Las juntas directivas deben asumir la responsabilidad de la ciberseguridad. He aquí cómo hacerlo

Imágenes de Clique Images

Con las noticias sobre filtraciones de datos, ataques de ransomware y vulnerabilidades de día cero en los titulares, es probable que la ciberseguridad aparezca con aún más frecuencia en la agenda de muchas reuniones de la junta. Al fin y al cabo, ninguna empresa quiere convertirse en la próxima marca de la portada del Wall Street Journal ni que sus ejecutivos testifiquen ante el Congreso.

Pero si bien la ciberseguridad figura ahora en la agenda de las reuniones del consejo, esto no significa que los miembros del consejo entiendan cómo abordar el tema. Al fin y al cabo, la mayoría de los miembros del consejo de administración tienen experiencia en otras formas de riesgo y no en cómo proteger los activos corporativos de los atacantes de los estados nacionales y de los ciberadversarios altamente organizados.

La buena noticia es que hay varias medidas prácticas que los directores pueden tomar para proteger sus organizaciones y que no requieren una gran experiencia cibernética:

Ayude a los ejecutivos responsables de la seguridad de la información a entender el negocio. Si bien los ejecutivos de seguridad tienen fama de obstaculizar las operaciones y el desarrollo de productos con la carga de las operaciones técnicas, su función es, en realidad, facilitar los negocios. Su trabajo, de hecho, depende de ello. Al incluirlos en las conversaciones sobre las prioridades empresariales inmediatas y a largo plazo, los problemas de los clientes y las estrategias generales, los directores pueden garantizar que el plan de seguridad de la empresa se alinea con los objetivos empresariales de la empresa.

Centro Insight

• El elemento humano de la ciberseguridad

  Patrocinado por Varonis

  Refuerce la primera línea de defensa de su empresa.

Lo ideal sería que los ejecutivos de seguridad asistieran a las reuniones del consejo de administración de la misma manera que lo haría un director financiero. De lo contrario, el consejo de administración debería informarles al menos sobre los proyectos de la organización y tener la oportunidad de responder con planes funcionales que respalden las principales prioridades de la empresa.

Cuando se reúnan con los líderes de seguridad, los directores deberían preguntarles cómo su plan de ciberseguridad ayudará a la empresa a cumplir uno o algunos de estos objetivos: ingresos, costes, margen, satisfacción de los clientes, eficiencia de los empleados o estrategia. Si bien los miembros del consejo de administración y los ejecutivos de empresa conocen estos términos, es posible que los líderes de seguridad necesiten orientación sobre cómo encuadrar las funciones de su departamento en el contexto de las operaciones empresariales.

Asegúrese de incluir la seguridad en las conversaciones sobre nuevos productos y servicios. La seguridad se añade a menudo al final o, lo que es peor, después de que se descubre un defecto en un producto que ya se vende. La incorporación de la seguridad en las primeras etapas del desarrollo del producto da como resultado ofertas más seguras y puede ahorrar a las empresas los gastos, las molestias y la posible vergüenza pública que conlleva la modernización de la seguridad.

Asegúrese de que la organización desarrolle e implemente un plan de estudios de ciberseguridad para todos los empleados. El plan de estudios debe incluir ejemplos prácticos de cómo los incidentes de seguridad pueden afectar a la organización. Los cuentos con moraleja no pretenden sembrar miedo. En cambio, estos ejemplos deberían transformar la ciberseguridad de un concepto arcano en escenarios tangibles que todos entiendan.

Planifique con antelación los incidentes de seguridad. Las empresas tienen que aceptar que, a pesar de sus mejores esfuerzos defensivos, es probable que se vean violadas en algún momento. Los consejos de administración deben preguntar por el plan de respuesta a los incidentes de la empresa y asegurarse de que está actualizado y de que existen contingencias en situaciones extremas, incidentes múltiples o cuando terceros se vean afectados.

Los miembros de la junta también deben asegurarse de que el plan sea exhaustivo: el marketing, la comunicación de crisis, la mitigación de los riesgos y la toma de decisiones en el momento pueden resultar abrumadores y provocar errores. Además de incluir al personal de TI y seguridad, el plan debería asignar un comité de riesgos multifuncional que tenga plena autoridad ejecutiva. El plan debe incluir personal legal y de marketing que se encargue de las iniciativas de relaciones públicas o cumpla con las normas gubernamentales sobre la divulgación pública de las infracciones.

Céntrese tanto en la cultura como en la tecnología. La seguridad es mucho más que comprar un software antivirus y realizar pruebas de penetración. También implica cambiar la cultura corporativa y ayudar a los empleados a darse cuenta de que la obligación de mantener la propiedad intelectual, la información de los clientes y otros datos empresariales seguros no se limita al personal de seguridad e TI. Es una tarea que requiere todo el esfuerzo de toda la empresa.

Lo ideal sería que las juntas directivas eliminaran los obstáculos que impiden a las organizaciones desarrollar una cultura de seguridad proactiva. Sin un fuerte apoyo de la dirección ejecutiva y el consejo de administración, es poco probable que las empresas desarrollen prácticas de ciberseguridad sólidas. Los directores deben asegurarse de que los gastos operativos y los gastos de capital estén alineados con las prioridades y los proyectos de reducción del riesgo; la seguridad no se hace por motivos de seguridad. Está hecho para el negocio.

En el futuro, el conocimiento de la ciberseguridad pasará a ser algo de rigor para la mayoría de los directores. Sin embargo, por el momento, se pueden tomar varias medidas prácticas a nivel de gobierno para reducir en gran medida los riesgos de ciberataques.