El creciente número de ciberataques a empresas ha conseguido que esta temática haya escalados posiciones rápidamente en la agenda de los Consejos de Administración.
Un ataque de estas características puede ocasionar un daño irreparable en el negocio, dañando la reputación y y la imagen tanto de la empresa como de las personas que conforman el órgano de Gobierno. Además, la regulación actual se ha focalizado principalmente en aumentar la responsabilidad en el cumplimiento de normas y mostrar transparencia en todo momento.
El Modelo de Gobierno de la Ciberseguridad tiene como principal objetivo facilitar la gestión de seguridad, así como aprovechar al máximo sus recursos y mejorar la toma de decisiones por parte de todos los estamentos en la organización. Es importante recalcar que una protección eficiente solo se puede llevar a cabo si se implantan estrategias adecuadas y se cuidan las necesidades acordes con cada negocio.
Este Gobierno tiene cuatro principales propósitos:
1.Alineamiento de propósitos
Los objetivos de la organización en línea con la estrategia de seguridad, proporciona un entorno seguro en el crecimiento del negocio.
La definición de una estrategia de seguridad alienada con las metas de la organización establecerá las líneas para mantener el desarrollo del negocio en un entorno seguro.
2. Gestión de la operativa seguridad
Definir con claridad las responsabilidades y obligaciones de los distintos interesados es el pilar para integrar la ciberseguridad en la estructura de la organización. Y será el Consejo el encargado de promover y aprobar las diversas responsabilidades de cada línea de defensa.
3. Control de la seguridad
Para que la integración de la ciberseguridad en una entidad se realice de forma exitosa, el responsable correspondiente debe tener a su disposición los mecanismos y facilidades para poder establecer una adecuada gestión de la demanda, de los proyectos asociados a ciberseguridad y de las relaciones con terceras partes involucradas en los procesos de negocio. Esto permite al Consejo asegurarse de que el nivel de seguridad –a lo largo del ciclo de negocio de la entidad– es adecuado.
4. Gestión y reporte de la seguridad
Este último propósito es clave ya que es imprescindible que el Consejo pueda tomar decisiones basadas en información precisa para que el resto de puntos citados se puedan llevar a cabo con éxito. Por ello, es necesario el uso de un mecanismo de reporting eficaz para poder cumplir con la estrategia de seguridad establecida en la organización.
El número de ciberamenzas cada vez afecta en mayor magnitud a las organizaciones debido al incremento y complejidad de los ciberataques. Pero un ataque no solo tiene consecuencias en las entidades, sino que también incide en aquellas personas con mayor responsabilidad dentro de ellas.
La regulación actual, promovida por la Unión Europea, apuesta por incrementar la responsabilidad de las entidades para garantizar y demostrar el cumplimiento de las normas, así como la transparencia, tanto en la publicación de ciberincidentes como en las brechas de seguridad. Por su parte, la SEC (Security and Exchange) está incluso evaluando la necesidad de que dentro del Consejo de entidades cotizadas haya al menos un miembro experto en ciberseguridad.
El Consejo de Administración debe apoyarse en estas tres palancas para ser más efectivo en materia de seguridad.