Ideas, información y conocimientos compartidos por el equipo
de Investigación, Desarrollo e Innovación de BASE4 Security.
Ideas, información y conocimientos compartidos por el equipo
de Investigación, Desarrollo e Innovación de BASE4 Security.
volver
POR:
Equipo GRC
COMPARTIR
Pequeñas empresas, grandes riesgos
La gestión de riesgos es clave para garantizar la seguridad y el éxito de cualquier organización. Por supuesto existen diferencias significativas en cómo se abordan y se implementan en organizaciones de distintos tamaños. En este contexto, es menester comprender las particularidades y desafíos específicos que enfrentan las organizaciones pequeñas.
Diferencias básicas
Si bien los principios fundamentales de la gestión de riesgos son aplicables tanto a organizaciones pequeñas como a grandes, es importante reconocer las diferencias inherentes a cada tipo de organización. A continuación, destacamos algunas diferencias clave:
• Complejidad y alcance: las organizaciones pequeñas se caracterizan por tener operaciones más simples y un alcance limitado en comparación con las grandes empresas. Esto implica que la gestión de riesgos puede ser menos compleja y abarcar un menor número de variables. La identificación y evaluación de riesgos en una organización pequeña tiende a ser más ágil y menos exigente en cuanto a recursos.
• Estructura organizativa: en las organizaciones pequeñas, la gestión de riesgos suele recaer directamente en los líderes y propietarios de la empresa. No suelen contar con departamentos especializados en gestión de riesgos, ya que los recursos pueden ser limitados. Esto significa que los responsables de la organización deben asumir un papel activo en la identificación, evaluación y mitigación de riesgos.
• Recursos financieros: las organizaciones pequeñas suelen tener menos recursos financieros disponibles para invertir en la gestión de riesgos en comparación con las grandes empresas. Por lo tanto, es importante utilizar de manera eficiente los recursos disponibles y optar por enfoques más prácticos y rentables. Esto puede incluir la capacitación interna en ciberseguridad, la implementación de medidas de seguridad básicas y la adopción de políticas de uso aceptable de la tecnología.
• Comunicación interna: En las organizaciones pequeñas, la comunicación interna tiende a ser más directa y fluida debido a la estructura más plana y la menor cantidad de niveles jerárquicos. Esto facilita la transmisión de información sobre los riesgos identificados y las medidas de mitigación correspondientes. Los líderes y propietarios de la organización pueden comunicarse de manera más eficiente con los empleados y garantizar que todos estén al tanto de los riesgos y de cómo abordarlos.
Al reconocer estas diferencias, las organizaciones pueden adaptar sus enfoques de gestión de riesgos a sus características particulares, lo que permite gestionar mejor los riesgos y promover la seguridad a largo plazo.
Impacto profundo
Un enfoque desde el impacto permite comprender mejor lo que las organizaciones pequeñas pueden hacer. En pocas palabras, el impacto de una ciberamenaza puede ser devastador y potencialmente dejarlos fuera del negocio por completo. Más allá del problema técnico en sí, los costos para remediar los efectos de un incidente de ciberseguridad pueden incluir la contratación de expertos para investigar y solucionar el problema, restaurar los sistemas y la infraestructura, y mejorar las medidas de seguridad existentes para evitar futuros ataques. Estos costos pueden ser abrumadores para una empresa pequeña.
El aumento de los eventos adversos subraya la creciente necesidad de desarrollar cierta “inteligencia de riesgos” definida como la capacidad para interpretar rigurosamente los riesgos y las consecuencias u oportunidades que plantean para una empresa. Esto implica ver más allá de la complejidad del entorno, identificar y categorizar sistemáticamente los riesgos. En este sentido, la estrategia de seguridad debe trascender la protección, centrándose en reducir la probabilidad de impacto material debido a eventos adversos.
