Dave Russell y Rick Vanover, Veeam, exponen los cuatro pasos básicos que las empresas pueden dar para dar prioridad a la ciberseguridad a nivel de liderazgo:
Semana tras semana, mes tras mes, las demandas cibernéticas de los accionistas aparecen en las noticias. Capital One llega a un acuerdo por 190 millones de dólares, además se presentó una demanda colectiva contra Ultimate Kronos Group por supuesta negligencia en relación con un ataque de ransomware, identificando un sistema de ciberseguridad deficiente como la raíz del problema.
Estas dos noticias de los últimos meses ponen de manifiesto los riesgos a los que se enfrentan las empresas en su continua guerra contra las ciberamenazas. Las empresas que sufren un ataque continúan luchando con impactos inmediatos y obvios: tiempo de inactividad, pérdida de datos, pérdida de ingresos, golpes a su reputación y multas reglamentarias. Pero ahora lo que está en juego aumenta. Cada vez son más los incidentes cibernéticos que desencadenan demandas colectivas de consumidores, inversores y otras partes afectadas que argumentan que las empresas -y los propios consejos de administración- deberían haber actuado con más diligencia para proteger la información sensible.
Por supuesto, prácticamente todas las empresas han tomado algunas medidas para mejorar las prácticas de ciberseguridad en los últimos años. Las infracciones de gran repercusión en Target, Equifax, Marriott, y otras empresas conocidas, aumentaron la concienciación y obligaron a los responsables de TI a reforzar las redes corporativas y reforzar las políticas.
Pero las brechas siguen apareciendo, al igual que las demandas. El problema es que muchas empresas todavía no han convertido la ciberseguridad en una verdadera prioridad para toda la organización. Aunque esto se aplica más a las PYMES, sigue siendo un problema también para algunas empresas más grandes. La mayoría sigue confiando en los gestores de TI de trastienda para establecer y llevar a cabo las estrategias de seguridad. Muchas no han involucrado lo suficiente a los líderes empresariales en la estrategia de ciberseguridad ni han hecho de las ciberamenazas un punto permanente en la agenda de la junta directiva.
Ya es hora de que lo hagan. He aquí cuatro pasos básicos que las empresas pueden dar para dar prioridad a la ciberseguridad a nivel de liderazgo.
Reforzar las competencias cibernéticas de la junta directiva
El consejo de administración tiene que asumir un papel activo en la preparación de la ciberseguridad, pero primero los directores tienen que asegurarse de que están a la altura de esta tarea.
Esto va más allá de que los miembros lleven a cabo debates en torno a la recuperación con los líderes de TI y de negocios en el personal. Los miembros de los consejos de administración deben formarse a sí mismos para hacer frente al continuo desafío de la ciberseguridad.
Las juntas directivas pueden empezar por evaluar el nivel de conocimientos cibernéticos de sus miembros y contratar a uno o más miembros con experiencia en asuntos cibernéticos. Estos especialistas en ciberseguridad pueden dirigir subcomités y colaborar más directamente con los líderes empresariales y de TI en las estrategias cibernéticas.
En segundo lugar, toda la junta directiva debería recibir formación anual o bianual para comprender el panorama de la ciberseguridad, en constante evolución. Un consejo que esté bien educado en cuestiones cibernéticas puede abordar mejor los riesgos, las responsabilidades y las cuestiones técnicas que apoyarán las decisiones estratégicas que tendrán que tomar.
Crear un intercambio de información fluido
Una vez que el consejo esté al día, corresponde a la dirección desarrollar un mecanismo que promueva una comunicación coherente sobre los riesgos y las estrategias cibernéticas. Los directivos deben reservar tiempo para una interacción intensa sobre los planes, procedimientos y cuestiones en curso relacionadas con los riesgos de ciberseguridad. Es importante que el mecanismo incluya a las partes interesadas de una amplia variedad de departamentos: todos, desde la empresa hasta las TI, pasando por el personal jurídico, los RRHH y el marketing. Si bien las tecnologías de ciberseguridad seguirán siendo controladas por TI, la estrategia y la aplicación son transversales a todos los departamentos, y se extienden hasta la junta directiva.
Las interacciones deben convertirse en una parte continua de las responsabilidades de la junta directiva, y los directivos deben desempeñar el papel de educadores y facilitadores.
Designar un patrocinador ejecutivo
Aunque la participación en la ciberseguridad se extiende a todos los departamentos, es importante la creación de un plan de respuesta en manos de una persona. Esa persona no tiene que desarrollar todo el plan, pero la persona a cargo debe ser un líder que tenga la autoridad para impulsar el cambio y obtener la alineación de toda la organización. En teoría, el CIO, el CISO o el CSO deberían estar bien posicionados en esta tarea.
Tiene más sentido que una organización posicione a un líder empresarial en esta función, alguien cuyo trabajo esté relacionado con las actividades generadoras de ingresos o con las operaciones más que con la tecnología. Esta persona debe colaborar con los líderes tecnológicos, pero abordar la tarea centrándose en la estrategia empresarial. La tecnología es fundamental, pero los mejores planes de respuesta se enmarcan en la forma en que las operaciones pueden prepararse mejor para una brecha y mantenerse en caso de que se produzca.
Asignar funciones en toda la organización
Aunque el CSO y el CISO seguirán estableciendo las agendas de seguridad de las empresas, otros líderes tienen que asumir un papel activo. Los directores financieros tienen que garantizar que se incorpore un nivel de seguridad en todos los procesos financieros de la empresa. Los directores de recursos humanos deben investigar las nuevas contrataciones con más diligencia y ejercer como líderes para que los empleados se sientan cómodos con las prácticas de seguridad. Los jefes de ventas deben promover la calidad de la seguridad, especialmente con los agentes que viajan, cuyo acceso virtual los convierte en vectores principales para los hackers.
Conclusión
Dada la sociedad cuestionable de hoy en día, las empresas no pueden esperar que se acabe con las ciberdemandas, pero pueden desempeñar un papel activo para evitarlas. Hacer de la ciberseguridad una cuestión de liderazgo -extendiéndose a toda la organización, hasta la junta directiva- es un paso hacia la dirección correcta.
