La Doctora Kery Pearlson quien es Directora Ejecutiva del consorcio de investigación de Ciberseguridad del MIT Sloan nos comparte 5 aspectos que la gran mayoría de los directores de empresa desconocen.
Se necesitan nuevos líderes que afronten cada movimiento de la delincuencia cibernética para asegurar a sus organizaciones. El consejo de administración de las empresas requiere desarrollar nuevas formas de abordar su responsabilidad fiduciaria para con los tenedores de interés, al tiempo que sean responsables de la administración de los riesgos de negocio. No pueden aplicar de la responsabilidad de la seguridad cibernética simplemente delegándola a sus gerentes operativos.
En su encuesta realizada a los directores de empresas, encontraron que la frecuencia con la que en la junta directiva discute temas de ciberseguridad es del 68% quienes lo hacen eventualmente. Sorprendentemente el 9 por ciento dice que ese tema jamás se discute en la reuniones de consejo.
Con base en estos resultados, se emiten las siguientes recomendaciones.
1. La ciberseguridad va más allá de “simplemente proteger los datos”. Antes los ejecutivos solamente se preocupaban por la filtración de información personal, listas de clientes, o tarjetas de crédito. Sin embargo a medida en que se digitalizan los procesos Y las operaciones, los sistemas de control y de gestión de equipos vinculados con las cadenas de suministro y procesos automáticos de pedido y cumplimiento, hacen imprescindible no solamente fijarse en cuidar los datos, sino también las aplicaciones que dan continuidad y viabilidad a los negocios. El impacto de la explotación de una vulnerabilidad no solamente podría llegar a pagar una multa, sino incluso podría llegar a paralizar o aniquilar el negocio completo.
2. Los integrantes de las juntas directivas deben involucrarse en la supervisión. Los consejos de administración deben de asegurarse de que sus organizaciones tengan un plan y estén lo mejor preparados posible. Para esto es necesario actuar bajo un marco de ciberseguridad. Pero para esto no es necesario inventar el hilo negro. La sugerencia es adoptar marcos previamente desarrollados y exitosos como el del Instituto nacional de estándares y tecnología. (NIST por sus siglas en inglés). Este marco tiene conco áreas: identificar, proteger, detectar, responder y recuperarse. Utilízalo como guía en tu empresa.
3. Los consejos de administración deben centrarse en el riesgo, reputación y continuidad de negocio. La confidencialidad, la integridad y la disponibilidad son los aspectos que definen la seguridad de la información. Las juntas directivas tienen que abordar estrategias sobre cómo gestionar los riesgos empresariales, mientras que los profesionales de ciberseguridad se abocan en tareas de niveles técnicos, procesos y operaciones. Y aunque ambos manejen distintos lenguajes, siempre es necesario e imprescindible una vasta comunicación para la conformación de planes estratégicos para la administración del riesgo cibernético.
4. El enfoque de la defensa debe ser en capas. El aterrizaje del plan de seguridad cibernética no solamente se debe quedar en la implementación de la tecnología como herramienta; esto es los firewalls, controles de acceso, etc, sino también en mecanismos de correlación entre todas las herramientas con la intención de identificar eventos aparentemente inconexos. Los procesos y procedimientos, y las personas deben coordinar sus acciones para concretar la disminución del riesgo cibernético, no sin antes considerar que el factor humano es el principal eslabón en la cadena de la defensa de la seguridad cibernética
5. La ciberseguridad es un problema multifacético, y no solamente técnico. Un estudio de la Universidad de Stanford reveló que el 88 por ciento de los incidentes de seguridad fueron causados por errores humanos. La alineación de los colaboradores a las políticas de seguridad cibernética no es un problema técnico, sino organizativo. Se requiere conciencia y acción de todos los miembros de la empresa para identificar anomalías, alertar a los líderes, y finalmente disminuir el riesgo.
La pregunta que dejó en la mesa es: ¿la junta directiva de tu organización conoce estos cinco aspectos?. En caso negativo, compárteselos ya que la materialización del riesgo informático, tarde o temprano llega, y hay que estar lo mejor preparados posible, si no es que, la empresa pudiera verse en problemas verdaderamente de vida o muerte.
Aquí te lo platico: https://youtu.be/-oEciTOcStI
Sígueme en mis siguientes artículos para más ideas estratégicas de transformación digital y comparte esta información a quienes les sea de utilidad.
@memocobos
https://www.linkedin.com/in/consultorseguridadinformatica/
cobos.memo
YouTube: Care Telecom
