Actualícese.com
Este artículo fue publicado hace más de un año, por lo que es importante prestar atención a la vigencia de sus referencias normativas.

Juntas directivas: ¿cómo debe ser su papel y participación frente a incidentes de ciberseguridad?


Juntas directivas: ¿cómo debe ser su papel y participación frente a incidentes de ciberseguridad?
Actualizado: 3 enero, 2019 (hace 6 años)

Toda junta directiva debe conocer el perfil de riesgo cibernético organizacional, pero eso no significa que siempre deba tomar decisiones técnicas para mitigar riesgos, sino entender cuáles son los activos críticos, las amenazas relevantes a su entorno y el potencial impacto en el negocio.

Durante los últimos años, el aumento en el nivel de conciencia en materia de ciberseguridad ha llevado a algunas organizaciones a incluir la discusión sobre el tema en la agenda de sus esferas directivas. Así lo confirma KPMG en su publicación Juntas Directivas Eficientes.

En Colombia, según la Encuesta Nacional de Seguridad Informática realizada por la Asociación Colombiana de Ingenieros de Sistemas –Acis–, el 29 % de los encuestados manifiesta que sus niveles directivos entienden y atienden recomendaciones en materia de seguridad. Sin embargo, el alcance, enfoque, lenguaje y profundidad con los que debería tratarse el tema en este nivel no son tan fáciles de definir, haciéndolo complejo, aparentemente irrelevante por su alto contenido técnico y, en ocasiones, abrumador.

«La ciberseguridad requiere atención de directivos y ejecutivos, pero debe ser abordada de manera apropiada, de acuerdo con el tamaño y naturaleza de la organización. Así, los líderes de las organizaciones pueden guiar a los especialistas técnicos en su trayectoria, considerando los elementos más relevantes para el negocio, haciendo las preguntas correctas y tomando decisiones conscientes e informadas», indica KPMG en la publicación.

¿Por qué la ciberseguridad es relevante para una junta directiva?

KPMG indica que la respuesta a esta pregunta se resume en tres tendencias: mayor uso y dependencia de tecnologías de la información y comunicación –TIC–; aumento en la cantidad y gravedad de los incidentes de ciberseguridad ocurridos, y nuevos requerimientos regulatorios aplicables.

«Al existir una mayor dependencia de las organizaciones en las TIC, indudablemente aumentan la posibilidad de ocurrencia y el potencial impacto de daños causados sobre estas. Se estima que el ciberfraude en Colombia cuesta alrededor de un billón de pesos colombianos, y solo en fraudes bancarios, clonación y robo de credenciales, se estima que por cada 10.000 pesos que se muevan por una cuenta, 20 se pierden por fraudes”, indica KPMG.

“No hay dos organizaciones iguales y, por ende, cada una debe ajustar a su medida la gestión de ciberseguridad”

Los inversionistas, el Gobierno y los consumidores esperan cada vez más que las organizaciones demuestren diligencia en materia de ciberseguridad. No hay dos organizaciones iguales y, por ende, cada una debe ajustar a su medida la gestión de ciberseguridad.

Elementos claves para que el involucramiento de la junta sea el adecuado

  • La junta debe tener un entendimiento claro del perfil de riesgo cibernético organizacional. Esto no significa que la junta deba tomar decisiones técnicas para mitigar los riesgos, sino entender cuáles son los activos críticos, las amenazas relevantes a su entorno y el potencial impacto en el negocio.
  • Los principales elementos a considerar para determinar ese nivel de riesgo son: contexto del negocio, amenazas, vulnerabilidades organizacionales, potenciales objetivos de ataque y legislación relevante.
  • La junta directiva debe participar en la determinación del nivel de riesgo que la organización está dispuesta a aceptar y así implementar solo las medidas de seguridad correspondientes.
  • Hacer seguimiento y mantener un flujo de comunicación entre las áreas responsables de la ciberseguridad y la junta directiva, utilizando un lenguaje adecuado para facilitar la toma de decisiones.

«La ciberseguridad es un tema de preocupación para la junta directiva por el potencial impacto que puede tener en el negocio. El número y gravedad de los incidentes de seguridad, así como los entes de supervisión y clientes, contribuyen a la necesidad de incluirla en la agenda directiva. Pero debe ser tratada en la justa medida, según la realidad de la organización y su apetito de riesgo, y con apoyo de indicadores que permitan que la comunicación entre las áreas tácticas y operativas en ciberseguridad y la junta sea efectiva y oportuna», concluye KPMG alrededor de este ítem.

Material relacionado

Descubre más recursos registrándote o logueándote. Iniciar sesión Registro gratuito
,