Ciberseguridad, un compromiso de importancia para las juntas directivas

Ciberseguridad, un compromiso de importancia para las juntas directivas
Las fallas de ciberseguridad han costado a los accionistas varios millones en pérdidas.| Cortesía

¿Las empresas saben cómo reaccionar ante una vulnerabilidad a los sistemas, una filtración de información o al acceso indebido a los sistemas por parte de terceros?   Los ciberataques han ido aumentando paulatinamente y éstos amenazan la seguridad de los datos en cualquier organización independientemente de su tamaño, estructura y antigüedad. Esto sumado al déficit existente en mano de obra calificada con conocimientos en infraestructuras o en seguridad informática, junto a la evolución acelerada de nuevas tecnologías, hacen necesario que las juntas directivas y la alta dirección de las empresas replanteen cómo deberán proteger sus datos, cómo administrar sus riesgos y cuál será la estrategia apropiada para gestionar sus procesos.

Las fallas de ciberseguridad han costado a los accionistas varios millones en pérdidas, en especial en compañías del sector financiero donde estos eventos generan incertidumbre y falta de confianza hacia los inversionistas.

La cadena hotelera Marriott admitió que información de aproximadamente 500 millones de cuentas de sus clientes habían estado comprometidas a causa del ciberataque a la base de datos de reservaciones de la cadena Starwood. En una investigación con una herramienta de seguridad informática se descubrió que hubo un acceso no autorizado a su red desde el año 2014. Marriott adquirió la cadena Starwood en el año 2016, la cual involucra a los hoteles W, St. Regis, Sheraton, Le Meridien y Westin, entre otros. Marriott descubre este incidente en el año 2018 cuando detecta que un “tercero no autorizado” había copiado y cifrado información de los clientes y había realizado operaciones para eliminarlos, tales como nombre, fecha de nacimiento, sexo, dirección, y datos personales, así como se vieron afectados 8.6 millones de números de tarjetas de pago de los clientes, parámetos de fechas de entrada y salida y conducta de los pasajeros. La Oficina del Comisionado de Información del Reino Unido (ICO, por sus siglas en inglés) le impuso una multa a la cadena Marriott por 110 millones de euros por incumplir el Reglamento General de Protección de Datos (Gdpr, en inglés) de la Comunidad Europea. La ICO señala que en su investigación comprobó que Marriott “no realizó la debida diligencia cuando compró Starwood en el 2016 y también debería haber hecho más para asegurar sus sistemas”, aunque reconoce que la cadena hotelera ha cooperado en el proceso de investigación de esta filtración.

Casos como estos y muchos otros más, deberían ser el enfoque principal en las agendas en las Juntas Directivas. La ciberseguridad debe ser un compromiso de importancia para las juntas directivas y la alta dirección porque deberían involucrarse más en estos temas. De acuerdo con la naturaleza de su negocio, entre mayor uso y dependencia se tiene de la tecnología, mayores son las probabilidades de que ocurra un incidente de ciberseguridad. Las juntas directivas no tienen porqué tomar decisiones técnicas, ya que esto les compete a los gerentes de tecnología, pero sí deben entender cuáles son sus activos más críticos para el negocio, deben nombrar un Comité de Tecnología y un Comité de riesgos que apoye a los directores en identificar las amenazas, el impacto en el negocio y puedan brindar a las juntas directivas recomendaciones. La incorporación de directores independientes que formen parte de los distintos comités de trabajo en una organización para analizar los aspectos de ciberseguridad, aporta mucho en las decisiones de las juntas directivas.    

En una encuesta global que realizó la firma EY en el año 2018 sobre seguridad de la información, revela que el 87% de las organizaciones operan con un presupuesto limitado para garantizar el nivel de ciberseguridad y resiliencia y un 55% de las organizaciones no hacen de la protección cibernética de la organización un elemento integral de su estrategia de negocios y sus planes de acción. El estudio revela que las organizaciones tendrán como prioridad invertir sus proyectos de transformación digital orientados más en la nube (52%), en el análisis de la ciberseguridad (38%) y en el uso de dispositivos móviles (33%).    

Asimismo, las mayores debilidades en ciberseguridad se orientan en mayor escala hacia:

Empleados inconscientes.

Controles de seguridad obsoletos. 

Procedimientos ineficaces.

Acceso no autorizado.

Ausencia de campañas de sensibilización hacia los empleados en aspectos de seguridad de la información.

Ausencia de una estrategia de seguridad.

Confiar demasiado en proveedores externos con privilegios de acceso a la información de la empresa.

La International Chamber of Commerce (ICC) ha generado una Guía de Ciberseguridad para los negocios, documento que pretende concientizar sobre los riesgos cibernéticos en las empresas y la sociedad en temas de ciberseguridad.   

Este documento enumera cinco principios clave de seguridad:

Centrarse en la información, no en la tecnología.

Hacer de la resiliencia una mentalidad.

Estar preparados para responder.

Demostrar compromiso de liderazgo.

Actuar según su visión.

También en la guía se señalan seis medidas esenciales de seguridad:

Realizar copias de seguridad de la información del negocio y validación del proceso de restauración.

Actualización de los sistemas de tecnología de la información.

Invertir en formación académica para sus empleados y directivos.

Controlar y evaluar el entorno de información.

Aplicar seguridad mediante capas para reducir el riesgo.

Prepararse para cuando ocurra un incidente.

Esta guía también puede ser aplicable a pequeñas y medianas empresas (Pymes), micro, pequeñas y medianas empresas (Micropymes) y emprendedores. No se requiere grandes recursos, ni departamentos para administrar la seguridad informática, pero si el apoyo de la alta dirección y la junta directiva, que no debe mirarlo como un gasto, sino como una “inversión” necesaria para evitar consecuencias que pueden generar pérdidas económicas.

Cuando la junta directiva adquiere el compromiso de trabajar en pro de la ciberseguridad significa que aplica las buenas prácticas de gobierno corporativo. La empresa se preocupa por ordenar la casa, por formar a su personal y se prepara ante cualquier brecha de seguridad.

La pluma invitada de ElCapitalFinanciero.com es:

Lilia Lau
lilia.liu@llaso.com
Miembro del Instituto de Gobierno Corporativo-Panamá

Más informaciones

Comente la noticia