¡Icebergs a la vista! Cinco preguntas que todas las juntas directivas deberían hacerle al director de seguridad de la información

Usted llegó a la ciudad para una reunión de la junta directiva y se encontró de manera casual con el director de seguridad de la información en el ascensor, o mejor aún, él o ella estará en la reunión de la junta directiva para ofrecer un resumen sobre seguridad informática. A usted le gustaría asumir un rol activo en la gobernanza de los datos. En primer lugar, felicitaciones por la iniciativa. Pero… ¿qué se supone que debería preguntar? Usted no es un experto en seguridad informática…

De hecho, es posible que muchos miembros de la junta directiva no entiendan todo lo relacionado con el rol del director de seguridad de la información ni los detalles específicos de cómo sus responsabilidades se diferencian de las del director de sistemas de información y del director de tecnología. Así como los directores de sistemas de información y los directores de tecnología se encargan de los aspectos tecnológicos, los directores de seguridad de la información identifican y manejan las amenazas relacionadas con tecnología que pudieran perjudicar las operaciones o la reputación de la empresa. Deben estar completamente al tanto de todas las amenazas y del costo que pudieran tener para la empresa, así como también de los costos de reducir la probabilidad de un ataque cibernético a un nivel aceptable.

Dada la frecuencia de las infracciones de seguridad, así como el alcance y la magnitud de las consecuencias, “tutearse” con su director de seguridad de la información no debería depender de un encuentro casual en el ascensor. Usted debería exigir poder comunicarse directamente de manera formal y regular con el director de seguridad de la información.

Sin embargo, eso no significa que usted deba empaparse de detalles técnicos sobre los riesgos y los planes de mitigación. Mediante la formulación de un conjunto de preguntas de alto nivel, usted puede recoger información que le permita ser un participante activo en las decisiones estratégicas clave relacionadas con la seguridad de la información:

1. ¿Cuáles son las principales amenazas de seguridad de la información que enfrenta su empresa? Estos son los “icebergs” que tienen el potencial de perjudicar seriamente la viabilidad del negocio. Si bien es frecuente que el robo de datos se apodere de los titulares, la diversidad de los ataques cibernéticos es alarmante. Otras amenazas potenciales incluyen un ataque de “denegación de servicio”, que podría impedir que su empresa realice sus operaciones comerciales, así como también la inyección de software malicioso y la suplantación de identidad, por mencionar solo algunos.

2. Para cada una de estas serias amenazas, ¿cuáles son las estrategias de mitigación de alto nivel de su empresa y cuál es el costo de su ejecución? Descubra cómo el equipo responsable de la seguridad de la información planea reducir estas amenazas a un nivel tolerable y asegurar que los costos de la mitigación no superen los beneficios esperados. El director de seguridad de la información también debería estar en posición de explicar cómo el equipo supervisa el rendimiento de las acciones de mitigación.

3. ¿Con qué frecuencia su empresa vuelve a evaluar los riesgos anteriormente identificados y busca identificar los nuevos? El equipo de seguridad de la información jamás debería suponer que conoce todas las amenazas o que las está mitigando de manera efectiva. Asegúrese de que el equipo vuelva a evaluar la presencia de icebergs potenciales, por lo menos anualmente, y que luego vuelva a examinar si sus estrategias de mitigación siguen siendo efectivas.

4. ¿Cuál es el plan de respuesta en caso de crisis cuando falla la administración de riesgos? Es una pregunta acerca de cuándo será, no sobre si será, su empresa víctima de un ataque cibernético. Cómo responde marcará una enorme diferencia en términos de daños, tanto financieros como de reputación. El director de seguridad de la información debería estar en posición de presentar algunas diapositivas que resuman el plan de respuesta para los escenarios que plantean las tres principales amenazas. Asegúrese de que el equipo de seguridad de la información esté aplicando las lecciones aprendidas a partir de incidentes anteriores que hayan ocurrido en su empresa, así como en otras, en su esfuerzo por manejar de manera agresiva las potenciales repercusiones de los ataques.

5. ¿Hasta qué punto están alineados y son proporcionales los presupuestos para los gastos en tecnología y los gastos en seguridad? Los gastos en seguridad siempre deberían aumentar de manera proporcional a los gastos en tecnología. Sería desafortunado que su infraestructura de tecnología aumentara con mayor rapidez que la capacidad del equipo de seguridad de la información para mitigar los riesgos. Asegúrese de que el equipo cuenta con los recursos necesarios para estar a la par.

Recuerde, usted no tiene que ser un experto en seguridad informática para hablar con el director de seguridad de la información. Si la discusión se vuelve demasiado técnica, vuelva a dirigir la atención del director de seguridad de la información a los temas relacionados con el negocio. Los mismos principios de sentido común y las evaluaciones de los riesgos en función de los beneficios que se manejan en las discusiones cuando se planifica una fusión o adquisición son igualmente útiles si está hablando de los riesgos de seguridad de la información con el director de seguridad de la información.

En próximos artículos, profundizaremos en lo que debería buscar cuando analice cada uno de estos temas con el director de seguridad de la información.

BLOGS DESTACADOS