Ciberseguridad

Comunicación entre el Consejo y el experto en seguridad informática

Desde principios del pasado año hemos observado un considerable incremento en el número de ciberataques. Esto, unido a la necesidad de digitalizar los negocios, y la utilización de sistemas poco fiables (susceptibles de recibir ciberataques) provoca, como consecuencia, que sea indispensable incluir al experto en seguridad informática en las reuniones del Consejo de Administración.

Y hacerlo es fundamental en todas las organizaciones, independientemente del mercado al que pertenezcan o tamaño de la compañía. Recordemos que los delitos informáticos afectan a todo tipo de empresas.

Partiendo de esta base, destacamos también que los Consejos de Administración, no solo no están exentos de toda amenaza cibernética, sino que son el principal grupo de riesgo, como consecuencia de la confidencialidad de la información compartida entre sus miembros. Por este motivo, y en vistas a prevenir todo tipo de ciberataque (o en su defecto solventarlo de la forma más eficaz posible), se debe, por un lado, incluir al experto en seguridad informática en las reuniones de este órgano de gobierno. Y, por otro, se deben aplicar las recomendaciones que veremos a continuación.

Recomendaciones para mejorar la comunicación del experto en seguridad informática con el Consejo

En lo relacionado con la ciberdelincuencia, la clave está en la prevención. Como ya hemos señalado anteriormente, las consecuencias de sufrir un ciberataque pueden ser catastróficas. Además, en lo relacionado con la inversión, la destinada a prevenir los ataques cibernéticos es muy inferior a la que deben destinar las empresas para “volver a la normalidad”, una vez sufren un ciberataque. En este sentido, algunos estudios señalan como las pérdidas económicas pueden ascender hasta los 75.000€. Y eso sin valorar las consecuencias reputacionales.

Por ello, se deben aplicar las siguientes recomendaciones, que tienen como objetivo mejorar la comunicación del experto en seguridad informática y Consejo, y, en última instancia, evitar que la empresa sufra un ciberataque.

1.       La comunicación entre los 2 debe ser una prioridad para definir adecuadamente la estrategia de seguridad de la empresa

El primer paso consiste en dar a conocer la gravedad del asunto y poner todos los medios a disposición de la seguridad informática. En este sentido, se debe establecer una comunicación periódica que permita al Consejo conocer cuáles son los riesgos a los que se enfrenta la organización, la posibilidad de que estos ocurran, el impacto que tendrían si se produjesen y las alternativas que tendría la empresa para solventar dicho riesgo. Conociendo toda esta información, el Consejo puede definir una estrategia de seguridad informática adecuada.

No obstante, adelantamos que desarrollar una estrategia de seguridad de los sistemas informáticos no es una tarea sencilla. Por ello, repetimos que dicha comunicación entre experto en seguridad informática y Consejo debe ser prioritaria y periódica.

Descargue esta guía para descubrir las ideas clave para que los profesionales de la tecnología puedan guiar a sus empresas a realizar la transformación digital de la gestión de los órganos de gobierno.

2.       Evitar que la comunicación se base en completar presentaciones para la próxima reunión del Consejo, es imprescindible informarles con frecuencia

En segundo lugar, es importante remarcar que la comunicación no debe limitarse a completar diapositivas para la próxima reunión del Consejo. En línea con lo desarrollado en el primer punto, la comunicación tiene un objetivo claro: desarrollar una estrategia de seguridad informática.

Por ello, la comunicación entre experto en seguridad informática y Consejo no debe realizarse por “obligación”, sino teniendo en mente el objetivo señalado.

3.       Comprender las necesidades del Consejo y comunicarse poniéndose en su lugar: su prioridad es saber si están en riesgo y cómo mitigar los riesgos

El experto en seguridad informática debe ser muy claro al explicar al Consejo a qué riesgos se enfrenta la empresa. Y, para ello, primero debe identificar las brechas en seguridad. Y, segundo, establecer un plan de acción. Además, para hacerlo, posiblemente sea necesaria la creación de un equipo especializado en la identificación de brechas de ciberseguridad.

Por otro lado, recordamos que todo riesgo puede convertirse en una oportunidad.

4.       Evitar palabras técnicas en la comunicación y ser muy gráficos

El experto en seguridad informática debe estar presente en las reuniones del Consejo relacionadas con la ciberseguridad. Y, por supuesto, no basta con su presencia, sino que debe hacer gala de sus conocimientos técnicos de seguridad informática.

No obstante, el objetivo es transmitir una serie de ideas y conocimientos a los consejeros, y, para ello, no es necesario utilizar tecnicismos. Por lo tanto, como recomendación al CISO, trata de ser muy gráfico.

5.       Formar en seguridad a los usuarios a todos los niveles

El Consejo es el principal objetivo de los ciberdelincuentes, ya que estos manejan información muy privilegiada. Sin embargo, en muchas ocasiones son los propios empleados quienes “facilitan” a los ciberdelincuentes el acceso a información confidencial. Esto ocurre, por ejemplo, enviando contraseñas o links a reuniones a través de herramientas como el correo electrónico o el WhatsApp. Por ello, es prioritario que los trabajadores de la empresa conozcan y comprendan la importancia de controlar adecuadamente los sistemas de seguridad de la información.

Por último, destacamos que los empleados deben recibir formación al respecto de las prácticas ineficientes que deben evitar y hacerlo de manera continua.

6.       Asegurar que el Consejo también utiliza herramientas que garanticen la seguridad de sus comunicaciones

Es fundamental conocer la importancia de la ciberseguridad, pero de poco sirve si después el Consejo utiliza herramientas poco seguras para el intercambio de información.

Por el contrario, este órgano de gobierno debe utilizar un software especializado en la protección de la información, al tiempo que garantiza la máxima eficiencia del Consejo. Nos referimos a herramientas como las ofrecidas por Diligent, que permiten trasladar todas las actividades a una plataforma especializada. Los beneficios de hacerlo son los siguientes:

  • Seguridad en la comunicación.
  • Colaboración más sencilla.
  • Facilidad en la votación.
  • Acceso de 24 horas a la documentación, y desde cualquier dispositivo.
  • Mejor gestión de los archivos y rapidez en la creación de documentos.
  • Optimización del tiempo y reducción de la carga de trabajo.
  • Servicio inmejorable centrado en el cliente.
  • Restricción de los permisos.
  • Incremento sustancial de la eficiencia y eficacia.
  • Garantías de seguridad con las certificaciones externas.

7.       Planificar un plan de gestión de crisis en caso de que exista un ciberataque e informar a los consejeros de su rol en este plan

Por último, el experto en seguridad informática o CISO debe desarrollar un plan que incluya el papel de cada consejero en este. Por ejemplo, un consejero puede encargarse de la gestión de los medios de comunicación y redes sociales, mientras que otro puede centrarse gestionar la recuperación de la información. Todo ello, por supuesto, de la mano de los expertos en ciberseguridad.

Descubra en una demostración personalizada las soluciones que Diligent pone en manos de las empresas para proteger los documentos que se comparten en los órganos de gobierno y fomentar la colaboración. Solicítela hoy mismo. 

BLOGS DESTACADOS