Juntas directivas: ¿cómo debe ser su papel y participación frente a incidentes de ciberseguridad?

  • Comparte este artículo:
  • Publicado: 3 enero, 2019

Juntas directivas: ¿cómo debe ser su papel y participación frente a incidentes de ciberseguridad?

Toda junta directiva debe conocer el perfil de riesgo cibernético organizacional, pero eso no significa que siempre deba tomar decisiones técnicas para mitigar riesgos, sino entender cuáles son los activos críticos, las amenazas relevantes a su entorno y el potencial impacto en el negocio.

Durante los últimos años, el aumento en el nivel de conciencia en materia de ciberseguridad ha llevado a algunas organizaciones a incluir la discusión sobre el tema en la agenda de sus esferas directivas. Así lo confirma KPMG en su publicación Juntas Directivas Eficientes.

En Colombia, según la Encuesta Nacional de Seguridad Informática realizada por la Asociación Colombiana de Ingenieros de Sistemas –Acis–, el 29 % de los encuestados manifiesta que sus niveles directivos entienden y atienden recomendaciones en materia de seguridad. Sin embargo, el alcance, enfoque, lenguaje y profundidad con los que debería tratarse el tema en este nivel no son tan fáciles de definir, haciéndolo complejo, aparentemente irrelevante por su alto contenido técnico y, en ocasiones, abrumador.

«La ciberseguridad requiere atención de directivos y ejecutivos, pero debe ser abordada de manera apropiada, de acuerdo con el tamaño y naturaleza de la organización. Así, los líderes de las organizaciones pueden guiar a los especialistas técnicos en su trayectoria, considerando los elementos más relevantes para el negocio, haciendo las preguntas correctas y tomando decisiones conscientes e informadas», indica KPMG en la publicación.

¿Por qué la ciberseguridad es relevante para una junta directiva?

KPMG indica que la respuesta a esta pregunta se resume en tres tendencias: mayor uso y dependencia de tecnologías de la información y comunicación –TIC–; aumento en la cantidad y gravedad de los incidentes de ciberseguridad ocurridos, y nuevos requerimientos regulatorios aplicables.

«Al existir una mayor dependencia de las organizaciones en las TIC, indudablemente aumentan la posibilidad de ocurrencia y el potencial impacto de daños causados sobre estas. Se estima que el ciberfraude en Colombia cuesta alrededor de un billón de pesos colombianos, y solo en fraudes bancarios, clonación y robo de credenciales, se estima que por cada 10.000 pesos que se muevan por una cuenta, 20 se pierden por fraudes”, indica KPMG.

“No hay dos organizaciones iguales y, por ende, cada una debe ajustar a su medida la gestión de ciberseguridad”

Los inversionistas, el Gobierno y los consumidores esperan cada vez más que las organizaciones demuestren diligencia en materia de ciberseguridad. No hay dos organizaciones iguales y, por ende, cada una debe ajustar a su medida la gestión de ciberseguridad.

Elementos claves para que el involucramiento de la junta sea el adecuado

  • La junta debe tener un entendimiento claro del perfil de riesgo cibernético organizacional. Esto no significa que la junta deba tomar decisiones técnicas para mitigar los riesgos, sino entender cuáles son los activos críticos, las amenazas relevantes a su entorno y el potencial impacto en el negocio.
  • Los principales elementos a considerar para determinar ese nivel de riesgo son: contexto del negocio, amenazas, vulnerabilidades organizacionales, potenciales objetivos de ataque y legislación relevante.
  • La junta directiva debe participar en la determinación del nivel de riesgo que la organización está dispuesta a aceptar y así implementar solo las medidas de seguridad correspondientes.
  • Hacer seguimiento y mantener un flujo de comunicación entre las áreas responsables de la ciberseguridad y la junta directiva, utilizando un lenguaje adecuado para facilitar la toma de decisiones.

«La ciberseguridad es un tema de preocupación para la junta directiva por el potencial impacto que puede tener en el negocio. El número y gravedad de los incidentes de seguridad, así como los entes de supervisión y clientes, contribuyen a la necesidad de incluirla en la agenda directiva. Pero debe ser tratada en la justa medida, según la realidad de la organización y su apetito de riesgo, y con apoyo de indicadores que permitan que la comunicación entre las áreas tácticas y operativas en ciberseguridad y la junta sea efectiva y oportuna», concluye KPMG alrededor de este ítem.

Material relacionado

$199.000 /año

Quiero suscribirme

Recursos digitales PREMIUM: Análisis y Casos prácticos exclusivos.

Contenidos gratuitos sin límite

Boletín Diario

Modelos y formatos

Especiales Actualícese

Descuentos del 15% en capacitaciones propias

Descuentos del 15% en publicaciones impresas de la editorial actualícese

$399.000/año

Quiero suscribirme

Todos los beneficios de la Suscripción Básica

+

Descuentos del 30% en capacitaciones propias

Descuentos del 30% en publicaciones impresas de la editorial actualícese

Revista Actualícese (Digital)

Cartilla Actualícese (Digital)

Libro blanco en versión digital de impuesto de renta de personas naturales

Libro blanco en versión digital de información exógena

Libro blanco en versión digital de cierre contable y conciliación fiscal

Libro blanco en versión digital de Retención de la fuente

$999.000/año

Quiero suscribirme

Todos los beneficios de la Suscripción Oro

+

Descuentos del 50% en capacitaciones propias

Descuentos del 50% en publicaciones impresas de la editorial actualícese

54 Sesiones de Actualización en el año en temas tributarios, contables, laborales, comerciales y de auditoría y revisoría fiscal

Capacitaciones en línea seleccionadas

Si deseas tener más información sobre nuestras suscripciones haz click
AQUÍ