Una de las funciones principales de la Comisión de Auditoría es velar por el buen funcionamiento de los sistemas de información y control interno y es un apoyo fundamental al Consejo de Administración. Para ello cuentan con la colaboración de los responsables de Seguridad de la Información, que se encargan de evaluar técnicamente las propuestas o proponen soluciones de gestión.
De acuerdo con el último informe del Centro Criptológico Nacional, las ciberamenazas aumentaron en un 40%. Si tenemos en cuenta que el objetivo de estos ataques es acceder a información estratégica, ya sea mediante ataques de secuestro de información (ransomware), suplantación de identidad (phishing) u otro tipo de actividad fraudulenta, queda claro que la alta dirección se encuentra entre los objetivos primarios del ataque y, por lo tanto, los Jefes de Seguridad de la Información deben más que nunca abocarse a protegerles.
Seguridad Digital. Una prioridad para las empresas españolas
El panorama para muchos Consejos y Comisiones es irregular. Según una encuesta a los responsables de Riesgo y Tecnología, todavía se utilizan muchas herramientas que no son las adecuadas para gestionar información confidencial—en particular, las herramientas de uso común de toda la compañía. Esto hace que la Alta Dirección no esté preparada para contener un incidente de filtración o fuga de información, y en última instancia serán los Consejos los responsables por no adoptar las medidas requeridas, una obligación que tienen los administradores y consejeros de las Sociedades según la Ley de Secretos Empresariales.
Esta preocupación ha sido motivo de discusión entre los dirigentes empresarios y ha dado buenos frutos. La CEOE, en su informe estratégico de junio de 2020, ha dejado en claro que la seguridad digital es una de las prioridades de todas las empresas españolas, ya no solo de las cotizadas y ha propuesto un plan para ponerlo en marcha, plan en el que ninguna empresa debe quedarse atrás, de acuerdo con las recomendaciones del CCN-CERT.
EVOLUCIÓN DE LOS CIBERATAQUES Y COMO ABORDARLOS
La principal ciberamenaza a la que se enfrentan las empresas españolas es la fuga de información. Esto se debe a ataques de ransomware o phishing. En el primer caso, se secuestra la información que está en directorios compartidos de la compañía y se retiene a cambio de un cuantioso rescate. En caso de no pagar, la información será divulgada públicamente, además de ser difundida en la dark web.
¿Cuál es el riesgo? Que información estratégica y confidencial llegue a manos de competidores, medios y el público en general, en caso de no pagar. Una vez que esto sucede, el coste es muy alto. Ya sea por pagar el rescate, o por la cuantiosa pérdida que puede significar que esta información esté en poder público.
La segunda ciberamenaza, el phishing, puede afectar a todos por igual y se cuela a través del correo electrónico, simulando ser un mensaje legítimo de nuestro banco, Hacienda, Seguridad Social o la Policía Nacional, como hemos visto en los últimos meses. El riesgo en este caso es la infección de la red corporativa, lo que ocasiona una interrupción en las operaciones, o el acceso a la red por parte de ciberatacantes.
A esto se suma el riesgo de administradores, consejeros y directivos de incurrir en responsabilidad por el cargo o personalmente por dolo o negligencia en el deber de proteger secretos empresariales. Por esto es qué los consejos han comenzado a incluir la seguridad digital en su orden del día y se preguntan si su información estratégica está segura.
Una de las preguntas habituales es ¿dónde está alojada la información? La clave en esto es la siguiente: ¿estamos utilizando las mismas herramientas que el resto de la compañía para gestionar nuestra información confidencial? En muchos casos, la respuesta es sí, el gestor compartido de documentos y datos, que todos tenemos a mano por nuestra suite de ofimática.
¿Cuál es el riesgo en este enfoque? Es una solución rápida. Pero esta solución que puede funcionar para los archivos de acceso “público” para toda la compañía tiene justamente el efecto contrario al deseado para el Consejo y la Alta Dirección, que es tomar un riesgo innecesario.
Los responsables de Seguridad de la Información y Cumplimiento que conocen las buenas prácticas de la ISO 27001 lo saben muy bien: para proteger la información confidencial es necesario mantenerla separada del resto de la documentación.
EL ROL DE LA COMISIÓN DE AUDITORÍA Y EL BUEN FUNCIONAMIENTO
Cuando hablamos de buen funcionamiento hablamos de eficiencia, no únicamente de protección. En muchos casos, la balanza se inclina hacia un lado o hacia el otro. Pero la eficiencia bien ejercitada consiste en integrar la agilidad y el diseño orientado a las necesidades específicas con el nivel de protección adecuado.
Esto permite automatizar tareas que no aportan valor añadido, para poder enfocarse en las verdaderas prioridades con tranquilidad. El responsable de seguridad de la información puede utilizar criterios objetivos para evaluar las soluciones: ¿Están certificadas en ISO 27001? ¿Los servidores están certificados? ¿Es una herramienta diseñada con la política de Security by Design? ¿Se someten a auditorías externas?
Por eso, en la decisión de cual solución se debe utilizar para gestionar los Consejos y las Comisiones Directivas, deben integrarse las visiones de todos los participantes, y pocas soluciones cumplen estos requisitos.
MEJORAR LA CIBERRESILIENCIA CON DILITRUST EXEC
Uno de los riesgos ocultos y detectados en las Comisiones de Auditoría es el uso de gestores compartidos de información. Que a su vez no están orientados a las necesidades de los Consejos o Comisiones.
¿Que aporta una solución como DiliTrust Exec? En primer lugar, es una plataforma en versión web y APP que contempla las obligaciones de los Consejos de acuerdo con la normativa española. El cumplimiento de la LOPDGDD (Ley Orgánica de Protección de Datos y Derechos Digitales), la Ley de Secretos Empresariales, y las obligaciones de los administradores según la LSE.
En segundo lugar, su interfaz intuitiva les facilita las tareas de consejeros y directivos gracias a su panel de mando y acceso rápido a las reuniones, al centro de documentación, a las votaciones y encuestas, y fomenta la colaboración a través de notas y mensajería segura.
En tercer lugar, los Secretarios Corporativos cuentan con la tranquilidad de poder gestionar la documentación con 4 niveles de acceso totalmente parametrizables, marcas de agua para cuando es necesario invitar a consultores a reuniones, y control de tiempo de acceso.
Con un almacenamiento sin límites en capacidad, que evita problemas en el medio de reuniones clave. La facilidad de generar y gestionar todo el proceso de las actas, hasta su presentación de manera ágil. Todo centralizado en una herramienta que facilita también el seguimiento y cumplimiento de auditorías gracias a sus reportes: el uso de la herramienta y las acciones quedan registradas en el historial.
Y para los responsables de la Seguridad de la Información, una garantía objetiva: DiliTrust cuenta con triple certificación ISO 27001, es decir, las soluciones, los servidores, y la empresa están certificados y cumplen RGPD. Como especialistas en soluciones de gestión de Consejos de Administración, Gestión Jurídica, la seguridad es nuestra prioridad. (Link this sentence to the security policy data sheet in Spanish)
Si quiere conocer más sobre DiliTrust Exec y como hemos ayudado a empresas españolas emblemáticas a hacer más eficiente la gestión de sus Consejos de manera segura, póngase en contacto con nosotros para solicitar una demo.