Ciberseguridad

Whatsapp nos recuerda de nuevo la importancia de la ciberseguridad de la información

A principios de año los usuarios de WhatsApp de todo el mundo recibieron una notificación de esta compañía en la que anunciaba sus nuevas condiciones de uso. Y, aunque este mensaje le pudiera parecer irrelevante a la mayoría de usuarios, no ha ocurrido lo mismo con los expertos en ciberseguridad, CEO’s o CISO’s, a quienes este mensaje ha vuelto a recordar la importancia de la ciberseguridad de la información confidencial con la que tratan Consejos y directivos.

En este sentido, ningún CISO debería permitir que WhatsApp o el correo electrónico sean las herramientas de comunicación utilizadas para temas estratégicos o confidenciales del Consejo. Por ello, existen 4 pasos (respaldados por el Foro Económico Mundial) que cualquier empresa/CISO/CEO debería seguir para minimizar el riesgo digital:

  • Incluir la ciberseguridad de la información y de la empresa en la estrategia.
  • Incluir el ciberriesgo en la gestión de riesgos de la empresa.
  • Invertir en educación y formación sobre ciberseguridad, tanto a niveles ejecutivos y del Consejo como el resto de empleados.
  • Considerar utilizar proveedores externos que puedan ofrecerle la experiencia y conocimientos que su empresa no tiene.

A continuación, profundizaremos en estos 4 pasos. No obstante, primero cabe recordar, una vez más, algunos datos que muestran la importancia de la ciberseguridad en la actualidad.

Datos que reflejan la importancia de la ciberseguridad

Desde que estalló la actual crisis que estamos atravesando (a causa del Covid-19), la ciberseguridad de las compañías se ha visto considerablemente afectada:

  • El robo de datos se encuentra, según el Foro Económico Mundial, entre los 10 principales riesgos globales, lo que supone una seria amenaza para el comercio electrónico.
  • En España, durante los primeros tres primeros meses del 2020 el cibercrimen se incrementó un 40%, de acuerdo con IBM X-Force IRIS. Y, en Europa, el incremento medio fue del 125%.
  • A mediados de año pasado, Check Point daba a conocer cómo los ataques tipo <<ransomware>> se habían incrementado hasta un 160% en España, encabezando el ranking europeo.
  • Según predice Microsoft, el 94% de las empresas utilizarán IoT para finales del 2021, con el incremento en las probabilidades de sufrir un ciberataque que ello supone.
  • Los ejecutivos de alto nivel tienes 12 veces más probabilidades de ser blanco de ataques cibernéticos en comparación con otros empleados de su organización.

Señalados todos estos datos, hay uno que destaca por encima del resto: el 83% de las compañías no han desarrollado planes de continuidad del negocio para afrontar desastres de este tipo.

Pasos para minimizar el riesgo digital

A estas alturas nadie pone en duda la importancia de la ciberseguridad de la información. Sin embargo, todavía son muchas las compañías que no tienen claro qué pasos aplicar para minimizar el riesgo digital. Por ello, repasamos estos 4 pasos, a continuación:

1.       Incluir la ciberseguridad de la información y de la empresa en la estrategia

El primer paso consiste en incluir la ciberseguridad de la información y de la empresa en la estrategia, de forma que la ciberresiliencia se convierta en la base fundamental del ecosistema digital. En este sentido, es fundamental incluir en las reuniones del Consejo discusiones relacionadas con la ciberseguridad. Además, conviene invitar al director de seguridad de la información (CISO) a estas reuniones.

Recordamos que esta persona no debe limitar su papel a la de profesional técnico, puesto que sus conocimientos han de servir para impulsar la ciberseguridad de la información del negocio, participando activamente en la planificación estratégica.

En esta guía encontrará información específica para el CIO para proteger a los órganos de gobierno de su empresa.

2.       Incluir el ciberriesgo en la gestión de riesgos de la empresa

El segundo paso que deben aplicar el CISO/CEO de una compañía para lograr la ciberseguridad de la información es incluir este aspecto en la gestión de riesgos de la empresa. Además, esto debe hacerse incluyendo al CISO en la evaluación de riesgos cibernéticos, pues debe ser el encargado de introducir las prácticas de gestión de riesgos y crisis en la empresa.

Por poner un ejemplo, supongamos que una compañía recibe un incidente de ciberseguridad. En este caso, dicha compañía necesita acciones de respuesta precisas y verificadas a nivel técnico, junto con decisiones ágiles por parte del Consejo, la interacción efectiva de los departamentos y subsidiarias y una correcta comunicación con los inversores y el público (a través de las redes sociales y los medios de comunicación). Y, para que todo esto ocurra de forma eficaz, la compañía debería primero haber desarrollado un plan de acción, incluyendo el ciberriesgo en la gestión de riesgos de la empresa.

Por otro lado, recordemos que en estos casos se necesita no solo la participación de la cúpula de la organización, sino también del resto de empleados, como vemos en el tercer punto.

3.       Invertir en educación y formación sobre ciberseguridad tanto a niveles ejecutivos y del Consejo como el resto de empleados

El robo de datos confidenciales puede ocurrir porque un consejero utilice el correo electrónico o el WhatsApp para compartir información confidencial. Sin embargo, también puede suceder que un empleado caiga en phishing attack (suplantación de identidad), y que ello provoque una brecha en la ciberseguridad de la información que termine costando a la empresa miles de euros.

Por ello, es fundamental invertir en cursos especiales, pruebas y simulaciones dirigidas tanto a ejecutivos de nivel C como al resto de empleados. Estos tienen como objetivo construir una cultura de seguridad dentro de las organizaciones, aumentando la conciencia sobre la ciberseguridad de la información y no permitiendo que los empleados caigan en la ingeniería social y el robo de datos.

Además, el conocimiento básico de las reglas de higiene cibernética evitará que el CEO sea un objetivo perfecto para los delincuentes. Como ya hemos señalado, los ejecutivos de alto nivel tienes 12 veces más probabilidades de ser blanco de ataques cibernéticos.

4.       Considere usar proveedores externos que puedan ofrecerle la experiencia y conocimientos que su empresa no tiene (como Diligent)

Por último, toda compañía debe considerar dirigirse a una organización experta en ciberseguridad. Desde Diligent, ponemos a disposición de las empresas herramientas de ciberseguridad que, no solo permiten solventar la problemática explicada a lo largo de este post, sino que ayudan a lograr la máxima eficiencia del Consejo de Administración.

En este sentido, desde Diligent nos preocupamos por que las compañías alcancen lo que se conoce como Gobierno Corporativo Moderno, lo que incluye, por supuesto, la protección de los datos de la compañía frente a la ciberdelincuencia.Por ello ofrecemos herramientas como Diligent Messenger que permiten a los consejeros y ejecutivos comunicarse e intercambiar archivos confidenciales con total seguridad. Descubra más aquí. 

Board Portal Buyer’s Guide

With the right Board Portal software, a board can improve corporate governance and efficiency while collaborating in a secure environment. With lots of board portal vendors to choose from, the whitepaper contains the most important questions to ask during your search, divided into five essential categories.

BLOGS DESTACADOS