sobre todo, en cómo atacarlos):
a) Enfoque en lo urgente, no en lo importante (“lo que tenemos que hacer es entregar el pedido hoy, ya mañana atenderemos los riesgos”).
b) Limitaciones económicas, que pueden ser reales o, a veces, malentendidos. Por ejemplo, tratar la administración de riesgos como un costo, en lugar de un gasto o, incluso, una inversión.
c) Falta de conciencia, tanto de la necesidad de gestionar los riesgos como de las acciones necesarias para minimizarlos.
d) Pobre entendimiento del estado actual del cibercrimen. Si la alta dirección no entiende que se trata de una industria ilegal que genera miles de millones de dólares en pérdidas, que constantemente incrementa su nivel de sofisticación y que apunta a organizaciones de cualquier tamaño y naturaleza, solo verá la punta del iceberg y subestimará su importancia como factor a considerar en la gestión de riesgos.
e) Desconocimiento o incumplimiento de la normatividad aplicable. Conforme la economía se globaliza, se intensifican las tensiones comerciales entre países/bloques y los gobiernos intentan mantener el control, a la par que buscan evitar las malas prácticas, como el caso de Enron que dio origen a la ley Sarbanes-Oxley (Pardo, 2006). Como consecuencia de lo anterior, la normatividad relacionada con la gestión de riesgos crece constantemente y no todas las organizaciones son conscientes de ello, lo que pueden hacer que se queden atrás.
Por si lo dicho líneas arriba no fuera suficiente, hay que añadir que los gobiernos nacionales y los organismos multilaterales están incrementando las sanciones por incumplimiento, en especial contra la alta dirección, llegando a fincar responsabilidades incluso a nivel de persona física, no solo de personas morales.
f) La naturaleza de la mente humana. Los paradigmas, sesgos cognitivos y hasta las emociones pueden jugar en contra de la GRSI. Si no se tiene cuidado, existe el riesgo de subestimar riesgos, tomar decisiones incorrectas al evaluarlos y gestionarlos o, lo que es peor, a ser manipulados para tomar cursos de acción riesgosos.
Conclusiones
Si la alta dirección no es capaz de comprender que la información suele ser el segundo activo más valioso, después de los colaboradores, será muy difícil mantener o crear ventajas competitivas, lograr el cumplimiento regulatorio en materia de seguridad de la información y la protección ante el cada vez más complejo cibercrimen. Por ello, es vital que sea consciente de su rol como responsable e impulsor de la GRSI ya que, de acuerdo con la norma ISO- 31000, “El propósito de la gestión del riesgo es la creación y la protección del valor” y “La gestión del riesgo es parte de la gobernanza y el liderazgo y es fundamental en la manera en que se gestiona la organización en todos sus niveles” (ISO, 2018)”.
En resumen, en la alta dirección recae la responsabilidad principal de que la gestión de riesgos de seguridad de la información sea parte de la gestión integral de riesgos. Si eso no queda claro, será difícil lograr una GRSI eficiente, pues los objetivos de las áreas responsables de este tema no necesariamente estarán alineados con los objetivos de la organización.
Una última nota: como en muchas otras cuestiones, no es necesario inventar la rueda para lograr una buena GRSI. A la mano de cualquiera hay estándares, mejores prácticas, herramientas tecnológicas y una enorme cantidad de documentos que apoyan a cualquier organización, sin importar su naturaleza, sector o nacionalidad.
Bibliografía:
- BID & OEA. (2020). Ciberseguridad. Riesgos, avances y el camino a seguir en América Latina y El Caribe. Banco Interamericano de Desarrollo. https://publications.iadb.org/publications/spanish/document/Reporte-Ciberseguridad-2020-riesgos-avances-y-el-camino-a-seguir-en-America-Latina-y-el-Caribe.pdf.
- (2021). The 2021 Security Outcomes Study. https://www.cisco.com/c/dam/en/us/products/collateral/security/2020-outcomes-study-main-report.pdf
- Checkpoint Software. (2021). Informe de ciberseguridad 2021. Checkpoint Research.
- https://mexicoindustry.com/documentos-tecnicos/sostic/archivos/informe-de-ciberseguridad-2021.pdf.
- Harris, S., & Maymi, F. (2018). Chapter 1 Security and Risk Management. En CISSP All-in-One Exam Guide, Eighth Edition (8.a ed., pp. 54–290). McGraw-Hill Education.
- (2019). CISA Review Manual, 27th Edition. En CISA Review Manual, 27th Edition (27.a ed., pp. 45–48). Information Systems Audit and Control Association.
- (s. f.). ISO 31000:2018(es) Gestión del riesgo — Directrices. ISO – Online Browsing Platform (OBP). Recuperado 25 de octubre de 2021, de https://www.iso.org/obp/ui#iso:std:iso:31000:ed-2:v1:es
- (2021). The New Cybercrime Landscape. https://risk.lexisnexis.com/global/en/insights-resources/research/cybercrime-report.
- National Institute of Standards and Technology. (2011). NIST Special Publication 800–39 / Managing Information Security Risk [Libro electrónico]. National Institute of Standards and Technology.
- Pardo Contreras, K. (2006). Análisis de la Ley Sarbanes-Oxley respecto a la independencia que debe tener el contador al analizar y dictaminar los informes financieros. Universidad La Salle, Bogotá. Recuperado 24 de octubre de 2021, de https://ciencia.lasalle.edu.co/contaduria_publica/402.
- Wigmore, I. (2017, febrero 1). VUCA (volatilidad, incertidumbre, complejidad y ambigüedad). ComputerWeekly.es. Recuperado 30 de octubre de 2021, de https://www.computerweekly.com/es/definicion/VUCA-volatilidad-incertidumbre-complejidad-y-ambigueedad.
Deja tu comentario