SIGUENOS EN     
           
    + 34 951 16 49 00    
Español Italiano Ingles
ERASMUS+

Cybersecurity for Micro, Small & Medium Enterprises

Afrontar la incertidumbre, la ambigüedad y el riesgo en el entorno cibernético
Descargar    Reproducir el audio
Una mentalidad de gestión del riesgo cibernético para las MIPYMES

Introducción y notas informativas

El contenido de este módulo formativo es un seguimiento no oficial para la disposición al riesgo cibernético de EntreComp.

En las unidades precedentes, nos referimos a muchos marcos para estar mejor equipados al valorar y evaluar las amenazas y los riesgos cibernéticos, procedente del entorno informático.

En la siguiente sección, proporcionaremos a los alumnos unos planes de trabajo conceptuales, para navegar por la seguridad cibernética, la preparación cibernética y la resiliencia cibernética desde una perspectiva de control de calidad y de gestión de riesgo.

 

 

Ahora que las empresas y la organización se enfrentan a una exposición exponencial a las amenazas cibernéticas, la ciberseguridad se está convirtiendo en una de las principales preocupaciones no solo para los especialistas informáticos, sino también para los profesionales y los expertos que operan en el ámbito de la gestión de riesgo.

 

Las organizaciones confían aún más en los medios/herramientas digitales para planear, gestionar y desarrollar sus actividades, cualquier alteración en su “cadena de valores digitales” se traduce en muchas consecuencias para las cuales muchos no están preparados.

Hay una idea falsa compartida sobre la ciberseguridad, que es que: asegurar los sistemas informáticos de las amenazas cibernéticas implica procedimientos informáticos complejos y altamente sofisticados.

 

Aunque es ciertamente verdad que los profesionales de ciberseguridad disponen de competencias y conocimiento de ingeniería avanzados, una mentalidad informática está allí, al alcance de todos…

 

Los puntos clave de un informe de 2021 por el IBM indica que la resiliencia cibernética es sobre unas acciones sencillas:

• Inversión en Prevención (es decir, identificación y evaluación de riesgo)

• Módulo de seguridad “Zero-Trust” (“¿Quién puede acceder a los datos?”)

• Prueba de estrés (midiendo y evaluando las estrategias internas de resiliencia)
 
• [relevante incluso más en la época de teletrabajo] administración de identidad y acceso para gestionar  los
empleados remotos
 
• Programas de cumplimento: fomentar la cultura cibernética sobre el nivel multifuncional
 
• Reducir la complejidad (“siendo simple pero sofisticado”)
 
• Reducción del déficit de cualificaciones
 

 

Como cuestión de hecho, las evidencias del informe mencionado indica que las causas principales que intervienen como mayor interruptores están asociados a factores humanos, más bien que a las deficiencias tecnológicas:

Redes de seguridads

Disruptores

Prueba Equipo de Red

Gestión de riesgo “grupo de trabajo”

Fallos de cumplimiento

Plataforma AI

Prevención de pérdidas de datos 

Migración a la nube

Inversión de la Junta

Extensa codificación

Afectado por IoT / OT

CISO Experimentados

Formación de equipos de Relación Pública

Dispositivos perdidos o robados

Rutinas de contención de riesgo

Seguro cibernético 

Fuerza laboral en remoto

DevSecOps

Servicios de seguridad gestionados

Escasez de habilidades de seguridad

Compartir Datos de Peligro 

Prueba de vulnerabilidad

Burocracias internas “complejas”

Formar a los empleados

Protección contra el robo de identidad

Incumplimiento de terceros

Análisis de seguridad

   

 

Gestión de riesgo

Evidencias garantizadas por los socios de las MIPYME cibernéticas identifican en la falta de sistemas fiables de gestión de riesgos (cibernético) una de las cusas más comunes de exposición cibernética.

De por sí, este resultado es indicativo del “no-reconocimiento” de la ciberseguridad como preocupación principal para la resiliencia y la competencia empresarial.

 La gestión de riesgos cibernéticos debería seguir el mismo paradigma y el enfoque operativo (es decir, supervisión y evaluación) de cualquier otra función básica, como indicador de una nueva situación de ventaja a disposición en la empresa, para adaptar (y reaccionar a) las nuevas amenazas en evolución, procedentes de los mercados y de las sociedades.

ISO 31000

La Organización Internacional para la Normalización reconoce en la gestión del riesgo un proceso que implica la aplicación sistemática de las políticas, de los procedimientos y de las prácticas a actividades de comunicación y consultoría, estableciendo el contexto y  evaluando, tratando, monitoreando, revisando, grabando y  notificando el riesgo.

Como todas las funciones empresariales permanecen vinculadas a la eficacia y a la eficiencia de los sistemas TI y de las redes que regulan el flujo de las tareas, la gestión del riesgos cibernético se convierte en una parte integral de toma de decisiones estratégicas y planificación a largo plazo.

La gestión de riesgo cibernético es un proceso cíclico e incluye un mecanismo en curso orientado al logro de los estándares incluso más altos.

    Chequeo> Evaluación> Ajuste

 

ISO 31000, una representación visual

Mitigar el riesgo cibernético

Basado en el ISO 31000, los modelos internos de gestión de riesgo (cibernético) deberían reflejar los valores de la organización, los objetivos y los recursos y ser coherente con las políticas y las declaraciones sobre las obligaciones de la organización y la visión de los stakeholders.

