Dentro de este artículo:
Introducción
La pandemia de la COVID 19 llegó a todos los países del mundo, a raíz de eso, se generaron nuevas tendencias: el teletrabajo ha pasado a formar parte de la realidad de millones de empleados, se han incrementado las ventas en línea, se generaron nuevas reglas en materia de tecnología.
El número de amenazas cibernéticas cada vez afecta en mayor magnitud a las organizaciones debido al incremento y complejidad de los ciberataques. Pero un ataque no solo tiene consecuencias en las entidades, sino también incide en aquellas personas con mayor responsabilidad dentro de ellas.
Las organizaciones no pueden permitir detener su operación por los riesgos cibernéticos por lo que es indispensable incluir en las agendas del Consejo de Administración el análisis de riesgos de ciberseguridad ante la relevancia actual de las Tecnologías de Información y como Auditoría Interna y las Direcciones de Tecnologías de Información puede influir y ayudar a los miembros del Consejo de Administración a un mejor entendimiento de los riesgos y sus impactos.
El consejo y su importancia en la prevención de ciberataques
La SEC (Security and Exchange Comission) está evaluando la necesidad de que dentro del Consejo de entidades publicas haya al menos un experto en ciberseguridad.
El consejo de administración debe apoyarse en estas tres palancas para ser más efectivo en materia de seguridad:
- Liderazgo fuerte y unido: Creación de buenas estrategias para prevenir y mejorar
- Formación, toma de conciencia de los riesgos y peligros actuales: Compromiso de un entorno seguro
- Capacidad de protección: Seguridad implementada 24×7 y anticiparse a cualquier desafío
Auditoría interna y el consejo de administración
Auditoria interna en conjunto con el Director de Tecnologías de la Información y el Director de Seguridad Informática pueden ayudar al Consejo de Administración a un mejor entendimiento y como atender los riesgos de ciberseguridad a los cuales se enfrenta la organización.
Así mismo puede liderar o participar en un análisis de los riesgos de ciberseguridad que puede contribuir para un mayor entendimiento por parte del Consejo de Administración.
Auditoria interna también puede contribuir eligiendo un marco regulatorio o múltiples marcos como una base de riesgos y análisis de madurez visualizando a donde se quiere llegar y en que lugar se encuentra la organización.
Algunos de los marcos que se pueden utilizar son:
- ISO/IEC 27000.
- NIST
- COBIT.
Algunos de los temas a tratar con el Consejo de Administración son:
- Inventario y mapeo de los riesgos
- Activos críticos y procesos, y cual es su vulnerabilidad
- Que tan preparada está la organización para responder a un evento.
- ¿Qué esfuerzos se están haciendo para educar a la organización?
- ¿El presupuesto para prevenir y detectar es suficiente?
Mejores prácticas sugeridas al consejo de administración
- Establecer un grupo de trabajo dentro del comité de riesgos con personas que no sean sólo de informática.
- Identificar las ciber-vulnerabilidades claves asociadas con las operaciones principales de la empresa.
- Identificar aquellas líneas de seguridad que, primero los ejecutivos y luego el Consejo, deben vigilar; cuál es la información que se requiere para ello.
- Identificar exposiciones legales y de cumplimiento de los datos y sistemas de tecnología de la información.
- Establecer el tono dentro de la empresa sobre la necesidad de confidencialidad y seguridad como máximas prioridades; aprobar las correspondientes políticas al respecto.
- Asegurarse que la función de seguridad informática está separada –y con poderes- de la función de tecnología de la información.
- Revisar, discutir y aprobar presupuestos adecuados de ciber-seguridad.
- Revisar los resultados anuales del control del ciber- riesgo, la calidad del programa de riesgos, y mejorarlo continuamente.
- Tener un buen asesor que puede en su caso informar al presidente o al consejo de cambios en las amenazas; asesore en cuestiones de gobernanza, y sea útil en caso de un incidente de importancia.
Consideraciones fundamentales para el consejo de administración
Gobernanza
- La función del Consejo no es gestionar los riesgos de ciberseguridad, sino controlar los riesgos de ciberseguridad.
- Deben contar con un Comité de Control Informático liderado por un experto informático.
Prácticas
- Contar un enfoque de control y trabajar con expertos
- Entender los asuntos cibernéticos como una cuestión comercial a nivel de empresa
- Entender los requisitos jurídicos y normativos
- Definir el nivel de tolerancia ante los riesgos.
- Mantenerse actualizado
- Resiliencia cibernética
Políticas
- Conocimiento de las políticas aplicables a la Compañía en materia de controles internos, actividades externas y formación.
Procedimientos
- ¿Qué ocurre en caso de desastre?
- ¿Se tiene plan de incidente cibernético?
- ¿Cómo se informan la fallas?
- ¿Se tiene un plan de prevención?
Conclusiones
Las mejores prácticas y adoptar los estándares de cumplimiento más adecuados para la empresa, requieren hoy día que el Consejo de administración ejerza una buena gobernanza sobre los programas de ciber-seguridad y los riesgos asociados.
La organización de las operaciones, arquitectura de sistemas, políticas y procedimientos a seguir, cambios a realizar en la cultura de la empresa, y en fin la gestión del riesgo cibernético, tenemos que hacerlo adaptado a las necesidades de nuestra empresa, las medidas disponibles, y la forma de nuestro negocio. Esto no quita para que haya que dotarse con los recursos materiales y humanos necesarios.
El Consejo debe conocer cuáles son las mejores prácticas, y cómo pueden estandarizarse, para la gobernanza del riesgo cibernético, cuál es el papel que le corresponde al Consejo, y cuál a los directivos en la gestión de este riesgo.
Referencias 2021 report cyberwarefare in the C-SUIT, published by cybersecurity ventures. Revista IIA (agosto 2021). Codigo de Mejores Practicas Corporativas del Consejo Cordinador Empresarial (CCE). Principios de Gobierno Corporativo de la OCDE. Boletines Gobierno Corporativo Deloitte. Banco Mundial. https://www2.deloitte.com/es/es/pages/governance-risk-and-compliance/articles/revista-gobierno-corporativo-cuestion-confianza-ciberseguridad.html https://www.responsabilidadconsejerosydirectivos.com/que-tiene-que-tener-en-cuenta-el-consejo-de-administracion-sobre-el-ciber-riesgo/ https://www.globalcorporationcenter.com/wpcontent/uploads/Informe_CIBERSEGURIDADfinal.pdf
Contenido relacionado