Ciberseguridad

La seguridad informática España y el papel de los consejos de administración

Los fallos de ciberseguridad y los ataques a las empresas, derivados de ellos, se multiplican cada año. De hecho, de forma continua, se publican noticias sobre datos robados que suponen, para las compañías víctimas de estas prácticas, una gran pérdida de confianza de sus clientes y también serios problemas financieros. Por todo ello, la seguridad informática en España es un factor que ningún Consejo de Administración debería pasar por alto.

Asimismo, conforme transcurren los años, los ciberataques se vuelven más complejos y difíciles de prevenir, debido a que las herramientas y los métodos se sofistican, lo que provoca que los órganos de gobierno de las compañías necesiten incrementar la supervisión de la gestión del riesgo de ciberseguridad. En este sentido, la seguridad informática en España debe ir más allá de la respuesta y, por tanto, incorporar a su vocabulario otros términos, como prevención y resiliencia.

Además, los ciberataques van más allá de la pérdida de confianza social o de una caída en bolsa, dado que están diseñados para realizar fraudes dinerarios, robo de información o el sabotaje de las infraestructuras, lo que acarrea, también, serias consecuencias legales, sin mencionar que un ciberataque que se salde con la pérdida o sustracción de datos podría acarrear a su compañía una importante sanción administrativa.

¿Dispone su empresa de una estrategia para la gestión de riesgos de ciberseguridad?

El punto de partida fundamental para cualquier negocio que se preocupe por la seguridad informática es definir y establecer una estrategia global de ciberseguridad

Para ello, se debe disponer de un modelo o marco de gestión de ciberriesgos, que incluya las premisas y principios que regirán el sistema de ciberseguridad. También, habrá que definir roles y responsabilidades en materia de seguridad, crear comités y órganos de gobierno y disponer de una metodología de evaluación de riesgos. Proteger la información de la empresa no es sencillo, pero es algo que involucra a numerosos departamentos y procesos.

Cumpliendo con los puntos anteriores, se podrá medir el riesgo de exposición y se dispondrá de un método de actuación rápido, con roles definidos, con el que se podrá atajar el problema.

¿Cuenta con normativas, políticas y procedimientos adaptados a las normas de seguridad informática en España?

Como en el resto del mundo, la seguridad informática en España ha avanzado a pasos forzados en los últimos años. De hecho, la mayoría de empresas ya cuentan con políticas que contemplan los aspectos más importantes.

Estas normativas y procedimientos deben fijar los ámbitos y aplicaciones de seguridad, adaptándose a la normativa regulatoria y la legislación vigente. Como consecuencia, se debe realizar un inventario y clasificar los activos, comprometerse con el uso responsable de la información, Internet y el correo electrónico y gestionar los datos. Todo ello, dentro de los estándares de buenas prácticas de seguridad.

¿De verdad la formación es esencial para lograr seguridad informática en España?

En toda empresa del ámbito nacional, resulta imperativo que se realizan actividades e iniciativas en materia de formación y concienciación en ciberseguridad.

Dichas actividades deben incluir a todos los empleados, pues cualquiera puede ser una víctima. Esto quiere decir que, también, deben participar en ellas los mandos directivos y el Consejo de Administración, ya que conforman el grupo que maneja información con mayor nivel de confidencialidad.

Y… no puede dejar fuera de estas iniciativas a los clientes, algo común cuando se trata de seguridad informática en España. De hecho, un incidente de ciberseguridad sobre un cliente puede provocar pérdidas graves a su compañía y un notable impacto negativo sobre su reputación.

¿Cuenta la organización con personal dedicado a monitorización, vigilancia y gestión proactiva de la seguridad?

Además de todas las personas implicadas en el apartado anterior, es necesario contar con personal dedicado exclusivamente a las tareas de monitorización, detección, análisis y tratamiento de los posibles ataques de ciberseguridad.

A raíz de ello, las organizaciones de cierto tamaño necesitan herramientas de correlación automática de eventos, que proporcionen información en tiempo real sobre alertas de seguridad en los sistemas, así como a plantilla dedicada al análisis y tratamiento de dichos eventos.

