Los datos que necesita el Consejo para la gestión de la ciberseguridad

El incremento en el número de ciberataques, y sus consiguientes consecuencias, ha colocado la gestión de los ciber riesgos entre las principales prioridades del Consejo de Administración. En este sentido, aunque el desarrollo de tecnologías IT ha abierto innumerables oportunidades, también ha creado un foco de nuevas amenazas que el Consejo y los demás órganos de gobierno deben afrontar.

Por otro lado, dentro de las empresas ya no solo preocupa la posibilidad de que se filtren datos sensibles, dando lugar a amenazas o pérdidas reputacionales, sino que, desde la publicación de la ley 31/2014, los consejeros también deben prestar atención a su responsabilidad jurídica.

Y, todo ello, puede ocasionar que sufrir un ciberataque provoque daños irreparables tanto para las organizaciones como para las personas que conforman el órgano de gobierno. Y, precisamente por este motivo, conviene repasar el papel del Consejo en la gestión de la ciberseguridad, así como los datos que necesita este órgano para que dicha gestión sea eficaz.

El papel del Consejo en la gestión de la ciberseguridad

Desde Deloitte señalan que el papel del consejo consiste en aplicar lo que se conoce como Modelo de Gobierno de la Ciberseguridad, que tiene como objetivo facilitar la gestión de la seguridad de la información, así como aprovechar al máximo los recursos de la empresa, dando a pie a una mejor toma de decisiones por parte de los diferentes estamentos que conforman la organización.

En este sentido, es importante recalcar que, para conseguir que la protección de la información sea eficaz, primero se debe apostar por implementar las 4 estrategias siguientes:

1.       Alinear la estrategia de la empresa con la estrategia de ciberseguridad

La primera estrategia del Consejo pasa por alinear sus propósitos. Es decir, conseguir que los objetivos de la empresa sean acordes a los objetivos y estrategia de ciberseguridad. De esta forma, se puede garantizar el desarrollo del negocio en un entorno seguro.

2.       Definición de responsabilidades y obligaciones

La segunda estrategia consiste en definir claramente qué responsabilidades y obligaciones tiene cada una de las partes interesadas, como pilar para integrar la ciberseguridad en la estructura organizacional. Por ejemplo, cabe destacar el papel del Consejo como encargado de promover y aprobar tales responsabilidades.

3.       Control de la ciberseguridad

Integrar la ciberseguridad en la estrategia de la empresa no es un área sencilla. Para conseguirlo, es necesario que el Consejo preste atención a las diferentes partes encargadas de velar por la seguridad de la información. Y, para que dicha supervisión sea eficaz, es necesario dotar al Consejo de las herramientas adecuadas, como las que Diligent pone a su disposición.

Sin embargo, muchas empresas cometen el error de dotar de la tecnología adecuada al Consejo, despreocupándose del resto de áreas que conforman la organización, dando lugar a brechas en la seguridad que, en ocasiones, son aprovechadas por los ciberdelincuentes.

Por lo tanto, la empresa no solo debe preocupar de que los consejeros no utilicen el correo (y otras herramientas similares) para el envío de información confidencial, sino que deben velar por la seguridad de la empresa dando también importancia a los escalones inferiores de la pirámide organizacional.

4.       Decisiones basadas en datos

El cuarto pilar propio de la gestión de la ciberseguridad se basa en el reporte de datos. Es decir, es necesario tomar decisiones en base a los datos recopilados. Eso sí, cabe recalcar que, para que este cuarto pilar sea exitoso, la información debe estar sustentada por datos precisos y a tiempo real. Por el contrario, utilizar datos equivocados puede provocar brechas irreparables en la seguridad de la información.

No obstante, aplicando estas cuatro estrategias, los consejeros pueden mejorar su toma de decisiones considerablemente.

Ahora bien, adicionalmente, es necesario recabar más datos para que la gestión de la ciberseguridad sea la esperada.

¿Qué datos necesita el Consejo para poder gestionar el riesgo?

Gestionar el riesgo no es una tarea sencilla. De hecho, desde Diligent, recomendamos valorar la posibilidad de introducir en la empresa una Comisión de Ciberseguridad, encargada de valorar los diferentes riesgos que amenazan a la empresa, la posibilidad de que ocurran y los efectos que provocarían en caso de producirse (con sus consiguientes planes de contingencia).

Y, por otro lado, es necesario apostar por la analítica de ciberseguridad. Ahora bien, ¿en qué consiste este concepto? Siguiendo la definición dada por McAfee, el software líder en ciberseguridad, la analítica de ciberseguridad es “una combinación de software, algoritmos y procesos analíticos que se utilizan para detectar amenazas potenciales a los sistemas de TI”.

En el artículo El uso de datos sobre ciberseguridad para mitigar ciberataques, explicamos la importancia de que el Consejo de Administración se apoye en los datos para la tomar de decisiones de ciberseguridad, así como algunos de los principales beneficios de hacerlo.

Importancia de la prevención de riesgos cibernéticos

Hasta el momento, hemos hecho hincapié en la necesidad de que el Consejo se apoye en la analítica de datos como sustento de la ciberseguridad. Sin embargo, hay un último concepto que conviene recalcar: la importancia de la prevención de riesgos cibernéticos.

En un mundo empresarial como el actual, plagado de incertidumbre, la prevención no es ninguna recomendación, sino más bien una obligación para las empresas que quieran asegurar la adecuada gestión de la ciberseguridad.Y, por último, además de la prevención destacamos la importancia de la educación. Todavía son muchos los consejeros que utilizan el correo como herramienta para enviar información confidencial. Y, acciones como estas, son las que terminan provocando daños irreparables en la reputación e imagen de las empresas, por no mencionar las pérdidas económicas.

Por ello, concluimos destacando la importancia de que las empresas apuesten por la prevención como pilar para la gestión de la ciberseguridad, así como por los 4 pilares mencionados anteriormente, y la apuesta por las herramientas adecuadas, como las ofrecidas por Diligent.