We're sorry but your browser is not supported by Marsh.com

For the best experience, please upgrade to a supported browser:

X
Chile CHL
Americas
Asia Pacific
Europe
Middle East & Africa
Español ES

El riesgo en contexto

Industria 4.0, riesgo cyber y pandemia

Por Kheyra Medina Jueves, 18 Febrero 2021

La Cuarta Revolución Industrial o Industria 4.0,  además de beneficios ha traído consigo retos e impactos importantes que debemos considerar en cualquier tipo de sector o industria. Al mismo tiempo, las posibles exposiciones cibernéticas y tecnológicas a las que se enfrentan las empresas continúan expandiéndose, incrementando la posibilidad de sufrir pérdidas económicas sustanciales.

Aspectos relacionados a la evolución en todo el panorama digital, sumado a los impactos por la pandemia generada por la Covid-19, nos ha llevado a un compromiso más amplio con la tecnología. La pandemia ha forzado un rápido cambio en la vida diaria, exponiendo la vulnerabilidad de las empresas a los eventos de riesgo sistémico, debilidad de las estrategias tradicionales y la limitación de nuestros enfoques normales de gestión de riesgos comerciales en estas situaciones. Sin embargo, corresponden a estrategias de gestión de riesgos centradas en negocios convencionales.

La implementación resultante de directivas de distanciamiento social, procesos comerciales alterados y nuevas realidades económicas, incluido el movimiento de una gran parte de la fuerza laboral al teletrabajo y la expansión de las huellas del comercio electrónico, han provocado que muchas compañías implementen nuevas capacidades de IT, tornando vital revisar y abordar su infraestructura tecnológica y medidas de ciberseguridad, ajustadas a las nuevas necesidades.

La manera en que la pandemia ha cambiado la forma en que los productos llegan a los consumidores, las innovaciones en entregas de "última milla" (Last mile delivery) y la explosión del e-commerce, han popularizado el término “last mile” en el sector inmo-logístico, tradicionalmente definido como el último escalón dentro de la cadena de suministro en el que el producto es entregado al cliente.

Algunas soluciones provisionales han pasado por alto los procesos normales de desarrollo, aprobación y despliegue que a menudo han ampliado o violado las políticas de ciberseguridad existentes, al mismo tiempo que la actividad de los ciberdelincuentes ha aumentado a nivel mundial.

Describir el significado de ciberataque es sencillo y a la vez complejo, pues existe una amplia gama de formas en cuanto a ataques maliciosos. Una manera simple de definirlo es la explotación deliberada de sistemas informáticos, empresas, y redes dependientes de la tecnología. 

Un ciberataque puede utilizar códigos maliciosos para alterar la lógica o los datos del ordenador, generando consecuencias perjudiciales que pueden comprometer la información y provocar delitos cibernéticos - como por ejemplo el robo de identidad, la filtración de datos confidenciales y su envío a la base de origen del atacante de manera silenciosa; la toma de control de un equipo personal o de oficina, y la suplantación de identidad para conseguir que se realice la acción deseada, como que un usuario abra un archivo adjunto o haga clic a un enlace, que dañen infraestructura crítica o desarrollen una base para futuros ataques y este sea el conducto para su objetivo final. 

El éxito de los ataques cibernéticos depende de la curiosidad y los impulsos humanos, por lo cual son difíciles de detener. Conocer qué son y los diferentes tipos que existen no es suficiente para evitarlos, pues los hackers parecen ir un paso por delante, representando una amenaza latente para las empresas, que están obligadas a tomar medidas, transferir estos riesgos a través del seguro y gestionar los que no sean transferibles.

Ahora bien, es necesario considerar que existen diferentes tipos de hackers y la forma en que estos profesionales ganan dinero también explica qué es el hacking ético. Los que lo practican son frecuentemente empleados de las compañías de seguridad cibernética o dentro de los departamentos de seguridad de las organizaciones más grandes. El hecho de que ellos sepan cómo operan los atacantes, a menudo les da una valiosa perspectiva sobre cómo prevenir los ataques.

Otra forma con la que los hackers éticos o de ‘sombrero blanco’ (White hat) pueden ganarse la vida es mediante la recopilación de “recompensas de errores”. Empresas sofisticadas en la gestión del riesgo cibernético como Facebook, Microsoft y Google, ofrecen una recompensa a los investigadores o hackers que descubren agujeros de seguridad dentro de sus redes o sistemas.

Por otro lado, los piratas informáticos de los hackers de sombrero negro en general ganan su dinero a través del robo, el fraude, la extorsión y otros medios nefastos. Actúan a título individual o incluso bajo asociaciones criminales. No todos los ciberataques involucran habilidades técnicas de alto nivel o actores patrocinados por el estado. 

En el extremo opuesto de la escala se encuentran los hackers que aprovechan los errores de seguridad largamente fijados, las ambigüedades en las interfaces de usuario e incluso una buena supervisión humana pasada de moda. Muchos piratas informáticos son oportunistas, analizan con tiempo, dedicación y no siempre escogen los objetivos más valiosos, impulsados por motivaciones muy variables.

Los hackers de sombrero gris se ubican en algún lugar entre los dos campos, a menudo llevando a cabo operaciones ligeramente más cuestionables desde el punto de vista moral, como piratear grupos a los que se oponen ideológicamente, o lanzar protestas hacktivistas.

Entre los diferentes tipos de ciberataques existen estrategias y tácticas similares que se usan por su eficacia en el tiempo. Un delincuente no requiere crear una forma nueva de atacar una organización, a menos que sea necesario. 

Aunque existan leyes internacionales que penalizan el crimen informático y otras se estén trabajando para adaptarse a las necesidades de cada país, el crimen cibernético es un riesgo latente y todos somos vulnerables así sea en diferente medida. Debemos ser diligentes con respecto a la ciberseguridad en el lugar de trabajo y en el hogar, pues podría marcar una gran diferencia.

Existen diferentes metodologías para entender el nivel de madurez, cuantificar las posibles pérdidas (propias o de terceros) y gestionar los riesgo. Estos tres pilares se ejecutan de manera integral.

La madurez del riesgo es relativa, por tal su medición es variable. Toma gran relevancia siendo una medida adoptada por las organizaciones para ayudarles a comprender mejor su posición general de riesgo, incluido el valor creado a partir de las iniciativas de gestión de riesgos.

A continuación, detallamos cuatro aspectos cuya aplicación conjunta genera importante impacto:

  • Cultura
  • Personas
  • Procesos
  • Aplicación

El aumento de la exposición al riesgo cibernético requerirá un enfoque renovado en la educación del personal, teniendo en cuenta los cambios operativos y una mayor dependencia del trabajo remoto y las infraestructuras digitales. Desarrollar la preparación en su negocio ahora no solo ayudará a su organización a optimizar la recuperación, sino que será más resistente frente a futuras interrupciones.

Las organizaciones deberían considerar el desarrollo de estrategias de ciberseguridad que consideren la implementación de controles para la mitigación y la cobertura con un seguro de riesgo cibernético para optimizar los niveles de inversión. 

Relacionado con:  Cyber Risk

Anterior

Informe de riesgos globales 2021: 3 prioridades para los profesionales del riesgo

Por Fabrice Lebourgeois Martes, 23 Febrero 2021

Siguiente

Cómo administrar riesgos para dispositivos móviles

Por Julien Ducloy Martes, 02 Febrero 2021