Uncategorized

La gestión de la seguridad informática: ¿Cuánto debería involucrarse su junta directiva?

Los ataques cibernéticos representan una constante amenaza para todas las organizaciones. Según el ICS-CERT, los numerosos ataques cibernéticos de gran escala en 2016, precedidos por los ataques a varias empresas ucranianas de electricidad en diciembre de 2015, demuestran que no se trata de si una organización será blanco de ataques de delincuentes informáticos, sino de cuándo ocurrirá.

Desde el punto de vista organizacional, una de las dificultades para manejar las amenazas cibernéticas es que, tradicionalmente, los asuntos relacionados con computadoras y redes eran gestionados por el personal de TI. Sin embargo, con la evolución de la seguridad de TI hacia la seguridad de la información, y ahora hacia la administración de riesgos, algunos de los problemas más amplios situados fuera del ámbito de TI, pero relacionados con los riesgos informáticos, podrían quedar fuera del alcance del departamento de TI, o en algunos casos, incluso fuera del alcance del director de seguridad de la información. El establecimiento de una solución de seguridad que combine soluciones de múltiples proveedores carecerá de efectividad. Lo que se requiere es un enfoque más estratégico para abordar los riesgos informáticos.

En un evento reciente de Diligent, un panel de alrededor de 40 ejecutivos se reunió para discutir el tema de la seguridad informática y su aplicación en las juntas directivas corporativas, así como las mejores prácticas para resguardar información corporativa confidencial.

Responsabilidad ante las amenazas cibernéticas

Dada la creciente prominencia de la seguridad informática en el campo de acción de las juntas directivas de las organizaciones, estas están llamadas a tener una participación más activa en el establecimiento de políticas y mecanismos de protección informática y a abordar asuntos que no necesariamente tienen relación con TI, de la siguiente forma:

Si bien no existe un método infalible para prevenir ataques informáticos, con frecuencia la culpa recae en los miembros de las juntas directivas cuando no logran garantizar la aplicación de los controles de seguridad, especialmente si no han implantado una estrategia efectiva de respuesta. Considere el caso de filtración de datos de Sony del año 2014, en el que los controles de seguridad —la propiedad de las credenciales del directorio activo (los datos de usuarios, la seguridad y el sistema de administración de riesgos para entornos de redes distribuidas de Microsoft) y la supervisión del equipo de administración de parches— no se gestionaron de forma adecuada.

Sistema de administración de redes de Microsoft

El papel de la junta directiva en la protección de la información corporativa debería incluir la revisión del estado y la seguridad de los datos en la totalidad de la organización. Es necesario que exista un claro conocimiento del lugar donde reside la información y de los puntos de la interfaz donde podría quedar expuesta al mundo exterior. Debería existir claridad en cuanto a quién o quiénes desearían robar los datos, y por qué. Y quizá más importante es la necesidad de que la seguridad de los datos forme parte de la cultura corporativa y que no sea únicamente tarea de especialistas, además de la existencia de políticas claras sobre el manejo de los datos y la presentación de informes sobre filtración de datos.

TI y la junta directiva

Una de las maneras de incrementar la participación de la junta directiva en lo referente a la seguridad informática, es transformando la relación que existe entre los directores de sistemas de información, los directores de seguridad de la información y la junta directiva. De acuerdo con un estudio de K logix, una empresa de consultoría de seguridad ubicada en Nueva Inglaterra, más de la mitad de los directores de seguridad de la información le rinde cuentas al director de sistemas de información, mientras que solo el 15 % le rinde cuentas al presidente y director ejecutivo. Algunos directores de seguridad de la información pensaban que rendirle cuentas al director de sistemas de información generaba un conflicto de intereses: En un blog de The Wall Street Journal, Avivah Litan, un analista de seguridad informática de Gartner, manifestó que le preocupaba que si el director de seguridad de la información le rendía cuentas al director de sistemas de información, la seguridad informática podría quedar en segundo lugar respecto a las actividades que generan ingresos. “La función de seguridad debe ser elevada al nivel del presidente y director ejecutivo, con el fin de darle a la organización el control, el equilibrio y la integridad que necesita”, expresó Litan.

Otra tendencia consiste en invitar a los directores de sistemas de información y directores de tecnología a las juntas directivas (y, por extensión, acercar al director de seguridad de la información un nivel más dentro de la jerarquía a la junta directiva) con el objeto de impulsar las capacidades de toma de decisiones de las juntas directivas en lo relacionado con la seguridad informática y otros asuntos de TI. Según SearchCIO.com, una solución dedicada a ofrecer estrategias de gestión tecnológica para directores de sistemas de información de las empresas, en el presente los directores de seguridad de la información están ingresando a las juntas directivas a un ritmo acelerado.

De hecho, entre las empresas de Fortune 500, el 33 % de las juntas directivas incluyen a un antiguo director de sistemas de información o de tecnología. Como ejemplo de ello, WellPoint Health Networks (que se fusionó con Anthem Health en 2014) incluyó a un director de sistemas de información en 2011, según un comunicado de prensa de Anthem, debido a que la empresa, junto con la totalidad del sector de la salud, se hizo más dependiente de TI y más orientada hacia los consumidores.

Un enfoque alternativo, que podría ser más adecuado en el caso de empresas pequeñas, es subcontratar los servicios de seguridad informática de un proveedor externo de servicios de seguridad, dado el riesgo y la falta de experiencia interna en el tema. Esta estrategia requiere capacitar a la junta directiva en servicios de seguridad en la nube y en cómo evaluar dichos servicios.

Una gestión exitosa de los riesgos informáticos depende de que las autoridades estén bien informadas y sean capaces de apoyar a la gerencia en la ejecución de estrategias de seguridad, así como de la respuesta rápida y efectiva ante las amenazas. Al ubicarse al mando de sus empresas, es necesario que las juntas directivas tengan más conocimiento y estén más involucradas en decisiones relacionadas con la seguridad de la información, incluyendo en las juntas directivas a directores de sistemas de información y de seguridad de la información con suficiente experiencia, y creando un mecanismo destinado a capacitar a los miembros de la junta directiva, de modo que puedan tomar decisiones bien fundamentadas.

BLOGS DESTACADOS