Menú

Cómo reforzar las medidas de ciberseguridad de su consejo: Parte II

Los ciberataques son una amenaza cada vez mayor. No obstante, implantar los procesos adecuados puede ayudar a aliviar la carga. El paso inicial es la recepción de la información adecuada, la transmisión del tono correcto en la sala de juntas y el control de procesos para obtener los mejores resultados de seguridad posibles. Puede leer aquí la primera parte de esta serie, en la que se detallan cinco aspectos clave de ciberseguridad que deben tener en cuenta los consejos de administración.

Come aumentare il livello di sicurezza del tuo CDA: prima parte

PREPARAR AL CONSEJO PARA ADOPTAR MEDIDAS DE CIBERSEGURIDAD MÁS SÓLIDAS 

De acuerdo con una encuesta de Spencer Stuart de miembros de un comité de auditoría, «solo el 21 % de los consejeros opina que su compañía tiene los riesgos de ciberseguridad bajo control», mientras que el «66 % de los ejecutivos sénior de TI» informan al consejo solo «de manera ocasional».

Aunque no cabe duda de que los consejos serán los responsables de gestionar las consecuencias de un ciberataque, en demasiadas ocasiones estos desconocen la información básica pero crucial. Para poder orientar al consejo hacia unas medidas de ciberseguridad más sólidas, Ernst & Young señaló en su Centre for Board Matters de 2019 que «una de las acciones más importantes que debe llevar a cabo un consejo es establecer el tono adecuado y colaborar con la dirección en el nivel de tolerancia adecuado ante riesgos cibernéticos». Por lo tanto resulta de vital importancia que en los debates de estrategia y gestión de riesgos los consejos cuenten con la información más reciente.

Los consejeros deben establecer imperativamente un sistema de presentación de informes y formación por parte de los equipos de gestión y, en particular, de los grupos responsables de la ciberseguridad. En una época de cambios tecnológicos sin precedentes, la gestión de los riesgos digitales continúa siendo una responsabilidad colectiva.

CUATRO MEDIDAS FUNDAMENTALES QUE AYUDARÁN A LOS CONSEJEROS A COMPRENDER MEJOR LA CIBERSEGURIDAD 

  1. Analizar detalladamente las medidas frente a los riesgos de la compañía: PWC recomienda tratar los siguientes elementos para iniciar este necesario debate: la estrategia cibernética de la compañía, los tipos de amenaza a los que se enfrenta, sus activos digitales más importantes, los resultados de las evaluaciones de riesgos más recientes y cualquier acción de mitigación prevista.
  2. Asistencia a programas externos: asistir a conferencias sobre el control de riesgos cibernéticos puede ayudar a los consejeros a conocer avances y mejores prácticas para miembros del consejo.
  3. Dialogar regularmente con la dirección: aunque pueda parecer obvio, resulta fundamental que los consejos interactúen con la dirección para compartir conocimientos sobre ciberseguridad.
  4. Intercambio frecuente con terceros: PWC señala que para que los consejos mejoren de forma eficaz sus conocimientos de ciberseguridad, deberían considerar opiniones adicionales para mejorar sus competencias cibernéticas. Por ejemplo, los asesores externos pueden mantener actualizado al consejo con evaluaciones periódicas de los riesgos cibernéticos a los que se enfrenta la empresa. De acuerdo con una encuesta sobre Fallos de ciberseguridad del Gobierno de Reino Unido publicada este año, «tres de cada cinco empresas (59 %) solicitaron de forma activa información o asesoramiento sobre ciberseguridad a empresas externas el año pasado».

PROCESO Y REVISIÓN DEL PLAN DE RESPUESTA DE LA DIRECCIÓN

Una de las principales actividades que los consejos deben llevar a cabo es revisar el plan de respuesta de la dirección en caso de que se produzca un fallo en la seguridad. Este plan debe contener información que detalle quiénes son los responsables de la toma de decisiones y qué acciones deben llevarse a cabo.

Estas son algunas cuestiones clave que deben tenerse en cuenta para preparar el proceso del consejo:

CUESTIONES PARA DISEÑAR EL PROCESO DEL CONSEJO

  • ¿Cuáles son los activos más valiosos de la empresa?
  • ¿Existe un marco de gestión de riesgos aplicable a la empresa en vigor? (Saber si se destinan el personal y el presupuesto suficientes también es crucial en este caso)
  • ¿Cuáles son los potenciales puntos débiles de la compañía en términos de red? (Por ejemplo, acceso de terceros).
  • ¿Cómo se descubren los ciberataques en tiempo real?
  • ¿Cuál es el plan de respuesta de la compañía en caso de que se produzca un ciberataque? ¿Con qué frecuencia se pone a prueba el plan de respuesta?
  • ¿Qué relaciones mantiene la compañía con terceros para responder de forma eficaz a los fallos? ¿Cómo pueden seguir desarrollándose estas relaciones?
  • ¿Ha llevado a cabo el consejo un simulacro de incidente de ciberseguridad? En caso negativo, debe plantearse llevarlo a cabo para mejorar el proceso de ciberseguridad. Debe realizarse de forma periódica y debe fomentarse la participación de los actores clave.
  • Considere la opción de crear un equipo dentro de la compañía responsable de dar una respuesta rápida a los incidentes cibernéticos.

PROCESOS DE COMUNICACIÓN

La comunicación pública a los interesados también resulta crucial tras un fallo en la seguridad. El consejo debe contar con un plan de comunicación que detalle cuándo y cómo se informará a clientes, personal y organismos externos. El consejo también debe supervisar el plan de notificación a la policía. En casos más serios, se recomienda que el consejo cuente también con un equipo forense digital para analizar las pruebas del fallo de seguridad. Por consiguiente, el consejo también debe determinar si este equipo seguirá instrucciones de la dirección o del propio consejo.

SEGURIDAD SIN EXCUSAS

Uno de los pasos esenciales que deben afrontar los consejos para garantizar una mayor protección de la seguridad pasa por proteger la información altamente confidencial que tienen en sus manos. Al implantar portales de gestión, como DiliTrust Exec, los consejeros pueden confiar en que sus datos (almacenados a nivel local en servidores ubicados en Europa, Oriente Próximo y Canadá) cumplen con el RGPD y con la ISO 27001. Si desea información adicional acerca de la seguridad del portal de gestión DiliTrust Exec, no dude en ponerse en contacto con nosotros hoy mismo.

Puede leer aquí la primera parte de esta serie del blog de ciberseguridad, en la que se detallan cinco aspectos clave de ciberseguridad que deben tener en cuenta los consejos de administración.