Cómo reforzar las medidas de ciberseguridad de su consejo

Los riesgos relativos a la ciberseguridad pueden imponerse a toda la compañía, pero en última instancia es el consejo de administración el que tiene una mayor responsabilidad. Los consejos de administración son el foco de atención por sus aportaciones en cuanto a cómo se prioriza esta importante cuestión comercial, en particular si se tiene en cuenta el coste de los ciberataques. A fin de cuentas, de acuerdo con un informe elaborado en 2018 por el Centro de Estudios Estratégicos e Internacionales (CSIS), cada año se dedica en torno a un 1 % del PIB mundial o 600 000 millones de dólares a combatir delitos cibernéticos. En vista de esta situación, ¿cómo pueden reforzar los consejos sus medidas de ciberseguridad?

Cómo reforzar las medidas de ciberseguridad de su consejo: Parte I

CONSIDERACIONES DE CIBERSEGURIDAD FUNDAMENTALES PARA EL CONSEJO DE ADMINISTRACIÓN 

Para poder reforzar las medidas en materia de ciberseguridad del consejo deben tenerse en cuenta ciertas cuestiones. Resulta fundamental reiterar al consejo por qué es tan importante analizar criterios de ciberseguridad esenciales y por qué la carencia de competencias en ciberseguridad en el consejo puede suponer un problema grave.

A continuación detallamos cinco elementos clave que deben tenerse en cuenta para configurar las medidas de ciberseguridad:

GOBERNANZA

Una de las conclusiones más destacables del Cybersecurity Board Summit organizado por Ernst & Young el año pasado fue que la función del consejo no es gestionar los riesgos de ciberseguridad, sino «controlar los riesgos de ciberseguridad».

Los consejos deben definir a conciencia su enfoque respecto al control de los riesgos de ciberseguridad. También deben enlazar a la dirección, los responsables de unidades de negocio y responsables de seguridad e informática para controlar mejor este riesgo.

Muchos consejeros siguen percibiendo la seguridad como un área problemática, puesto que se ha demostrado que no disponen de habilidades informáticas. Para poder controlarlas mejor, los consejos también deben subsanar sus deficiencias en materia de ciberseguridad. En el Harvard Business Review se aconseja que, para que las empresas puedan disponer de niveles óptimos de seguridad, «deben contar con un comité de control informático liderado por un experto informático».

PRÁCTICAS

El dinamismo del entorno cibernético sigue manteniendo alerta a los consejeros. Puede que las prácticas que funcionaron hace seis meses no sean adecuadas para resolver incidentes cibernéticos a día de hoy.

PWC ha señalado siete áreas clave para centrar la atención cibernética del consejo:

  1. Contar con un enfoque de control para esta cuestión y trabajar con expertos en ciberseguridad
  2. Entender los asuntos cibernéticos como una «cuestión comercial a nivel de empresa»
  3. Entender completamente los requisitos jurídicos y normativos
  4. Analizar las competencias del plan de estrategia cibernética de la compañía
  5. Debatir con la dirección el «nivel de tolerancia ante riesgos cibernéticos»
  6. Mantenerse actualizado con la información necesaria en relación con los programas implantados y debatir periódicamente en reuniones del consejo
  7. Controlar la resiliencia cibernética en la junta en intervalos calculados

POLÍTICAS 

El consejo debe estar informado de las políticas aplicables a la compañía en materia de controles internos, actividades externas y, especialmente, formación. En concreto, dentro de la junta las políticas relativas a la comunicación de información altamente confidencial entre miembros deberían estar claras. La introducción de herramientas como los portales de consejo seguros puede ayudar a los consejeros a hacerlo de forma eficiente y segura a través de una plataforma digital.

PROCEDIMIENTOS 

¿Qué ocurre en caso de desastre? ¿Cómo pueden prepararse los consejos y la organización para responder de manera ágil a un ciberataque?

