Uncategorized

Cuatro maneras de evitar ser el próximo objetivo de un delincuente informático

Para cualquier empresa, la seguridad informática es un tema sumamente delicado. Probablemente escuchó la señal de advertencia cuando un ataque contra Target le costó a la empresa 236 millones de dólares en gastos relacionados con infracciones de seguridad más un grave daño a su reputación. El presidente y director ejecutivo y el director de sistemas de información de Target perdieron sus trabajos después del ataque, y el Institutional Shareholder Services recomendó que los inversionistas votaran en contra de siete miembros de la junta directiva debido a su incapacidad para proteger a la empresa. Sin embargo, anticiparse al problema no es fácil; los atacantes modifican sus tácticas con al menos la misma rapidez con la que las empresas implementan nuevas defensas.

Pese a la inmensidad de los riesgos y los desafíos, usted puede tomar medidas orientadas a garantizar que su empresa se proteja a sí misma. Basándonos en la experiencia de Diligent en la prestación de soporte a numerosas juntas directivas del mundo, recomendamos un conjunto de prácticas básicas para desviar a los delincuentes informáticos de sus sistemas:

Dar un lugar prioritario a la seguridad informática en la agenda… No basta con incluir la seguridad informática en la agenda de la junta directiva. Este tema también exige una prioridad más alta que la que se le asigna en la actualidad. Un estudio de la Bolsa de Nueva York (NYSE, por sus siglas en inglés) descubrió que la seguridad informática forma parte de la agenda de la mayoría de las juntas directivas, y más del 80 % de los encuestados asegura que se discute el tema de la seguridad informática en cada reunión o en la mayoría de ellas. No obstante, en la misma encuesta se observó que, entre las preocupaciones de los directores cuando se presentan nuevas soluciones tecnológicas, los riesgos de seguridad se tratan después de discutir ingresos potenciales, diferenciación competitiva y costos de implementación. La seguridad informática no tiene por qué ser lo primero de la agenda en cada reunión, pero si siempre está al final de la lista, no recibirá el tiempo de discusión que merece.

…Pero no se pierda en las nebulosas. Colocar la seguridad informática en una posición prioritaria dentro de la agenda no significa que usted, como miembro de la junta directiva, deba empaparse de detalles técnicos. En lugar de ello, una o dos veces al año, solicite al director de sistemas de información o al director de seguridad de la información que lo actualicen sobre las amenazas más grandes que enfrenta la empresa, los procesos instalados para detectarlas y manejarlas, así como los planes de respuesta en caso de crisis. Presione al equipo de seguridad de la información para que realice una evaluación “pre-mórtem” para determinar qué ocurriría si su empresa hubiera sido víctima de un ataque perpetrado a otra empresa. Asegúrese además de que el equipo evalúe todo y a todos los que estén relacionados con la tecnología, desde los proveedores hasta las aplicaciones, con el fin de determinar la presencia de vulnerabilidades que podrían permitir el acceso a su empresa por parte de delincuentes informáticos. Procure también recibir información de otros directores funcionales. Solicíteles que le informen sobre las amenazas de seguridad a los datos de sus departamentos, si están protegidos sus datos y de qué manera, y cómo responderían ante un ataque.

Deje que la naturaleza humana haga el trabajo por usted… Recuerde que las personas constituyen su principal factor de riesgo. Es sencillamente cuestión de naturaleza humana buscar la manera más fácil de manipular documentos y datos. Por ejemplo, si desean trabajar en una hoja de cálculo desde la computadora de su casa, es posible que envíen la hoja a una cuenta no segura en Gmail si es la manera más sencilla de hacerlo. Para poner a la naturaleza humana a trabajar a su favor, procure que para las personas sea sencillo y conveniente hacer lo correcto. Eso significa implementar procesos y tecnologías que no sólo sean seguros, sino que también sean muy fáciles de utilizar.

…Y predique con el ejemplo. Al servir de modelo empleando prácticas altamente seguras, usted puede ayudar a que todos en la organización remen en la misma dirección. Una manera sencilla en que las juntas directivas pueden predicar con el ejemplo, es manteniendo seguro su material. Estará en una posición de mucho mayor poder para exigir nuevas protecciones y prácticas de gobernanza si no hay nada que reprocharle. Si desea un marco para evaluar la seguridad de la junta directiva, consulte “La ciberseguridad y el cambiante rol de las juntas directivas: De ofrecer supervisión a dar ejemplo”.

Como miembro de la junta directiva, se espera que se preocupe por la seguridad informática, pero no puede hacerlo solo. Tomar las medidas descritas anteriormente le permitirá recorrer gran parte del camino, pero debe trabajar junto con su director de sistemas de información/director de seguridad de la información, así como con todo el equipo de administración, para garantizar el surgimiento de una cultura de vigilancia informática dentro de la organización.

1. Fuente: “How much has Target’s data breach cost the retailer?”, Internet Retailer, August 5, 2014.
2. Fuente: “Cybersecurity in the Boardroom,” NYSE Governance Services and Veracode, 2015,

BLOGS DESTACADOS