Los profesionales de ciberseguridad se enfrentan al desafío de aprender más rápido que los adversarios, reducir el atractivo de la empresa, disminuir las vulnerabilidades técnicas, y mitigar el impacto. La inestabilidad del entorno actual requiere superar la falsa sensación de seguridad brindada por los estándares y buenas prácticas, adoptando en su lugar una seguridad guiada por aspectos inciertos, lo que requiere prepararse para navegar en medio de la inestabilidad, y adaptarse a los nuevos escenarios. En los ecosistemas digitales actuales, donde las empresas establecen su propuesta de valor y se apoyan en terceros de confianza, es necesario definir un apetito de riesgo, que implica definir los riesgos que la empresa está dispuesta a aceptar, establecer acuerdos de nivel de protección y una tolerancia específica. De esta manera se pueden diseñar estrategias que se alineen con los objetivos.
Los líderes, por su parte, deben establecer el marco de trabajo de sus propuestas dentro del contexto de operación que reconozca las amenazas concretas del entorno y el sector. Esto implica caracterizar a los posibles adversarios en términos de capacidades, métodos y motivaciones, mediante el establecimiento de una línea base de amenazas. Así podrán validar las capacidades actuales y adquirir las necesarias para defender a la organización y anticipar posibles escenarios adversos. Esto, en el caso de empresas pequeñas, puede parecer innecesario, pero puede resultar un ejercicio revelador.
Ante este panorama, los profesionales de ciberseguridad asumen el desafío de desarrollar acciones para operacionalizar la visión estratégica, pero eso requiere que exista una, cosa que a veces no es tan clara en organizaciones pequeñas. Esto lleva a reducir la superficie de ataque, identificar y categorizar el alcance del impacto, interpretar los riesgos con frecuencia y mitigar, absorber y adaptarse frente a ataques exitosos. La promesa de valor de la ciberseguridad no reside en la ausencia total de eventos adversos exitosos, sino en mantener a la organización dentro de su tolerancia de riesgo definida. Para lograrlo, se deben fortalecer las capacidades clave de la ciberseguridad empresarial, incluyendo defensa, detección, respuesta ante crisis y monitoreo, y si no se cuenta con recursos suficientes como para invertir en esto, se pueden tomar aproximaciones más simples, basándose en estándares de buenas prácticas y en recomendaciones de profesionales con experiencia en empresas pequeñas.
La ciberseguridad se convierte así en un elemento articulador de la propuesta de valor, con el objetivo de aumentar la capacidad de resiliencia del negocio, mantener el rumbo establecido por los líderes, y fortalecer la confianza digital con los clientes. En este sentido, el desafío frente al riesgo se traduce en cinco aspectos clave: tolerar, terminar, transferir, transformar y tratar. Estas acciones proporcionan movilidad a las capacidades de la organización y permiten ajustarse a su apetito de riesgo. Es fundamental que la organización responda a preguntas relacionadas con los acuerdos de nivel de protección, el mantenimiento dentro del umbral de riesgo definido, la disponibilidad de capacidades necesarias, la brecha frente al nivel de madurez objetivo y la evolución del estado de las amenazas relevantes. Esto, para cualquier tamaño de organización, es un factor ineludible, y no es ajeno a negocios con entornos reducidos. Finalmente, en caso de materializarse un evento de ciberseguridad adverso, conviene tener un plan de gestión de incidentes definido, líneas de comunicación claras, y ayuda externa de personal especializado para situaciones de tal tipo.
Conclusiones
La gestión de riesgos es una práctica esencial tanto para organizaciones pequeñas como grandes. Si bien existen diferencias en la forma en que se abordan y se implementan en cada tipo de organización, los principios fundamentales siguen siendo aplicables. Es importante que las organizaciones pequeñas reconozcan la importancia de una gestión de riesgos adecuada y adopten enfoques adaptados a sus recursos y necesidades específicas. Al identificar y evaluar los riesgos, desarrollar un plan de gestión de riesgos y fomentar una cultura adecuada, las organizaciones pequeñas podrán protegerse de posibles impactos adversos y aprovechar las oportunidades de manera más efectiva, garantizando así su continuidad y éxito a largo plazo.