La ciberseguridad también incumbe a la dirección

Responder a sus clientes en TripAdvisor mejora su puntuación
Responder a sus clientes en TripAdvisor mejora su puntuación

Todas las empresas conectadas a internetson vulnerables a los ataques cibernéticos. Y las pérdidas potenciales son importantes. El gigante de la venta al por menorTarget, por ejemplo, estimólas pérdidas sufridas a causa de una filtración de datos en 2013 en más de 250 millones de dólares (unos 223 millones de euros). Es más, según un reciente estudio realizado por BAE Systems, entre300 mánagers de empresas deservicios financieros, seguros y tecnológicas deEstados Unidos, el 85% de los encuestados citaron la pérdida de reputación como la consecuencia más grave de una filtración. El74% consideró lasrepercusiones legales como susegunda mayor preocupación.

La responsabilidad legal por una grieta de seguridad que afecta a los clientes corresponde directamente a la dirección de la empresa.Los ejecutivos tienen que saber personalmente cómo de fuertes son las defensas cibernéticas de su compañía. Conocer la respuesta prevista frente a un ataque o filtración. Sin embargo, según la encuesta, el 40% de las personas consultadasreconoció que no contaba con una idea clara de los protocolos deciberseguridad desus organizaciones. Esto debería servir como un toque de atenciónurgente para que los ejecutivos se tomen en serio la ciberseguridad dentro de la compañía.

Los ejecutivos deberían empezar por entender con qué protocolos cuentan, cuáles son sus limitaciones. Se cree que una evaluación anual de seguridadrepresenta la mejor práctica para impedir las filtraciones. Si se hace bien,revelará el riesgo residual, el número y la escala de los posiblesataques.Si el riesgo residual es aceptable,una revisión anual puede ser suficiente. Sin embargo, si la amenaza residual preocupa, una evaluación semestralo trimestral inclusopodría no bastar. El debate ahora, claro está, es qué nivel de riesgo residual es aceptable para cadaempresa.

En muchos sentidos,esta evaluación de riesgos refleja la nueva realidad de la ciberseguridad. En un mundo hiperconectado en constante evolución,el enfoque ha de ser dinámico en lugar de estático. Por ejemplo, un enfoque dinámico sería programar dos revisionesanuales con dos proveedores distintos y escalonarlas cadaseis meses. Al hacerlo, una empresa puede reducir a la mitad el tiempo paradetectarun ataque exitoso, en lugar de depender solo de unaevaluaciónanual. Ampliar este modelo para contar con evaluaciones trimestrales o”a demanda” ante determinados eventos,o incluso comprobaciones aleatorias para amenazas conocidas,son otras alternativas.

Pero las revisiones y las evaluaciones no bastan. La mejor y más eficaz manera paraque ejecutivos de primer nivel garanticen el cambio consiste en establecer unarelación profesional sólida con el director de seguridad informática (CISO, por sus siglas en inglés). En la actualidad, las empresas recurren a los CISO para ayudar a los gestores a entender las amenazas cibernéticas e implementar los controles de seguridad adecuados a la vez que promocionar una cultura de defensa cibernética.Nuestra investigación encontró que nueve de cada 10 CISO están vinculados directamente alequipo más alto de dirección,la mitad de los cuales pertenecealequipo directivo. Fortalecer el papel del CISO para impulsar este cambioes una tendencia alentadora, pero los ejecutivos necesitan involucrarlos proactivamente si quieren lograrresultados reales en toda la organización.

Mientras que el CISO identificará riesgos y priorizará los protocolos de seguridad, les compete a los altos ejecutivos entendery promover los procedimientos por toda la empresa, llegar alos puntos más vulnerables frente adelincuentes cibernéticos. Los equipos de dirección deben apoyar las evaluaciones de riesgos y estudiar los resultados junto al CISO. La compañía debería incluir al CISO en cada iniciativa de negocio nueva e integrar la seguridad desde el principio en vez deañadirla después. De hecho, la mejor práctica es poner al CISOa trabajar con cada equipo para determinar la manera de cumplir los objetivos de la manera más segura.Después hay que lograr que esos equipos sean responsables delos riesgos y fallos identificados por el CISO.

Es más, los ejecutivos deberían promocionar la importancia de la seguridad dentro de la empresa y mejorar la formación de los empleados.Las empresas deberían formar en ciberseguridada los empleados de nivel medio y a los recién llegados, con mayor frecuencia para reforzar las defensas. Según nuestrainvestigación, sólo el 38% de las empresas realizaformaciones cada trimestre o semestre; las demás lo hacen anualmente o incluso cada más tiempo. Además, en la mayor parte de los casos, solo se logra que los empleadosdetecten, un mes después, ataques cibernéticos enel 25% de los casos. Los ejecutivos deberían convertir en una prioridad, mejorar estos programas de aprendizaje yreducir las probabilidades de un ataque exitoso pasado el mes. La formación debería incluir intercambio de papeles,guiones que imiten los ataques reales y pruebaspara comprobar su eficacia.

Defenderse de los ataquesse ha convertido en unaparte indispensable de las tareas delos altos ejecutivos. Ya no basta con dejar la ciberseguridad para las evaluaciones anuales o un único CISO. Los altos ejecutivos tienen queentender qué procedimientos existen y asegurarse de que todas las personasde la organización entiendan los protocolos y asuman su responsabilidad. Pero, sobre todo, han de fomentarla relación adecuada con el CISO para que la seguridad forme parte de cada iniciativa de la empresa, para que no ocurra de forma tardía.


por
trad. Teresa Woods

Bill Sweeney es el CTO de las Américas de BAE Systems y es un experimentado CIO de servicios financieros. Su experiencia incluye siete años como CTO del Banco de Inversión de HSBC, siete años como CIO de Riesgos, Cumplimiento y Legal del Banco de Inversión de Citibank y cuatro años con Bridewater Associates.

Related Posts
Maximizing Your Return on People

Sólo pensar que dormiste mal puede dañar tu rendimiento

El estudio: profesor de la Universidad de Colorado Kristi Erdal y estudiante de psicología Christina Draganich engañado a los sujetos en la creencia de que la calidad del sueño su noche anterior se pudo determinar mediante la medición de sus ondas cerebrales. Las personas seleccionadas al azar y me dijeron que habían tenido un porcentaje inferior a la media de sueño REM significativamente un desempeño inferior en un examen de matemáticas auditiva, independientemente [...]
Leer más
Desviación positiva

Sí, tú también puedes ser como Steve Jobs

Hace varias semanas, Walter Isaacson, el autor del notable biografía de Steve Jobs el año pasado, le preguntó si podía escribir sobre Jobs una vez-por más de Harvard Business Review. la muerte de Jobs, el pasado octubre, desencadenó una gran ola de columnas y artículos sobre el significado de la vida y el trabajo del CEO de Apple. Pero en vista de Walter, un [...]
Leer más