Ciberseguridad

¿Debería el Consejo de Administración tener una comisión de ciberseguridad?

La ciberseguridad se ha convertido en una de los temas más candentes de 2020. La posibilidad de sufrir un ciberataque ha aumentado y, en consecuencia, la preocupación por la seguridad de los sistemas que se utilizan en las empresas.

Para minimizar el riesgo de sufrir un ciberataque, el primer paso es llevar a cabo una evaluación de la seguridad de los sistemas que usa el Consejo de Administración, prestando atención a tres factores principales: conocer dónde se almacenan los datos y los documentos que se comparten, la fortaleza del sistema para proteger dicha información, y el control de las claves de acceso, analizando los peligros existentes para cada uno de estos tres aspectos mencionados.

Sin embargo, más allá de verificar la seguridad de los sistemas, para garantizar la ciberseguridad de la empresa, existen otras muchas cuestiones de vital relevancia que explicaremos a continuación y que justifican la necesidad de crear una comisión de ciberseguridad en el Consejo.

El papel de el Consejo de Administración

Como hemos explicado, el primer paso debe ser siempre evaluar la propia seguridad del Consejo de Administración, ya que el Consejo debe dar ejemplo al resto de la empresa. Tal y como dijo Ana Plaza, consejera de Corporación Finaciera Alba y otros consejos de administración, en un webinar que organizamos de la mano del Instituto de Gobernanza Empresarial, “Ahora todos hablamos y llevamos muchos años hablando de la digitalización, de lo que supone, y yo creo que el Consejo tiene que predicar con el ejemplo. No concibo una empresa en la que se esté haciendo un proceso de transformación digital y no haya una plataforma digital para gestionar desde arriba”.

Así pues, el análisis para evaluar las prácticas del Consejo debe tener en cuenta los siguientes aspectos clave:

Almacenamiento de la información

La primera cuestión consiste en verificar que el almacenamiento de la información del Consejo de Administración es el adecuado. No conocer dónde se encuentra la información o no controlar hacia dónde va es uno de los peligros que pueden provocar brechas en la seguridad.

Para ello, es fundamental utilizar plataformas creadas para el almacenamiento y la trasmisión de la información de forma segura, evitando así otras herramientas como el correo electrónico para el envío de información confidencial. De la misma manera, compartir archivos en “la nube” con plataformas generales como Box o Microsoft Office representan un peligro para la información confidencial que tratan los órganos de gobierno.

Existen soluciones específicas para almacenar y compartir la información del Consejo y sus comisiones, como por ejemplo Diligent Boards. Estas soluciones cumplen con los más altos estándares de seguridad.

Protección de la información

La segunda cuestión consiste en verificar que la información está protegida frente a cualquier amenaza. Para ello, es fundamental vigilar la ubicación donde residen los datos y asegurar que solamente aquellas personas autorizadas acceden a esta. Para ello, se debe contar con varios centros de datos a prueba de cualquier catástrofe. Además, la solución debe contar con funcionalidades como marcas de agua para asegurar que si se imprime o se comparte información se pueda identificar la fuente de dicha fuga.

Control de las contraseñas y de los accesos

La tercera cuestión es controlar la dificultad de las contraseñas para acceder a la solución para el Consejo. La empresa debe poder decidir qué tipo de dificultad desean para el acceso por parte de los miembros del Consejo. Por otro lado, deben asegurarse de que en caso de robo o pérdida de un dispositivo, se pueda borrar la información de la aplicación de manera remota para que la información no se vea comprometida.

Garantice la seguridad de la información que se comparte en las reuniones de los órganos de gobierno con un portal para el Consejo. Descubra aquí cómo puede ayudarle Diligent para protejar los datos más confidenciales.

El Consejo de Administración y la ciberseguridad de la empresa

Estas tres cuestiones explicadas son fundamentales para verificar la ciberseguridad de la información que se comparte en el Consejo. Sin embargo, existen otras cuestiones estratégicas de vital importancia que los Consejos de Administración deben tener en cuenta y que pueden requerir la creación de la comisión de ciberseguridad.

