Las cifras son claras: el cibercrimen está teniendo un costo importante para la economía mundial y su impacto sigue creciendo. Frente a la enorme envergadura de este problema para las empresas, los directorios se encuentran bajo una creciente presión, tanto de los reguladores como de sus clientes e inversionistas.
Aquí es donde surge la necesidad de idear y aplicar estrategias para que la compañía se desempeñe en un marco de ciberseguridad. Con la idea de entregar algunas orientaciones, Mazars junto a Board Agenda, definió diez ámbitos de acción que los directorios debiesen emprender para lograr el ansiado estado de ciberseguridad.
1. Ciberseguridad de calidad:
Para lograrla, hay que comenzar en el directorio, asegurándose de que los miembros entiendan los riesgos involucrados, las medidas de protección cibernética existentes y el nivel de vulnerabilidad de la empresa, antes de decidir sobre un curso de acción. Brindar capacitación al directorio y al comité de auditoría para supervisar los problemas, es un buen lugar para comenzar.
2. Asesoría de primer nivel:
Se debiese invertir en asesoría y apoyo de expertos para explicar las amenazas potenciales, cada vez más sofisticadas, e identificar los puntos débiles. Una vez hecho esto, debería ser posible construir un marco de seguridad robusto contra ataques internos y externos.
3. Política de seguridad clara:
Asegurarse de que la empresa tenga una polí- tica de seguridad clara para proteger los datos personales. En el caso de un ataque, el plan debe resistir un riguroso control regulatorio.
4. Habilidades especializadas:
Designar a un miembro del directorio, con experiencia en ciberseguridad o habilidades tecnológicas especializadas para explicar los riesgos cibernéticos al resto de la junta. Esto lo convierte en un directorio informado y bien preparado, incluido el presidente.
5. Ojo con las preocupaciones de los inversionistas:
Tratar con rapidez y eficiencia las inquietudes de los inversionistas sobre la ciberseguridad. El miembro del directorio responsable debe estar listo para proporcionar información sobre el número de veces que la empresa ha sido afectada por un ciberataque o que los sistemas han sido actualizados. Los inversionistas necesitan garantías y es poco probable que pongan dinero en una empresa donde existen dudas sobre la ciberseguridad.
6. Probar sistemáticamente el procedimiento en una crisis:
Por ejemplo, ejecutar una serie de ataques simulados para aumentar el nivel de resiliencia de la empresa. La medición del rendimiento dará una indicación de la robustez o vulnerabilidad y revelará lo que aún queda por hacer. Es una buena práctica modelar el costo de un ciberataque.
7. Comunicar eficientemente:
En el caso de un ataque, las empresas deben implementar una política de seguridad que les permita realizar una evaluación rápida y eficiente de los riesgos, y divulgar la violación a los inversionistas, al regulador y al público de manera oportuna.
8. Prepararse para lo peor:
Los directores deben prepararse para las consecuencias más amplias de un ciberataque, tales como los riesgos y daños de reputación y legales y, también, hasta qué punto se ve afectada la continuidad operativa.
9. No caer en la complacencia en materia de riesgos:
Se debe establecer una gestión de riesgos, pero es importante actualizarla periódicamente. No permitir que la complacencia se establezca una vez que se haya establecido un plan de ciberseguridad.
10. Estar alertas:
Un director 4.0 debe estar atento. Este es un riesgo que llegó para quedarse.
