7 minutos de lectura 15 may. 2023

Es importante que el Directorio comprenda que la gestión de ciberseguridad debe realizarse a nivel estratégico y no solo como asunto de TI.

¿Cómo el Board puede impulsar una gestión efectiva de la ciberseguridad en las compañías?

Pedro Parra
Por Pedro Parra

Cybersecurity Leader, Latin America North

Apasionado por su familia, disfruta de los viajes para descubrir nuevos lugares. Casado y padre cariñoso de dos niños que comparten su pasión por los deportes de aventura.

7 minutos de lectura 15 may. 2023
Temas relacionados Consultoría Ciberseguridad Tecnología
Votar a favor

Es importante que el Directorio comprenda que la gestión de ciberseguridad debe realizarse a nivel estratégico y no solo como asunto de TI.

En resumen:

  • El informe de EY Prioridades para los Consejos de Administración de América 2023, prioriza la ciberseguridad y privacidad de datos como la quinta prioridad en su agenda.
  • Es importante que el Directorio comprenda que la gestión de ciberseguridad debe realizarse a nivel estratégico y no solo como asunto de TI.
  • El Directorio debe integrar los lineamientos de ciberseguridad desde el diseño de nuevas tecnologías, productos y acuerdos comerciales.

El nivel de riesgos cibernéticos que enfrentan las empresas, desencadenados principalmente por la expansión de la transformación digital, el teletrabajo, acontecimientos geopolíticos, así como el despliegue de tecnología disruptiva, está aumentando cada vez más. Por ello, no es de extrañarse que la gestión de la ciberseguridad se encuentre entre el top 5 de prioridades del Board para este 2023. 

Solo en el 2022 se registraron en el mundo alrededor de 5 500 millones de ataques malware (software creado con el objetivo de dañar dispositivos, servicios o redes), 493,3 millones de ataques ransomware (secuestro de datos que restringe el acceso del propietario y sobre el cual se pide un rescate), entre otros, según Sonicwall. Este es uno de los tipos de ciberataques más comunes, y que más desembolsos ha logrado. Se proyecta que para el 2031, de acuerdo con Cybersecurity Ventures, se llevará a cabo un ataque ransomware cada 2 segundos, generando daños cercanos a los US$265 000 millones (para hacernos una idea, esto es mayor que el PBI de varios países de Latinoamérica).

560613413

El informe de EY Prioridades para los Consejos de Administración de América 20231-, resalta que el 64% de Boards está priorizando la gestión de ciberseguridad y privacidad de datos, ubicándola en el quinto puesto de su lista de prioridades. Lideran la tabla las preocupaciones relacionadas con las condiciones económicas (80%), la estrategia de capital, la innovación y tecnologías en evolución y el talento (todas ellas con el 70%).

Los Boards desempeñan un papel fundamental para ayudar a las empresas a salir adelante; por ello, las decisiones que tomen y prioridades que definan pueden ser cruciales para el desarrollo óptimo de la organización. En ese sentido, es importante que el Consejo de Administración o Junta Directiva comprenda que la gestión de la ciberseguridad debe realizarse a nivel estratégico y no solo como un asunto de TI. El informe de EY Prioridades para los Consejos de Administración de América 20231-, resalta que el 64% de Boards está priorizando la gestión de ciberseguridad y privacidad de datos, ubicándola en el quinto puesto de su lista de prioridades. Lideran la tabla las preocupaciones relacionadas con las condiciones económicas (80%), la estrategia de capital, la innovación y tecnologías en evolución y el talento (todas ellas con el 70%).

Los Boards desempeñan un papel fundamental para ayudar a las empresas a salir adelante; por ello, las decisiones que tomen y prioridades que definan pueden ser cruciales para el desarrollo óptimo de la organización. En ese sentido, es importante que el Consejo de Administración o Junta Directiva comprenda que la gestión de la ciberseguridad debe realizarse a nivel estratégico y no solo como un asunto de TI. 

Perspectivas del comité de seguridad cibernética

Actualmente menos del 10% de los Boards tiene un comité de seguridad cibernética, pero se proyecta que el 40% establecerá uno para 2025, según Gartner. Para lograrlo el Board debe empezar a plantear y discutir sobre los riesgos cibernéticos en las reuniones con los miembros de la administración dando mayor cabida al CIO o CISO, de ser el caso, así como integrar lineamientos de ciberseguridad desde el diseño de nuevas tecnologías, productos y acuerdos comerciales.

En el contexto actual, para gestionar adecuadamente los riesgos de ciberseguridad es importante estar preparados para responder ante las amenazas a través de cinco puntos fundamentales:

  • Priorizar la detección temprana de riesgos.
  • Aislar los activos críticos.
  • Contar con planes de continuidad para operar en modo crisis.
  • Informar adecuadamente y trabajar con las autoridades mientras se gestionan los litigios.
  • Mantener una comunicación fluida con empleados, clientes e inversores.

Además, las simulaciones de incidentes cibernéticos y los ejercicios con la gerencia y el Board también son herramientas indispensables para que la empresa esté preparada para enfrentar posibles riesgos. A través de estas dinámicas se pone a prueba a la compañía, se identifican fallos para subsanar, se aclaran los roles del personal y se establecen protocolos y procesos de escalamiento.  

Cómo EY puede ayudar

Operaciones de seguridad y respuesta de próxima generación

Nuestros servicios de Operaciones de seguridad y respuesta de próxima generación, junto con un amplio portafolio de servicios de consultoría, implementación y gestión, pueden ayudar a las organizaciones a construir una estrategia de transformación y una hoja de ruta para implementar la próxima generación de operaciones de seguridad.

Leer más

Frecuencia de  actualización del Board

¿Con qué frecuencia se actualiza a su junta directiva sobre el estado de la seguridad de la información en su empresa?

Fuente: EY-Parthenon

Finalmente, las Juntas Directivas también deben estar al tanto de lo que significa un posible riesgo en términos monetarios y mantenerse al día con las principales prácticas de gestión de riesgos de ciberseguridad para hacer mejores preguntas a los encargados de esta área. Es fundamental tener en cuenta que los asuntos relacionados con la tecnología tienen constantes actualizaciones, por lo que no es factible implementar prácticas como realizar informes semestrales.

La idea es que, además de prepararse y/o enfrentar posibles riesgos de manera óptima, se identifique la gestión de la ciberseguridad como una oportunidad para posicionar a la empresa como un socio comercial de confianza. 

La ciberseguridad es un tema que cada vez se encuentra bajo mayor escrutinio, por lo que es fundamental que las divulgaciones de las empresas en esta materia evidencien el rigor e importancia que se le brinda a la preparación y gestión de incidentes o riesgos cibernéticos para generar confianza en las diferentes partes interesadas. 

Resumen

Los Boards desempeñan un papel fundamental para ayudar a las empresas a salir adelante; por ello, las decisiones que tomen y prioridades que definan pueden ser cruciales para el desarrollo óptimo de la organización. En ese sentido, es importante que el Directorio o Junta Directiva comprenda que la gestión de la ciberseguridad debe realizarse a nivel estratégico y no solo como un asunto de TI.

Acerca de este artículo

Pedro Parra
Por Pedro Parra

Cybersecurity Leader, Latin America North

Apasionado por su familia, disfruta de los viajes para descubrir nuevos lugares. Casado y padre cariñoso de dos niños que comparten su pasión por los deportes de aventura.

Related topics Consultoría Ciberseguridad Tecnología
Votar a favor