Uncategorized

Cinco pasos para superar las diferencias entre TI y la junta directiva acerca de la seguridad informática

Imagine si una banda de merodeadores se encontrara a las afueras de la sede de su corporación las 24 horas del día, lanzando piedras, disparando proyectiles y, en gran parte, tratando de causar el mayor daño posible a su negocio. ¿Ignoraría una junta directiva las consecuencias con inacción? Lo más probable es que los merodeadores tengan en la mira a su negocio en todo momento, pero que usted no los vea. Y si aún no lo han hecho, cualquier día entrarán violentamente en su empresa. Son los delincuentes informáticos. Y muchas de las juntas directivas de la actualidad parecen exhibir una indignante indiferencia ante la presencia de estos delincuentes.

Las encuestas demuestran que sólo aproximadamente la mitad de las empresas de los EE.UU. cuenta con políticas y procedimientos integrales para reforzar la seguridad informática. Fuera de los EE.UU., los porcentajes son incluso más bajos. Las empresas asignan esta responsabilidad al director de informática para que asegure la protección del castillo, lo cual es un error.

La seguridad informática no es solo un problema técnico que se debe resolver. Hay demasiado en riesgo. Su sitio web transmite importantes mensajes de marca y publicitarios a sus clientes, y probablemente les dé una oportunidad de adquirir su producto. Internamente, la tecnología es lo que mantiene la eficiencia de las operaciones y comunicaciones de su empresa. En el extremo de su empresa que está de cara a los clientes, los sistemas encargados de las transacciones mantienen los flujos de caja circulando, mientras las operaciones financieras tienen lugar entre bastidores. Si un atacante daña cualquiera de esas funciones o huye con la IP o, peor aún, con datos de clientes o dinero real, usted entenderá rápidamente las consecuencias no tecnológicas de tener sistemas de seguridad informática deficientes.

Los miembros de la junta directiva no tienen que convertirse en expertos en tecnología; eso se le puede dejar a TI. Sin embargo, sí deben administrar riesgos y asignar recursos. En lo que se refiere a las políticas, los procesos y protocolos de seguridad informática, estos se deben implementar a nivel de la junta directiva para aplicarlos sucesivamente en las instancias siguientes como una prioridad organizativa.

A continuación, encontrará cinco maneras en que los miembros de la junta directiva pueden iniciar este proceso:

1. Elevar la seguridad de TI hasta el nivel de la junta directiva. Comience internamente con una presentación por parte de TI o el director de informática que describa las defensas con las que se cuenta, las políticas y los procedimientos asociados, así como ejemplos de ataques reales que hayan ocurrido en sus sistemas. (Los ataques graves no deberían ser una novedad, pero es posible que le sorprendan el constante bombardeo y la creciente sofisticación). Contrate también asesores externos para la junta directiva, quienes podrán ofrecerle consejos durante una revisión de las políticas de seguridad informática.

2. Cambiar la mentalidad en relación con la seguridad. Lo cierto es que ya no se trata de si un ataque tendrá éxito, sino de cuándo. La respuesta es tan importante como la prevención. Con frecuencia se emplea la metáfora de que la seguridad informática es un foso alrededor de un castillo; si los bárbaros traspasan el foso, fin de la historia. Pero ya ese no es el caso. Un intruso digital no es el fin del mundo si se cuenta con controles que identifiquen la infracción cuando se produzca y sean capaces de contener las consecuencias. Si usted está en posición de informar que los datos de los clientes no se vieron afectados de manera alguna y que el daño se contuvo gracias a una preparación realizada con cautela, entonces su empresa se verá muy bien, debido a que hubo honestidad acerca de lo ocurrido y preparación para minimizar el daño.

3. Contar con los protocolos adecuados tras un ataque. Parte de la preparación que acabamos de mencionar consiste en la planificación anticipada de la percepción de una respuesta. ¿Quién hablará con los medios? ¿Con las partes interesadas? ¿Con los accionistas? ¿Qué se dirá? Estas son decisiones de la junta directiva que se deben tomar, comunicar y ensayar para que todos sepan qué hacer cuando ocurra un desastre.

4. La seguridad comienza por casa. Los ataques más exitosos son causados por la existencia de riesgos internos. El vicepresidente ejecutivo que olvida su teléfono inteligente en un restaurante. El administrador que pierde una tarjeta de memoria repleta de números de tarjetas de crédito o con información de cuentas que permitan la identificación de clientes. El gerente de tienda que abre un correo electrónico sin autorización. La junta directiva debe implementar un cambio de cultura a este respecto y desarrollar procesos y procedimientos que respalden el mensaje de que la seguridad informática es de máxima prioridad. ¿Ha considerado empezar por usted? ¿Qué ejemplo están dando la junta directiva y los directivos al resto de la organización?

5. Establecer la asignación de recursos apropiada. El presupuesto de TI, tal como se financia en la actualidad, no cubrirá las mejoras que sean necesarias en términos de personal, estrategia y planificación táctica, ni la instalación de equipos. La junta directiva no solo debe priorizar la seguridad de la organización, sino asignar los recursos según sea necesario.

Después de todo, la seguridad informática es un problema de riesgo, un problema de negocio y, mucho más importante, un problema de liderazgo. La buena noticia es que son cada vez más las empresas que advierten la creciente amenaza. La mala noticia: demasiadas de ellas no están tomando las medidas necesarias para proteger sus negocios, especialmente en la sala de juntas.

BLOGS DESTACADOS