El rol del di­rec­to­rio en ma­te­rias de ci­ber­se­gu­ri­dad,

Pulso - - PORTADA - Por Ka­ren Po­nia­chik

Ha­ce un año, es­cri­bí en es­ta sec­ción acer­ca de los riesgos que en­fren­tan las em­pre­sas an­te los ca­da vez más fre­cuen­tes y so­fis­ti­ca­dos sa­bo­ta­jes di­gi­ta­les, in­tru­sio­nes de soft­wa­re ma­li­cio­sos (malwa­re), pro­pa­ga­ción de vi­rus que se­cues­tran in­for­ma­ción (ram­son­wa­re), ro­bo de da­tos y apro­pia­ción in­de­bi­da de se­cre­tos in­dus­tria­les, en­tre otros ci­ber­crí­me­nes. Ahí se­ña­lé que la ci­ber­se­gu­ri­dad se per­fi­la como uno de desafíos más re­le­van­tes en ma­te­ria de go­bierno cor­po­ra­ti­vo y que es de­ber fi­du­cia­rio del di­rec­to­rio pro­mo­ver la “ci­be­rre­si­lien­cia” en sus com­pa­ñías.

Una re­cien­te en­cues­ta de la Aso­cia­ción Na­cio­nal de Di­rec­to­res Cor­po­ra­ti­vos (NACD por sus si­glas en in­glés) re­ve­ló que el 58% de los di­rec­to­res de com­pa­ñías abier­tas en bol­sa de Estados Unidos con­si­de­ra que la ci­ber­se­gu­ri­dad es el prin­ci­pal ries­go que en­fren­tan. Sin em­bar­go, sólo 37% di­jo sen­tir­se “se­gu­ro” o “muy se­gu­ro” de que su em­pre­sa es­ta­ba “de­bi­da­men­te pro­te­gi­da fren­te a un ci­be­ra­ta­que”. Es­ta des­co­ne­xión en­tre ries­go y grado de pre­pa­ra­ción an­te una po­ten­cial em­bes­ti­da es preo­cu­pan­te.

Hay va­rias guías con in­di­ca­cio­nes so­bre có­mo en­fren­tar es­te re­to, in­clu­yen­do las de la SEC, la agen­cia gu­ber­na­men­tal NIST en Estados Unidos y los es­tán­da­res bri­tá­ni­cos PAS555. La pro­pia NACD y el Cen­ter for Au­dit Qua­lity, que agru­pa a fir­mas au­di­to­ras, han pu­bli­ca­do sen­dos ma­nua­les con orien­ta­cio­nes es­pe­cí­fi­cas pa­ra di­rec­to­res. To­dos coin­ci­den en que la so­lu­ción no pa­sa sólo por ad­qui­rir soft­wa­re y sis­te­mas de úl­ti­ma ge­ne­ra­ción, ins­ta­lar fi­re­walls, en­crip­tar da­tos o con­tra­tar a un CISO.

En re­su­men, és­tas re­co­men­da­cio­nes sugieren que los di­rec­to­res so­li­ci­ten a la ad­mi­nis­tra­ción un aná­li­sis ex­haus­ti­vo pa­ra de­ter­mi­nar cuá­les son y dón­de es­tán las vul­ne­ra­bi­li­da­des de la em­pre­sa con el fin de in­cor­po­rar­las en los ma­pas de ries­go; de­sig­nen res­pon­sa­bles de im­ple­men­tar medidas y pro­ce­di­mien­tos in­ter­nos pa­ra cons­truir sis­te­mas de re­si­lien­cia; au­to­ri­cen in­ver­sio­nes necesarias pa­ra re­du­cir las po­si­bi­li­da­des de una em­bes­ti­da y, de ser ata­ca­dos, ami­no­rar sus con­se­cuen­cias; re­vi­sen los planes de con­ti­nui­dad de ne­go­cios pa­ra ase­gu­rar que abar­quen to­dos los es­ce­na­rios aso­cia­dos a un hac­keo; y exi­jan que to­dos los em­plea­dos es­tén in­for­ma­dos so­bre los riesgos y en­tre­na­dos en la pre­ven­ción de ata­ques. Ade­más, es cla­ve que se ase­gu­ren de que exis­tan es­tra­te­gias co­mu­ni­ca­cio­na­les pa­ra in­for­mar a clien­tes, so­cios, tra­ba­ja­do­res y au­to­ri­da­des de go­bierno en ca­so de su­frir un in­ci­den­te.

Por otra par­te, es cla­ve eva­luar los pe­li­gros a nivel de pro­vee­do­res y con­tra­tis­tas, pues una in­te­rrup­ción en la ca­de­na de su­mi­nis­tro pue­de tener con­se­cuen­cias igual­men­te gra­ves. También, y con­si­de­ran­do los cos­tos aso­cia­dos a un ci­be­ra­ta­que (por la in­te­rrup­ción o pa­ra­li­za­ción de ac­ti­vi­da­des, pa­gos aso­cia­dos con in­ves­ti­ga­cio­nes fo­ren­ses y res­tau­ra­ción de da­tos, da­ño repu­tacio­nal y pér­di­da de clien­tes), las em­pre­sas de­be­rían de­ter­mi­nar si es con­ve­nien­te ad­qui­rir al­gún tipo de se­gu­ro.

La ci­ber­se­gu­ri­dad es un ries­go tan gra­ve como los su­pe­di­ta­dos a fac­to­res fi­nan­cie­ros, con­ta­bles, re­gu­la­to­rios y de mer­ca­do. Por lo mis­mo, de­be con­si­de­rar­se como par­te del de­ber de cuidado y di­li­gen­cia que em­plea­mos los di­rec­to­res en el ejer­ci­cio de nues­tras fun­cio­nes. ℗

Newspapers in Spanish

Newspapers from Chile

© PressReader. All rights reserved.