ISMS Forum colabora con AGERS elaborando un Mapa de Ciberriesgos, que presentará durante el transcurso de la XXI Jornada Internacional de Seguridad de la Información del próximo 30 de mayo en el Círculo de Bellas Artes de Madrid. Este proyecto supone una continuación de la GUÍA DE TERMINOLOGÍA DE CIBERSEGURIDAD, publicada en 2017 y la GUÍA TOP TEN CYBER RISKS publicada en 2018, ambas elaboradas entre ambas entidades. Estos trabajos siguen manteniendo el objetivo de facilitar la comprensión del riesgo de la tecnología de la información entre todos los perfiles afectados por este tipo de riesgo.

En la primera pretendíamos hacer comprensibles, para las personas no expertas en las tecnologías de la información, términos utilizados habitualmente. En la segunda guía explicábamos en detalle diez de los principales riesgos tecnológicos, incidiendo en la causa del incidente y las distintas medidas disponibles para evitarlos o minimizarlos. 

En esta ocasión, damos un paso adelante en cuanto a la complejidad del análisis, ya que vamos a valorar este tipo de riesgos en función de su probabilidad e importancia. Para esto utilizaremos una herramienta habitual en el análisis de los riesgos: el mapa de riesgos.  Este consiste en una matriz que permite mostrar los riesgos según su probabilidad e impacto. La combinación de estos parámetros da lugar a una clasificación de la importancia de cada riesgo.   

No existe un mapa de riesgos único para todas las empresas. Cada empresa, en función de múltiples características, puede valorar las consecuencias de un ataque de forma diferente. Además, un mapa de riesgos es algo dinámico, cambia con el tiempo dentro de una empresa. Por este motivo hemos desarrollado dos casos, buscando situaciones relativamente extremas. Por un lado, una empresa con una alta dependencia tecnológica: sin sistemas de información operativos, la actividad se paraliza (ventaonline de productos informáticos) y, por otro, una empresa más tradicional (un pequeño hotel familiar), cuya actividad principal no se sustenta en los sistemas de información. Cada uno de los lectores de este documento podrá verse más identificado con uno u otro caso.

El fin último del mapa de riesgos es mejorar la gestión del riesgo de una organización. Los riesgos con una alta probabilidad y una alta importancia deben ser especialmente gestionados para reducir al menos uno de estos parámetros. Por este motivo, el documento no termina con la presentación del mapa de riesgos de cada una de las empresas estudiadas, sino con un plan para gestionar los riesgos detectados como los más peligrosos.  

Si quieres enterarte de todo lo relacionado con la elaboración del Mapa de Ciberriesgos, inscríbete aquí para asistir a la XXI Jornada Internacional de la Seguridad de la Información durante la cual tendrá lugar la presentación del proyecto.