En la era actual, en donde las empresas se están centrando en su transformación digital, la ciberseguridad se ha convertido en un tema de vital importancia para todas las organizaciones, independientemente del tamaño que tengan o del sector en el que operen.
En este panorama, un director general, como persona que dirige la marcha de la empresa, supervisando y guiando la actuación de las áreas de esta, desempeña un papel fundamental para el control y la gestión de los riesgos en ciberseguridad.
No obstante, el director general no puede convertirse de repente en un experto en ciberseguridad, ya que esto no es una tarea sencilla.
En este artículo, comentaré algunos puntos que deben considerarse para que la ciberseguridad forme parte de la agenda de los comités directivos.
Entender la ciberseguridad como un riesgo estratégico:
La ciberseguridad debe ser entendida como un riesgo que puede afectar a la continuidad y éxito de la empresa. Los ataques cibernéticos pueden provocar la pérdida de datos sensibles, interrumpir las operaciones, deteriorar las finanzas, provocar riesgos reputacionales en el mercado y crear una sensación de desconfianza entre clientes y proveedores.
Regulaciones y cumplimientos normativos:
Actualmente, las empresas deben cumplir cada vez más con una serie de normas estrictas, sobre todo en lo relativo a las Leyes de Protección de Datos.
Su cumplimiento no sólo es obligatorio, sino que puede provocar sanciones cuantiosas por parte de la administración, así como influir de manera decisiva en la confianza de todos los stakeholders.
Establecer una cultura de seguridad en toda la organización:
Está comprobado que la inmensa mayoría de los ciberataques se deben a fallos internos de seguridad, sobre todo, relacionados con la falta de formación por parte de los colaboradores.
Fomentar una cultura organizacional que priorice la ciberseguridad es fundamental. Esto implica que todos los colaboradores (desde la alta dirección hasta los niveles operativos) deben ser conscientes de los riesgos en los que pueden incurrir durante su trabajo cotidiano.
Por su parte, el director general debe promover políticas de formación continua para capacitar a todos los colaboradores.
Asignación de recursos e inversión en ciberseguridad:
La protección requiere de inversiones, las cuales deben estar garantizadas a la hora de aprobar los presupuestos anuales.
Establecer presupuestos es imprescindible para tratar de evitar incidentes o, más crítico aún, eliminar los que no sabemos si ya han sucedido en nuestros sistemas, que es otro de los grandes riesgos en ciberseguridad.
Evaluación de riesgos:
Intentar crear un plan de protección que cubra el 100% de la empresa es prácticamente imposible y, aunque se pudiera, el costo sería demasiado alto.
Por esto, es fundamental realizar un análisis de riesgos para conocer en dónde se encuentran los sistemas y la información clave para la continuidad del negocio, a fin de poner especial énfasis en protegerla.
Desarrollar un plan de respuesta ante un ciberataque:
La dirección general debe ser consciente que, por mucho que se intente proteger a la empresa de un ciberataque, este puede suceder. Es más, es muy probable que suceda.
Bajo esta premisa, se debe crear un sistema de respuesta ante cualquier incidente de seguridad; definir las acciones que se tomarán, los protocolos necesarios, los pasos a seguir, etc.
Además, se deben realizar ensayos para simular posibles ciberataques a fin de que, cuando se produzca uno real, toda la organización esté preparada para actuar de forma rápida y eficaz, permitiendo restablecer los sistemas en el mínimo tiempo posible.
Como resumen, podemos decir que el director general debe considerar los aspectos relativos a la ciberseguridad como parte de su agenda habitual, reportando periódicamente al consejo de administración sobre el estado de los planes y su ejecución, así como mostrar un fuerte liderazgo y proactividad al respecto.