Por Claudio Ordóñez, Líder de Ciberseguridad de Accenture Chile
La pandemia ha tenido un fuerte impacto en la ciberseguridad de las empresas. De acuerdo con un estudio reciente de Accenture, 55% de las compañías más grandes del mundo no logra defenderse actualmente de forma efectiva de los ataques cibernéticos y, mientras 82% de las organizaciones aumentó sus inversiones en ciberseguridad, los ataques exitosos crecieron 31% en 2021. Estas cifras muestran la importancia de impulsar hoy una ciberseguridad corporativa, donde los directorios cumplen un rol fundamental.
La comunicación sobre riesgos cibernéticos entre directorio y el CISO es clave para gobernar y gestionar riesgos empresariales importantes. Pero las comunicaciones deben ser pertinentes, oportunas y adecuadas a su finalidad. La próxima generación de CISOs debe ser a la vez experta en negocios y en tecnología, y sentirse tan cómoda en la sala de juntas como en el centro de operaciones de seguridad, hablando el lenguaje de la empresa.
Hay cinco elementos que pueden ayudar a los directorios a supervisar cualquier plan de comunicación de riesgos de ciberseguridad durante la pandemia y más allá. El primero es la táctica. Se deben realizar informes trimestrales regulares de los CISO a los directorios que se centren en las métricas operativas clave de la gestión de riesgos de ciberseguridad. Esto puede incluir análisis sobre las amenazas detectadas, los tiempos de permanencia y la formación de los empleados.
El segundo elemento es el operativo. Muchos enfoques de comunicación de riesgos de ciberseguridad se detienen en la fase táctica, lo que hace que sean en gran medida ineficaces a la hora de ayudar a la junta directiva a entender realmente el riesgo de ciberseguridad y su impacto en el negocio. Las comunicaciones operativas pueden ayudar a los directores a ver cómo la ciberseguridad afecta al valor del negocio, y a dar una idea del efecto a largo plazo sobre la estrategia y el crecimiento del negocio.
El tercer elemento clave es practicar. Evaluar en terreno la rapidez con la que una organización puede recuperarse de un ataque. Utilizar ejercicios de respuesta a incidentes simulados para ilustrar cómo un enfoque integral durante una crisis puede dar lugar a eventos bien gestionados.
Cuarto, entender el riesgo. Comprender con precisión qué es lo que está en riesgo en toda la empresa como resultado del entorno digital y de tecnología de la información de la organización, especialmente en esta época de crisis global en la que muchos empleados trabajan desde casa, incluyendo cómo una brecha podría afectar a los objetivos clave de la empresa y qué hay que hacer durante una brecha.
Finalmente, establecer el perfil de riesgo. Proporcionar gobernanza y supervisión sobre un nivel de riesgo aceptable para que el equipo ejecutivo confíe en que se cuenta con la estrategia correcta y que el equipo de operaciones está tomando las acciones correctas en torno a la remediación.
Los directorios y los CISO deben abrir las líneas de comunicación y mantenerlas abiertas. A medida que las amenazas evolucionan y los sistemas digitales se vuelven más complejos y fundamentales dentro de la empresa, un enfoque sólido de las comunicaciones es una forma de proteger el valor empresarial.
