¿Está preparado para la ciberseguridad en la sala de juntas?


Los consejos corporativos tienen muchas dimensiones de responsabilidad. La ciberseguridad puede ser una de las áreas de enfoque más importantes y matizadas para una junta, pero no todos los miembros de la junta saben por qué y qué deben preocuparse en relación con la ciberseguridad.

La ciberseguridad es un tema a nivel de la junta por tres razones principales:

  1. Las brechas de seguridad cibernética son un asunto serio para cualquier empresa
  2. Las empresas deben conocer la gobernanza, la regulación y el cumplimiento de la ciberseguridad
  3. Todos en la empresa y en la junta deben ser responsables de las buenas prácticas de ciberseguridad.

¡Las brechas de seguridad son un asunto serio!

Las brechas de seguridad pueden dañar a las empresas financieramente, afectar negativamente la reputación de la marca y provocar la pérdida de datos (tanto de propiedad intelectual como individual), solo por nombrar algunos de los impactos. Desafortunadamente, las infracciones que afectan a cientos de millones o incluso miles de millones de personas son más comunes de lo que nos gustaría. Algunas de las brechas de seguridad cibernética más notables que recordará son Equifax en 2017, Adobe en 2013 y Zynga (la compañía que fabrica Terms with Buddies) en 2019. En julio de 2020, vimos cuentas clave de Twitter de alto perfil comprometidas. ¡No desea ver el nombre de su empresa en los titulares de las noticias debido a una infracción!

Gobernanza, regulación y cumplimiento de la ciberseguridad

Además de las brechas de seguridad, la gobernanza en ciberseguridad es cada vez más importante. La gobernanza explain las políticas y los procesos que determinan cómo las organizaciones detectan, previenen y responden a los incidentes cibernéticos. En muchas organizaciones, existe una división entre las actividades de gobernanza y gestión. Los miembros de la junta deben participar en la evaluación de los requisitos de informes relacionados con la seguridad y la competencia typical del programa, las políticas y los procedimientos de ciberseguridad. Si usted es una empresa pública estadounidense, existen requisitos adicionales de la junta de la Comisión de Bolsa y Valores con los que debe estar familiarizado, como exigir la divulgación por escrito de cómo la junta administra su función de supervisión de riesgos.

También se deben considerar las regulaciones gubernamentales y el cumplimiento. Sin embargo, el easy hecho de cumplir no significa que esté seguro. El Congreso ha propuesto con frecuencia legislación cibernética a lo largo de los años. Casi todos los estados de EE. UU. Tienen sus propias leyes sobre lo que constituye una violación de seguridad y cuándo revelar la violación. Es importante comprender las leyes locales, estatales y federales (incluidas las leyes internacionales) relacionadas con la ciberseguridad del lugar donde hace negocios.

Todos son responsables y rinden cuentas

Todos los miembros de la junta son responsables y podrían ser considerados responsables por una infracción, tanto authorized como financieramente. No es solo responsabilidad del CISO, CSO o CIO preocuparse y hacer lo correcto. Todos tenemos un papel que desempeñar para garantizar que la empresa esté protegida y preparada para el éxito.

Cuando una persona no hace su parte, las cosas pueden desmoronarse para una empresa. Por ejemplo, en agosto de 2020, un ex ejecutivo de una empresa de Uber fue procesado penalmente por no revelar una violación de datos en 2016. El exjefe de seguridad de Uber fue acusado de obstrucción de la justicia y ocultación de un delito grave por presuntamente no informar su violación de 2016 a la Comisión Federal de Comercio. Este es el primer ejemplo directo en los EE. UU. De un ejecutivo que enfrenta cargos penales y encarcelamiento por cómo respondió a una violación de datos.

Evaluación de la postura de ciberseguridad de su empresa

Mientras discute la ciberseguridad en la junta, ¿cómo evalúa la postura de su empresa? Aquí hay algunos consejos que puede comenzar a hacer hoy. Esta lista no está completa de ninguna manera, pero aquí hay cosas que puede comenzar a hacer hoy.

