En la era de la transformación digital, las empresas enfrentan un panorama de riesgos cada vez más complejo y dinámico. Hoy en día prácticamente todas las empresas utilizan de una u otra forma la tecnología para operar. La integración de la tecnología en todos los aspectos del negocio ha ampliado las oportunidades, pero también ha incrementado la exposición a amenazas digitales.
Según un informe de Cybersecurity Ventures, se estima que los daños globales por cibercrimen alcanzarán los 10,5 billones de dólares anuales para 2025, un aumento significativo desde los 3 billones de dólares reportados en 2015. Es un escenario al que todos debemos prestarle atención. Principalmente los gobiernos y organizaciones multilaterales.
Ante este escenario, poco alentador, nos queda realizar de forma constante evaluaciones, análisis y tratamientos oportunos de los riesgos digitales. Desconocer o no prestarle la atención a esto es tarde o temprano sucumbir ante una situación que puede ser devastadora para cualquier empresa sea esta micro, pequeña, mediana, grande o multinacional.
Se estima que los ciberataques podrían haber representado un costo global de hasta 8mil millones de dólares en 2023, una cifra que se espera aumente a 9.5 mil millones de dólares para el presente año 2024. Te invito a conocer sobre el impacto económico en el artículo que escribí en el Newsletter de Derecho e Inversión en LinkedIn: “El Impacto económico de la ciberseguridad: Una perspectiva crucial”
No obstante, para que cualquier análisis de riesgos sea realmente efectivo, es fundamental entender donde y como se mueve la empresa u organización; o sea, el contexto específico en el que opera.
Entendamos el contexto de una empresa
De acuerdo a la norma ISO 3100, la comprensión del contexto es importante porque:
La gestión del riesgo tiene lugar en el contexto de los objetivos y las actividades de la organización;
Los factores organizacionales pueden ser una fuente de riesgo;
El propósito y alcance del proceso de la gestión del riesgo puede estar interrelacionado con los objetivos de la organización como un todo;
La norma además señala que: "La organización debería establecer los contextos externo e interno del proceso de la gestión del riesgo considerando los factores mencionados..."
Ahora entendamos lo que es el contexto empresarial. Para la norma ISO antes mencionada "Los contextos externo e interno son el entorno en el cual la organización busca definir y lograr sus objetivos. El contexto del proceso de la gestión del riesgo se debería establecer a partir de la comprensión de los entornos externo e interno en los cuales opera la organización y debería reflejar el entorno específico de la actividad en la cual se va a aplicar el proceso de la gestión del riesgo"
Una empresa se mueve en un espacio que está determinado por factores, internos y externos. Cada uno de estos factores influirán en las operaciones, objetivos, estrategias y desarrollo de la empresa. Factores que va desde el sector en el que se mueve, la industria, el modelo de negocio, su estructura organizacional, la cultura corporativa, tecnología utilizada, regulaciones aplicables, equipo interno, ambiente país y global, factores ambientales, cumplimiento regulatorio y relaciones con terceros. Cada uno de estos elementos afecta la naturaleza y magnitud de los riesgos digitales que la empresa puede enfrentar.
Por ejemplo, los riesgos que enfrenta una empresa Fintech son diferentes a los de una empresa manufacturera. Mientras que una Fintech debe enfocarse en la seguridad de la gestión de información y datos financieros, así como en el cumplimiento normativo, una empresa manufacturera puede estar más preocupada por la interrupción de la cadena de suministro, la logística, la operatividad y la distribución debido a ciberataques.
Sin embargo, ¿adivina cuál es el activo esencial que actúa como denominador común entre todas las empresas?... Exacto, los datos. Los datos son el denominador común que todas las empresas comparten. La información, esas bases de datos, los datos internos y externos, son precisamente uno de los activos más valiosos que una empresa debe proteger.
La relación entre el contexto y los riesgos digitales
Teniendo como punto de partida el contexto y conociendo ese denominador común que hoy en día todas las empresas comparten debemos entender que los riesgos digitales no existen en un mundo paralelo ni tampoco en el mundo de algunos pocos. No están en un limbo o en el vacío. Los riesgos digitales están vinculados al contexto de la empresa.
Es por esto que quienes ignoran este contexto empresarial puede llevar a tener evaluaciones incompletas o erróneas, lo que puede tener consecuencias graves a muy graves.
Voy a detallar algunos aspectos clave del contexto empresarial que son críticos para una evaluación de los riesgos digitales:
1. Industria y normativas
Cada industria o sector empresarial tiene regulaciones y normativas específicas que influyen en los riesgos digitales que enfrentan. Según un informe de IBM Security, en 2023 el costo promedio de una brecha de datos en el sector de la salud fue de 10,93 millones de dólares, el más alto entre todas las industrias. Los sectores de salud, financiero, farmacéutico, energía, industrial, tecnología, servicios profesionales, transporte, comunicaciones y consumo se encuentran entre los diez sectores con los costos más elevados por brechas de seguridad en 2023, sumando todos estos sectores aproximadamente 50 millones de dólares en pérdidas debido a incidentes de seguridad. Esto subraya la importancia crítica de proteger los datos, uno de los activos más valiosos que una empresa debe preservar.
