Navegar por el camino hacia la resiliencia cibernética y, en última instancia, la resiliencia operativa, es un desafío. Pero las estrategias de resiliencia orientadas al futuro son esenciales para ayudar a minimizar los riesgos financieros, operativos y reputacionales. Cada viaje de resiliencia cibernética requiere un enfoque holístico y proactivo que combine la identificación y evaluación de riesgos, la mitigación de riesgos, la preparación y recuperación de respuestas, y los mecanismos de transferencia de riesgos.

Identificar y evaluar el riesgo cibernético. Las organizaciones deben recopilar y examinar datos e información para comprender la gama completa de impactos de ciberseguridad y exposiciones, incluido cómo los controles de seguridad afectan las exposiciones en el balance. Estos hallazgos pueden informar las decisiones estratégicas de los líderes sobre cómo evitar, mitigar o transferir el riesgo cibernético en línea con la misión y los objetivos generales de la organización.

Mitigar el riesgo cibernético. Un aspecto crítico de cualquier viaje de resiliencia cibernética es probar y actualizar planes de continuidad del negocio y recuperación ante desastres en función de cambios en herramientas, tecnologías y procedimientos, así como de las operaciones comerciales actuales.

Para ayudar a mitigar las amenazas cibernéticas y prepararse para una suscripción de seguros más rigurosa, los equipos de seguridad y tecnología de las organizaciones deben evaluar continuamente las amenazas en evolución y proporcionar evidencia cuantificable de la efectividad de los controles actuales a aseguradoras y al mercado. Los equipos deben centrarse en controles de seguridad que mitiguen los ataques de secuestro de datos, en particular aquellos que son parte crucial del proceso de suscripción de seguros. Alinearse con estándares de control de buenas prácticas, como los del Instituto Nacional de Normas y Tecnología (NIST) o el Centro de Seguridad en Internet (CIS), puede ayudar aún más a las organizaciones a fortalecer la ciberseguridad y cumplir con los requisitos regulatorios en constante evolución. La cuantificación periódica de riesgos y la elaboración de mapas de riesgos basados en riesgos son otras formas de garantizar que cualquier compra de seguros mantenga su valor como parte de la estrategia general de una empresa para mitigar el riesgo cibernético, mientras que los análisis de escenarios y rutas de ataque ayudan a identificar los dominios de seguridad y los controles centrales con la mayor capacidad para mitigar el daño de un incidente cibernético.

La capacitación en defensa cibernética en toda la organización es un componente crítico para mitigar riesgos. La importancia de cumplir con las medidas de ciberseguridad debe comunicarse claramente desde los niveles más altos de una organización y reforzarse con mensajes, capacitación y apoyo regulares. Establecer una cultura cibernética sólida puede ser una de las mejores formas de ayudar a mitigar los riesgos cibernéticos. Depende de construir conciencia a nivel individual para que todos comprendan tanto las políticas y estrategias de la organización como el papel que desempeña cada persona en mantenerlas y avanzar en ellas.

Finalmente, aunque dotar a los empleados con las mejores prácticas para protegerse contra caer víctimas de actos fraudulentos es imperativo, también es vital apoyar el bienestar de los empleados. Los empleados estresados y desvinculados son más propensos a cometer errores o a eludir deliberadamente las medidas de ciberseguridad. Y el estrés de los empleados sigue siendo alto. Por ejemplo, un tercio de los encuestados en la Encuesta de Bienestar Laboral de la Asociación Psicológica Americana en 2023 expresaron temores de que la inteligencia artificial hiciera obsoletas sus funciones o responsabilidades laborales. Además, la mitad de los encuestados que expresaron temores sobre la inteligencia artificial informaron síntomas de agotamiento, como irritabilidad y falta de motivación.

Preparar la respuesta y recuperación ante incidentes cibernéticos. Recuperarse de un incidente cibernético suele ser un proceso complejo y prolongado. Prepararse de antemano permite a las organizaciones iniciar este proceso mucho más rápido y con mayor éxito. Los esfuerzos de respuesta a incidentes, contención e investigación deben llevarse a cabo junto con una evaluación de los impactos financieros y operativos, incluidas las reclamaciones de terceros y de seguros. Con una planificación avanzada, estos esfuerzos pueden medirse y alinearse con los objetivos comerciales, ayudando a agilizar el procesamiento de reclamaciones y trabajar para lograr la neutralidad en el flujo de efectivo.

Transferir el riesgo cibernético. Una vez que una organización ha cuantificado sus posibles pérdidas cibernéticas máximas, puede evaluar y adaptar regularmente sus estrategias de aceptación y transferencia de riesgos cibernéticos con la entrada informada de todas las partes interesadas. La transferencia de riesgos es importante para brindar resiliencia financiera, y las opciones de transferencia no se limitan a la colocación tradicional de seguros; el seguro cautivo y el capital alternativo también son enfoques viables para respaldar la protección del balance.

Fuente: Aon Corporation, 2023.