Pronto habrá calificadoras de riesgo tecnológico y cibernético
La compañía Pure Player de servicios de ciberseguridad de la Península Ibérica con presencia en EE. UU. y México, pronostica que en un muy poco tiempo surgirá un nuevo tipo de empresas: las calificadoras de riesgo tecnológico y de ciberseguridad, con el objetivo de proteger dos de los activos más importantes que poseen compañías modernas: los datos y la reputación.
Como en el caso de las calificadoras de riesgo financiero, este nuevo tipo de empresas tendrán como objetivo confirmar si una organización cuenta con las características necesarias para proteger su información digital, sobre todo aquellas que manejan datos confidenciales de clientes, productos y servicios y que son los más codiciados por los ciberdelincuentes, quienes consolidan cada vez más sus técnicas para obtener el mayor beneficio económico posible.
De acuerdo con Ricardo Vargas, SOC Manager para México y Latinoamérica de S21sec, esta tendencia obedecerá a la necesidad de proteger aquella información catalogada como confidencial o sensible por una organización. “La ciberseguridad es ahora un componente empresarial”, asegura, “por lo mismo, debe dársele una prioridad adecuada”.
Para Vargas, este nuevo servicio de auditoría surgirá no solo para proteger la economía de las organizaciones, sino también su prestigio. “No olvidemos que actualmente las organizaciones deben cuidar mucho su reputación. Cuando una empresa, sin importar si es un banco, una entidad del gobierno o alguna institución privada, tiene un incidente de ciberseguridad, su nombre se pone en entredicho e incluso sus acciones pueden sufrir fluctuaciones negativas en las bolsas de valores. Estas nuevas calificadoras tendrán el objetivo de prevenir riesgos no solo económicos, sino también aquellos que pueden afectar el prestigio empresarial”, enfatiza.
Este pronóstico se fundamenta en la nueva naturaleza de los ciberataques, ya que muchos de ellos son organizados desde localidades bastante alejadas del lugar donde se encuentran sus víctimas e incluso pueden provenir de otros continentes. Estas amenazas están obligando a las empresas a ampliar su visión y pensar también en términos de ciberseguridad de manera global.
Aunque muchas empresas ya cuentan con indicadores de riesgo tecnológico, la presencia de este nuevo tipo de calificadoras será necesaria para garantizar la disponibilidad de la información de los servicios, lo cual implica contar con una estrategia de protección basada en planes de respuesta inmediata ante incidentes de ciberseguridad que no solo involucren al departamento de TI de una organización, sino que también cuenten con la participación de otras áreas, como la legal, de negocios, recursos humanos e incluso la alta dirección.
Es por esta razón que, en opinión de Ricardo Vargas, una calificadora de riesgos tecnológicos y de ciberseguridad deberá presentar cuatro características clave:
1. Imparcialidad: utilizar los mismos criterios de auditoría tecnológica para todas las empresas.
3. Conocimiento del sector empresarial: deberán tener un amplio conocimiento de los sectores industriales de un país y sus necesidades, debido a que la información digital se procesa de manera distinta de acuerdo con el rubro al que pertenece una organización.
4. Equipos multidisciplinarios: además de expertos en tecnología y ciberseguridad, necesitarán contar con el apoyo de profesionales que tengan nociones de derecho informático y recursos humanos, entre otros.
Según el experto, las tendencias indican que en un lapso máximo de dos o tres años estas calificadoras comenzarán a ser tomadas en cuenta para determinar qué organizaciones son lo suficientemente confiables como para que sus clientes o usuarios compartan sus datos personales con ellas.
“En este sentido, vale la pena resaltar que algunas empresas denominadas Pure Players (aquellas que se enfocan en un solo producto y se especializan en un nicho específico) como S21sec, son capaces de ofrecer reportes detallados y especializados de todo el estado de seguridad digital de una empresa, así como servicios de monitoreo continuo 7x24x365 de ciberseguridad, por lo que seguramente serán las primeras en ofrecer este tipo de servicios de manera profesional”, subraya Ricardo Vargas.
Sin embargo, tal parece que en México aún queda mucho por hacer en este sentido. “Lamentablemente, la gran mayoría de las organizaciones en nuestro país aún no están preparadas para ser calificadas bajo este esquema”, comenta el experto en ciberseguridad de S21sec. “Actualmente el sector empresarial no considera la protección digital como un tema prioritario, lo cual es evidente al comprobar que siete de cada 10 empresas mexicanas no cuentan con un plan de respuesta ante incidentes tecnológicos o un plan de ciberseguridad”, concluye Vargas.
