Ciberseguridad

¿Están preparadas las empresas del IBEX 35 para hacer frente a un ciberataque?

El desarrollo exponencial de la tecnología y la digitalización ha generado unas reglas de juego en las que la ciberseguridad y el riesgo cibernético resultan centrales para la continuidad del negocio. A raíz de la pandemia desencadenada por la Covid-19, muchas empresas han optado por la fórmula laboral de que muchos de sus profesionales trabajen desde casa. Simultáneamente a este cambio de paradigma de producción empresarial, los ataques cibernéticos, en particular los ataques de ransomware, también han aumentado significativamente. En este contexto, los Consejos de Administración deben comprender mejor los ataques cibernéticos y la regulación cibernética para llevar a cabo una gestión de riesgos efectiva. En este artículo, se detallan los principales riesgos que afronta su organización en materia de ciberseguridad, al tiempo que se aportan pautas que permiten articular un plan contra ciberataques de garantías.

Retos que representa la ciberseguridad para el Consejo y dirección de su organización

Como miembro del Consejo de Administración, o como CEO, es crucial mantenerse actualizado en materia de ciberseguridad y velar por una supervisión eficaz de los problemas cibernéticos. También resulta estratégico cuidar la capacidad de la empresa para superar las amenazas cibernéticas que evolucionan a gran velocidad, al tiempo que ganan en complejidad y sofisticación, lo que dificulta su detección y mitigación.

En suma, cada vez resulta más relevante y necesario proteger de forma segura los datos de una empresa, tanto la información organizativa como la que atañe al ámbito  personal de los empleados y/o clientes.

Comparativa de las empresas del IBEX 35 con sus vecinos europeos para modelar un plan contra ciberataques

Tanto en nuestro país como a escala europea se están configurando reglamentos y leyes de protección de datos relevantes. En esa vertiente funciona el Reglamento General de Protección de Datos de la UE (RGPD), que funciona como piedra angular del sistema de regulación sobre protección de datos y privacidad. El RGPD se implementó el 25 de mayo de 2018 y reemplaza la Directiva de 1995 (Directiva de protección de datos). El objetivo de GDPR es dar más control a las personas cuando se trata de organizaciones que revelan o eliminan datos personales almacenados. Además, el RGPD se aplica a todos los estados que integran la Unión Europea (UE) para facilitar el tratamiento de la protección de datos personales en toda Europa.

Una organización que opere bajo la legislación de la Unión Europea podría recibir una multa de hasta 20 millones de euros si no gestiona adecuadamente la protección de sus datos, o el 4 % de la facturación global anual de la empresa, de acuerdo con las directrices que estipula el RGPD.

Cómo están gestionando su plan contra ciberataques las empresas del IBEX-35

Conforme a la información elaborada por el diario El Confidencial, el Centro Nacional de Inteligencia (CNI), Seguridad Nacional y las grandes empresas del Ibex 35 han conformado  una estrategia ante la guerra económica derivada de la invasión rusa a Ucrania. En fechas recientes, los responsables del servicio secreto español, del órgano asesor del presidente y compañías como Telefónica o el Banco Santander se han reunido para valorar e implementar medidas para velar por más garantías por los intereses españoles en el ámbito digital.

Según informan en ElPlural.com, el plan contra ciberataques acordado por las grandes empresas del IBEX 35 y el Centro Nacional de Inteligencia (CNI) y de Seguridad Nacional para diseñar una estrategia conjunta y protegerse de las ofensivas,  tiene como eje de rotación que la Unión Europea (UE) y Estados Unidos compartan tanto información como procesos con el objetivo de frenar la ciberguerra. Además, se estudia aplicar  sanciones más restrictivas contra Rusia y profundizar en la coordinación de las empresas con los gobiernos de sus países y, a su vez, con los entes supranacionales.

