Ciberseguridad, del equipo directivo hacia abajo

Uno de los esfuerzos más importantes que debía realizar el CISO (Chief Information Security Officer) de cualquier organización hasta hace muy poco era el de convencer a la Dirección de la importancia de dedicar fondos a prevenir y abordar posibles ataques cibernéticos a la compañía. No obstante, los equipos directivos son (o deberían serlo) cada vez más conscientes de que el riesgo cibernético es una responsabilidad suya y de que un posible incidente se puede traducir en consecuencias legales para ellos y de reputación para su compañía.

Las estadísticas de siniestros reflejan un incremento constante de los ciberataques desde 2017, principalmente de ransomware, con unas peticiones de rescate cuyas cuantías se han incrementado de forma dramática. Y la situación ha empeorado en el último año, debido al considerable incremento del teletrabajo y los retos de seguridad que conlleva. El trabajo a distancia ha contribuido también a que se haya ampliado el abanico de actividades que están en el foco de los hackers. La realidad es que ninguna empresa, grande, mediana o pequeña, ni ninguna actividad están libres de sufrir un ciberataque. 

Una forma recomendable de hacer frente a los ciberdelincuentes por parte de la dirección, de acuerdo con nuestro informe ‘Cyber-Risk Oversight 2020‘ (elaborado con Internet Security Alliance y ecoDa), es abordar la ciberseguridad como una cuestión de gestión de riesgos en toda la empresa y adoptar una cultura en este sentido que impregne a todas y cada una de las áreas y personas que trabajan en la compañía, así como hacerlo de forma continuada. Esto debe ir acompañado de planes a medida de las necesidades de cada empresa, que deben contemplar las capacidades de prevención, detección, respuesta y la escala de madurez en la que esta opera, teniendo en cuenta también el ecosistema en el que se mueve. Para poder ejercer adecuadamente su deber de diligencia, los equipos directivos deben tener también un profundo conocimiento de la legislación vigente y, por tanto, de su propia responsabilidad. 

Por otra parte, el informe explica que todos los miembros de los consejos de administración se deben sentir implicados y garantizar tanto a su nivel como a los escalones inferiores un acceso adecuado a la información y los conocimientos en materia de ciberseguridad, empleando, para ello, los mismos principios que cuando toman decisiones estratégicas. No deben abordarlo como un tema aislado, sino integrarlo transversalmente en todas las dimensiones de la estrategia de la empresa, dada la seriedad de sus posibles consecuencias. 

En resumen, la gestión de la ciberseguridad afecta a la cultura, las capacidades de prevención, detección y respuesta y la supervisión y comunicación a todos los niveles. Por ello, la dirección debe establecer un marco claro de responsabilidad, procesos precisos y directrices de comunicación. En este proceso debe incluir las estrategias para gestionar los ciberriesgos, su mitigación y su transferencia. Para conseguirlo, contar con compañías aseguradoras con gran experiencia multinacional en la gestión de ciberriesgos, que, debido a ello, sean capaces de ayudar a prevenir pérdidas mediante la formación y el escaneo de vulnerabilidades, además, destaquen por la alta calidad de su suscripción y el excelente servicio al cliente es la opción más adecuada.  I