Los riesgos relativos a la ciberseguridad pueden imponerse a toda la compañía, pero en última instancia es el consejo de administración el que tiene una mayor responsabilidad. Los consejos de administración son el foco de atención por sus aportaciones en cuanto a cómo se prioriza esta importante cuestión comercial, en particular si se tiene en cuenta el coste de los ciberataques. A fin de cuentas, de acuerdo con un informe elaborado en 2018 por el Centro de Estudios Estratégicos e Internacionales (CSIS), cada año se dedica en torno a un 1 % del PIB mundial o 600 000 millones de dólares a combatir delitos cibernéticos. En vista de esta situación, ¿cómo pueden reforzar los consejos sus medidas de ciberseguridad?
CONSIDERACIONES DE CIBERSEGURIDAD FUNDAMENTALES PARA EL CONSEJO DE ADMINISTRACIÓN
Para poder reforzar las medidas en materia de ciberseguridad del consejo deben tenerse en cuenta ciertas cuestiones. Resulta fundamental reiterar al consejo por qué es tan importante analizar criterios de ciberseguridad esenciales y por qué la carencia de competencias en ciberseguridad en el consejo puede suponer un problema grave.
A continuación detallamos cinco elementos clave que deben tenerse en cuenta para configurar las medidas de ciberseguridad:
GOBERNANZA
Una de las conclusiones más destacables del Cybersecurity Board Summit organizado por Ernst & Young el año pasado fue que la función del consejo no es gestionar los riesgos de ciberseguridad, sino «controlar los riesgos de ciberseguridad».
Los consejos deben definir a conciencia su enfoque respecto al control de los riesgos de ciberseguridad. También deben enlazar a la dirección, los responsables de unidades de negocio y responsables de seguridad e informática para controlar mejor este riesgo.
Muchos consejeros siguen percibiendo la seguridad como un área problemática, puesto que se ha demostrado que no disponen de habilidades informáticas. Para poder controlarlas mejor, los consejos también deben subsanar sus deficiencias en materia de ciberseguridad. En el Harvard Business Review se aconseja que, para que las empresas puedan disponer de niveles óptimos de seguridad, «deben contar con un comité de control informático liderado por un experto informático».
PRÁCTICAS
El dinamismo del entorno cibernético sigue manteniendo alerta a los consejeros. Puede que las prácticas que funcionaron hace seis meses no sean adecuadas para resolver incidentes cibernéticos a día de hoy.
PWC ha señalado siete áreas clave para centrar la atención cibernética del consejo:
- Contar con un enfoque de control para esta cuestión y trabajar con expertos en ciberseguridad
- Entender los asuntos cibernéticos como una «cuestión comercial a nivel de empresa»
- Entender completamente los requisitos jurídicos y normativos
- Analizar las competencias del plan de estrategia cibernética de la compañía
- Debatir con la dirección el «nivel de tolerancia ante riesgos cibernéticos»
- Mantenerse actualizado con la información necesaria en relación con los programas implantados y debatir periódicamente en reuniones del consejo
- Controlar la resiliencia cibernética en la junta en intervalos calculados
POLÍTICAS
El consejo debe estar informado de las políticas aplicables a la compañía en materia de controles internos, actividades externas y, especialmente, formación. En concreto, dentro de la junta las políticas relativas a la comunicación de información altamente confidencial entre miembros deberían estar claras. La introducción de herramientas como los portales de consejo seguros puede ayudar a los consejeros a hacerlo de forma eficiente y segura a través de una plataforma digital.
PROCEDIMIENTOS
¿Qué ocurre en caso de desastre? ¿Cómo pueden prepararse los consejos y la organización para responder de manera ágil a un ciberataque?
La segunda parte de esta serie de blogs se centrará en los procesos de gestión de crisis que controlan los consejos ante los fallos cibernéticos antes, durante y después del suceso. No obstante, a continuación resumimos algunas preguntas clave que deben abordar los consejos según los expertos en ciberseguridad:
- Si la compañía no cuenta con un plan de incidentes cibernéticos, ¿cuál es el motivo? ¿Cuál es el plazo de la compañía para desarrollar y probar uno?
- ¿Cuándo se informa al consejo de los fallos cibernéticos?
- ¿Debería estudiar o participar el consejo en ejercicios teóricos de simulación para entender mejor el plan de respuesta de la compañía?
- ¿El plan tiene en cuenta la preparación previa al incidente, las acciones realizadas durante el mismo y las labores de recuperación posteriores?
La segunda parte de esta serie analizará con más detalle la importancia de los procesos de gestión de incidentes cibernéticos.
FALTA DE COMPETENCIAS
Mantenerse ágil frente a los ciberataques significa que contratar y fomentar el talento es esencial, no solo en el consejo, sino en toda la empresa. Una encuesta realizada en 2019 por el CSIS señala que «el 82 % de los empleadores denuncian una falta de competencias en ciberseguridad, mientras que un 71 % considera que estas deficiencias causan un daño directo y cuantificable a sus empresas». Se prevé que en el año 2022 habrá una falta global de competencias en 1,8 millones de puestos.
En este contexto, ¿qué función desempeña el consejo de administración? Si bien es obvio que la responsabilidad de control del consejo tiene en consideración la gobernanza de riesgos, pueden subestimarse la responsabilidad ética y corporativa, la retención del talento y especialmente la retención de personal cualificado en materia de ciberseguridad.
Según Deloitte, para poder controlar los potenciales riesgos relacionados con las competencias, los consejos deben adoptar las siguientes medidas:
- Analizar los riesgos relativos a las competencias
- Desarrollar resultados cuantificables
- Asignar responsabilidades
- Controlar la selección de personal cualificado
- Integrar la estrategia comercial y de talento
PARTE II
En el siguiente blog de esta serie ahondaremos en los procesos de resiliencia cibernética, estrategia e investigación. Conozca algunos de los mayores retos en materia de ciberseguridad a los que deben enfrentarse los consejos en el cambiante entorno cibernético.
SEGURIDAD SIN EXCUSAS
Una de las medidas esenciales que deben adoptar los consejos para garantizar una mayor protección de la seguridad supone proteger la información altamente confidencial que tienen en sus manos. Al implantar portales de gestión, como DiliTrust Exec, los consejeros pueden confiar en que sus datos (almacenados a nivel local en servidores ubicados en Europa, Oriente Próximo y Canadá) cumplen con el RGPD y con la ISO 27001. Si desea información adicional acerca de la seguridad del portal de gestión DiliTrust Exec, no dude en ponerse en contacto con nosotros hoy mismo.
Puede leer la segunda parte de esta serie aquí.