0

Riesgos de la Ciberseguridad (CS): Es hora de tomarlo en serio

pc_securityAl hacer un paneo por los distintos sectores económicos, se puede evidenciar que existe la necesidad de un enfoque pragmático y reconocido para gobernar el riesgo de CS, teniendo en cuenta que todas las organizaciones son diferentes y, en consecuencia, necesitan establecer una gestión de CS a la medida. Dada la omnipresencia de la CS en los procesos del negocio, esto impactará en todas sus áreas, incluyendo estrategia, desarrollo de negocios, cadena de suministros, personal y atención al cliente. Dicho de otra manera, no es conveniente que el gobierno de la CS instaure normas rígidas, más bien debe adoptar un enfoque basado en principios genéricos de un marco de aceptación general,  pero adaptándolos a las necesidades internas de la empresa.

Este año, la Global Investor Survey de 2017 de PwC, revelo que más de 550 especialista en análisis de inversiones dieron su opinión sobre las amenazas y oportunidades que enfrentan las empresas, teniendo que un 73% de los encuestados identificaron las amenazas de la CS como un área de preocupación. Con el fin de ayudar a las juntas directivas e inversionistas, el equipo de PwC, ha propuesto 7 principios para el gobierno de la CS, los cuales se detallan a continuación:

  1. Comprensión real de la exposición: Muchas organizaciones no entienden por qué pueden ser objetivo y cómo un ataque exitoso podría impactarlos; el entendimiento debe extenderse más allá de la empresa, este debe reflejar las relaciones que podrían convertirlas en un objetivo como: proveedores de servicios, socios, servicios en la nube, fuentes de datos críticos, personal y clientes, etc. Construir esta comprensión y asegurar que se mantenga actualizada es fundamental.
  2. Capacidad y recursos adecuados: Para que la CS sea eficaz se requiere de recursos capacitados y dotados de insumos adecuados, que permitan garantizar la seguridad en la organización. El papel activo del CEO, es fundamental y crítico. Para que las Juntas Directivas sean eficaces deben tener suficiente capacidad para investigar y profundizar en los detalles, apoyándose en un subcomité de personal no ejecutivo capacitado y con experiencia adicional.
  3. Marco y enfoque holístico: Un enfoque holístico para la gestión de la CS necesita no sólo construir y operar controles efectivos de CS, sino también debe reducir la complejidad de la tecnología y el estado de los datos a los que se aplican esos controles (dentro y fuera de la organización). Marcos reconocidos, como los publicados por el NIST y la ISO, pueden ayudar a definir los controles de la CS requeridos, pero adoptar un enfoque más amplio es crítico.
  4. Revisión y prueba independiente: Las Juntas requieren validación y pruebas independientes de su gestión de la CS. Esto es posible mediante la revisión por expertos independientes de marcos y enfoques de CS e incluso certificaciones de elementos específicos.
  1. Preparación ante el incidente: Los incidentes de CS son inevitables. La gobernabilidad del riesgo de la CS es importante, pero la gobernabilidad efectiva cuando el riesgo se materializa es crítica. Garantizar que existen planes centrados y practicados para responder y recuperarse de los escenarios más probables es esencial. Estos deben considerar no sólo la resolución técnica, sino también la gestión empresarial, la gestión de la reputación y la gestión del riesgo legal y regulatorio.
  1. Considerado el enfoque del entorno legal y regulatorio: Mundialmente la CS atraviesa un entorno legal y regulatorio cada vez más complejo. La regulación de la industria, los regímenes de protección de datos, la legislación de seguridad nacional, los requisitos de presentación de informes y la responsabilidad por productos son algunos ejemplos de ambientes legales y regulatorios que deben ser entendidos.
  1. Contribución activa de la comunidad: Ninguna organización puede protegerse en aislamiento. Los atacantes suelen corromper una organización con el fin de atacar a otro, y replicar técnicas de ataque con éxito rápidamente. Por lo tanto, la colaboración es esencial: entre organizaciones dentro de los sectores.

CBS1

Luis Alfredo Espejo – Gerente Risk Assurance Services (RAS) de PwC Venezuela

 

Ordenado por: De interés y curiosidades Tags: ,

Contenidos recomendados...

Comparta esta publicación

Artículos relacionados

Escriba su comentario

Ud. tiene que estar conectado para publicar comentarios.

Red de publicaciones IDG en Latinoamérica: Computerworld Ecuador - Computerworld Colombia - CIO Perú // Contáctenos
© 2017 Computerworld Venezuela - All rights reserved ---- WordPress - Tema adaptado por GiorgioB