Sin embargo, las industrias deben conocer qué normativas les puede ser aplicadas de forma directa e indirectamente. Porque no solo está expuesta a un riesgo digital que impacte en el negocio, también a elevadas multas y sanciones por no acatar disposiciones regulatorias cuando estas brechas de seguridad se dan.
Una de las normativas más importantes hoy en día es la de protección de datos personales. Un 80% de los países cuentan con una legislación directa o indirecta sobre el tema de protección de datos. La mayoría ya cuenta con una regulación especial sobre el tema. Pero aún hay empresas que aún no toman seriedad sobre el tema y consideran innecesaria la inversión en la protección de datos.
2. Tecnologías utilizadas y ecosistema digital
El tipo de tecnología y sistemas que utiliza una empresa afecta directamente su perfil de riesgo. La ocurrencia de este último puede ser más probable y de impacto alto cuando las pequeñas y medianas empresas utilizan software sin licencia o “pirateados” para sus operaciones contables, financieras, registro de clientes, entre otras.
Por otro lado, están las que dependen de soluciones en la nube y que pueden estar expuestas a riesgos como ataques de denegación de servicio (DDoS) o brechas en proveedores externos. Un ejemplo notable es el ataque a SolarWinds en 2020, donde los hackers comprometieron el software de gestión de red de la empresa, afectando a 33 mil clientes, incluyendo agencias gubernamentales y grandes corporaciones.
3. Estrategia de crecimiento
Las empresas cuando buscan la expansión no toman en consideración el contexto de la propia expansión. Al expandirse se requiere escalar su propia infraestructura digital para lograr interconectarse de forma operativa y buscar esa eficiencia tan necesaria. A lo anterior debemos sumarle todo el tema regulatorio que va relacionado al llegar a nuevos mercados y en la que su infraestructura debe adaptarse.
4. Cultura corporativa
Una empresa con una mala gestión de su Junta Directiva y Gerencia en la educación y valoración de la seguridad en la gestión de la información puede incrementar los riesgos. La primer puerta, y cuidado la más importante y trascendental, como foco de riesgo ante situaciones de brecha es la de los empleados de la empresa. Así es, estos últimos son el eslabón más débil en la seguridad digital. Según Verizon's 2023 Data Breach Investigations Report, el 74% de las brechas de seguridad involucraron el factor humano, incluyendo errores, uso indebido y ataques de phishing.
Por ejemplo, tengo un cliente cuyos correos electrónicos me llegan en su mayoría como spam. ¿Por qué sucede? Simple: sus empleados no prestan la atención adecuada a los emails que abren y han utilizado incorrectamente el email marketing. No se dan cuenta de que los correos que abren contienen software malicioso y phishing. Creen que están abriendo emails de empresas como DHL o UPS, pero en la mayoría de los casos no es así. Por otro lado, han enviado cientos de correos a potenciales clientes, muchos de los cuales han sido marcados como spam.
5. Relaciones con terceros
Las relaciones con proveedores y socios comerciales pueden introducir riesgos adicionales en la seguridad de la información de una empresa. Un ciberataque dirigido a un proveedor puede tener un efecto dominó, afectando a todas las organizaciones conectadas. La cadena de suministro en materia digital es tan fuerte como su eslabón más débil; por lo tanto, es crucial evaluar y gestionar los riesgos asociados con terceros.
¿Recuerdan el caso más reciente de caída de un sistema? Lo más reciente fue la caída que tuvo Microsoft a causa de una actualización de CrowdStrike -plataforma que le presta servicios de ciberseguridad. Aunque no fue un ciberataque, el problema de actualización de CrowdStrike tuvo repercusiones directas en Microsoft y estas repercusiones causaron incidencias en aeropuertos, sistemas de pagos y todo tipo de empresas de todo el mundo.
Importancia del contexto en la evaluación de riesgos digitales
Hemos visto como todo lo que rodea a la empresa tanto externo como interno juega un papel importante. Así que hacer una evaluación de los riesgos de todos esos factores se convierte no solo en un proceso más, sino en un proceso vital para que no se pase por alto amenazas críticas o bien sobreestimar riesgos irrelevantes.
El poder entender el contexto, hace que las empresas logren enfocar sus esfuerzos en las áreas más relevantes. Por ejemplo, una empresa de comercio electrónico debe priorizar la seguridad de las transacciones y la protección de datos de clientes; mientras que una empresa de energía debe enfocarse en proteger infraestructuras críticas contra ataques cibernéticos, o una empresa de contabilidad y que presta servicios especializados debe procurar mantener licencias, sistemas informáticos y base de datos no solo al día, sino con medidas de seguridad adecuadas para no perder información valiosa de sus clientes.
Por último, estemos claros que en un mundo donde los riesgos digitales son cada vez más sofisticados y frecuentes, entender el contexto empresarial es esencial para una evaluación y análisis exhaustivo de estos riesgos. No basta con aplicar soluciones genéricas; es necesario adaptar las estrategias de gestión de riesgos a las características únicas de cada empresa u organización. Al hacerlo, pueden no solo protegerse de amenazas actuales sino también anticiparse a futuros desafíos, garantizando su resiliencia y éxito en el entorno digital.