:quality(75)/arc-anglerfish-arc2-prod-elcomercio.s3.amazonaws.com/public/7ARSXSFFGBCDPPBWN5ONH5LDOQ.jpg)
:quality(75)/s3.amazonaws.com/arc-authors/elcomercio/5f71beb8-bb6d-4743-9ed2-fc9ea6159daa.jpg "Redacción EC")
:quality(75)/cloudfront-us-east-1.images.arcpublishing.com/elcomercio/RS5MTNAQW5AJDCWI7MQ54NOZPY.jpg)
Los ciberataques pasaron rápidamente de ser algo poco conocido a acaparar titulares. Las amenazas son cada vez más comunes, peligrosas y sofisticadas; y compañías de diversos rubros y con años de trayectoria han sido víctimas de este tipo de delito. Sin embargo, esto no significa que no se pueda hacer nada para prevenir o mitigar su impacto en las organizaciones.
Lidiar con las ciberamenazas es una lucha constante para las compañías, y su supervisión y monitoreo conlleva el mismo nivel de dificultad para los directorios. ¿Cómo empezar? Primero, debe quedar claro que este rol no es competencia solo del área de TI de la empresa. A pesar de llevar la principal carga, también se necesita que directores, gerentes y demás líderes del negocio y áreas de soporte trabajen de forma coordinada.
►El rol de las noticias en la percepción del crimen, por Pablo Lavado
►Aniegos e inversión, por Alberto Pascó-Font
El principal desafío que suele enfrentar el gobierno cibernético es que no siempre existe un inventario adecuado de los activos digitales de la empresa, es decir, no se tiene una idea exacta de cuáles son y dónde están almacenados, y menos qué medidas de seguridad los protegen.
De acuerdo con un reporte del Governance Insights Center de PwC, solo el 37% siente que su compañía ha identificado los activos digitales más valiosos y sensibles, lo cual es el punto de partida para una adecuada estrategia de ciberseguridad. Cifra alarmante si consideramos que más del 50% de empresas no necesariamente conoce con cuáles terceros se está conectando digitalmente, lo que aumenta la vulnerabilidad y dificultad para identificar posibles atacantes.
Entonces, ¿cuál es el rol que deben asumir los miembros del directorio? La ciberseguridad se debe supervisar como cualquier otro riesgo significativo. Además de discutir los principales riesgos con la plana gerencial y administrativa, se necesita establecer controles y medidas pertinentes; lo cual será mucho más sencillo una vez se asuma que este problema no es solo del área de TI sino de toda la empresa.
Un siguiente paso sería determinar si se delegará a un comité que supervise las acciones dirigidas a prevenir este tipo de riesgo; así como también considerar los requisitos legales y regulatorios que se debe seguir para proteger a la compañía. Una vez que estos puntos se tienen claros, se puede empezar a desarrollar la estrategia y el plan cibernético, a través de un análisis del nivel de riesgo que la organización está dispuesta a aceptar.
Finalmente, los directores deberán adquirir la información pertinente para monitorear el programa cibernético y de privacidad, así como evaluar sus planes de respuesta a incidentes y gestión de crisis.
Tomemos en cuenta que, si bien un programa de gestión de riesgos cibernéticos permite que las empresas identifiquen las amenazas cibernéticas y desplieguen estrategias para prevenir el cibercrimen, lo más importante es que la organización sea consciente de cuáles son sus activos digitales más importantes y cómo estos pueden impactar su negocio y como protegerlos o recuperarlos ante la eventualidad de un ciberataque. No olvidemos que todas las organizaciones estás expuestas y lo mejor es estar preparados.
:quality(75)/cloudfront-us-east-1.images.arcpublishing.com/elcomercio/3NK2WXV2QNGQ5JQYCIKHP7ILIE.png)
:quality(75)/cloudfront-us-east-1.images.arcpublishing.com/elcomercio/Z6XV3HFDMNFPPJUN4GVXGZNZDM.png)