La transparencia es crucial para el involucramiento de los empleados #ciberataques

337 0
Por Víctor Ruiz, fundador de Silikn
Los empleados son el motor de la empresa, los que hacen posible su funcionamiento. A diario se enfrentan a un entorno de trabajo cada vez más digitalizado, revisando y respondiendo al correo electrónico, procesando facturas y tramitando pedidos online, gestionando procesos a través de aplicaciones en la nube o en dispositivos móviles o realizando tareas de marketing y difusión en redes sociales o a través de la página web. Utilizan la tecnología en el día a día, pero, ¿son conscientes de los riesgos a los que están expuestos y en qué medida estos pueden poner en jaque a la organización?
Uno de los primeros pasos para mantener una empresa segura es trabajando con los directivos y recurriendo a recursos internos y externos, para que los directores de riesgos y seguridad de la información desarrollen una lista de activos críticos, riesgos conocidos y posibles nuevos riesgos. En conjunto con este esfuerzo, la alta dirección establecen las prioridades de la organización por los riesgos que se han identificado. También se realiza una evaluación en esta fase de los controles y vulnerabilidades existentes. La prioridad de los riesgos variará de acuerdo con el valor para la organización del activo amenazado. Un boletín interno filtrado, por ejemplo, es menos probable que represente una amenaza grave que la exposición de los datos de la tarjeta de crédito del cliente. La medida principal de la resistencia cibernética es la seguridad de los activos más valiosos de la organización. La priorización de los riesgos identificados es, por lo tanto, una tarea de suma importancia, por lo que la alta dirección debe estar involucrada.
Una vez que se han identificado los riesgos y las amenazas, los expertos internos y externos deben evaluar cada riesgo con respecto a la probabilidad de ocurrencia y el impacto potencial, incluido, según corresponda, el impacto regulatorio, reputacional, operativo y financiero. Con base en esta evaluación, la función de riesgo o los propietarios del riesgo pueden priorizar las áreas de mitigación, comenzando con los escenarios más probables que tendrán el mayor impacto negativo.
Una vez que los riesgos han sido identificados y priorizados de acuerdo con la probabilidad y el impacto, los propietarios del riesgo y la función de riesgo deben trabajar juntos para crear una visión general de todas las iniciativas emprendidas para mitigar los principales riesgos cibernéticos.
Las iniciativas deben evaluarse en cuanto a su efectividad para reducir la probabilidad de que ocurra un evento de riesgo y el impacto de un evento que sí ocurra. Teniendo en cuenta los efectos de las iniciativas de mitigación, los expertos en riesgos determinan si el riesgo residual para cada riesgo principal ahora se encuentra dentro de los parámetros del apetito de riesgo de la organización. Si el nivel de riesgo residual excede estos límites considerados, se pueden desarrollar e implementar iniciativas de mitigación adicionales.
Entre los instrumentos más importantes para fomentar la disciplina en toda la organización se encuentran las actualizaciones de estado programadas para la alta gerencia sobre los principales riesgos cibernéticos, la estrategia de tratamiento y la corrección. Con el tiempo, los indicadores y criterios utilizados en dichas actualizaciones se convertirán en el lenguaje básico en las conversaciones de la organización sobre el riesgo.
Cuando las alarmas son casi constantes, los equipos de respuesta siempre están en modo de extinción de incendios y los gerentes de riesgos y los expertos en seguridad de TI y OT siempre están sobrecargados de trabajo. Las amenazas aumentan el estrés en organizaciones enteras. Para eso, la organización necesita estructuras eficaces de concienciación de los empleados. Esta estrategia aportará transparencia y hará maravillas por la eficiencia y la motivación de los empleados. La priorización basada en hechos ayudará a enfocar los esfuerzos de una organización en la lucha contra los riesgos cibernéticos.

Related Post