La ciberseguridad ya supone el sexto riesgo dentro de los 10 principales riesgos globales para la C- Suit, así lo revela la última Encuesta de Aon sobre Gestión de Riesgos Globales, además, en el caso de EE.UU. este riesgo fue la principal preocupación. Es más, el 48% de las empresas encuestadas por el Instituto Ponemon afirmaron que han sufrido una violación de sus datos y que ésta causó una interrupción de las operaciones de negocio y de TI.

Sin embargo, a pesar de estas advertencias, los expertos en cibernética de Aon han comprobado que el primer intento de una organización para abordar el riesgo cibernético es generalmente «en el peor momento posible», justo en medio de un ataque cibernético. Aparte de los costes inmediatos derivados de un incumplimiento, el impacto a largo plazo en la reputación de una marca y la pérdida de confianza del consumidor pueden ser irreparables, alertan.

«Sabemos, gracias a la colaboración con nuestros clientes en sus problemas de riesgo más críticos, que el ciberriesgo es una prioridad para las juntas directivas, la C-suite y los líderes empresariales», explica Chad Pinson, presidente de gestión de respuesta e incidentes de Aon Cyber Solutions. «Sin embargo, cuando se trata de resolver el problema, la naturaleza multifacética y a largo plazo de lograr la ciberresistencia puede dejar a estos líderes sin soluciones».

Esa confusión es comprensible, afirman desde el bróker. “La forma más fácil de ir del punto A al punto B es generalmente una línea recta. Pero el desarrollo de la ciberresistencia no es un proceso lineal. En su lugar, es un proceso repetitivo y circular, con varias etapas críticas a lo largo del camino: evaluación de riesgos, cuantificación de riesgos, seguros cibernéticos y preparación de respuesta a incidentes. Llamamos a esta estrategia el ‘Cyber Loop'», explica Stephanie Snyder, líder de estrategia comercial de Aon Cyber Solutions. «Cada organización va a entrar en este bucle en diferentes puntos».

El desarrollo de la ciberresistencia no es un proceso lineal. En su lugar, es un proceso repetitivo y circular, con varias etapas críticas a lo largo del camino: evaluación de riesgos, cuantificación de riesgos, seguros cibernéticos y preparación de respuesta a incidentes. Llamamos a esta estrategia el ‘Cyber Loop’

Comprendiendo el riesgo real

«Lo que es único en el riesgo cibernético es que cada organización tiene un perfil de riesgo ligeramente diferente, incluso aquellas que están en la misma industria», dice Snyder.

Aunque las organizaciones pueden entrar en el circuito cibernético en diferentes puntos, el hecho de circular continuamente por las etapas conduce a los mejores resultados posibles. Sin embargo, muchas organizaciones entran en el circuito cibernético en la etapa de respuesta a incidentes, cuando están siendo atacadas: «Responder a un evento cibernético no es el punto de entrada ideal al circuito cibernético», detalla Pinson. «Desafortunadamente, muchas empresas se ven obligadas a entrar en él, y después de gestionar la amenaza inmediata, se preguntan: ‘¿Cómo evitamos que esto vuelva a suceder?».

“Un desafío común para abordar los ciberpeligros es encontrar datos de calidad en los que basar mejores decisiones de mitigación de riesgos. Dar vueltas continuamente por el circuito cibernético puede ayudar a las organizaciones a recopilar los datos adecuados para tomar mejores decisiones”, dice Snyder. Que remarca: “Es imperativo dejar de basar las decisiones en riesgos hipotéticos y, en su lugar, comprender el riesgo real».

El Bucle Cibernético

Ante amenazas complejas y en constante evolución como el ciberriesgo, las organizaciones deberían adoptar un marco amplio y continuo que reconozca la naturaleza cíclica del riesgo.

Adam Peckman, líder de la práctica global de Aon Cyber Solutions, añade que este tipo de marco circular puede dar lugar a otros beneficios: «Un marco como este puede ayudar a romper los silos de la organización. Hace que los equipos trabajen juntos, generando conocimientos prácticos para ayudar a los responsables de la toma de decisiones a mejorar las soluciones operativas y financieras para el ciberriesgo», afirma.

«La creación de resiliencia es un proceso continuo, no es lineal con una línea de inicio y fin definida», pone de relieve Pinson: «El riesgo cibernético no es estático, por lo que su enfoque de la mitigación no puede serlo», concluye.