La segunda parte de esta serie de blogs se centrará en los procesos de gestión de crisis que controlan los consejos ante los fallos cibernéticos antes, durante y después del suceso. No obstante, a continuación resumimos algunas preguntas clave que deben abordar los consejos según los expertos en ciberseguridad:

  • Si la compañía no cuenta con un plan de incidentes cibernéticos, ¿cuál es el motivo? ¿Cuál es el plazo de la compañía para desarrollar y probar uno?
  • ¿Cuándo se informa al consejo de los fallos cibernéticos?
  • ¿Debería estudiar o participar el consejo en ejercicios teóricos de simulación para entender mejor el plan de respuesta de la compañía?
  • ¿El plan tiene en cuenta la preparación previa al incidente, las acciones realizadas durante el mismo y las labores de recuperación posteriores?

La segunda parte de esta serie analizará con más detalle la importancia de los procesos de gestión de incidentes cibernéticos.

FALTA DE COMPETENCIAS 

Mantenerse ágil frente a los ciberataques significa que contratar y fomentar el talento es esencial, no solo en el consejo, sino en toda la empresa. Una encuesta realizada en 2019 por el CSIS señala que «el 82 % de los empleadores denuncian una falta de competencias en ciberseguridad, mientras que un 71 % considera que estas deficiencias causan un daño directo y cuantificable a sus empresas». Se prevé que en el año 2022 habrá una falta global de competencias en 1,8 millones de puestos.

En este contexto, ¿qué función desempeña el consejo de administración? Si bien es obvio que la responsabilidad de control del consejo tiene en consideración la gobernanza de riesgos, pueden subestimarse la responsabilidad ética y corporativa, la retención del talento y especialmente la retención de personal cualificado en materia de ciberseguridad.

Según Deloitte, para poder controlar los potenciales riesgos relacionados con las competencias, los consejos deben adoptar las siguientes medidas:

  • Analizar los riesgos relativos a las competencias
  • Desarrollar resultados cuantificables
  • Asignar responsabilidades
  • Controlar la selección de personal cualificado
  • Integrar la estrategia comercial y de talento

PARTE II 

En el siguiente blog de esta serie ahondaremos en los procesos de resiliencia cibernética, estrategia e investigación. Conozca algunos de los mayores retos en materia de ciberseguridad a los que deben enfrentarse los consejos en el cambiante entorno cibernético.

SEGURIDAD SIN EXCUSAS

Una de las medidas esenciales que deben adoptar los consejos para garantizar una mayor protección de la seguridad supone proteger la información altamente confidencial que tienen en sus manos. Al implantar portales de gestión, como DiliTrust, los consejeros pueden confiar en que sus datos (almacenados a nivel local en servidores ubicados en Europa, Oriente Próximo y Canadá) cumplen con el RGPD y con la ISO 27001. Si desea información adicional acerca de la seguridad del portal de gestión DiliTrust, no dude en ponerse en contacto con nosotros hoy mismo.

PREPARAR AL CONSEJO PARA ADOPTAR MEDIDAS DE CIBERSEGURIDAD MÁS SÓLIDAS 

De acuerdo con una encuesta de Spencer Stuart de miembros de un comité de auditoría, «solo el 21 % de los consejeros opina que su compañía tiene los riesgos de ciberseguridad bajo control», mientras que el «66 % de los ejecutivos sénior de TI» informan al consejo solo «de manera ocasional».

Aunque no cabe duda de que los consejos serán los responsables de gestionar las consecuencias de un ciberataque, en demasiadas ocasiones estos desconocen la información básica pero crucial. Para poder orientar al consejo hacia unas medidas de ciberseguridad más sólidas, Ernst & Young señaló en su Centre for Board Matters de 2019 que «una de las acciones más importantes que debe llevar a cabo un consejo es establecer el tono adecuado y colaborar con la dirección en el nivel de tolerancia adecuado ante riesgos cibernéticos». Por lo tanto resulta de vital importancia que en los debates de estrategia y gestión de riesgos los consejos cuenten con la información más reciente.

Los consejeros deben establecer imperativamente un sistema de presentación de informes y formación por parte de los equipos de gestión y, en particular, de los grupos responsables de la ciberseguridad. En una época de cambios tecnológicos sin precedentes, la gestión de los riesgos digitales continúa siendo una responsabilidad colectiva.

