Los riesgos de internet y la ciberseguridad son cuestiones que los consejos están supervisando ya dentro de sus organizaciones. Deloitte anima a los consejos a que insten a la dirección a crear indicadores clave de riesgo y resultados, entre otras medidas para combatir los riesgos cibernéticos. Pero uno de los principales objetivos para los delincuentes especializados en este tipo de ataques son los propios miembros del consejo, por su acceso de alto nivel a datos sensibles de la compañía.
El Phising consiste en un email creado para parecer auténtico y enviado para recabar datos de acceso o información, una actividad que resulta endémica porque funciona. El 95% de los ciberataques que tienen éxito derivaron de emails de phising en 2017. La Universidad MacEwan, de Edmonton, Alberta perdió 12 millones de dólares por un ataque de phishing en 2017, y el departamento de salud de Alberta sufrió el ataque de 20 cuentas de correo de sus empleados en 2018. Los emails de phishing están muy bien diseñados para parecer reales y la mayoría de las grandes organizaciones sufren varios intentos de phising al día.
Los emails de phising suelen presentarse como correos de organizaciones de confianza, como Google o Microsoft. Suelen pedir usuario y contraseña para acceder al sitio web, o métodos de pago como el número de tarjeta de crédito. También suele pedir hacer clic en un enlace que puede descargar malware; hasta el 92% del malware se descarga así. Uno de los conceptos más importantes en la formación para prevenir el phising es que ningún servicio enviará nunca un email pidiéndonos nuestros datos de acceso ni el método de pago.
La ingeniería social es otra de las fórmulas a las que recurren los delincuentes para obtener datos de acceso. Se hacen pasar por alguien que necesita tus datos de acceso y usan normalmente la información obtenida a través de perfiles de medios sociales para que su solicitud y el puesto de trabajo resulten creíbles. Por ejemplo, pueden hacerse pasar por asistente de dirección de otro miembro del consejo para obtener tus datos de acceso porque su jefe ha olvidado los suyos.
TENER UNA DIRECCIÓN DE EMAIL ESPECÍFICA DE LA COMPAÑÍA
Muchos miembros utilizan correos personales para comunicaciones con el consejo, si no son empleados de la compañía. En 2017, Global Transportation Hub, una iniciativa del gobierno de Saskatchewan fue reprendida por el comisionado provincial de confidencialidad por el uso por parte de sus miembros del consejo de cuentas de correo personales en comunicaciones sensibles que afectaban a la organización. La solución más simple para este problema es asegurarse de que los miembros del consejo cuentan con su propia dirección de correo electrónico de la compañía, y acceden al email de la compañía de forma segura e independiente de su email personal. De este modo, todos los filtros y las medidas de protección contra el phising aplicados por la compañía cubrirán este tipo de correos sensibles. Puede que esto resulte un poco más incómodo para el miembro del consejo, pero es un sacrificio necesario por cuestiones de seguridad.
CONTAR CON SESIONES DE FORMACIÓN PRESENCIAL PARA LOS MIEMBROS DEL CONSEJO
Puesto que los miembros del consejo suelen ser objetivos prioritarios para los hackers, conviene que reciban formación específica para prevenir la ingeniería social, las actividades de phising y otros métodos que se podrían usar para obtener datos de acceso y datos sensibles de la compañía. Si tu organización es lo suficientemente grande, una sesión con un informático de la compañía o el director de sistemas informáticos debería ser suficientes para formar a los miembros del consejo y ofrecer asistencia y contestar a todas las preguntas. Según PhishMe, las tasas de susceptibilidad de los empleados a emails de phising se reducen hasta el 5% con una formación adecuada. Un seminario online podría no ser suficiente, puesto que los profesionales no suelen tener mucho tiempo y pueden pasar por alto elementos fundamentales y no contestar a preguntas específicas. Lo ideal sería que esta formación se realizara inmediatamente antes de celebrar una junta del consejo, para respetar el tiempo de todos.
SEGURIDAD GARANTIZADA EN LOS CORREOS PARA LA ORGANIZACIÓN
Unas medidas de ciberseguridad adecuadas ayudan a eliminar la posibilidad de que se produzcan errores humanos a nivel de la dirección, así como en el resto de la compañía.
UTILIZAR UN PORTAL ESPECÍFICO DEL CONSEJO PARA LAS COMUNICACIONES
Los portales específicos del consejo como DiliTrust Exec cuentan con medidas de seguridad significativas que cumplen escrupulosamente con las mejores prácticas de ciberseguridad. También facilita mucho la participación y la presidencia de las juntas del consejo, puesto que los miembros se pueden conectar de forma segura y compartir archivos desde cualquier lugar del mundo. Entre las medidas aplicadas, se incluyen el alojamiento certificado de conformidad con la norma ISO/IEC 27001:2013, que garantiza el uso de un sistema de gestión de la seguridad informática para la seguridad de los datos. Los datos se encriptan mientras están almacenados siguiendo el sistema Advanced Encryption Standard (AES), con una clave de 256 bit. En tránsito, se protegen mediante cifrado TLS con el nivel de cifrado más alto existente. Utilizar una solución segura para la mayoría de las comunicaciones del consejo aumenta la seguridad y la calidad de las juntas del consejo.
