La gestión de riesgo digital: principios de la OCDE
La OCDE (organización de cooperación y desarrollo económico), tiene como misión promover políticas que mejoren el bienestar económico y social de las personas alrededor del planeta.
Considerando la importancia de la economía digital y la creciente necesidad de proteger las infraestructuras críticas nacionales (banca, energía, agua, comunicaciones, salud, entre otras), la OCDE formuló en el año 2015 un conjunto de recomendaciones orientadas a proveer direccionamiento sobre las nuevas estrategias de gestión de riesgo en entornos digitales.
Dentro de las principales consecuencias de una inadecuada gestión de riesgos en entornos digitales, la OCDE destaca:
- Interrupción de las operaciones
- Pérdidas financieras directas
- Daño reputacional
- Pérdida de competitividad
- Pérdida de la confianza de los clientes
El documento de recomendaciones de la OCDE propone un cambio de enfoque en el tratamiento de las amenazas digitales, poniendo de presente que los problemas relacionados con la seguridad de la información deben gestionarse desde la perspectiva de gestión de riesgo y no como problemas tecnológicos responsabilidad de las áreas de TIC. Este mismo enfoque se aprecia en las recientes actualizaciones de normas ISO como Calidad (9001), Seguridad de la información (27001) y continuidad de negocio (22301), en donde es indispensable que la organización fundamente la planificación de sus sistemas de gestión desde la base de un análisis de su entorno y la adopción de una estrategia documentada de gestión de riesgo, orientada a reducir los impactos negativos sobre los objetivos organizacionales, bien sea la calidad , la seguridad de información o la continuidad de las operaciones.
El segundo enfoque del documento de gestión de riesgo digital de la OCDE, pone de manifiesto que mediante una gestión dinámica (permanente, adaptativa y efectiva) del riesgo de seguridad este se puede recudir a niveles relativamente aceptables. En otras palabras, llevar la posible pérdida potencial a un nivel tolerable, que surja de la evaluación del costo de la implementación de medidas de control frente al valor del objetivo o la oportunidad que se busca proteger, esto bajo la base de que no se debería invertir en controles que sean más costosos que el mismo objetivo a proteger.
A continuación, se mencionarán brevemente, los principios propuestos por la OCDE para la gestión de riesgos digitales. El documento completo se puede consultar en: http://www.oecd.org/sti/ieconomy/digital-security-risk-management.htm
Recomendaciones de la OCDE
- Concienciación , habilidades y empoderamiento
Todos los gobiernos, organizaciones públicas y privadas y los individuos en general deben entender los impactos de los riesgos de seguridad digital y cómo deben ser gestionados estos riesgos. Es fundamental tomar conciencia sobre las amenazas y vulnerabilidades digitales y su impacto sobre el cumplimiento de los objetivos económicos y sociales.
- Responsabilidad
Los gobiernos, las organizaciones y los individuos deben asumir sus responsabilidades sobre la gestión de riesgos digitales. Es necesario actuar responsablemente y asumir las consecuencias de acuerdo con los roles, el contexto y la capacidad otorgada para responder ante los riesgos digitales.
- Derechos humanos y valores fundamentales
Los riesgos digitales deben ser gestionados por los gobiernos, las organizaciones y los individuos en forma transparente y consistente con los derechos humanos y los valores fundamentales. Se deben respetar los derechos a la libre expresión, el libre flujo de la información, la confidencialidad de la información y las comunicaciones, así como la protección de la privacidad de la información personal.
- Cooperación
La interconectividad digital crea interdependencia entre gobiernos, organizaciones e individuos, todos debemos cooperar en la gestión de riesgos digitales, aún a través de las fronteras nacionales.
- Valoración y tratamiento de riesgos
Es fundamental que los líderes y responsables de la toma de decisiones se aseguren de que los riesgos digitales sean tratados sobre una base sistemática continua y cíclica. Es necesario evaluar tanto las amenazas como las vulnerabilidades que afectan el cumplimiento de los objetivos económicos y sociales.
- Medidas de seguridad
La valoración de los riesgos debe orientar la selección, operación y mejoramiento continuo de las medidas (controles) de seguridad que reduzcan los riesgos de seguridad digital. Dentro de los procesos de selección de controles, es necesario considerar diferentes tipos de medidas incluidas las físicas, las digitales, las relativas a las personas, los procesos o la tecnología.
- Innovación
Los líderes y los responsables de la toma de decisiones, deben reconocer que la innovación es parte integral de la gestión de riesgos digitales. La innovación debe estar presente en el diseño operacional y económico de las organizaciones
- Preparación y continuidad
Tomando como base los resultados de la valoración de riesgos, los líderes y responsables de la toma de decisiones deben adoptar planes que permitan garantizar la continuidad y efectiva respuesta ante la ocurrencia de riesgos de seguridad digital. Los planes deben contemplar los niveles de escalamiento necesarios de acuerdo con la magnitud de los eventos.
Conclusiones
La adopción de un enfoque organizacional para la gestión de riesgos digitales, es una decisión estratégica que requiere de compromiso real, demostrable y continuo de los líderes y los responsables de toma de decisiones de los gobiernos y las organizaciones tanto públicas como privadas.
Además de los principios y recomendaciones de la OCDE para la gestión de riesgos digitales, existe un documento complementario de la OCDE que describe un proceso de gestión de riesgo digital en las organizaciones. Igualmente, la Organización Internacional para la Estandarización (ISO), cuenta con la norma ISO 31000, gestión de riesgos, principios y directrices.
Por ultimo ALSUN, cuenta con profesionales que lo puede apoyar activamente en los procesos de diseño e implementación de su estrategia de gestión de riesgo digital.
Bibliografia
Digital Security Risk Management for Economic and Social Prosperity OECD Recommendation and Companion Document, 2015
