Los ciberdelincuentes, los ataques cibernéticos y riesgos cibernéticos empresariales se han incrementado exponencialmente en los últimos años. Es por eso que es importante que las organizaciones y sus Juntas Directivas establezcan relaciones con organizaciones de aplicación de la ley para que tengan un ecosistema más amplio de intercambio de información y establezcan una cadencia regular para mantenerse informados, no sólo participar cuando sucede algo malo.
El riesgo cibernético
El riesgo cibernético tiende a rodar hasta la gerencia financiera, sobre todo en las grandes empresas. En algunas organizaciones, los problemas de seguridad y de riesgos cibernéticos se delegan en TI y el jefe de información, que entonces podría delegar la responsabilidad al director o vicepresidente de la seguridad. Así, la carga de la construcción de relaciones con la policía y otras agencias puede caer al nivel medio de una organización más que el nivel superior.
Empresas pequeñas y medianas podrían querer considerar trasladar la responsabilidad de la seguridad cibernética desde los mandos medios a la alta dirección con el fin de fomentar un mayor diálogo con las autoridades y obtener una mayor atención y recursos para las cuestiones relacionadas con los temas cibernéticos.
¿Deberían las empresas tener un canal de comunicación con la policía?
Las Juntas Directivas deben formalizar la responsabilidad del riesgo cibernético teniendo un Director que entienda de riesgos de ciberseguridad, o al menos la tecnología. Idealmente, deben ir más allá, estableciendo un cybercomité o subcomité, o una cyberchair. Si el negocio se basa en gran medida en la tecnología, es probable que las amenazas cibernéticas sean un riesgo crítico, y por lo tanto, es importante tener a alguien en la Junta Directiva que sea entendedor en temas de seguridad informática. No es diferente a tener un experto financiero en la Junta.
La Junta Directiva también debe comprender el apetito de riesgo de la organización, que incluye la estrategia para la toma de riesgos, así como la defensa contra ellos, la financiación y los recursos para hacer ambas cosas. Un punto de partida es encargar un estudio de amenazas cibernéticas actuales y preparación para determinar cómo se están asegurado activos críticos y si la organización está siendo lo suficientemente vigilante. Una vez que la administración y la Junta entienden qué tan resistente es la organización, pueden comenzar a identificar qué acciones podrían ser necesarias, para que estén preparados en caso de un ataque cibernético.
Una organización puede externalizar las operaciones y funciones de vigilancia, pero no puede externalizar los riesgos cibernéticos. En última instancia, la organización es dueña del riesgo y eso es algo que los ejecutivos necesitan entender para hacer del negocio tan seguros, vigilantes y resistentes como sea posible.
Recomendaciones:
- Debe existir una mayor interacción entre las Empresas y las Instituciones especializadas del Gobierno en protección cibernética.
- El Gobierno debe ofrecer a menudo sesiones de información sobre lo que están viendo.
- Las Juntas Directivas deben de tener en marcha un eficaz monitoreo de los riesgos cibernéticos en sus Empresas.