Desde El Confidencial se explican las consecuencias derivadas de la guerra en Ucrania y se detalla que los problemas no radicarán en las entidades bancarias, pues su exposición es muy baja; sino en las empresas industriales vinculadas con la energía, fundamentalmente. En ese sentido, se prevé un incremento de la morosidad así como una contracción al crédito por la incertidumbre que genera la invasión. En ese escenario, se dedicará una atención especial a los clientes que, por el decrecimiento de sus ingresos, puedan faltar a sus pagos. El turismo también se analiza con detalle por las mismas razones.

Por su parte, el Gobierno de España ha anunciado que aprobará “próximamente” un plan nacional contra ciberataques. El plan integrará un centenar de actuaciones, entre ellas la creación de una serie de indicadores de ciberseguridad a escala nacional, como la constitución del Centro de Operaciones de Ciberseguridad de la Administración General del Estado y sus organismos públicos. Además, se desarrollará e implementará la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes y de Amenazas. En esa dirección, a propósito de la aplicación de los fondos europeos, el Gobierno estima  adjudicar licitaciones por valor de más de 400 millones de euros, que serán manejadas por el Instituto Nacional de Ciberseguridad.

Cómo los expertos en tecnología del Consejo optimizan la seguridad cibernética

Una forma en que las empresas pueden garantizar de manera efectiva que la ciberseguridad ocupe el papel que merece en las deliberaciones del Consejo de Administración es garantizar el nivel de fluidez del Consejo de Administración sobre el tema. En ese sentido, resulta esencial que los componentes del Consejo, o al menos un porcentaje significativo del mismo, sean considerados expertos en tecnología, lo que contribuirá a impulsar el cambio necesario mientras hacen las preguntas adecuadas. A ese respecto, una investigación elaborada por Mckenzie, revela que la incorporación de tres o más expertos en tecnología en su Consejo comporta el potencial de incrementar notablemente la estrategia de rentabilidad de la compañía.

¿Cuántos expertos en tecnología hay en los Consejos del Ibex 35 en comparación con otros grandes índices de países vecinos?

De acuerdo a la base de datos conformada por Diligent, a través de la plataforma de Diligent Compensation and Governance Intel, uno puede conocer de qué experiencia y capacidades dispone una empresa en su Consejo de Administración.

Los datos revelan que el promedio de personas con experiencia en tecnología en el Ibex 35 es de 1,09, que es el más pobre entre los índices más relevantes analizados. Este dato contrasta, por ejemplo, con un promedio de 4,36 consejeros con experiencia en Tecnología en el AEX de Holanda.

El camino a seguir para elaborar un plan contra ciberataques

Cuando se trata de custodiar los datos contra ataques cibernéticos, es fundamental desarrollar un esfuerzo colectivo entre empresas, gobiernos y otros organismos reguladores para combatir y proteger los datos. Evidentemente, ni siquiera las instituciones gubernamentales están exentas de esta amenaza. Si su empresa carece de liderazgo tecnológico, asegúrese de incorporar el talento adecuado. La tendencia de conformar un plan contra ciberataques consistente es tan fuerte que algunas empresas incluso han comenzado a introducir comisiones del Consejo de Administración centrados en la tecnología.

Además de designar consejeros expertos en tecnología, es muy importante que exista una comunicación sólida entre el CIO, el CISO, el CEO y el Consejo de Administración. En la mayoría de las organizaciones, los profesionales de la seguridad cibernética se encuentran al menos a dos niveles por debajo del Director Ejecutivo en la jerarquía de la empresa, con pocas oportunidades de discusión directa sobre problemas y prioridades de protección. Esta realidad deberá reformularse para ganar en eficiencia al articular un plan sólido contra ciberataques, ya que suele haber falta de comunicación entre el C-Suite y el equipo de funciones cibernéticas.

Para descubrir cómo puede minimizar los riesgos cibernéticos de su empresa en una época de riesgos cibernéticos, le animo a descargar esta guía.

Board Portal Buyer’s Guide

With the right Board Portal software, a board can improve corporate governance and efficiency while collaborating in a secure environment. With lots of board portal vendors to choose from, the whitepaper contains the most important questions to ask during your search, divided into five essential categories.

BLOGS DESTACADOS