Que tiene que tener en cuenta el consejo de administración sobre el CIBER RIESGO

Una de las cuestiones de cumplimiento más difíciles de determinar es la responsabilidad del Consejo de administración en el riesgo cibernético o de tecnología de la información. En las entidades financieras, al establecer y definir una tolerancia al riesgo se piensa sobre todo en la riesgo crédito, pero no en el cibernético, ya que es una cuestión eminentemente técnica, y algo que el Consejo no ejecuta, ni de lo que tiene –en general- conocimiento suficiente para tomar decisiones, a diferencia de otras áreas de actividad del banco. Igual ocurre en empresas no financieras, donde se tiene conocimiento de riesgos que afectan a la actividad concreta de la empresa, pero no de los cibernéticos y relacionados con datos. Por ejemplo, una compañía de aviación considera el riesgo de un accidente por fallo del avión, y menos las consecuencias de un problema informático de gran envergadura; es verdad que el primer riesgo afecta a vidas humanas, pero el segundo puede suponer un perjuicio muy grave para los pasajeros y para la empresa.

Business, Technology, Internet and network concept. Young businessman working on a virtual screen: Security

Cuáles serían las mejores prácticas en la ciber-gobernanza

En Estados Unidos se ha prestado gran atención al tema, por parte de las asociaciones empresariales, los supervisores del mercado de valores (en defensa del accionistas), e instituciones que tratan de crear estándares y armonizados, que sirvan de guía a las decisiones sobre tecnología.  Hay una enorme judicialización sobre cualquier asunto, motivo por el que las decisiones sobre tecnología se tratan de proteger con procedimientos de mejores prácticas que al menos atenúen las consecuencias legales de un fallo.

Los estándares cubren, entre otros: controles de seguridad, gestión del riesgo informático, protección de información sobre personas y empresas, y sistemas de control, en sentido amplio, sobre continuidad en el servicio, seguridad de redes, relaciones con terceros, y capacidad de respuesta a un incidente.

A este último aspecto se le da mucha importancia. Los estándares deben resultar apropiados paras las características de la empresa que se trate, y se adaptan a las nuevas amenazas, la innovación tecnológica y los requerimientos sobre el alcance del programa de seguridad de la empresa, y es una base objetiva sobre la que auditarlo. Se articula sobre siete principios:

  1. Seguridad que se establece sobre el sistema completo de información, incluyendo negocio, informática, sistemas físicos y lógicos.
  2. Adoptar un enfoque basado en el riesgo, lo cual es algo que va en línea con las ideas que pone siempre juntos gobernanza y riesgo. Hay que considerar riesgo del negocio y la competitividad de la empresa; por ejemplo el riesgo de aceptar “overbooking” en empresas del sector turístico; o de relajar los estándares para la concesión automática de crédito en entidades financieras. Otras cuestiones de riesgo serían las obligaciones de cumplimiento, riesgos de reputación, interpretación del negocio, y pérdidas financieras. Este enfoque del riesgo requiere asignar los recursos necesarios.
    La gobernanza de la ciberseguridad podría hacerse incluyéndola en un comité de riesgos, ya que es un riesgo más que puede integrarse en la planificación y gestión de los riesgos de la empresa.
  1. Hay que evitar que el Consejo se vea inundado por detalles técnicos, que le hagan perder de vista los riesgos principales que hay que gestionar. Es importante determinar qué flujo de información debe recibir con estas dos ideas: identificar vulnerabilidades, y la información que se necesita en relación a las mismas.
  2. Establecer una guía sobre las decisiones de inversión en seguridad de la información, teniendo en cuenta el punto de partida y los procesos que ya hay, así como las experiencias que se han sufrido, y si los nuevos retos que presenta el negocio tienen implicaciones de seguridad informática.
  3. Asegurarse que lo que se haga sobre seguridad cibernética se corresponde con los requerimientos internos y externos actuales, y auditar de forma rutinaria el cumplimiento de los mismos, desde esta perspectiva.
  4. Promover un entorno de actitud positiva hacia la seguridad. Hay que conocer el comportamiento habitual de los usuarios y cómo se acomodan a las medidas de seguridad. El tono que se establezca en la empresa sobre seguridad es aún más importante que medidas de control que, de una forma u otra, siempre fallan.
  5. El resultado de la seguridad informática o cibernética hay que verlo en la relación con los requisitos del negocio; la interacción entre ambos es fundamental para mejorar la seguridad, y la eficiencia en el negocio.

Cómo podría relacionarse la responsabilidad del Consejo con la del consejero delegado y los ejecutivos

Una relación de mejores prácticas para ciber-gobernanza en relación con los apartados anteriores

Lo que sigue se entiende adoptando un criterio de proporcionalidad, dependiendo del tamaño y complejidad de la empresa, y tipo de negocio.

