La seguridad de TI es un tema complejo que va más allá del área de especialización de los directores de las empresas. Por ello es esencial que las juntas directivas se involucren en el tema y formulen preguntas para conocer hasta qué punto la organización está preparada para hacer frente a las fugas de datos de alto riesgo. Además, deben saber que respecto a la inversión en seguridad, es mucho más caro no tener protección, que tenerla. “Algunos estudios reportan que la pérdida de información cuesta aproximadamente 182 dólares por cada registro perdido. Si la cantidad de registros en información que tienen las empresas es de miles de millones, entones hay riesgo de perder mucho dinero. Si por ejemplo, una empresa perdió 1,000 registros por un robo, esto significa casi 200,000 dólares de pérdida”, comenta Ramón Salas, Director Regional para México y Centroamérica de Forcepoint.
Forcepoint ha publicado el documento “Lo que toda junta directiva debe saber sobre la gestión de riesgos en su organización”, el cual identifica cinco principios que brindan a los directores los fundamentos para poder emprender la formidable, pero necesaria, tarea de supervisar la seguridad cibernética a nivel de junta directiva:
- Principio 1: La seguridad cibernética es un problema de gestión de riesgos, no un problema tecnológico. La junta directiva debe exigir una revisión y evaluación de riesgos regular de la postura de seguridad de la organización.
- Principio 2: Proporcionar significado detrás de los indicadores; hacer real la seguridad cibernética para la junta directiva. La junta directiva debe recibir un informe del Director General de Seguridad de la Información o el Director General de Riesgo en cada reunión.
- Principio 3: Los miembros de la junta directiva deben comprender los aspectos legales de las regulaciones sobre seguridad cibernética. Una fuga de datos deja expuesta a una organización al riesgo de medidas disciplinarias civiles, penales y de multas de organismos reguladores, demandas colectivas de clientes y accionistas, así como también acciones legales presentadas por los socios afectados.
- Principio 4: Los miembros de la junta directiva deben identificar niveles de riesgo cibernético aceptables en las operaciones de negocios. Las juntas directivas deben cuantificar y gestionar el riesgo de la seguridad cibernética tal como lo hacen en otras categorías de negocios.
- Principio 5: La junta directiva debe adoptar un marco bien definido de gestión del riesgo cibernético. El “Marco” es una compilación basada en riesgos de pautas diseñadas para ayudar a evaluar las capacidades actuales y la creación de un plan con prioridades para mejorar las prácticas de seguridad cibernética.
El equipo de TI se ubica al frente de la defensa cibernética y el monitoreo del riesgo que corren los datos. Sin embargo, el impacto del robo de datos es demasiado importante como para que la junta directiva no se involucre a nivel estratégico. Es posible lograrlo con un enfoque holístico y el socio correcto de seguridad cibernética.
Deja un comentario