En un mundo cada vez más digitalizado, la ciberseguridad se vuelve crucial para las empresas que, independientemente de su tamaño, están constantemente expuestas a amenazas cibernéticas que además de generarles un daño reputacional y económico, podrían poner en riesgo la continuidad operativa de su negocio.
Según el Foro Económico Mundial, la brecha de ciberseguridad supone uno de los cinco mayores riesgos que afronta el mundo. En este contexto, se vuelve imperativo que las empresas evolucionen de una estrategia reactiva de ciberseguridad a una preventiva de ciberdefensa que les permita a las organizaciones estar mejor protegidas, potenciar permanentemente su resiliencia cibernética y defender exhaustivamente los activos que son críticos para la continuidad de su negocio.
La defensa de los activos críticos de cualquier empresa se materializa a través de su gobierno corporativo. El directorio es el órgano de gobierno de una empresa y responsable de establecer las políticas y estrategias que guían las decisiones de la organización y tienen la oportunidad de mejorar la postura de ciberseguridad de su empresa.
Una buena forma en que los directores pueden encaminar a la organización hacia una condición de ciber resiliente es adquiriendo un rol más activo que les permita saber cuáles son los riesgos a los que se enfrenta la empresa y qué medidas pueden tomar para protegerla sin dejar toda la responsabilidad a sus CIO, CISOS o gerentes de TI.
Son los líderes y directores de las empresas quienes, además de preocuparse de temas relacionados con la implementación de políticas de ciberseguridad sólidas, tienen que velar por la educación de los empleados y el aseguramiento de los recursos para proteger a la empresa contra ataques cibernéticos.
El directorio debe definir las políticas y procedimientos que guían las actividades de ciberseguridad en la empresa. Esto incluye la definición de los controles de seguridad que deben implementarse, los procesos de gestión de incidentes, la gestión de riesgos y asegurar la correcta adopción de estas políticas y procedimientos por parte de los colaboradores a través de programas de capacitación.
La adopción de procesos de ciberseguridad le permitirá a la empresa proteger su reputación al minimizar su exposición a incidentes de seguridad cibernética, como la filtración de información confidencial de la empresa o de sus clientes que podría repercutir en su imagen corporativa y la continuidad del negocio.
Los directores deben garantizar que la empresa cuente con los recursos adecuados para implementar y mantener las medidas de seguridad necesarias. En este punto es clave que cuenten con un enfoque en ciberdefensa que les permita implementar medidas que maximicen la inversión en herramientas de ciberseguridad, y contar con procesos y soluciones que minimicen el impacto económico y en la continuidad operativa del negocio.
El directorio debe tener un conocimiento sólido de cuáles son sus activos críticos y los riesgos cibernéticos que enfrenta la empresa. Esto implica comprender cuáles son las amenazas cibernéticas a las que se expone, sus consecuencias y cuál es el nivel de seguridad actual de la empresa. Esto le permitirá identificar y evaluar los riesgos de seguridad que enfrenta la empresa, y determinar las medidas de seguridad adecuadas para mitigarlos.
Los directores deben planificar con antelación cuáles serán los pasos a seguir en caso de enfrentar una crisis de ciberseguridad. La prioridad de este punto radica en que ante un ciberataque, la empresa debe actuar lo más rápido posible para minimizar los daños, y la rapidez y eficacia de su respuesta impactará en su capacidad de recuperación.
Además de las consecuencias que podría tener para la continuidad del negocio el que no se aborde la ciberseguridad como un tema estratégico, los directores podrían verse enfrentados sanciones y responsabilidades en virtud de varias leyes y regulaciones.
En Chile, los directores de empresas tienen una serie de responsabilidades legales en relación con la ciberseguridad, como por ejemplo los expuestos en la Ley N°21.459 publicada en junio de 2020, que actualiza la legislación chilena en materia de delitos informáticos, adecuándola a las exigencias del Convenio de Budapest, del cual Chile es parte.
En dicha ley se tipifican como delitos informáticos: ataque a la integridad de un sistema informático, acceso ilícito, interceptación ilícita, ataque a la integridad de los datos informáticos, falsificación informática, receptación de datos informáticos, fraude informático y el abuso de dispositivos. Adicionalmente, se incorpora como agravante el cometer el delito abusando de una posición de confianza en la administración del sistema informático.
Asimismo, en el caso de algunas industrias que son reguladas las empresas deben cumplir con otro tipo de normas como es el caso de las compañías de seguros que tienen la obligación de reportar a la CMF (Comisión para el Mercado Financiero) incidentes asociados a ciberseguridad.
Otro caso es la RAN 20-10, normativa chilena basada en algunos sectores de ISO que tiene como objetivo principal que las empresas de tecnología que operan en el país no pongan en riesgo la información de tus clientes.
Por otra parte, actualmente se está tramitando en Chile la Ley Marco sobre Ciberseguridad e Infraestructura Crítica y la ley que eleva los estándares para la protección y el tratamiento de datos personales y crea la Agencia de Protección de Datos Personales.
En virtud de estas y otras normativas, los directores de empresas tienen la responsabilidad de asegurar que las empresas cumplan con las obligaciones de seguridad de la información establecidas y de garantizar que se tomen medidas adecuadas para proteger no solo los datos propios de cada empresa, sino también la de sus clientes y stakeholders.
En los tiempos actuales, la probabilidad de que una empresa sufra alguna crisis de ciberseguridad es muy alta, por lo que además de contar con una planificación ante una crisis, existen otros elementos que los directores deben considerar al momento de enfrentarse a una:
Comunicar de manera efectiva: se debe comunicar claramente a los empleados, clientes y otros stakeholders sobre la naturaleza y el alcance de la situación. Esto puede incluir detalles sobre lo que sucedió, cómo se está abordando y cuáles son las acciones de mitigación o corrección que se tomarán a futuro. La comunicación es clave para construir la confianza y mitigar el impacto en la reputación de la empresa.
Trabajar en equipo: es importante convocar y trabajar de manera coordinada con el equipo experto, así como a las partes interesadas, reguladores y clientes para abordar la crisis.
Priorizar la seguridad cibernética: en tiempos de crisis cibernética, es importante priorizar la seguridad cibernética por encima de otros objetivos empresariales y asegurarse de que todos los miembros del equipo estén alineados en torno a estas prioridades, incluso, si esto significa sacrificar temporalmente otras prioridades empresariales.
Tomar decisiones rápidas: en tiempos de crisis, el tiempo es esencial. Es importante tomar decisiones rápidas y efectivas para minimizar los daños y restaurar la normalidad lo antes posible. Para ello será clave contar un enfoque que le permita a la organización estar preparada para la eventualidad de una crisis a través de un enfoque de ciberdefensa.
Los directores de empresas tienen una gran oportunidad de proteger de manera efectiva a sus organizaciones contra las amenazas cibernéticas, no solo para evitar las consecuencias legales, económicas y reputacionales, sino también para no poner en riesgo la continuidad operativa del negocio.
Implementar un marco integral de ciberdefensa que aborde en su totalidad la cadena de valor y el ciclo de vida de su seguridad, le permitirá a la empresa elevar su capacidad de responder y sobreponerse a un ciberataque.
En ese sentido, las empresas deben potenciar e implementar soluciones que mejoren la comprensión de sus riesgos de seguridad actuales, prioricen y maduren los aspectos críticos de su programa de ciberseguridad, identifiquen y cierren brechas de seguridad que aumenten la resiliencia frente a los ciberataques.
En Widefense abordamos la seguridad cibernética de nuestros clientes con un enfoque en ciberdefensa que se centra en diagnosticar el estado de ciberseguridad de la empresa cuantificando sus fortalezas y debilidades. A su vez, definir un plan estratégico y personalizado que eleve la ciber resiliencia y la continuidad del negocio con el fin de proponer acciones para que la empresa optimice su ciberseguridad y adopte una estrategia de ciberdefensa.
Contáctanos y empieza hoy con el cambio estratégico