¿Vale la pena invertir en la gestión del riesgo?

Gestionar las amenazas para los softwares de operación de la cadena de suministro y el implementar un plan empresarial de gestión de riesgo, ERM, son buenas inversiones para la salud general de la organización.

Resulta difícil convencer a la alta dirección de invertir en algo que posiblemente no ocurra, estamos acostumbrados a reaccionar ante los eventos, pero nos cuesta trabajo aceptar que algo no pasó como consecuencia de nuestras acciones preventivas.

Un ejemplo interesante, es un reporte emitido en Julio por la inteligencia de los Estados Unidos, en los que indicaba su preocupación por los ataques que pudieran recibir los softwares de cadena de suministro en este país por parte de hackers chinos, para afectar negativamente su operación. Otro sitio, indica que dos terceras partes de las empresas, de diversos sectores, han experimentado algún tipo de ataque en estas aplicaciones en los últimos doce meses.

Las empresas tienen cada vez más interconectadas sus cadenas de suministro, y en muchas ocasiones para responder rápido a las demandas del mercado, se liberan aplicaciones sin realizar exhaustivamente las pruebas de seguridad. De acuerdo a un estudio de CorwdStrike, los ataques tienen un costo promedio de 1 millón de dólares en pérdidas de negocio, productividad y respuestas además de tener otros impactos no económicos. Aproximadamente el ochenta por ciento de los profesionales de TI, piensas que los ataques a los softwares de cadena de suministro serán una de las amenazas más importante durante los próximos 3 años.

Otros estudios identifican que el 72% de sus organizaciones no siempre aplican a los proveedores los estándares de seguridad que utilizan para ellos mismos. Un ochenta por ciento de las empresas, indican que ellos desean evitar trabajar con proveedores emergentes o no bien establecidos, debido a una percepción de debilidad en sus estrategias de seguridad.

Es recomendable que las empresas tengan arquitecturas de redes segmentadas, soluciones para gestionar vulnerabilidades en tiempo real y mejores controles para la asignación de accesos privilegiados. El tema debe ser tomado en serio, antes de que se tenga que lamentar un daño mayor.

Crear un programa empresarial de gestión de riesgo, ERM, no solo ayuda a minimizar el riesgo, también permite a las empresas ser más eficientes, tomar mejores decisiones y crear una cultura de gestión de riesgo. En términos económicos, reduce la volatilidad de los ingresos, fortalece la posición del capital e incrementa las ganancias.

Los programas que han demostrado su valor para las empresas, logran su adopción por todos los departamentos de la empresa con el apoyo de la alta dirección, cuentan con recursos financieros para establecer y operar el proceso de gestión, se mantiene el proceso en evolución y con mejora continua y se cuentan con claros indicadores de los resultados.

Para demostrar el ROI del programa de ERM, se recomienda utilizar alguna de las tres siguientes acciones:

  • Realizar benchmarks con compañías que tienen programas de ERM maduros. Un estudio de EY concluyó que las empresas con un ERM maduro tienen 3 veces el nivel de EBITDA que las que no lo tienen.
  • Monitorear las métricas clave. Estas pueden ser el costo total del riesgo, las expectativas anuales de pérdida, la razón de cobertura de riesgo y el coeficiente de reputación.
  • Apoyarse en una plataforma tecnológica para agilizar el proceso de identificar, evaluar, definir respuestas y monitorear los riesgos.

 

Para mayor información consultar: The Increasingly Vulnerable Software Supply Chain y “Three Ways to Prove the ROI of ERM” publicado por RIMS

Discuss this:

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.