La transformación digital está redefiniendo las relaciones que clientes, trabajadores y líderes tienen con diversos aspectos del negocio y la seguridad es uno de los elementos críticos del mismo. La necesidad de adelantarse a las amenazas está empujando una filosofía de resiliencia en las organizaciones, por lo que evaluar y gestionar el riesgo digital está apareciendo cada vez más como una tarea fundamental para la dirección.
En especial porque el riesgo no solo se mide en las consecuencias de ataques como virus, ransomware o fugas de información, sino que incluso no hacer una inversión específica puede elevar mucho el impacto económico que una organización debe enfrentar; por lo tanto, es una preocupación que debe estar en las reflexiones de todos los equipos.
Esa es la temática principal que desarrolló Vicente Amozurrutia, director regional de México, Centroamérica y el Caribe de RSA Security, en su conferencia del reciente IT Masters Con: Monterrey. El ejecutivo indicó que en efecto la seguridad es primordial, pero si va enfocada a la gestión del riesgo digital podrá apuntalar mucho mejor los objetivos de negocio de toda la organización, sin importar a qué sector pertenezca.
“La junta directiva quiere ver dinero, quiere saber cuánto va a perder o cuánto va a ganar. Lo que nosotros en RSA hacemos es traducir los datos relativos a la operación IT para que ellos puedan ver cómo la transformación digital se puede integrar mientras se gestiona el riesgo sin perder de vista el negocio”, explica Amozurrutia.
La gestión del riesgo digital (DRM por sus siglas en inglés) ha sumado numerosos adeptos en los últimos años y el mercado de servicios asociados crece a la par. Se estima que para 2021 el valor de este segmento alcanzará $17,000 millones de dólares, con una tasa anual compuesta de crecimiento de 9.2%.
Pero no todo lo que lleve la palabra “digital” en el nombre va a ser responsabilidad del departamento de IT, de acuerdo con Amozurrutia al riesgo se le debe abordar en un esfuerzo conjunto. “El riesgo es de todos. Ningún departamento puede quedar fuera de la medición. Este es un caso paradigmático del principio que indica que el eslabón más débil puede romper con toda la cadena”. El ejecutivo explica también que los diferentes departamentos de una empresa enfrentan distintos tipos de riesgo. Lo que RSA intenta hacer es integrar el riesgo del negocio para que los directivos puedan entender cuál es el riesgo de, por ejemplo, no hacer una inversión o no tener un proceso bien optimizado.
Amozurrutia relata que es muy común la situación en que Finanzas solo ve a IT como un gasto. Al generar un marco de referencia para la gestión del riesgo esta situación puede cambiar rápidamente. “Si decimos ‘oye, si no hacemos esta inversión el riesgo del negocio puede costarnos tantos millones de dólares’ es cuando nos voltean a ver y se dan cuenta que se está invirtiendo en el futuro, no es un gasto”, explica.
Finalmente, el director de RSA define algunos pasos iniciales fundamentales a la hora de evaluar el riesgo:
- Definir que información necesita ser protegida
- Identificar ubicación y cantidad de información importante
- Evaluar el riesgo inherente y su aceptación
- Evaluar el manejo del riesgo
- Evaluar el riesgo residual
- Documentar procesos, riesgo corporativo y controles
- Proveer visibilidad y reportes
Aunque advierte que esos son solos los primeros pasos: para realmente apoyar al negocio y solidificar la resiliencia en seguridad, la gestión del riesgo digital debe ser activa, constante y transversal.