  1. Acercarse – ¿Cómo aborda su empresa la ciberseguridad? Dependiendo del enfoque que adopte su empresa, determinará cuánto está en riesgo su empresa y qué debe hacer de manera diferente.
    • Pasivo: todas las amenazas simplemente desaparecerán y no serán un gran problema.
    • Reactivo: la responsabilidad de la ciberseguridad se delega en el departamento de TI y reaccionan cuando las cosas suceden internamente o se ven en las noticias. Siempre están jugando a «ponerse al día»
    • Proactivo: trate de evitar problemas y preste atención de forma standard. Puede consultar con empresas de terceros para garantizar que la postura de seguridad sea alta
    • Progresivo: existe una amplia participación del liderazgo en la revisión de la postura de seguridad de la empresa. Realizan revisiones proactivas frecuentes sabiendo que un ataque puede ocurrir en cualquier momento y también pueden consultar con empresas externas para abordar de manera proactiva las debilidades.
  2. Gestión de riesgos y cumplimiento – ¿Cuánto tiempo y atención dedica la alta dirección a evaluar las prácticas de gestión de riesgos de ciberseguridad? ¿Están al día con las últimas regulaciones en su ciudad, estado y país?
    • Toda empresa debe tener un system de gestión de riesgos eficaz para el que esté ejecutando. Deben recopilar y analizar datos de múltiples entradas, sistemas y equipos para asegurarse de que no corren el riesgo de sufrir un ataque importante. Parte de la gestión de los riesgos es asegurarse de que cumplan con las reglas y regulaciones del gobierno. La empresa debe comprender y conocer las leyes que les afectan.
  3. Revisión de procedimientos – ¿Con qué frecuencia está revisando sus políticas y procedimientos de ciberseguridad?
    • Idealmente, querrá revisar estas políticas y procedimientos al menos 2 veces al año y cuando tenga un cambio importante dentro de la empresa (es decir, ¿ha habido particular clave nuevo o salida, fusión / adquisición, reorganización, nuevas regulaciones requeridas, and so on. )
  4. Higiene de seguridad – ¿La empresa practica una buena higiene de seguridad?
    • Su empresa debe mantenerse al día con los últimos parches / actualizaciones para todos los sistemas de components y program, así como utilizar y habilitar las funciones más recientes en su software de seguridad.
    • Su empresa debería poder encontrar la señal en el ruido con sus soluciones de seguridad actuales y no tener demasiados productos dispares que no utilicen por completo.
    • La empresa también debe realizar copias de seguridad frecuentes de los datos clave y apagar los servidores antiguos y las máquinas virtuales que ya no se utilizan.
    • Los proveedores y vendedores de la empresa deben seguir todas las reglas y regulaciones necesarias para garantizar que están protegiendo la información confidencial de la empresa de manera adecuada.
  5. Traiga un «experto» – ¿La empresa ha contratado a expertos externos de buena reputación para realizar un análisis de riesgo o ver si pueden «piratear» los sistemas de la empresa?
    • Hay empresas de terceros que realizarán pruebas de penetración para determinar qué tan fácil puede entrar un «hacker» en su empresa. Estas empresas pueden decirle lo que se puede ver públicamente, por ejemplo, si tiene direcciones IP emitidas por balizas y observar áreas detalladas de su empresa para identificar riesgos. Si se ha contratado a un tercero, ¿cuáles fueron los hallazgos y los cambios realizados rápidamente para abordar las vulnerabilidades?
  6. Procedimientos de respuesta – ¿Cuál es el protocolo de respuesta a violaciones de la empresa?
    • Las empresas deben tener un equipo de respuesta a incidentes y una lista detallada de las acciones que los miembros del equipo de respuesta a incidentes deben tomar si se descubre una vulnerabilidad o brecha.
  7. Educación – ¿Con qué frecuencia educa a los empleados sobre las mejores prácticas y realiza simulaciones sobre qué hacer si ocurriera un incidente cibernético?
    • Las empresas realizan simulacros de incendio para estar preparados con «memoria muscular» en caso de que se produzca un incendio. El mismo sentimiento se aplica a los incidentes relacionados con cibernéticos. Es muy importante que haya capacitación continua para todos los niveles de empleados sobre cómo mantener a la empresa a salvo de infracciones y ciberataques, así como qué hacer si algo sucediera. Nunca puedes estar demasiado preparado.

La ciberseguridad es un tema muy importante para la sala de juntas y no debe tomarse a la ligera sin embargo, no tiene por qué ser abrumador. Utilice estos consejos para seguir el camino correcto para su empresa, y si no tiene un experto en ciberseguridad en su junta, hay expertos que pueden brindarle orientación.





Enlace a la noticia initial