CUATRO MEDIDAS FUNDAMENTALES QUE AYUDARÁN A LOS CONSEJEROS A COMPRENDER MEJOR LA CIBERSEGURIDAD 

  1. Analizar detalladamente las medidas frente a los riesgos de la compañía: PWC recomienda tratar los siguientes elementos para iniciar este necesario debate: la estrategia cibernética de la compañía, los tipos de amenaza a los que se enfrenta, sus activos digitales más importantes, los resultados de las evaluaciones de riesgos más recientes y cualquier acción de mitigación prevista.
  2. Asistencia a programas externos: asistir a conferencias sobre el control de riesgos cibernéticos puede ayudar a los consejeros a conocer avances y mejores prácticas para miembros del consejo.
  3. Dialogar regularmente con la dirección: aunque pueda parecer obvio, resulta fundamental que los consejos interactúen con la dirección para compartir conocimientos sobre ciberseguridad.
  4. Intercambio frecuente con terceros: PWC señala que para que los consejos mejoren de forma eficaz sus conocimientos de ciberseguridad, deberían considerar opiniones adicionales para mejorar sus competencias cibernéticas. Por ejemplo, los asesores externos pueden mantener actualizado al consejo con evaluaciones periódicas de los riesgos cibernéticos a los que se enfrenta la empresa. De acuerdo con una encuesta sobre Fallos de ciberseguridad del Gobierno de Reino Unido publicada este año, «tres de cada cinco empresas (59 %) solicitaron de forma activa información o asesoramiento sobre ciberseguridad a empresas externas el año pasado».

PROCESO Y REVISIÓN DEL PLAN DE RESPUESTA DE LA DIRECCIÓN

Una de las principales actividades que los consejos deben llevar a cabo es revisar el plan de respuesta de la dirección en caso de que se produzca un fallo en la seguridad. Este plan debe contener información que detalle quiénes son los responsables de la toma de decisiones y qué acciones deben llevarse a cabo.

Estas son algunas cuestiones clave que deben tenerse en cuenta para preparar el proceso del consejo:

CUESTIONES PARA DISEÑAR EL PROCESO DEL CONSEJO

  • ¿Cuáles son los activos más valiosos de la empresa?
  • ¿Existe un marco de gestión de riesgos aplicable a la empresa en vigor? (Saber si se destinan el personal y el presupuesto suficientes también es crucial en este caso)
  • ¿Cuáles son los potenciales puntos débiles de la compañía en términos de red? (Por ejemplo, acceso de terceros).
  • ¿Cómo se descubren los ciberataques en tiempo real?
  • ¿Cuál es el plan de respuesta de la compañía en caso de que se produzca un ciberataque? ¿Con qué frecuencia se pone a prueba el plan de respuesta?
  • ¿Qué relaciones mantiene la compañía con terceros para responder de forma eficaz a los fallos? ¿Cómo pueden seguir desarrollándose estas relaciones?
  • ¿Ha llevado a cabo el consejo un simulacro de incidente de ciberseguridad? En caso negativo, debe plantearse llevarlo a cabo para mejorar el proceso de ciberseguridad. Debe realizarse de forma periódica y debe fomentarse la participación de los actores clave.
  • Considere la opción de crear un equipo dentro de la compañía responsable de dar una respuesta rápida a los incidentes cibernéticos.

PROCESOS DE COMUNICACIÓN

La comunicación pública a los interesados también resulta crucial tras un fallo en la seguridad. El consejo debe contar con un plan de comunicación que detalle cuándo y cómo se informará a clientes, personal y organismos externos. El consejo también debe supervisar el plan de notificación a la policía. En casos más serios, se recomienda que el consejo cuente también con un equipo forense digital para analizar las pruebas del fallo de seguridad. Por consiguiente, el consejo también debe determinar si este equipo seguirá instrucciones de la dirección o del propio consejo.

SEGURIDAD SIN EXCUSAS

Uno de los pasos esenciales que deben afrontar los consejos para garantizar una mayor protección de la seguridad pasa por proteger la información altamente confidencial que tienen en sus manos. Al implantar portales de gestión, como DiliTrust, los consejeros pueden confiar en que sus datos (almacenados a nivel local en servidores ubicados en Europa, Oriente Próximo y Canadá) cumplen con el RGPD y con la ISO 27001. Si desea información adicional acerca de la seguridad del portal de gestión DiliTrust, no dude en ponerse en contacto con nosotros hoy mismo.

Entradas relacionadas