El simple hecho de hacer las preguntas indicadas es mucho más importante que un montón de retórica que endulce el oído, pero que carezca de sustento en la trascendencia de los negocios. Esto aumentará la conciencia sobre la importancia de la ciberseguridad como una medida con la que las empresas pueden mantener sus operaciones a salvo.
1.- ¿Cuáles son nuestros activos más importantes y cómo los protegemos? Es un hecho que bronca se podrá alcanzar el 100 por ciento de la seguridad en ninguna infraestructura del planeta en ningún momento del tiempo. Sin embargo, el consejo de administración debe asegurarse de qué sus activos informáticos se conserven seguros al más alto nivel sensatamente disponible. ¿Qué se va a proteger?, ¿los datos de sus clientes, sus sistemas y procesos operativos, la propiedad intelectual de la empresa? Esta es la primera pregunta que se debe de responder en la definición de un plan estratégico de seguridad cibernética.
2.- ¿Cómo sabemos si hemos sido hackeados ya? ¿hay forma de detectarlo? El consejo de administración no puede pasar por alto su responsabilidad de su responsabilidad fiduciaria si no se asegura de qué su empresa cuente con capacidades de protección y detección. Dado que una infiltración no se detecta inmediatamente, las empresas se deben de asegurar de contar con mecanismos de detección temprana y definir el nivel de riesgo con el que se puede convivir.
3.- ¿Cuáles son las protecciones que se han implementado? Éstas protecciones se implementan en diversas capas de defensa, procedimientos y políticas además de otros enfoques de gestión de riesgos cibernético. El Consejo de administración siempre necesita saber el grado de protección existente en su empresa y qué también está protegida en cada flanco de sus activos cibernéticos.
4.- ¿Tenemos plan de respuesta en caso de incidentes?. Imagínate que te soliciten un rescate para recobrar tus activos cibernéticos como son tus bases de datos, tus aplicaciones operativas, datos de tus clientes, información fiscal, etc. ¿Lo pagarías?. Más allá del monto económico requerido, imagínate el tiempo que supone el reparar los efectos que esto pudiera tener. ¿Cuánto tiempo en horas hombre representa para la empresa la pérdida de la información?. Es imprescindible contar con un plan bien definido no solamente de protección sino también de entrenamiento sobre el riesgo cibernético en las empresas para las personas.
5.- ¿Cuál es la función de cada uno de los integrantes de la empresa en caso de qué suceda un incidente?. Bastaría pensar el escenario de la aparición de una incidencia cuando no se tenga definidos claramente los roles de cada persona, tanto en el consejo de administración, como los integrantes del departamento de sistemas, comunicación social, además de cada uno de los colaboradores de la empresa. La empresa tiene que contar con un plan perfectamente definido en cuanto a responsabilidades, alcances, tiempos pero también limitaciones en este tipo de escenarios.
6.- ¿Cuáles son nuestros planes de recuperación en caso de un ciberincidente?. No sorprenderíamos por la cantidad de ejecutivos que no han probado sus planes de recuperación empresarial. La recuperación de datos es distinta si son corrompidos no intencionalmente, a ser robados por un actor malintencionado. ¿existen esos planes en tu empresa?
7.- ¿Es suficiente nuestra inversión en seguridad cibernética?. Es claro que nunca es suficiente el dinero necesario para la gran cantidad de necesidades que las empresas tienen hoy en día. También es el caso para el aspecto de seguridad cibernética. Sin embargo, es crucial que las empresas garanticen que cuentan con un excelente equipo técnico y humano que con la experiencia necesaria para enfrentar los problemas técnicos y entender las vulnerabilidades dentro de sus funciones principales de negocio. Con esto la empresa podrá identificar en donde se tiene que asignar la inversión en aspectos donde sea más necesaria.
Los consejos de administración desempeñan una función insustituible para dirigir a sus organizaciones a la mejor gestión de amenazas de seguridad cibernética. No tienen la responsabilidad de la operación diaria, pero si la responsabilidad de supervisión y la responsabilidad fiduciaria. No dejes para mañana las vulnerabilidades críticas que puedas resolver hoy. Formula preguntas inteligentes en tu próxima reunión de consejo antes de que sea demasiado tarde.
Míralo aquí: https://youtu.be/YfI3YotDed0
Sígueme en mis siguientes artículos para más ideas estratégicas de transformación digital y comparte esta información a quienes les sea de utilidad.
@memocobos
https://www.linkedin.com/in/consultorseguridadinformatica/
cobos.memo
Care Telecom