¿Dispone su negocio de procedimientos y protocolos de gestión, respuesta y recuperación ante incidentes de seguridad?

Dada la posibilidad de ataques, las compañías que se preocupen por la seguridad informática en España deben estar convenientemente preparadas y protegidas.

Para ello, se debe contar con los procedimientos adecuados para la identificación y clasificación de los ataques, protocolos de tratamiento y análisis, un medio de notificación y escalado y unos mecanismos, medidas y procedimientos para su mitigación.

¿Por qué hay que realizar, de forma periódica, ejercicios de intrusión (hacking ético) en los sistemas de la entidad?

Resulta muy recomendable que se hagan ejercicios de intrusión sobre su propia plataforma, al menos una vez al año, prestando atención sobre los sistemas más críticos. Estos ejercicios recrean el escenario de un ciberataque, usando las mismas técnicas y herramientas que un ciberdelincuente.

De esta manera, ayudan a mostrar las debilidades, vulnerabilidades y, también, fortalezas de su organización.

CIBERSEGURIDAD EN EL CONSEJO DE ADMINISTRACIÓN

Para proteger la información de la empresa es necesario que la compañía en su conjunto lo considere una prioridad. Por ello, como miembro del Consejo de Administración debería tener siempre en mente la ciberseguridad. En este libro blanco, que hemos redactado en colaboración con CISCO, presentamos los riesgos cibernéticos a los que puede tener que enfrentarse y algunas recomendaciones para garantizar la protección de la información empresarial.

¿Existen controles de seguridad con los proveedores externos que prestan servicios críticos a la entidad?

Gran parte de los incidentes de seguridad relevantes tienen su origen en proveedores o terceros y prestadores de servicios. Para prevenir y minimizar el impacto de un ataque a través de terceros, el proceso de selección debe incluir una evaluación de este tipo de riesgos.

¿Apuesta por las revisiones periódicas de la configuración de seguridad de sus sistemas y dispositivos?

A la hora de prevenir los ataques a la seguridad informática en España, las compañías tienen que realizar revisiones periódicas de la seguridad y el estado de todos sus sistemas y dispositivos. Esto incluye los servidores, aplicaciones de bases de datos, dispositivos móviles, ordenadores personales y dispositivos de comunicaciones y seguridad.

¿Cuenta su entidad con controles, mecanismos y herramientas para la detección y prevención de fugas y robos de información?

La información es un activo muy valioso, por lo que su protección debería ser una prioridad. A su vez, el robo de información confidencial se ha convertido, junto al fraude, en el principal objetivo de los hackers.

Precisamente por ello, conviene contar con todos los sistemas y herramientas DLP dedicados a la detección y prevención de fugas de información que permiten obtener alertas en tiempo real.

¿Disponen los empleados únicamente de los accesos a los sistemas de información mínimos y necesarios para desempeñar su trabajo?

La lucha para prevenir el fraude y el acceso no autorizado a los sistemas y a la información crítica, por parte del personal interno o de un ataque, se debe llevar a cabo con los procedimientos y las políticas de segregación adecuadas.

Por tanto, se hace necesario disponer de un inventario actualizado de todas las aplicas y sistemas críticos, definiendo y estableciendo los perfiles de acceso correspondientes y otorgando los permisos solo al personal necesario.

 

En definitiva, la seguridad informática en España ya no es cosa del futuro. No, de hecho, está más presente y resulta más importante que nunca. Las amenazas están ahí y es de vital importancia que las compañías pongan todo de su parte para evitar que entren en su sistema o para mitigar su impacto, cuando efectúan sus ataques.

RECOMENDACIONES PARA COMPRAR UN PORTAL PARA EL CONSEJO DE ADMINISTRACIÓN

La seguridad es una de las cualidades clave a la hora de buscar herramientas para el Consejo de Administración, pero existen otras cualidades que deberían tener en cuenta. Descubra más en nuestro libro blanco que puede descargar aquí.

Board Portal Buyer’s Guide

With the right Board Portal software, a board can improve corporate governance and efficiency while collaborating in a secure environment. With lots of board portal vendors to choose from, the whitepaper contains the most important questions to ask during your search, divided into five essential categories.

BLOGS DESTACADOS