La ciberseguridad en el Consejo de Administración
Una de las tareas más importantes de todo Consejo de Administración es salvaguardar los intereses de sus representados, y para ello deben poner atención a cualquier amenaza que ponga en riesgo su negocio. En este contexto, la ciberseguridad se ha convertido en un tema prioritario en las agendas de cualquier equipo directivo.
Cuando no se tienen políticas, procesos, cultura, tecnología y herramientas adecuadas para garantizar la seguridad de la información, se corren riesgos como desfalcos económicos, robo de identidades, vulneración de los datos sensibles de los clientes, atentados a las bases de datos y muchos otros con diversas consecuencias.
Un ejemplo, es el gran incremento de secuestros cibernéticos, en los que el delincuente toma control de los servidores o bases de datos y pide alguna compensación económica para liberar el acceso a la información, que incluso llegan a afectar directamente a altos funcionarios y accionistas, sirviéndose de la información obtenida para extorsionarlos; nadie está a salvo.
Por si no fuera poco, hay algunas industrias donde la falta de medidas de ciberseguridad pueden ocasionar multas y penalizaciones, como las que acaba de anunciar el Banco de México en el sector financiero afectando a varias instituciones.
Bajo esta perspectiva, el proteger a la empresa de riesgos cibernéticos no es responsabilidad del CIO; es obligación de los miembros del consejo Directivo exigir al CEO y su equipo el tomar las medidas adecuadas para afrontar estos retos.
No es un reto menor pero un buen punto de partida es comenzar por un análisis de riesgos, haciendo preguntas como:
- ¿Qué tan vulnerable es la operación de mi negocio ante amenazas cibernéticas? O bien, ¿Qué tan apetecible es la información del negocio para posibles ataques o robos?
- ¿Qué tan vulnerable está la infraestructura tecnológica donde reside la información relevante del negocio? ¿Es lo suficientemente robusta para garantizar la continuidad operativa?
- ¿Contamos con las herramientas necesarias para hacer frente en caso de algún incidente?
- ¿Tengo identificados los riesgos e impactos específicos con respecto al uso de la información?
- ¿Tengo establecidos controles tecnológicos, de procesos y de personas adecuados para salvaguardar la integridad, confidencialidad y confiabilidad de la información con la que operamos? ¿Y la que tenemos en resguardo pero que pertenece a nuestros clientes, empleados y accionistas?
La tarea nos es fácil ya que requiere de un alto grado de especialización y conocimiento sobre prácticas, tecnologías y procesos de negocio. Por eso es necesario fortalecer el rol del CISO (Chief Information Security Officer, por sus siglas en inglés) y poner a su disposición los recursos que requiere, incluida de la experiencia de los que ya tienen un camino andado que te pueden ayudar a elaborar desde un diagnóstico hasta evaluar los riesgos e impactos para posteriormente diseñar estrategias adecuadas de mitigación y contención.
“Más vale prevenir, que lamentar”
Artículo escrito por Eduardo Santín Hernández / CFO en Quanti Solutions
Newsletter Semanal
Lo más relevante de ciberseguridad y tecnología.
Síguenos en las redes