Por Carlos A. Castañeda M. PhD
Experto en Ciberseguridad de Unisys
Tanto las grandes organizaciones, como los gobiernos y ciudadanos pueden ser víctimas de un ciberataque. Nadie está exento. Las amenazas cada día aumentan. En el 2017, Colombia sufrió el 0.36% de todos los ataques que se reportaron en América Latina.
Cuando se trata de un riesgo cibernético solo hay tres opciones: aceptarlo, remediarlo o transferirlo. Para el caso de su negocio, la remediación está directamente asociada a la implementación de control. Focalizar la amenaza tiene un impacto positivo sobre la madurez cibernética de su empresa. Endpoints, redes, nubes y usuarios con dispositivos Lot móviles, son actualmente las superficies más propensas a estos delitos.
El Informe de Riesgos del Foro Económico Mundial 2008-2018, indica que los ataques cibernéticos están catalogados como uno de los cinco riesgos más altos del mundo. En cinco años, prácticamente se han duplicado y los que antes eran esporádicos, ahora son más comunes. Los mayores costos del año 2017 se deben a secuestros cibernéticos. El caso de WannaCry afectó a 300.000 computadoras en 150 países y NotPetya, causó pérdidas trimestrales de USD 300´000.000 en seguridad para varias empresas del mundo.
Por su parte, el Centro Cibernético Policial, reporta que durante el año pasado, el cibercrimen se elevó un 28.30% respecto a 2016. Entre las nuevas modalidades de crimen están las estafas por suplantación de sim card, tráfico de datos financieros personales, fraude con criptomonedas, ransomware y fraude por WhatsApp.
La revisión de la madurez actual de la capacidad de resiliencia y el modelo de riesgo que es incorporado en el CONPES 3854, destacan que, aunque muchos modelos existen, ninguno está específicamente diseñado para abordar todos los escenarios que presentan las diferentes realidades de las empresas en Colombia.
Las empresas deben unir las técnicas de evaluación del ciber riesgo junto con las técnicas financieras de análisis para determinar la mejor manera de utilizar sus recursos y esfuerzo para aumentar los ingresos y disminuir los costos o las pérdidas. Sin embargo, pocas organizaciones tienen tales procesos para determinar el nivel y tipo de mecanismos de ciberseguridad en los que invierten. Medir el nivel óptimo no es sencillo, sin embargo se puede conseguir una aproximación midiendo la posibilidad de ocurrencia de una brecha de seguridad versus el costo de si llegase a ocurrir.
Las compañías deben analizar el estado de su seguridad para lograr sobrellevar posibles situaciones de crisis. Son muchas las opciones que su empresa tiene para minimizar la posibilidad de un ataque cibernético, pero esas opciones no evaden el riesgo. Lo importante es evaluar las amenazas existentes y categorizarlas por variables (probabilidad de que suceda, impacto sobre su negocio y control de efectividad). Cuantificar el riesgo cibernético y su impacto es clave a la hora de construir un modelo efectivo y responsable de seguridad cibernética para su empresa.
