Seguridad informática y ciberseguridad: vital en 2020 para los Consejos

El pasado 2019, el Consejo de Seguridad Nacional aprobó la estrategia nacional de ciberseguridad. Tanto entonces como ahora y a lo largo de 2020, garantizar seguridad informática y ciberseguridad debe ser prioritario para los Consejos de Administración de las empresas.

Como ya hemos explicado con anterioridad, el imparable y necesario proceso de digitalización tiene que ir parejo con una definida estrategia que asegure la protección de la empresa ante cualquier tipo de ciberamenaza.

Además, las acciones de las compañías no deben quedarse en la prevención, dado que las vulneraciones de seguridad informática y ciberseguridad se sofistican cada día o, incluso, cada hora. En consecuencia, todas las estrategias tienen que contar con una serie de medidas concretas para que, una vez producido el ciberataque, las consecuencias negativas sean mínimas.

Seguridad informática y ciberseguridad: los aspectos en los que centrarse

Asegúrese de que en el Consejo se discute la seguridad informática de todos los proveedores

En la Estrategia Nacional de Ciberseguridad, se subraya la importancia de que el sector privado y el público aúnen esfuerzos para el desarrollo y puesta en marcha de todo un ecosistema de seguridad informática y ciberseguridad. Para ello, también resulta fundamental que, en las reuniones del Consejo de Administración, una parte importante de las sesiones se centre en comprobar que se puede confiar en los proveedores actuales, pasados y futuros, también, en todo aquello vinculado con seguridad informática y ciberseguridad.

Unos deficientes mecanismos de seguridad en las comunicaciones de los proveedores pueden infectar a su empresa, por lo que le conviene que el Consejo haya estudiado la situación de su ciberseguridad.

Certifique que el CIO o el máximo responsable de ciberseguridad en su empresa tiene buena relación con los reguladores

Esto se debe a la obligatoriedad de notificar cualquier incidente a la autoridad competente, en España la AEPD, por parte del RGPD. Esta notificación será más o menos complicada de realizar en base a la relación existente entre el CISO y el regulador, motivo por el cual se establece como primordial establecer una buena relación positiva entre ambas artes, con el consiguiente beneficio para la empresa.

Adicionalmente, se establece, con carácter obligatorio, que toda situación en la que exista una elevada probabilidad de violar la seguridad de los datos personales de las personas físicas, implicando así un elevado riesgo para sus derechos y libertades, deberá comunicarse a todas aquellas personas titulares de dichos datos, a excepción de:

• Todas aquellas situaciones en las que los datos personales estén cifrados, lo que implica su ilegibilidad para toda persona que no esté autorizada a acceder a estos.
• Habiéndose adoptado medidas posteriores dirigidas a garantizar la inexistencia de probabilidad de que dicho Incidente de Seguridad implique un alto riesgo para sus derechos y libertades.
• Aquella situación en la que tal efecto suponga un esfuerzo desproporcionado, teniendo que comunicar dicho fallo públicamente o tomando medidas informativas para los afectados.

Confirme que su empresa cuenta con una gestión de crisis adecuada y con un plan de respuesta

Como decíamos en unos párrafos superiores, tan importante es la prevención como la capacidad de respuesta a un fallo de seguridad informática y ciberseguridad.

Asimismo, para que todos los profesionales implicados en el plan de acción para repeler o mitigar los efectos del ciberataque sean capaces de cumplir con su cometido, la estrategia ante las ciberamenazas debe contar con un nutrido y minucioso conjunto de medidas concretas.

Ratifique que la empresa tiene proveedores jurídicos, de seguridad y una agencia de relaciones públicas

Esta ratificación que debe llevar a cabo toda empresa se debe a que, cada una de estas tres partes, tendrá su propia implicación en todo proceso que implique mitigar el impacto de un ciberataque en la reputación de la empresa.

La primera parte, los proveedores jurídicos, han de ser los encargados tanto de defender a la empresa como de aconsejar a esta de las acciones necesarias que han de llevarse a cabo para mitigar los litigios o daños personales. La agencia de seguridad, por su parte, deberá encargarse de recuperar toda normalidad en los procesos de la empresa, así como de preparar a la empresa para evitar que dicho ciberataque pueda volver a suceder. Y, por último, destaca la implicación de la agencia de RRPP en todo este proceso, encargándose de gestionar toda comunicación con la prensa, minimizando así el daño reputacional.

Incluya a los expertos en ciberseguridad en las reuniones del Consejo con frecuencia

Esta medida de incluir al experto en ciberseguridad en las reuniones del consejo de administración se establece con la finalidad de que este pueda informar sobre los procesos existentes para verificar a los proveedores externos, los resultados obtenidos en tales procesos, la actualización de los planes de mitigación de riesgos y todos aquellos asuntos de preocupación para el Consejo de Administración.

Para que esta medida sea efectiva, esta ha de llevarse a cabo de manera recurrente, con periodicidad anual como mínimo.

Proporcione formación a todos los empleados de la empresa y traten el tema como una prioridad

Con el objetivo de que no se produzcan fallos humanos (responsables de multitud problemas derivados de ciberataques), la plantilla tiene que haber sido previamente formada, tanto a nivel teórico como práctico, lo que, en consecuencia, requiere experiencia en simulacros.

En definitiva y, a modo de conclusión, todas las cuestiones relacionadas con seguridad informática y ciberseguridad son y serán este 2020 uno de los pilares fundamentales de cualquier Consejo de Administración empresarial.

Las consecuencias de tomar en consideración las recomendaciones estratégicas de la Comisión de Seguridad Nacional son lo suficientemente catastróficas como para centrar esfuerzos en ciberseguridad. Tanto su futuro como el de sus clientes depende de ello.