La creación de una comisión de ciberseguridad se justifica ante la gran cantidad de tareas que el Consejo ha de desarrollar. En muchas ocasiones, es la comisión de auditoría la que se encarga de analizar este riesgo. Pero en muchas ocasiones los miembros de la comisión de auditoría no son especialistas en ciberseguridad. Por otro lado, esta comisión es responsable de analizar muchos otros riesgos por lo que con frecuencia está sobrecargada.

Verifique la seguridad informática de los proveedores

Una de las cuestiones a tratar es la seguridad informática de los proveedores de la empresa, debiendo verificar dicha seguridad tanto en los proveedores actuales, como en los pasados o los futuros, ya que la falta de procesos eficientes y seguros en estos pueden infectar a la propia seguridad de la empresa.

Certifique la buena relación del CIO o máximo responsable de ciberseguridad con los reguladores

Según lo establecido por ley, es obligatorio notificar cualquier brecha de seguridad que comprometa datos personales a la autoridad competente, es decir, la AEPD. Por lo tanto, es importante que la relación entre el CIO, CISO y el regulador se haya establecido, ya que esta afectará positiva o negativamente a la empresa.

Creación de planes de respuesta ante cualquier ciberataque

Tener un plan de acción en respuesta a un ciberataque es tan importante como mitigar el riesgo de que suceda. Estos planes consisten en establecer paso a paso la respuesta de la empresa, los actores que tomarán decisiones en caso de producirse un ciberataque y en tener un sistema que permita la comunicación de dichos actores de manera externa a los sistemas de la empresa que podrían esar comprometidos.

Ratifique que la empresa cuenta con proveedores jurídicos, de seguridad y una agencia de relaciones públicas

Esta recomendación se encuentra ligada a las consecuencias de sufrir un ciberataque, entendiendo que cada una de estas partes ejerce un papel relevante en el plan de respuesta a los ataques cibernéticos. Tener que contratar a un proveedor cuando se haya producido el ciberataque es un problema más a los que ya mantendrán ocupado a los órganos de gobierno. De ahí que recomendemos contratar a dichos proveedores antes de que se produzca el incidente.

Asegure la formación de todos los empleados

Los errores humanos son habituales en el día a día de las organizaciones. Sin embargo, cuando estos fallos se encuentran ligados a la ciberseguridad de la empresa, las consecuencias negativas de estos pueden ser catastróficas para los resultados de la empresa. Por ello, es necesario concienciar a todos los empleados sobre su papel en la ciberseguridad de la empresa, formarles de manera continua para que identifiquen correos electrónicos malintencionados y explicarles cuáles son los procesos a seguir si consideran que un email es un ataque cibernético. Finalmente, la propia empresa debería poner a sus empleados a prueba anualmente, del mismo modo que se realizan simulacros de incendio para comprobar que los empleados sabrían actuar si se produciera uno.

Contratación de expertos en ciberseguridad

La ciberseguridad es un tema candente, pero existen pocos expertos en la materia. Sin embargo, es importante que el Consejo cuente con personas que conozcan los riesgos cibernéticos, que hayan vivido en un puesto de directivo un ataque cibernético, o que se hayan especializado en esta materia. De no contar con un experto en el Consejo, recomendamos que el CIO o el CISO, o el mayor repsonsable de TI participe con frecuencia en las reuniones del Consejo para informar a los miembros de este de todos los asuntos anteriormente mencionados.

Creación de una comisión de ciberseguridad

A modo de conclusión, señalamos que la creación de una comisión de ciberseguridad se justificapor dos aspectos básicos:

  • En primer lugar, la importancia de garantizar la seguridad en la empresa, conociendo qué peligros existen y las diferentes soluciones y oportunidades adyacentes a estos.
  • La gran carga de trabajo del Consejo o de la comisión de auditoría no deben trasladar la ciberseguridad a un papel secundario ya que las consecuencias de un ciberataque son cuantiosas tanto a nivel económico como reputacional.

Por lo tanto, la creación de una comisión de ciberseguridad está justificada sobre todo si la comisión de auditoría está ya desbordada analizando muchos otros riesgos.

Como miembro del Consejo de Administración, la seguridad de los documentos confidenciales de la empresa debería ser una de sus prioridades. En este libro blanco, que hemos redactado en colaboración con CISCO, presentamos los riesgos cibernéticos a los que puede tener que enfrentarse y algunas recomendaciones para garantizar la protección de la información empresarial.

BLOGS DESTACADOS