En cuanto la organización se conforme con el alcance, el contexto y el criterio de su modelo de gestión, se recomienda proceder con la evaluación actual.

La evaluación se concluye en un proceso de tres pasos:

El flujo de evaluación de riesgo

 

Fuente: Caliste, J.-P & Heitor, Jone (2020)

La tabla de evaluación de riesgo
Control de calidad para la higiene cibernética

Una introducción al control de calidad

Los profesionales y los expertos en dominio de gestión empresarial seguramente habrán escuchado hablar de la Manufactura Lean (Lean Manufacturing), Gestión de Calidad Total (Total Quality Management - TQM), Justo a tiempo (Just In Time - JIT), etc.

Los que hemos mencionados están entre los marcos de auditoria más famosos para la gestión de calidad aplicada a nivel industrial.

Estos modelos tienen solo una cosa en común: su origen es de Japón y ellos se han convertido, en todo el mundo, en la mayor referencia para los procedimientos de auditoria y de control de calidad.

Una introducción al control de calidad – KAIZEN

Lo que se conoce menos sobre TQM y JIT, es la “filosofía” de empresa de la cual emergen: Kaizen (改善), traducido literalmente como  改 = cambio,善 = bueno.

La cultura de Kaizen implica una creación constante y continua de unos estándares más altos de las normas de rendimiento.

Alrededor de los 80, se convirtió en el paradigma empresarial dominante de las industrias japoneses, con particular referencia a Toyota (es decir., Sistema de producción Toyota, Toyotism).

…pero aún menos conocido es que la cultura de Kaizen no es un producto totalmente creado en Japón.

Una introducción al control de calidad – DEMING

 

 

El modelo Kaizen debe sus orígenes al programa multinacional de colaboración industrial entre Estados Unidos y Japón, empezado al final de la segunda Guerra mundial.

De manera más específica, el íncipit para el modelo actual de  Kaizen ha sido inspirado por el trabajo de una figura luminaria en el panorama empresarial estadounidense de la época: W. Edwards Deming (1990-1993).

E. Deming es el hombre detrás de uno de los primeros marcos de referencia para el control de calidad y la auditoria: el modelo DEMING

 

 

El modelo de DEMING

Fuente: Deming, W.E., 1950. Elementary Principles of the Statistical Control of Quality, JUSE.

 

A lo largo del tiempo, el modelo DEMING conoció un número muy grande de revisiones promocionadas por otros autores que cruzaron el camino de E. Deming, como Kaizen que, de hecho, es uno de ellos.

A día de hoy, el modelo DEMING original inspiró al ISO 9001 para los principios de gestión de calidad.

Fuera de todas las readaptaciones del modelo DEMING, nos gustaría proponer lo que se  presentó en una perspectiva “evolucionaria”.

The El modelo DEMING “avanzado”

El modelo DEMING – observaciones

La verdadera fuerza del modelo DEMING, que permitió superar la prueba del tiempo, es que:

• Es fácil de entender
• Se puede aplicar por cualquier organización – independientemente del mercado/industria ocupados
• Se puede aplicar a cualquier proceso/función empresarial – incluso la ciberseguridad
 

Desde el ISO 31000, vimos que un modelo integral de gestión de riesgo tiene en cuenta un proceso de evaluación transversal y de seguimiento continuo.

El ciclo DEMING cubre ambas prioridades y permite a los usuarios:

1. Elaborar estrategias sobre soluciones de ciberseguridad más  adecuadas, en vista de los riesgos mapeados y del entorno organizacional
2. Implementar lo mencionado anteriormente
3. Evaluate and validate their adequacy
4. Reaccionar en consecuencia

 

Evaluación formativa VS Evaluación sumativa

Se podría recomendar dividir el proceso de evaluación (es decir, la fase de “chequeo”) en dos separadas, dependiendo del momento real de la evaluación.

 

Evaluación formativa Evaluación sumativa
Evaluación de los procesos paso a paso y evaluación de sus actividades día a día

Tras la conclusión de cualquier resultado importante, mira hacia lo que se hizo y trata de compararlo con tus normas/expectativas previstas.

 

Puntos clave

• La gestión de riesgo transita de la función horizontal a los principales recursos internos para el éxito competitivo
 
• Gestión de riesgo como manera de pensar, más que como enfoque operacional
 
• Concienciación → Preparación → Resiliencia
 
• Mitigación del riesgo y contramedida: identificación, análisis y evaluación
 
• Evaluación del riesgo: Probabilidad VS Impacto
 
• Control de calidad: mejora constante y continua


Palabras clave

Control de calidad, Ciclo DEMING, identificación de riesgo, evaluación de riesgo, supervisión, evaluación, gestión

Objetivos

El objetivo de este módulo es fomentar en los lectores una renovada concienciación sobre el papel estratégico de la gestión de riesgo (cibernético), para las micro empresas y las pequeñas y medianas empresas, que operan en un ecosistema digital interconectado..

Descripción

Los contextos de este módulo están pensados para ayudar al grupo objetivo a adquirir un nuevo programa para la gestión de riesgo, como una función empresarial que impregna trasversalmente todas las tareas y se activa respondiendo a la nueva necesidad urgente de proteger el negocio de los ataques cibernéticos. Lo haremos compartiendo marcos de gestión seguros, sólidos y fiables que se aplican tradicionalmente a todas las funciones empresariales.