Nuestro uso cada vez más consolidado y extendido de la tecnología en casi todas las facetas de la vida requiere urgentemente soluciones de seguridad que protejan nuestras redes y datos. Si bien algunas empresas mantienen el ritmo, muchas otras están trabajando para actualizar sus infraestructuras y pueden pasar por alto puntos vulnerables en su seguridad cibernética. La última tanda de ataques de ransomware en grandes empresas con abundantes recursos financieros y agencias públicas sugiere que nadie es inmune.
Y no es el momento de cometer un error. Solo en 2020, las violaciones de datos debidas a ataques de ransomware tuvieron un precio promedio de 4,4 millones de dólares estadounidenses. Esta cifra no incluye el impacto del ransomware, malware destructivo o inicios de sesión e identidades secuestrados. Las empresas que luchan por evitar ataques de piratas informáticos y tácticos están realizando una creciente inversión en soluciones y consultoría de ciberseguridad. Se espera que el mercado alcance los 418 mil millones de dólares estadounidenses para 2028. El aumento del gasto en ciberseguridad es una reacción al aumento de los ciberataques. En el último año, el 43 % de las empresas fueron objeto de algún ataque. Y los datos no son lo único que se pone en riesgo.
En su opinión, ¿cómo ha evolucionado la amenaza cibernética contra su organización?
Encuesta cibernética de Deloitte 2020: Cuadro de liderazgo en ciberseguridad
¿Qué es lo que realmente está en riesgo con la ciberseguridad?
La amenaza de la corrupción de datos y las infracciones de la privacidad crece cada día. El aumento de la dependencia del trabajo remoto e híbrido no ha hecho más que acelerar los daños de los fallos de seguridad explotados anteriormente en los sistemas en la nube y las redes abiertas. Las empresas que implementan redes 5G o que aprovechan el enfoque del Internet de las cosas (IoT) pueden perder mucho si sucumben a un ciberataque.
Pero las empresas en absoluto deben detener su progreso por temores de seguridad. Y no lo están haciendo: casi el 80 % de las empresas están desplegando nuevas innovaciones tecnológicas sin los medios necesarios para asegurarlas, y una brecha en el sistema conlleva una ruptura de la confianza con los clientes y las partes interesadas. El resultado es casi siempre el mismo: las operaciones de la empresa se ven interrumpidas, los datos se pierden o son robados y los resultados se resienten.
¿Quién es el verdadero responsable de las infracciones de ciberseguridad?
Atrás quedaron los días de pasar los problemas técnicos a los equipos de TI. La tecnología es el eje de la mayoría de las empresas modernas y esa dependencia no hace más que acentuarse con el paso del tiempo.
Aunque es cierto que necesitamos equipos de TI con conocimientos para implantar, supervisar y mantener estos sistemas, la responsabilidad de su adquisición y eficacia recae en gran medida en la directiva. Esto no excluye a las empresas que cotizan en bolsa y que cuentan con la supervisión de una junta directiva.
De hecho, como en el caso de Target y Equifax, la directiva ha tenido que asumir la responsabilidad de las infracciones de datos y sus repercusiones. El acuerdo legal de Target exigía la implantación de un programa de seguridad, una evaluación de seguridad independiente Y la responsabilidad de los directivos en el futuro.
Si bien la regla de discrecionalidad empresarial brinda protección integral, los tribunales han considerado que se trata de una responsabilidad personal por la toma de medidas de seguridad inadecuadas y el incumplimiento de los miembros de la junta directiva o los directores de tomar medidas razonables y de asumir responsabilidad de la prevención de lo que, a menudo, se consideran situaciones prevenibles.
Y las sanciones pueden ser muy graves y altamente perjudiciales. Además de la pérdida de datos y de un peaje económico perjudicial para la empresa, los litigios y la gestión del cambio pueden ser costosos y requerir mucho tiempo. Los reguladores de la ciberseguridad, como la Oficina del Contralor de la Moneda, también están imponiendo multas a gran escala financiera por las infracciones.
Cómo abordar la gobernanza de la ciberseguridad
La responsabilidad de la gestión de riesgos abarca desde los directores hasta los equipos de ejecución, por lo que es fundamental mantenerse informado y ser proactivo. Pero ¿cómo puede un consejo de administración, que muy probablemente no está compuesto por expertos en ciberseguridad, abordar la mitigación de los riesgos de la ciberdelincuencia desde una perspectiva de liderazgo? En una encuesta realizada a empresas, solamente algo más de un tercio de los encuestados declaró haber revisado los problemas de seguridad al menos una vez al mes.
¿Con qué frecuencia se encuentra la ciberseguridad en la agenda de los directivos?
Encuesta cibernética de Deloitte 2020: Cuadro de liderazgo en ciberseguridad
La demostración proactiva de la diligencia debida es un gran punto de partida. Sacar partido de los expertos y (de forma algo irónica) de las soluciones tecnológicas para cubrir las lagunas de conocimiento es otro. PwC recomienda que las juntas directivas exploren los beneficios del marco de seguridad del NIST para fomentar la comunicación y los procesos efectivos entre todas las partes interesadas.
