Estar cómodo con el programa de seguridad cibernética de su empresa no es sólo cuestión de poder responder a preguntas como: «¿Tiene nuestra organización la estructura de gobierno adecuada?» o «¿Tiene nuestra empresa el personal adecuado para hacer frente a los principales riesgos?»
Más bien, es ser capaz de responder a preguntas como: «¿Estamos pensando en la seguridad de la manera correcta, y hacia dónde va todo esto?» y «¿Cómo sé que estamos bien en términos de ciberseguridad, y qué debería estar viendo que me haga sentir razonablemente cómodo de que estamos en buena forma?»
El sistema inmunológico humano proporciona una analogía apropiada. Cuando un germen rompe las barreras naturales del cuerpo, monta una defensa de tres pasos: Suena la alarma, resuelve el problema, luego se recupera y recuerda.
La eficacia de una defensa de seguridad cibernética, como la del sistema inmunológico, depende de que cada componente cumpla eficientemente su función. Aquí hay tres pasos que debes tomar para prevenir los ataques:
1. Suena la alarma
En cualquier sistema de seguridad, cuando se traspasan los límites de la empresa, suena una alarma. El problema es que la mayoría de los profesionales de la contabilidad no saben cuáles son sus activos de alto valor, qué está conectado y comunicándose con ellos y cómo alguien podría acceder a ellos. Es importante entender primero el entorno que se intenta proteger para mejorar los procesos de detección y respuesta.
De manera similar a un ataque a su computadora personal, los primeros signos de un problema son generalmente las conexiones lentas. Éstas suelen ser el resultado de los ataques de denegación de servicio (DoS), que se dirigen a los sistemas con una avalancha de solicitudes de datos que sobrecargan rápidamente los servidores y las redes. En las empresas que son objeto de un ataque específico, se envían correos electrónicos al personal que falsifica el nombre del remitente para que parezca que el correo electrónico procede de una fuente de confianza. Estos tienen malware adjunto que un usuario desprevenido podría descargar a su computadora.
La vigilancia constante es crítica, así como los indicadores de alerta temprana y las múltiples capas de defensa. Su empresa ya debería haber desarrollado – y estar monitoreando – medidas internas de calificaciones de seguridad cibernética y métricas externas, como la efectividad de la capacitación, los niveles de sofisticación del personal y la publicidad negativa de la seguridad cibernética. Además, ningún individuo debería ser el único responsable de la gestión de estos procesos. Un equipo es menos vulnerable a que se le pase algo por alto y a que se dañe mortalmente la empresa.
Muchas empresas optan ahora por subcontratar aspectos de su infraestructura de tecnología de la información y muchos equipos creen que su proveedor o proveedores de servicios tecnológicos son los responsables del control de los datos. Si este es el caso, usted tiene un problema: en pocas palabras, cuando se trata de la seguridad, ya sea en las instalaciones o en la Nube, su organización es responsable de todos sus datos, no los proveedores de servicios de terceros que usted utiliza.
El personal directivo superior debería exigir un proceso de examen independiente de la seguridad cibernética con carácter anual, de manera muy similar a como se solicitaría un examen físico anual a un médico experto. (Este año, también comprobaría si la organización puede hacer frente a las nuevas normas europeas de protección de datos de la GDPR y si se están realizando inversiones en la gestión de datos para aprovechar los beneficios de la inteligencia artificial).
2. Resolver el problema
Las empresas deben gestionar la ciberseguridad a nivel de empresa y deben mejorar continuamente la capacidad de cada elemento -gestión de línea, operaciones, auditoría interna, riesgo y cumplimiento- para cumplir las funciones individuales y organizativas. Hay que comprobar que todos tiran en la misma dirección, compartiendo las mismas prioridades y haciendo las compensaciones adecuadas.
Las conversaciones sobre la gestión de la seguridad cibernética con el funcionario responsable de la empresa deben asignarse con regularidad y con tiempo suficiente en las reuniones. La dirección debe definir qué es un comportamiento apropiado, así como reconocerlo y recompensarlo.
3. Recuperar y recordar:
Un programa efectivo de gestión de riesgos cibernéticos incluye una planificación cuidadosa, una delegación inteligente y un sistema de control de cumplimiento, todo lo cual los líderes de las empresas deben poseer. Cuando las cosas van mal, ya sea de forma mayor o menor, la capacidad de identificar y responder rápidamente a un problema determinará la recuperación final de la empresa. El programa de resistencia cibernética de su organización debe reunir las áreas de seguridad de la información, continuidad del negocio y resistencia organizacional. Recordar y aprender de los eventos son las últimas piezas críticas de la ciberseguridad. Compruebe que se realicen autopsias para cada uno de los incidentes. A continuación, facilite los debates sobre las lecciones aprendidas y las formas de cultivar las mejores prácticas.
Los directores y la alta gerencia deben tener sus narices – no sus dedos – en la ciberseguridad. Deberían sentirse cómodos con las respuestas que escuchan a las siguientes preguntas:
¿Estamos pensando en la seguridad de la manera correcta?
-¿Qué bienes son más valiosos?
-¿Tenemos la estrategia correcta en cuanto a la seguridad?
-¿Tenemos el liderazgo adecuado?
-¿Dónde estamos en relación con las mejores prácticas?
¿A dónde va todo esto?
-¿Cuáles son nuestros riesgos/desafíos futuros?
-¿Qué externalidades deberíamos monitorear?
-¿Tenemos las prioridades correctas? ¿Estamos construyendo el talento y haciendo las inversiones/tradeo correctas para enfrentar los desafíos?
¿Cómo sé que estamos bien?
-¿Tenemos claridad/consistencia en toda la organización?
-¿Estamos midiendo las cosas correctas de la manera correcta?
-¿Estamos construyendo la cultura correcta?
-¿Tenemos algún agujero en nuestro sistema inmunológico?
Es posible que la mayoría de los profesionales de la contabilidad -especialmente los que no tienen formación técnica- nunca se sientan del todo cómodos con la seguridad cibernética. Y tal vez eso es algo bueno. Tal vez estimule una mayor diligencia debida, que en última instancia conduzca a mayores salvaguardias.
Sin embargo, mientras la organización cuente con un sistema ciberinmune sólido, puede sentirse razonablemente cómodo de que su empresa esté pensando en la seguridad cibernética de manera correcta y tomando las medidas adecuadas para proteger la empresa.
Artículos relacionados
Cómo asegurar su software basado en la nube
Cómo el phishing por correo electrónico puede arruinar su práctica