Veritas Online

Tecnología

Ciberseguridad, reto para el consejo de administración

Ciberseguridad, reto para el consejo de administración
enero 01
2020

Las empresas se han vuelto dependientes de la tecnología,una herramienta que tiene ventajas y posibles amenazas.

Conceptos como disrupción tecnológica, innovación e internet de las cosas (IoT, por sus siglas en inglés), inteligencia artificial (IA) y aprendizaje automatizado (machine learning) ya son comunes en el vocabulario.También se ha vuelto frecuente mencionar y enfrentar nuevas amenazas cibernéticas, que se han convertido en un peligro para personas y empresas. Es común pensar que la industria más vulnerable es la financiera, pero el riesgo cibernético abarca fraude, robo de información o propiedad intelectual, entre otros, lo cual puede ser monetizado.

Las empresas, como consecuencia de la fuerte presión del mercado y la competencia, se han vuelto dependientes de la tecnología. Es indispensable para operar de manera cotidiana y un factor de desarrollo, sin embargo, su aprovechamiento no se traduce sólo en ventajas, sino en posibles amenazas. Los ciberataques y ciberdelitos están a la orden del día y lasempresas, a través de sus consejos de administración, muestran su nerviosismo en las medidas que deberán adoptar para minimizar riesgos y puntos vulnerables,pero es importante señalar que dichos órganos ya dejan de preocuparse y comienzan a ocuparse del tema. Así, el rol del consejo de administración no es sólo conocer del tema, sino entender los riesgos para definir cómo mitigarlos,qué hacer o cómo responder ante un incidente.

DESAFÍO DE LA DISRUPTIVA

En México, la Ley del Mercado de Valores (LMV), la Ley General d Sociedades Mercantiles (LGSM) y el Código de Principios y Mejores Prácticas de Gobierno Corporativo emitido por el Consejo Coordinador Empresarial (CCE), han sido guías sobre las actividades y funciones que deben cumplir los órganos de gobierno, como el consejo de administración y el comité de auditoría y prácticas societarias, pero no existe algún documento o ley que guíe el gobierno corporativo en relación con temas de tecnología de información o transformación digital. Esto se traduce en escasez de recursos de consulta para consejeros y altos directivos; además, ante los pasos agigantados de la evolución tecnológica se habla en los Consejos de Administración sobre la incertidumbre que tienen las empresas en esta nueva era disruptiva, se preguntan cómo aprovechar la tecnología y qué estrategias deberán adoptar para explotarla y, a la par, establecer medidas de defensa contra los incidentes cibernéticos.

Las empresas se traducen en universos de información y la toma de decisiones sobre cómo proteger este activo puede resultar en procesos infinitos, por lo que es prioritario clasificar la información con el objetivo de saber qué se quiere proteger; es decir, identificar las joyas de la corona(los activos de información que, de estar comprometidos, puedan poner en riesgo la sustentabilidad de la operación del negocio). La clasificación de la información por su importancia puede ser:

  • Pública.De uso público y no pone en riesgo la seguridad.
  • Confidencial de alto riesgo. La probabilidad de que su difusión ponga en riesgo el plan de negocio de la empresa es alta.
  • Confidencial.Puede comprometer la seguridad.

Una vez que se identifican los datos, la empresa podrá enfocarse en definir la estrategia para salvaguardarlos y protegerlos de amenazas; esto dará guía a los esfuerzos para la construcción y desarrollo de barreras de defensa y elementos de respuesta. Este plan deberá ser conocido por el consejo de administración, para entenderlo y opinar al respecto.

Un informe publicado por el Foro Económico Mundial (WEF, por sus siglas en inglés) señaló que la mayoría de los incidentes de seguridad no se deben a la habilidad de los hackers, sino a las oportunidades presentadas ante ellos. En la actualidad, el proceso conocido como “respuesta a incidentes”se refiere al protocolo que una empresa debe seguir ante una amenaza o ataque:a quién informar, qué procedimientos seguir y cómo ejecutarlos. Esto debe ser ejercitado bajo escenarios simulados, para estar mejor preparados cuando aparezca un evento o incidente.

CULTIVAR A LOS GUARDIANES DE LA SEGURIDAD

En muchas organizaciones se ha vuelto común y necesario designar champions de ciberseguridad,para liderar y coordinar los esfuerzos en esta materia. Los colaboradores son parte fundamental, puesto que siempre serán el eslabón más débil en la cadena.Motivarlos a ser guardianes de la información es un imperativo.

MEJORAR CAPACIDADES PARA LA DEFENSA

A través de una estrategia y un gobierno sustentado, se puede desarrollar un programa seguro, vigilante y resiliente, al habilitar el desempeño de la organización. Las siguientes acciones son los pasos iniciales para definir un programa integral de ciberseguridad:

  • Efectuar un diagnóstico para identificar áreas de oportunidad y establecer soluciones alineadas a las necesidades del negocio.
  • Conocerla tolerancia al riesgo cibernético.
  • Saber con certeza dónde se encuentra la información sensible y cómo salvaguardarla.
  • Tener claro cómo hacer frente a las constantes ciberamenazas que surgen cada día.

Daniel Aguiñaga
Socio líder de Gobierno Corporativo, Deloitte
daguinaga@deloittemx.com

Diana Deschamps
Consultor de Gobierno Corporativo, Deloitte
ddeschamps@deloittemx.com

Facebook Comments

Related Articles

Búsqueda

Sígueme en Twitter

A %d blogueros les gusta esto: