Evalúe la seguridad del Consejo de Administración con 8 preguntas

Hasta hace tan solo unos años, el CISO tenía serias dificultades para garantizar la seguridad del Consejo de Administración y de la información que manejan, ya que la tecnología y herramientas desarrolladas hasta el momento no eran capaces de abordar la amenaza de la ciberdelincuencia.

Sin embargo, a día de hoy sí existen herramientas especializadas en la seguridad de la información, garantizando la eficiencia del Consejo del Consejo al mismo tiempo. Y desde Diligent, precursores del gobierno corporativo moderno, las ponemos a disposición de las compañías.

Ahora bien, antes de incorporar soluciones de seguridad para el Consejo de Administración, el CISO debe realizar un exhaustivo análisis de cada una de estas, comprobando que se cumplen con los máximos estándares de ciberseguridad. Esto es, además, especialmente importante en épocas como la actual, en la que las empresas se han visto obligadas a trabajar en entornos remotos. Por ello, antes de incorporar una herramienta para mejorar la gestión del Consejo de Administración, el CISO debería plantear estas 8 preguntas a los proveedores analizados para garantizar la seguridad del Consejo de Administración y de la información que tienen a su alcance:

1.      ¿El proveedor realiza una inversión importante en investigación y desarrollo en materia de ciberseguridad?

Como señalamos, la ciberseguridad es en este caso la principal preocupación. El CISO no debe apostar por ninguna herramienta sin que el proveedor garantice antes su capacidad de investigación y desarrollo frente a las amenazas emergentes. Cabe destacar que la ciberdelincuencia está en constante evolución y que el actual entorno laboral, en el que las empresas trabajan remotamente, es idóneo para los piratas informáticos. En definitiva, el CISO debe encontrar un proveedor capaz de anticiparse a las amenazas emergentes, garantizando la seguridad del Consejo de Administración.

2.      ¿El proveedor es transparente en cuanto a sus procesos de seguridad?

Si el proveedor cuenta con un historial de seguridad intachable y unos protocolos de seguridad adecuados para garantizar la ciberseguridad, no debería existir ningún inconveniente para que este sea totalmente transparente con el CISO y la compañía que desean contratar sus servicios. Por lo tanto, el CISO debe preguntar al proveedor acerca de sus medidas de seguridad físicas y lógicas (protección de los servidores, aplicaciones, firewalls y otras herramientas), los procesos de selección para nuevas contrataciones, los controles internos, la supervisión del sistema, el plan de respuesta ante incidentes y cualquier antecedente de vulneración de la seguridad y su resolución. Todo ello con la finalidad de garantizar la máxima tranquilidad al CISO y la compañía.

3.      ¿El proveedor cumple con los más altos estándares de seguridad del sector?

La tercera pregunta del CISO hacia el proveedor se refiere a los estándares de seguridad. Para que el proveedor pueda garantizar que sus estándares son comparables a los de los departamentos informáticos más exigentes de diversos sectores, este debe contar con certificaciones que lo respalden. Como ejemplo de las más importantes destacan un historial favorable de auditorías anuales SOC-2/SSAE  28 o la certificación ISO 27001 para proteger la seguridad (cumplimiento de los sistemas de gestión de la seguridad de la información del proveedor de software con los estándares internacionales).

4.      ¿El proveedor permite la realización de pruebas de intrusión externas?

Otra de las preguntas más relevantes que debe plantear el CISO al proveedor es la posibilidad de realizar pruebas de intrusión externas. Es cierto que los proveedores de soluciones de comunicación segura realizan estas pruebas de forma periódica como parte de sus controles de calidad. Sin embargo, no es lo mismo realizar estas pruebas de forma anual que permitir a clientes actuales o potenciales realizar sus propias pruebas de seguridad e intrusión, o bien hacerlo a través de la contratación de terceros. Esto es, sin lugar a dudas, una prueba de la confianza y reconocimiento que merece la seguridad de dicho proveedor.

5.      ¿Qué medidas de seguridad física utiliza el proveedor?

La información digital es intangible, sin embargo, se almacena en lugares tangibles. Por lo tanto, el proveedor debe garantizar al CISO que los datos se almacenan en instalaciones protegidas “in situ”, con circuitos de televisión cerrados y con varios niveles de seguridad perimetral. Adicionalmente, los servidores se deben alojar en jaulas seguras y separando los de unas empresas de los las demás. Por último, las claves criptográficas deben protegerse mediante dispositivos reforzados y resistentes a la manipulación.

6.      ¿Qué grado de redundancia de datos se ofrece?

¿Se realizan copias de seguridad de los datos? ¿Los centros de datos principales activan, en caso de una conmutación por error, centros de datos de recuperación ante desastres? Estas son otras dos cuestiones que el CISO debe plantear a los proveedores. Además, cabe indagar acerca de las ubicaciones de estos centros de datos, que deben encontrarse en lugares remotos y dispersos geográficamente, garantizando así que los eventos aleatorios que afecten a una ubicación no afectarán a la ubicación secundaria. Por último, para la redundancia de los datos se requiere una información ininterrumpida y a tiempo real sobre su rendimiento.

7.      ¿El proveedor le permite “dimensionar correctamente” el nivel de seguridad de la plataforma?

El CISO debe ser consciente de que las soluciones de seguridad deben estar compensadas en conveniencia y seguridad para el Consejo de Administración. Esto supone que una única dimensión no es válida y adaptable a todas las empresas. Sin embargo, plataformas de comunicación segura, como las ofrecida por Diligent, pueden adecuar sus funciones de acuerdo a las necesidades específicas de cada empresa. Así mismo, es importante que las plataformas permitan diferentes niveles de seguridad según los usuarios para contraseñas, políticas de bloqueo u opciones para compartir materiales y colaborar en su elaboración.

8.      ¿Las funciones de seguridad de la plataforma cuentan con el respaldo de un servicio de atención al cliente?

Incorporar una nueva herramienta de trabajo, en este caso para garantizar la seguridad de la información del Consejo de Administración, no es una tarea sencilla, y requiere la total colaboración por parte del proveedor. Por ello, independientemente de la solidez de la plataforma, el CISO debe comprobar que existe una persona (dentro del equipo de trabajo del proveedor) o teléfono de atención al cliente que permita solucionar cualquier inquietud o problema que surja.

Realizando todas estas preguntas, e investigando acerca del proveedor y las valoraciones recibidas, el CISO debe ser capaz de seleccionar la herramienta adecuada para la seguridad del Consejo de Administración. Por último, se debe asegurar que consejeros, secretarios, asesores generales y equipos directivos se sientes cómodos trabajando con las soluciones del proveedor, pudiendo desempeñar sus funciones y procesos adecuadamente.