Al velar por los intereses de la organización, el máximo órgano consultivo debe anticiparse para resguardar el activo más valioso: la información.
Una de las tareas más importantes de todo Consejo de Administración es salvaguardar los intereses de sus representados y por lo tanto es inherente la atención que deben tener a todo riesgo para el negocio. Es por ello que en estas juntas, la ciberseguridad está convirtiéndose en un tema cada vez más recurrente en las agendas sin importar el tamaño y giro de las empresas donde se desenvuelven.
Los secuestros cibernéticos en los que el delincuente toma control de los servidores o bases de datos y pide alguna compensación económica para liberar el acceso a la información, son cada vez más frecuentes. Incluyendo casos de extorsión a altos funcionarios y accionistas por datos que se obtuvieron a través de medios electrónicos, ya sean personales o de la organización. Bajo este escenario nadie está a salvo.
Además, el peligro se extiende a operaciones fraudulentas, causando importantes desfalcos por operaciones realizadas debido a la suplantación de identidades o manejo de información falsa. No hay que olvidar que el incumplimiento de controles de ciberseguridad impuestos por las entidades regulatorias puede ser un objeto de multas y penalizaciones, como acaba de ocurrir en el sector financiero con 18 instituciones.
Conciencia sobre el estatus actual de la organización
Las vulnerabilidades a las que se exponen las empresas en materia de seguridad cibernética pueden ser muchas, por lo que es responsabilidad del Consejo de Administración exigir al CEO y su equipo de trabajo identificar con claridad los riesgos a los que se enfrentan.
A medida que dicho órgano adopta nuevas tecnologías, sistemas de información, bases de datos, procesos automatizados, entre otros, surgen nuevos desafíos.
Ya lo dijo el tío Ben, con grandes poderes llegan grandes responsabilidades.
¿Por dónde comenzar? Un punto de partida es responder a los siguientes cuestionamientos:
- ¿Qué tan vulnerable es la operación de mi negocio ante amenazas cibernéticas? O bien, ¿qué tan apetecible es la información del negocio para posibles ataques o robos?
- ¿Qué tan frágil está la infraestructura tecnológica donde se almacenan los datos relevantes de la empresa? ¿Es lo suficientemente robusta para garantizar continuidad de operación y recuperación en caso de algún incidente?
- ¿Identifico los riesgos e impactos específicos con respecto al uso de la información?
- ¿Cuento con controles tecnológicos, de procesos y personas adecuados para salvaguardar la integridad, confidencialidad y confiabilidad de la información con la que operamos? ¿Y la que tenemos en resguardo pero que pertenece a nuestros clientes, empleados y accionistas?
La tarea no es fácil, requiere de un alto grado de especialización y conocimiento de prácticas, tecnologías y procesos de negocio. Hoy más que nunca, la figura del Chief Information Security Officer (CISO) es imprescindible.
Además, es recomendable acercarse con expertos que te ayuden a elaborar desde un diagnóstico hasta evaluar los riesgos e impactos para posteriormente diseñar estrategias adecuadas de mitigación y contención, pues “más vale prevenir que lamentar”.
En palabras de…QUANTI Solutions
Te puede interesar también:
“QUANTI: Cómo enfrentar el desafío del IoT, byod y el home office”
“QUANTI: Concientización, la mejor estrategia en ciberseguridad”
