El Consejo, un órgano clave en la prevención de ciberataques

El creciente número de ciberataques a empresas ha conseguido que esta temática haya escalados posiciones rápidamente en la agenda de los Consejos de Administración.

Un ataque de estas características puede ocasionar un daño irreparable en el negocio, dañando la reputación y y la imagen tanto de la empresa como de las personas que conforman el órgano de Gobierno. Además, la regulación actual se ha focalizado principalmente en aumentar la responsabilidad en el cumplimiento de normas y mostrar transparencia en todo momento.

¿En qué consiste el Modelo de Gobierno de la Ciberseguridad?

El Modelo de Gobierno de la Ciberseguridad tiene como principal objetivo facilitar la gestión de seguridad, así como aprovechar al máximo sus recursos y mejorar la toma de decisiones por parte de todos los estamentos en la organización. Es importante recalcar que una protección eficiente solo se puede llevar a cabo si se implantan estrategias adecuadas y se cuidan las necesidades acordes con cada negocio.

Este Gobierno tiene cuatro principales propósitos:

1.Alineamiento de propósitos

Los objetivos de la organización en línea con la estrategia de seguridad, proporciona un entorno seguro en el crecimiento del negocio.

La definición de una estrategia de seguridad alienada con las metas de la organización establecerá las líneas para mantener el desarrollo del negocio en un entorno seguro.

2. Gestión de la operativa seguridad

Definir con claridad las responsabilidades y obligaciones de los distintos interesados es el pilar para integrar la ciberseguridad en la estructura de la organización. Y será el Consejo el encargado de promover y aprobar las diversas responsabilidades de cada línea de defensa.

3.     Control de la seguridad

Para que la integración de la ciberseguridad en una entidad se realice de forma exitosa, el responsable correspondiente debe tener a su disposición los mecanismos y facilidades para poder establecer una adecuada gestión de la demanda, de los proyectos asociados a ciberseguridad y de las relaciones con terceras partes involucradas en los procesos de negocio. Esto permite al Consejo asegurarse de que el nivel de seguridad –a lo largo del ciclo de negocio de la entidad– es adecuado.

4. Gestión y reporte de la seguridad

Este último propósito es clave ya que es imprescindible que el Consejo pueda tomar decisiones basadas en información precisa para que el resto de puntos citados se puedan llevar a cabo con éxito. Por ello, es necesario el uso de un mecanismo de reporting eficaz para poder cumplir con la estrategia de seguridad establecida en la organización.

El Consejo, pilar fundamental para establecer un Gobierno de Seguridad

El número de ciberamenzas cada vez afecta en mayor magnitud a las organizaciones debido al incremento y complejidad de los ciberataques. Pero un ataque no solo tiene consecuencias en las entidades, sino que también incide en aquellas personas con mayor responsabilidad dentro de ellas.

La regulación actual, promovida por la Unión Europea, apuesta por incrementar la responsabilidad de las entidades para garantizar y demostrar el cumplimiento de las normas, así como la transparencia, tanto en la publicación de ciberincidentes como en las brechas de seguridad. Por su parte, la SEC (Security and Exchange) está incluso evaluando la necesidad de que dentro del Consejo de entidades cotizadas haya al menos un miembro experto en ciberseguridad.

Palancas para establecer un Gobierno de la Seguridad

El Consejo de Administración debe apoyarse en estas tres palancas para ser más efectivo en materia de seguridad.

• Liderazgo fuerte y unido 
  Es necesario tener un diálogo de forma continuada con el área de gestión para ser capaz de entender la situación actual y poder adaptar la estrategia de ciberseguridad adecuada a cada momento. En las organizaciones es fundamental contar con un buen liderazgo para seguir creciendo y mejorar los fallos del pasado.
• Formación, toma de conciencia de los riesgos y peligros actuales
  Esto incluye, por supuesto, acciones sobre empleados, proveedores y clientes, pero, lo principal, es que la propia Dirección esté concienciada, con un alto compromiso respecto a mantener a la organización en un entorno seguro.
• Capacidad de protección 
  Las amenazas constantes tienen que ser combatidas a través del uso de recursos técnicos y humanos capaces de proteger la organización (ya sean internos o externos). Esta seguridad debe estar implementada durante toda la semana, las 24 horas al día, sin distorsionar el funcionamiento del negocio y anticipando cualquier desafío en materia de seguridad.