A. Por parte del Consejo

  1. Establecer un grupo de trabajo dentro del comité de riesgos con personas que no sean sólo de informática.
  2. Identificar las ciber-vulnerabilidades claves asociadas con las operaciones principales de la empresa.
  3. Identificar aquellas líneas de seguridad que, primero los ejecutivos y luego el Consejo, deben vigilar; cuál es la información que se requiere para ello.
  4. Identificar exposiciones legales y de cumplimiento de los datos y sistemas de tecnología de la información.
  5. Establecer el tono dentro de la empresa sobre la necesidad de confidencialidad y seguridad como máximas prioridades; aprobar las correspondientes políticas al respecto.
  6. Asegurarse que la función de seguridad informática está separada –y con poderes- de la función de tecnología de la información.
  7. Revisar, discutir y aprobar presupuestos adecuados de ciber-seguridad.
  8. Revisar los resultados anuales del control del ciber-riesgo, la calidad del programa de riesgos, y mejorarlo continuamente.
  9. Tener un buen asesor que puede en su caso informar al presidente o al consejo de cambios en las amenazas; asesore en cuestiones de gobernanza, y sea útil en caso de un incidente de importancia.

B. Por parte de los directivos

  1. Entender las estrategias, objetivos y necesidades de ciber-seguridad para datos y tecnología de la información.
  2. Tener un inventario de activos: datos, aplicaciones, equipos, con responsabilidades y niveles de riesgo.
  3. Mantener al día los requisitos legales a cumplir.
  4. Evaluar la seguridad de comerciales y proveedores (de productos informáticos y otros).
  5. Alinear el programa de ciberseguridad con las mejores prácticas y el estándar que mencionábamos al principio, como guía.
  6. Asegurarse que los controles están determinados y las métricas bien calculadas y definidas.
  7. Llevar a cabo una simulación de riesgo para un caso que pueda producirse, y cómo se gestionaría.
  8. Formalizar cómo se acomodan los objetivos de negocio con requerimientos de seguridad y legales. Detectar y prevenir prácticas no autorizadas.
  9. Ver qué sistemas de datos e informáticos responden mejor a un problema cibernético; por ejemplo, sistemas integrados, pero compartimentados.
  10. Dentro de la formación y entrenamiento del personal incluir horizontalmente –no tiene que ser una materia, sino estar presente en toda la formación- el cumplimiento con las normas de seguridad.
  11. Detectar cambios e innovaciones que pueden ser amenazas o recursos, y también en las operaciones, que hagan necesario mejorar la seguridad.

Ideas finales

  1. Las mejores prácticas y adoptar los estándares de cumplimiento más adecuados para la empresa, requieren hoy día que el Consejo de administración ejerza una buena gobernanza sobre los programas de ciber-seguridad y los riesgos asociados.
  2. La organización de las operaciones, arquitectura de sistemas, políticas y procedimientos a seguir, cambios a realizar en la cultura de la empresa, y en fin la gestión del riesgo cibernético, tenemos que hacerlo adaptado a las necesidades de nuestra empresa, las medidas disponibles, y la forma de nuestro negocio. Esto no quita para que haya que dotarse con los recursos materiales y humanos necesarios.
  3. El Consejo debe conocer cuáles son las mejores prácticas, y cómo pueden estandarizarse, para la gobernanza del riesgo cibernético, cuál es el papel que le corresponde al Consejo, y cuál a los directivos en la gestión de este riesgo

 

Globalfinaz te permite calcular el precio de un seguro de riesgos ciberneticos de forma online en el siguiente enlace. https://www.responsabilidadconsejerosydirectivos.com/calcular-seguro-riesgos-ciberneticos/. El Seguro de riesgos ciberneticos esta diseñado para responder antes las diferentes modalidades de ciberriesgos no cubiertos por los seguros tradicionales de responsabilidad civil y daños propios.

Calcular seguro riesgos cibernéticos

Te ayudamos a gestionar un ataque de forma rápida y eficaz – Tarifica tu seguro de riesgos cibernéticos en 1 minuto

Calcula ahora tu seguro

Completa los siguientes datos.
A continuación te mostraremos precio.

Este campo es requerido.
Este campo requiere nueve números.
Este campo requiere un correo válido.
Este campo es requerido.
Este campo es requerido.
Este campo es requerido.
Acepto la nota legal y RGPD
Por favor, lea y acepte el aviso legal y RGPD.

Seguro diseñado para responder ante las diferentes modalidades de ciberriesgos no cubiertos por los seguros tradicionales de responsabilidad civil y daños propios

Porque no todos los riesgos son iguales… coberturas adaptadas a las necesidades de cada empresa

¿Necesitas más información?

Ponte en contacto con nosotros para cualquier aclaración que necesites

Formulario de Contacto

Recibe nuestros artículos en tu correo

  • No enviamos nunca SPAM
  • No daremos tu correo a nadie
  • No recibirás publicidad de ningún tipo
  • Solo recibirás las noticias que se publiquen aquí

Nombre *

Email *