Este artículo fue publicado por Economist & Jurist.
1. La transformación digital y el surgimiento de los riesgos digitales
Los cambios a escala global que ha supuesto la transformación digital en las organizaciones ofrecen cada día nuevas posibilidades y retos en todos los sectores de actividad a un ritmo sin precedentes y de forma poderosa e inevitable.
La inteligencia artificial, la robótica, el big data, blockchain, internet de las cosas, los servicios en la nube o la ciberseguridad son realidades que plantean retos, tanto positivos como negativos, para las economías y sociedades mundiales los que, en muchos, casos desconocemos sus efectos.
Uno de los principales aspectos que debe tenerse en cuenta es que la digitalización conlleva un posible riesgo relacionado con la seguridad de los procesos de negocio y presenta serios desafíos e impacto en la sociedad, lo que supone afrontar los llamados riesgos digitales.
“Big data, blockchain, internet de las cosas, los servicios en la nube o la ciberseguridad son realidades que plantean retos, tanto positivos como negativos”
¿Cómo afectan los Riesgos Digitales en las empresas?
El aumento de la digitalización en los procesos de negocio de las organizaciones, no solo genera resultados positivos, mejorando la agilidad y efectividad en los procesos y herramientas de trabajo, sino que también puede producir efectos no deseados o no previstos que pueden afectar a los activos y valores esenciales de una organización (información estratégica del negocio, datos personales de sus clientes o de los empleados, etc.).
Estos resultados negativos, pueden dar lugar a una serie de consecuencias, que en el ámbito en el que nos encontramos, serían los llamados riesgos digitales, pudiendo impactar en la organización a distintos ámbitos, como pueden ser:
- Riesgos en el ámbito tecnológico: son riesgos derivados de amenazas que tengan que ver con la tecnología o sistemas desactualizados que afecten a los sistemas de información, a las personas o a los procesos de negocio.
- Riesgos en el ámbito estratégico: toda organización cuenta con objetivos estratégicos para llevar a cabo planes de seguridad. En caso de producirse una alteración en la seguridad, se deberán proponer nuevas estrategias pudiendo impactar en los clientes o en la reputación de la empresa.
“Es cada vez más común que las organizaciones preocupadas por el impacto que tiene la transformación digital en su negocio demanden un marco regulatorio específico y concreto”
- Riesgos en el ámbito operacional: afectan a las operaciones de negocio debido a riesgos derivados de la falta de controles de seguridad no adecuados o indefinidos en procedimientos de una organización.
- Ámbito de la privacidad: esta área se puede ver afectada por una utilización inadecuada de la información personal o confidencial de los clientes o de los empleados de una organización.
- Relaciones con terceros: la contratación de proveedores que ofrecen servicios en plataformas en la nube (SaaS, PaaS o IaaS) pueden implicar riesgos derivados de la externalización de los servicios.
Por ello, es cada vez más común que las organizaciones preocupadas por el impacto que tiene la transformación digital en su negocio demanden un marco regulatorio específico y concreto que defina los dominios de riesgo que deriven en controles para mitigar unas consecuencias que pueden ser desastrosas a nivel económico y reputacional para el negocio.
2. ¿Qué es un marco regulatorio de riesgos digitales?
Un marco de riesgos digitales es un conjunto predefinido de políticas y procedimientos diseñados por las organizaciones para mejorar sus estrategias sobre los riesgos asociados a sus procesos de negocio y deberá estar documentado para el conocimiento teórico y los procedimientos de su implementación en la práctica.
Normalmente, estos marcos están dirigidos a un sector específico y van orientados a planificar la gestión de los riesgos digitales existentes y reducirlos en un plazo asumible dentro de una red empresarial.
La creación de un marco compuesto por distintos dominios de seguridad no resulta tan novedosa ya que, entidades como la Organización Internacional de Normalización (ISO en sus siglas en inglés) o el National Institute of Standards and Technology (NIST), han definido estándares internacionales orientados a crear normas para asegurar la calidad, seguridad y eficiencia de productos y servicios de las empresas, pudiendo certificar de forma independiente el cumplimiento de dichos estándares en algunos casos. Un ejemplo de ello es el estándar ISO/IEC 27001 y sus buenas prácticas (ISO\IEC 27002) que definen los requisitos, controles y buenas prácticas para implementar un Sistema de Gestión de Seguridad de la Información (SGSI).
Entre los beneficios que supone la definición de un marco regulatorio de riesgos digitales en una organización, se encuentra una mejora en el control de los riesgos dentro de este ámbito a través de la medición y creación de indicadores de rendimiento de los mismos, así como un incremento de la madurez en la supervisión de los riesgos.
“Es un conjunto predefinido de políticas y procedimientos diseñados por las organizaciones para mejorar sus estrategias sobre los riesgos asociados a sus procesos de negocio”
3. Contenido de un marco regulatorio en riesgos digitales
Del mismo modo que los marcos de ciberseguridad están formados por dominios de seguridad, un marco regulatorio de riesgos digitales se encuentra integrado por dominios de riesgo. Una modelo de dominios de riesgo que podrían aparecer en este marco son los siguientes, a título enunciativo:
- Dominio de riesgo cloud.
- Dominio de riesgo de privacidad.
- Dominio de riesgo de cibertaques.
- Dominio de riesgo de terceras partes.
- Dominio de riesgo de continuidad del negocio.
- Dominio de riesgo de cumplimiento.