Saltar al contenido

Cómo establecer una gobernanza eficaz

El bienestar cibernético consiste en tomar medidas preventivas en múltiples dimensiones de la defensa cibernética y permitir un gobierno efectivo además de responder a las amenazas y ataques.

El primer paso es designar un socio principal que sea el responsable de la seguridad cibernética de toda la empresa. En la gestión diaria de la tecnología o en una crisis, es mucho mejor tener un líder hábil que un experto en la materia. En la elección de la persona adecuada, sus habilidades de liderazgo – comunicación y gestión de crisis – son igualmente importantes.

Cómo establecer una gobernanza eficaz
Cómo establecer una gobernanza eficaz

El riesgo cibernético no se maneja en un silo. Los debates sobre el bienestar cibernético deben formar parte de todos los procesos de gestión, como la aprobación de nuevos productos, la diligencia debida en materia de fusiones y los acuerdos de subcontratación con terceros. Si aún no lo han hecho, es necesario hacerlo:

1.Realizar auditorías de ciberseguridad

La auditoría interna de una empresa de contabilidad desempeña un papel fundamental para ayudar a las organizaciones a gestionar las amenazas cibernéticas, ya que proporciona una evaluación independiente de los controles existentes y necesarios, y ayuda a los directivos superiores de la empresa a comprender y abordar los muy diversos riesgos del mundo digital actual. Cabe destacar varios factores cuando los profesionales de la auditoría interna consideran y realizan una evaluación de la seguridad cibernética:

– Involucrar a las personas con la experiencia y habilidades necesarias. Es fundamental involucrar a profesionales de la auditoría con la profundidad apropiada de habilidades técnicas y conocimientos del entorno de riesgo actual. Un profesional de la auditoría orientado a la tecnología y versado en el mundo cibernético puede ser un recurso indispensable.

– Evaluar todo el marco de seguridad cibernética en lugar de escoger los artículos. Esta evaluación supone comprender el estado actual en relación con las características del marco, hacia dónde se dirige la organización y las prácticas de seguridad cibernética mínimas esperadas en todo el sector industrial o empresarial. La evaluación inicial debería servir de base para realizar exámenes más exhaustivos. No pretende ser un análisis exhaustivo que requiera pruebas exhaustivas. Más bien, la evaluación inicial debería impulsar exámenes profundos adicionales de la ciberseguridad basada en el riesgo.

2. Desarrollar políticas fuertes y detalladas respaldadas por un entrenamiento y desarrollo continuo de la fuerza de trabajo

Las empresas de contabilidad deben asegurarse de que los empleados comprenden la amplia variedad y la naturaleza siempre cambiante de las amenazas cibernéticas y cómo sus propias acciones pueden ayudar a salvaguardar los activos de la empresa. Las investigaciones indican que dos tercios de los ciberataques exitosos son directamente atribuibles a las acciones (o inacciones) de los empleados.

Por lo tanto, mejorar la conciencia de los empleados sobre la exposición a riesgos es fundamental para fortalecer la ciberresistencia general de su organización. Cualquier mejora mensurable en la conciencia de los empleados, a través de iniciativas como la ludopatía y la capacitación continua de naturaleza operativa, sería muy beneficiosa para la capacidad de su organización de proteger y responder a un incidente cibernético.

Desafortunadamente, la mayoría de los empleados no están interesados en su propia seguridad digital personal, mucho menos en la de su compañía. Históricamente, cualquier cosa que tenga que ver con la seguridad informática fue mantenida lejos de los usuarios por los equipos informáticos. ¿Es de extrañar, entonces, que los usuarios muestren poco o ningún interés en la ciberseguridad de su empresa? Por lo tanto, cambiar la cultura corporativa de su organización para fortalecer la ciberseguridad es muy difícil. Requiere un cambio de paradigma que siga el ritmo de la evolución de las ciberamenazas.

Si lo piensas, los usuarios deberían ser la primera línea de la seguridad de los datos. Después de todo, ellos son los que crean y manejan la información. Por lo tanto, están en la mejor posición para entender su valor.

El personal directivo superior debería aplicar programas interactivos de capacitación y rendición de cuentas que se relacionen con los usuarios. La formación moderna basada en juegos, con un seguimiento para ver cómo los usuarios y los empleados aplican su formación, puede transformar la cultura de una empresa en una en la que la ciberseguridad sea el trabajo de todos.

Cultivar y fomentar un entorno de aprendizaje continuo, que incluya una capacitación pertinente y memorable e instrumentos para apoyar una sólida higiene cibernética, que abarquen desde protocolos de contraseñas hasta campañas contra la suplantación de identidad (phishing) y políticas de “traiga su propio dispositivo”. Además, es esencial que se cree un entorno seguro en el que se aliente a los empleados de todos los niveles a señalar las debilidades y vulnerabilidades, sin preocuparse de que el mensajero sea asesinado.

Los empleados necesitan saber que se les reconoce y recompensa cuando identifican un riesgo no mitigado o una amenaza emergente. Quieres que te traigan “malas noticias” – porque no puedes prevenir o arreglar vulnerabilidades si no sabes que existen. Elogia y agradece a los mensajeros – no los mates.

3.Implementar procesos de gestión para todos los proveedores y vendedores de terceros

Los terceros pueden tener un impacto en el entorno operativo. Sin embargo, las empresas de contabilidad no suelen estar tan sensibilizadas a los riesgos de seguridad cibernética de terceros como lo están a sus propios negocios, aunque los terceros pueden crear los mismos efectos adversos a largo plazo.

Por ejemplo, el intercambio de datos y la comunicación entre la empresa de contabilidad y sus proveedores ya no controla plenamente las operaciones internas de la empresa, ya que estas partes externas crean nuevos puntos de entrada en el entorno tecnológico de la empresa, lo que añade complejidad y potencial de volatilidad al entorno operativo.

Los fundamentos para un programa de terceros deben incluir:

– exposiciones de terceros priorizadas en función del riesgo (incluido el cibernético) para la organización,

– herramientas de evaluación claras para la incorporación de cualquier nueva relación,

– procesos de vigilancia continuos y ajustados a los riesgos para evaluar el cumplimiento de las condiciones contractuales y la realización de pruebas conjuntas de recuperación en caso de desastre con los proveedores de servicios primarios.

Pueden (y deben) emplearse consideraciones jurídicas y otras consideraciones prácticas para dividir y mitigar el riesgo. Sin embargo, el riesgo -sin importar dónde se origine- volverá a la empresa de contabilidad en tiempos de crisis o estrés. Los clientes, tanto corporativos como individuales, siempre buscarán en la empresa de contabilidad con la que están haciendo negocios explicaciones y alivio cuando surjan problemas.

Sentirse razonablemente seguro sobre el programa de seguridad cibernética de su compañía no es sólo cuestión de poder responder a preguntas como: “¿Tiene nuestra organización la estructura de gobierno adecuada?” Más bien, es ser capaz de responder a preguntas más grandes, como: “¿Estamos pensando en la seguridad de la manera correcta, y hacia dónde va todo esto?”

Al ser proactivo en su enfoque del bienestar cibernético, se mantendrá a sí mismo, a sus clientes y a sus empleados tan seguros como sea posible.