A continuación veremos algunas maneras en las que los directivos pueden buscar y lograr una mejor gobernanza de la ciberseguridad para sus organizaciones. La clave está en abordar esta necesidad básicamente como otras áreas de contenido en las que los directivos quizá no sean específicamente líderes de pensamiento. La educación, la información y la divulgación pueden contrarrestar esfuerzos previos inadecuados, no intervencionistas e incluso mediocres.
Obtenga una visión más amplia
No puede actuar sin conocer la situación. Una junta directiva debería empezar por revisar los informes de los encargados de TI y las partes interesadas de la organización. Convoque a los expertos y pida una evaluación completa de las carencias conocidas, así como de los cambios que se están produciendo en su pila tecnológica.
Es posible que tenga que diseñar o implementar informes adicionales para asegurarse de basar su conocimiento en datos y hechos. A partir de ahí, puede utilizar la información para obtener un mejor conocimiento de los desafíos, los logros y las acciones recomendadas para mejorar las políticas de ciberseguridad en el futuro.
Asigne la responsabilidad de la supervisión de la seguridad
Se debe asignar a alguien de la junta directiva (ya sea un solo miembro o un comité) la responsabilidad de conocer los pormenores de las necesidades y el estado de seguridad de la empresa. Estas personas pueden proporcionar actualizaciones continuas y presentar cuestiones más importantes para que la junta directiva evalúe y vote.
Los miembros del comité no tienen que ser expertos, pero pueden convertirse en especialistas. Pueden confiar en especialistas internos, consultores externos, proveedores y soluciones tecnológicas para planificar con anticipación y comprender mejor el panorama.
Aproveche las medidas objetivas
La evaluación de riesgos es un proceso continuo durante el que surgen nuevas vulnerabilidades a diario. Traer a terceros para identificar las lagunas en el cumplimiento de la seguridad a través de métodos como las pruebas de penetración puede ser bastante esclarecedor. Los consultores de seguridad y las aplicaciones de software de apoyo pueden dar una magnífica visión de los riesgos potenciales para su red.
Considere una mentalidad de confianza cero
Como su nombre indica, el modelo de confianza cero asume que cualquier cosa que intente entrar, salir o trasladarse dentro de una red no es de confianza y debe ser verificada o autorizada por un sistema de gestión. Este modelo puede dar a las empresas una ventaja significativa dado el mosaico de soluciones locales y en la nube, aplicaciones propias y de terceros, y redes cerradas y acceso compartido.
Si a todo esto le añade el trabajo remoto e innumerables dispositivos, la idea de no confiar en nada puede parecer de repente la ruta más segura. Las empresas pueden conectar los vacíos existentes en su infraestructura y reducir el riesgo a largo plazo con este enfoque, y las juntas directivas podrían aprender mucho investigando esta opción.
Cree una cultura de transparencia
Aunque ciertamente no desea compartir detalles sobre cualquier brecha destacable en sus protocolos de ciberseguridad, la transparencia puede dar beneficios. En caso de infracción, revele todo lo que deba declararse a las partes interesadas y a los clientes. Esto infunde fe y confianza en que la junta directiva está haciendo todo lo que está en su mano para abordar los problemas, proteger los datos y asumir la responsabilidad de cualquier fallo.
La ruta a seguir está cambiando constantemente
Por encima de todo, una junta directiva debe comprender que la ciberseguridad es una disciplina dinámica que requiere supervisión e innovación incesantes. Sentar las bases para reducir el riesgo es esencial, pero también lo es ser conscientes de que el riesgo siempre estará presente.
Las empresas también deben evaluar sus pólizas de seguro existentes: si cubren adecuadamente el valor de los activos en caso de una filtración y si el seguro cibernético dedicado puede ayudar a mitigar aún más el riesgo. Pero sea cual sea la magnitud de su póliza de seguro, la directiva debe seguir involucrada y ser conocedora de la ciberseguridad de la empresa y preparar políticas y procedimientos en caso de que se produzca una brecha de seguridad con la vista puesta en la responsabilidad.
Descargo de responsabilidad: Zscaler ha creado este artículo exclusivamente con fines informativos y no puede considerarse como asesoramiento legal. Le recomendamos que consulte con su propio asesor legal cómo el contenido de este documento puede aplicarse específicamente a su organización, incluidas sus obligaciones únicas en virtud de las leyes y regulaciones aplicables. ZSCALER NO OFRECE GARANTÍAS, EXPRESAS, IMPLÍCITAS O ESTATUTORIAS, ACERCA DE LA INFORMACIÓN DE ESTE DOCUMENTO Y SE PROPORCIONA "TAL CUAL". La información y las opiniones expresadas en este documento, incluida la URL y otras referencias a sitios web de Internet, pueden cambiar sin previo aviso.
Autor: Les Ottolenghi, ex vicepresidente ejecutivo y director de informática
