Durante esta pandemia de COVID-19 estamos viviendo una situación en la que es fácil apreciar de una manera intuitiva el valor de una gestión de riesgos adecuada, y cómo la evaluación previa puede ayudar a tomar decisiones oportunas y tempranas.
Si se analiza la probabilidad de aparición de nuevos virus con alta capacidad de contagio y el impacto que pueden provocar (alta mortalidad) se puede estimar si existe un riesgo real para la sociedad o no. Y con un análisis más detallado en el que se conozcan las áreas más expuestas al contagio, las personas con mayor impacto o los lugares con menores medios, se puede establecer un mapa de riesgo en el que ver dónde se es más vulnerable, dónde ya existen medidas y dónde es necesario aplicar medidas de prevención o de mitigación si el riesgo se materializa.
Si hiciéramos un análisis de riesgos evaluando a las personas como se hace tradicionalmente en el ámbito empresarial, consideraríamos a las “personas” como un único activo, al que se le asocian amenazas y vulnerabilidades: edad, exposición al virus, patologías previas, malos hábitos, etc. Pero haciendo ese análisis únicamente podríamos estimar si existe o no un riesgo general y definir una batería de medidas de mitigación que pudieran reducir el riesgo. En realidad, no nos ayudaría a identificar correctamente los grupos de mayor riesgo ni a cómo utilizar las medidas de mitigación de la mejor manera para poder ayudarles.
Si consideramos a la “población” como un elemento individual, estamos asociando al conjunto de la sociedad todas las amenazas y vulnerabilidades por igual, así como impactos y probabilidades. Sabemos que no todas las personas son igual de vulnerables y no en todas las situaciones se tienen las mismas probabilidades de contagiarse.
Por eso, los casos se evalúan individualmente: hay personas con más probabilidad de contagiarse (trabajadores y usuarios de residencias de ancianos, médicos, enfermeras, policías, etc.), personas con más impacto si se contagian (como ancianos o personas con patologías previas) y los distintos factores se combinan: una persona de 70 años, con diabetes y trabajando en un hospital tiene un riesgo mucho más alto que una de 25, sana y trabajando en su negocio desde su casa. Por eso mismo, las medidas de gestión y protección no pueden ser las mismas para los distintos casos. Y para saber dónde y cómo se implantan medidas, hay que evaluar el riesgo de forma pormenorizada.
Igualmente, no podemos considerar a las personas como un “activo general” en las organizaciones, ni quedarnos en agrupaciones amplias como “administradores” y “usuarios“. En el mundo TIC no se consideran los “servidores” o las “aplicaciones” como un único activo, sino que se analizan por separado en agrupaciones más específicas (como “servidores web” o “aplicaciones financieras”) y en los casos más maduros se analizan incluso llegando al nivel de CIs (configuration item), como “servidor web de portal de compras” o “aplicación de contabilidad del departamento de ventas”.
Del mismo modo, las personas deben ser consideradas caso por caso, para conocer sus características, sus vulnerabilidades, las amenazas a las que están expuestas y el impacto si ocurre un incidente en su ámbito de trabajo. Y así, determinar las mejores acciones para fortalecer a cada una en función de la información disponible.
En próximos artículos, veremos cómo con Kymatio se gestiona el riesgo interno teniendo en cuenta el factor humano.
Actualización Covid-19
Frente a la gravedad de al situación que enfrentan las empresas recomendamos consulta de los siguientes artículos relativos a los retos de ciberseguridad frente a la pandemia producida por el Covid-19.
Ciberseguridad y Riesgo (Inteligencia de riesgo humano)
- ¿Qué nos enseña el COVID-19 sobre la Gestión de Riesgos?
- El impacto del Covid-19, la pandemia altera la forma de evaluar el riesgo en las empresas
- Pandemia y Ciberriesgo, incidencia del COVID-19 en ciberseguridad
- Gestión de riesgos en ciberseguridad
- Teletrabajo y riesgo interno
- Los datos y el scoring de riesgo en ciberseguridad
- Mejores prácticas para prevención del ciberriesgo, el factor humano
- Riesgo interno en ciberseguridad, riesgo percibido vs riesgo real
Ciberpsicología (Comprensión y reducción del riesgo en empleados)
Contacta con Kymatio ahora para fortalecer la postura de ciberseguridad de la organización.