Connect with us
Derecho Civil

Marco Regulatorio de Riesgos Digitales: ¿por qué es necesario en una organización?

Computer code on a screen with a skull representing a computer virus / malware attack.

Tiempo de lectura: 5 min

Publicado




Derecho Civil

Marco Regulatorio de Riesgos Digitales: ¿por qué es necesario en una organización?

Computer code on a screen with a skull representing a computer virus / malware attack.

1. La transformación digital y el surgimiento de los riesgos digitales



Los cambios a escala global que ha supuesto la transformación digital en las organizaciones ofrecen cada día nuevas posibilidades y retos en todos los sectores de actividad a un ritmo sin precedentes y de forma poderosa e inevitable.

La inteligencia artificial, la robótica, el big data, blockchain, internet de las cosas, los servicios en la nube o la ciberseguridad son realidades que plantean retos, tanto positivos como negativos, para las economías y sociedades mundiales los que, en muchos, casos desconocemos sus efectos.



Uno de los principales aspectos que debe tenerse en cuenta es que la digitalización conlleva un posible riesgo relacionado con la seguridad de los procesos de negocio y presenta serios desafíos e impacto en la sociedad, lo que supone afrontar los llamados riesgos digitales.



«Big data, blockchain, internet de las cosas, los servicios en la nube o la ciberseguridad son realidades que plantean retos, tanto positivos como negativos»

¿Cómo afectan los Riesgos Digitales en las empresas?

El aumento de la digitalización en los procesos de negocio de las organizaciones, no solo genera resultados positivos, mejorando la agilidad y efectividad en los procesos y herramientas de trabajo, sino que también puede producir efectos no deseados o no previstos que pueden afectar a los activos y valores esenciales de una organización (información estratégica del negocio, datos personales de sus clientes o de los empleados, etc.).



Estos resultados negativos, pueden dar lugar a una serie de consecuencias, que en el ámbito en el que nos encontramos, serían los llamados riesgos digitales, pudiendo impactar en la organización a distintos ámbitos, como pueden ser:

  • Riesgos en el ámbito tecnológico: son riesgos derivados de amenazas que tengan que ver con la tecnología o sistemas desactualizados que afecten a los sistemas de información, a las personas o a los procesos de negocio.
  • Riesgos en el ámbito estratégico: toda organización cuenta con objetivos estratégicos para llevar a cabo planes de seguridad. En caso de producirse una alteración en la seguridad, se deberán proponer nuevas estrategias pudiendo impactar en los clientes o en la reputación de la empresa.

“Es cada vez más común que las organizaciones preocupadas por el impacto que tiene la transformación digital en su negocio demanden un marco regulatorio específico y concreto”

  • Riesgos en el ámbito operacional: afectan a las operaciones de negocio debido a riesgos derivados de la falta de controles de seguridad no adecuados o indefinidos en procedimientos de una organización.
  • Ámbito de la privacidad: esta área se puede ver afectada por una utilización inadecuada de la información personal o confidencial de los clientes o de los empleados de una organización.
  • Relaciones con terceros: la contratación de proveedores que ofrecen servicios en plataformas en la nube (SaaS, PaaS o IaaS) pueden implicar riesgos derivados de la externalización de los servicios.

Por ello, es cada vez más común que las organizaciones preocupadas por el impacto que tiene la transformación digital en su negocio demanden un marco regulatorio específico y concreto que defina los dominios de riesgo que deriven en controles para mitigar unas consecuencias que pueden ser desastrosas a nivel económico y reputacional para el negocio.

 

2. ¿Qué es un marco regulatorio de riesgos digitales?

Un marco de riesgos digitales es un conjunto predefinido de políticas y procedimientos diseñados por las organizaciones para mejorar sus estrategias sobre los riesgos asociados a sus procesos de negocio y deberá estar documentado para el conocimiento teórico y los procedimientos de su implementación en la práctica.

Normalmente, estos marcos están dirigidos a un sector específico y van orientados a planificar la gestión de los riesgos digitales existentes y reducirlos en un plazo asumible dentro de una red empresarial.

La creación de un marco compuesto por distintos dominios de seguridad no resulta tan novedosa ya que, entidades como la Organización Internacional de Normalización (ISO en sus siglas en inglés) o el National Institute of Standards and Technology (NIST), han definido estándares internacionales orientados a crear normas para asegurar la calidad, seguridad y eficiencia de productos y servicios de las empresas, pudiendo certificar de forma independiente el cumplimiento de dichos estándares en algunos casos. Un ejemplo de ello es el estándar ISO/IEC 27001 y sus buenas prácticas (ISO\IEC 27002) que definen los requisitos, controles y buenas prácticas para implementar un Sistema de Gestión de Seguridad de la Información (SGSI).

Entre los beneficios que supone la definición de un marco regulatorio de riesgos digitales en una organización, se encuentra una mejora en el control de los riesgos dentro de este ámbito a través de la medición y creación de indicadores de rendimiento de los mismos, así como un incremento de la madurez en la supervisión de los riesgos.

«Es un conjunto predefinido de políticas y procedimientos diseñados por las organizaciones para mejorar sus estrategias sobre los riesgos asociados a sus procesos de negocio»

 

3. Contenido de un marco regulatorio en riesgos digitales

Del mismo modo que los marcos de ciberseguridad están formados por dominios de seguridad, un marco regulatorio de riesgos digitales se encuentra integrado por dominios de riesgo. Una modelo de dominios de riesgo que podrían aparecer en este marco son los siguientes, a título enunciativo:

  • Dominio de riesgo cloud.
  • Dominio de riesgo de privacidad.
  • Dominio de riesgo de cibertaques.
  • Dominio de riesgo de terceras partes.
  • Dominio de riesgo de continuidad del negocio.
  • Dominio de riesgo de cumplimiento.

Estos dominios de riesgo derivarán en medidas de seguridad que las empresas deberán aplicar en función del nivel de riesgo que presente cada dominio.

Un ejemplo real de un marco de riesgos digitales a nivel europeo que podemos encontrar en la actualidad es el que ha definido la Autoridad Bancaria Europea (EBA por sus siglas en inglés) para el sector bancario.

Este marco de riesgos, lo podemos encontrar en las directrices de la guía que ha desarrollado esta institución sobre la evaluación del riesgo de Tecnologías de la Información y la Comunicación (TIC) (EBA/GL/2017/05). A modo enunciativo y sirviendo como ejemplo, la guía clasifica los riesgos de las TIC que vendrían derivados de su disponibilidad y continuidad, de su seguridad o integridad o de los riesgos que se deriven de la externalización de las TIC.

«La ascendente dependencia digital lleva aparejada un menor control de la tecnología junto con una mayor vulnerabilidad»

 

4. Conclusión

De acuerdo con el último Informe Anual de Seguridad Nacional publicado por el Departamento de Seguridad Nacional (DSN), la ascendente dependencia digital lleva aparejada un menor control de la tecnología junto con una mayor vulnerabilidad, derivada, entre otros, de nuevos riesgos digitales que tienen implicaciones cada vez más relevantes en la práctica para la seguridad de la información y para la ciberseguridad.

Por este motivo, existe una imperiosa necesidad por parte de las empresas de establecer un marco de riesgos a nivel global y para cualquier tipo de sector de actividad que pueda ser utilizado por toda organización que quiera proteger sus activos esenciales y sus procesos de negocio.

 

Lara Puyol y Sebastián Aznarez, son letrados de ECIJA.

Lara Puyol

Sebastián Aznárez

Click para comentar

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *