El consejero y la seguridad cibernética

En los ultimos años, reguladores a nivel global, federal y estatal han aumentado su escrutinio sobre la seguridad cibernética de las empresas, incluyendo comunicación, administración, manejo de riesgos, ataques e infracciones. Para cumplir, el consejo de administración

necesita estar consciente de los riesgos de seguridad cibernética y no debe solamente basarse en los reportes de los altos ejecutivos de TI.

Dado que las amenazas han aumentado, la protección de los activos debe hacerse desde el más alto nivel. Esto requiere que el consejo de administración

se involucre mas proactivamente.

Sin embargo, no todos los consejos de administración son iguales. El ex-director del FBI, James Comey, una vez dijo que solo hay dos tipos de compañías: aquellas que son conscientes de ser hackeadas y aquellas que ni siquiera saben que fueron hackeadas. Ya no se trata de pelear por no ser hackeado. El riesgo es cuando, que, y cuanto. Hablando de forma realista, las empresas ya no pueden ignorar la seguridad cibernética. Incuso las grandes compañías como FedEx, Merck, Mondelez (dueños de Oreos), Sony, Amazon, entre otras, han experimentado ataques cibernéticos.

Por lo menos, hay siete pasos para aumentar la proactividad del consejo directivo en la supervisión de la seguridad cibernética.

Primero, el consejo debe conocer los riesgos de seguridad cibernética.

No es el tiempo ni el lugar para negar las repercusiones masivas de un ataque cibernético. Podría hacer mucho más que tumbar el sitio web de una compañía. Puede borrar todos los datos y robar información confidencial. Sobre todo, como consecuencia de una violación a la seguridad, los clientes pueden no confiar nuevamente, lo que puede causar otro golpe devastador para la compañía. El riesgo reputacional es grande.

Segundo, el consejo debe ser proactivo y reactivo.

Una vez que el consejo de administración ha reconocido la gravedad de un ataque cibernético, deben comenzar a crear los pasos a seguir con el apoyo del equipo de gerentes, el equipo de TI, y de consultores externos incluyendo firmas de relaciones publicas. Para ello, se debe registrar una lista de los miembros de los equipos involucrados, de tal manera que puedan involucrarse activamente cuando llegue el momento de actuar. Es recomendable considerar simulacros de ataque y respuesta.

Tercero, reconsiderar las políticas y procedimientos de seguridad cibernética existentes.

Entendiendo las prioridades, el siguiente paso es reconsiderar las políticas y procedimientos de seguridad cibernética existentes. ¿Qué hacer cuando existe una amenaza? ¿Qué hacer cuando el sistema está siendo atacado? ¿La compañía ha asignado suficientes recursos para proteger los activos valiosos? ¿A quién contactar cuando ocurre una amenaza o ataque? ¿Qué hay de otros delitos cibernéticos, como el robo de identidad y el acoso de ejecutivos de alto rango?

Cuarto, desarrollar un exhaustivo plan de respuesta a Incidentes.

Prepara y desarrolla cuidadosamente un exhaustivo plan de respuesta a Incidentes involucrando a todas las unidades de negocio y equipos relacionados. Ser atacado afectará a toda la empresa, no solo al departamento de TI. Es por ello que el plan de respuesta debe incluir a los empleados que puedan estar en el extremo final del ataque. Por ejemplo, incluso los monitores de CCTV pueden ser hackeados. Por lo tanto, los guardias de seguridad también deben involucrarse.

Quinto, contrata expertos de seguridad cibernética externos.

Contrata a los mejores expertos en seguridad cibernética, no solo confíes en tu equipo de TI, que podrían tener más experiencia en arreglar computadoras y garantizar que las aplicaciones de software funcionen sin problemas. La seguridad cibernética requiere un conjunto de habilidades diferentes y entre más clientes puedan ser verificados, mejor. Necesitan tener experiencia en el manejo de todo tipo de ataques en todo tipo de empresas.

Sexto, reconsiderar la cobertura del seguro de protección.

¿Qué cubre el seguro de tu empresa? ¿Cubre ataques cibernéticos? Comprueba que la suma asegurada sea suficiente para que tu empresa siga a flote durante el período de recuperación. Puede tomar un tiempo volver las cosas a la normalidad, tiempo durante el cual los servicios regulares podrían haberse interrumpido. Asegúrate que los clientes continúen siendo servidos mientras la empresa se recupera.

Séptimo, consultar con los asesores legales sobre las declaraciones que requiere dar la empresa en respuesta a un ataque.

¿Qué se requiere legalmente declarar al público durante un ataque cibernético? Consulta con los asesores legales para asegurar que tu compañía siga las leyes en esta materia y no entre en violación de ninguna disposición.

En conclusión, prepararse para un ataque cibernético no es una paranoia o un lujo. Es una necesidad en este ambiente empresarial en constante aumento de riesgo. Fracasar al hacerlo puede causar daños irreversibles en activos valiosos e información confidencial de los clientes, los cuales son clave para el buen funcionamiento de un negocio. Seamos proactivos.

____

Jose Ruiz es Director general y socio director de Alder Koten.