Ciberseguridad empresarial: ¿cuál es el papel de los directivos en ella?

La seguridad informática dejó de ser una responsabilidad única de las áreas TI para convertirse en un asunto de importancia para todos los eslabones de una empresa. Te contamos por qué.

Bajo el actual contexto mundial, las tecnologías de la información se han convertido en parte vital de la estructura, desarrollo y desempeño de todas las empresas inmersas dentro del mercado global.

Por eso, la necesidad de implementar un plan de seguridad interna, externa y perimetral, se convierte en una política que no solo debe ser liderada por las áreas especializadas en el tema, sino que deben convertirse en pilares que se desarrollen e impulsen desde las esferas más altas de las organizaciones.

Esto implica que la importancia de la ciberseguridad al interior de una empresa no puede seguir siendo simplemente relegada a los gerentes de las áreas TI o demás encargadas.

También debe estar en manos de los directivos, debido a que las pérdidas, tanto económicas como operativas, o incluso de reputación de las mismas, pueden desencadenarse por el descuido de este conjunto de medidas.

Te puede interesa leer: conoce SEM (security event manager)

¿Por qué los directivos son importantes para la ciberseguridad empresarial?

La importancia de la proactividad y compromiso por parte de los directivos frente a este tema, generan hoy en día la diferencia entre resultados óptimos o no, frente a estas amenazas y riesgos.

Desafortunadamente hoy en día, este tema sigue sin ser relevante para muchos directivos y de allí surge la necesidad de establecer parámetros, al igual que lineamientos claros que deben ser abordados por estos líderes en su ejercicio diario.

Por consiguiente, uno de los principales temas a considerar, es el desconocimiento de los mismos frente a qué es la ciberseguridad. 

Solía entenderse de manera básica o primaria, bajo un concepto de protección de datos; reduciéndose simplemente a una preocupación en términos de filtración de información. 

Sin embargo, los cambios que ha generado la nueva era de digitalización de procesos y operaciones han aumentado el panorama en términos de amenazas a las que las empresas se encuentran expuestas. 

De allí la importancia de que, desde la dirección, se tenga claro a qué se enfrentan las organizaciones en estos términos, con el fin de minimizar consecuencias negativas para las mismas.

Lee también: con SEM cumples la normal ISO 27001

Rol de los directivos en la ciberseguridad de una empresa

Bajo el pilar de que la función de los directivos es que las empresas se encuentren lo mejor preparadas posible y tengan establecido un plan para este fin, es necesario que estos tengan un papel activo ejerciendo supervisión y apoyo.

Esto no implica que deban crear como tal el plan de seguridad informática, ya que existen hoy en día muchas opciones y marcos que ayudan a las organizaciones con la creación de una estrategia de ciberseguridad que proporcione una buena base y estructura, haciendo englobe de los aspectos fundamentales para establecer controles, procesos y procedimientos.

No obstante, sí deben considerar de suma importancia el establecimiento de dicho marco que les brinda las herramientas a las empresas para poder mitigar efectos negativos como consecuencia de un ataque.

Los directivos deben garantizar que este plan exista, ya que es clave para identificar, proteger, detectar, responder y establecer formas de recuperación frente a estas agresiones que fácilmente afectan la operación y los resultados óptimos de las empresas y se verá representado en los resultados y objetivos a nivel macro.

Trabajo conjunto entre el área TI: un reto de los directivos para la ciberseguridad empresarial

Un inconveniente al que se enfrentan los directivos, como ya se mencionó, es la ausencia de conocimientos técnicos en el campo de la ciberseguridad.

Lo anterior implica que los objetivos establecidos por estos líderes y los establecidos por parte de los profesionales encargados de ciberseguridad, difieren y dificultan la coordinación en el trabajo al utilizar lenguajes diferentes para administrar el negocio o para administrar la ciberseguridad.

De allí radica la relevancia en establecer objetivos comunes, como es mantener la seguridad de la organización y la continuidad operativa. 

Si logra desarrollarse una comunicación sencilla en términos de métricas, información, prácticas o metodologías en la gestión de riesgo de ciberseguridad, es posible identificar necesidades y fortalezas en la organización para trabajar de manera conjunta.

Por otra parte, los mejores resultados en términos de ciberseguridad se han obtenido bajo el enfoque de la defensa por capas, es decir, que las medidas usadas de protección por parte de las profesionales en ciberseguridad, incluya tecnología, controles, políticas y mecanismos de organización como capas de defensa.

Esto se puede desarrollar a través de firewalls o cifrados, (entre otras herramientas tecnológicas), al igual que centros de operaciones de seguridad, los cuales, al tener participación y supervisión humana, pueden entrar a suplir las fallas que dichas herramientas tecnológicas pasan por alto y no logran detectar.

Es por ello que cobra relevancia la activa participación y apoyo de toda la organización, empezando desde sus directivos, inmersos dentro de estas políticas y procedimientos para poder establecer un control frente a las amenazas actuales en términos de ciberseguridad.

No solo en la identificación, sino también en la prevención de las mismas, ya que es importante señalar que incluso por errores de algún miembro del equipo, puede generarse una falla que afecte toda la operación y resultados de la empresa, convirtiendo la ciberseguridad en un asunto organizativo y no solo un tema técnico a cargo del área encargada.

Por eso, es necesario establecer una cultura de ciberseguridad para toda la organización con el fin de mitigar dichos riesgos.

No hay mejor ejemplo para cimentar esta cultura de ciberseguridad que una liderada por los directivos, donde el solo hecho de que ellos mantengan un papel activo, permite marcar la pauta y la evolución de la política al interior de las empresas.

Te puede interesar: ¿Qué es SIEM?

Preguntas sobre ciberseguridad que deben hacer los directivos en su empresa

Todo este panorama deja en total evidencia el papel determinante hoy en día de los directivos para llevar a cabo dicha política con éxito. Al igual que hace hincapié en la necesidad e importancia de ciertos cuestionamientos por parte de estos. 

Es por ello que todo directivo empresarial debe hacer un cuestionamiento básico en términos de ciberseguridad frente a ideas como: 

• ¿Cuáles son nuestros activos más importantes y cómo los protegemos?
• ¿Cuáles son las capas de protección que hemos implementado?
• ¿Cómo sabemos si han transgredido nuestra ciberseguridad?
• ¿Cómo detectamos una transgresión?
• ¿Cuáles son nuestros planes de respuesta en caso de incidente?
• ¿Cuál es la función de la junta en caso de que se produzca un incidente?
• ¿Cuáles son nuestros planes de recuperación empresarial en caso de un ciberincidente?
• ¿Nuestra inversión en ciberseguridad es suficiente?

Todos estos cuestionamientos son el punto de partida que permitirá que los directivos marquen la pauta en el direccionamiento de las empresas teniendo como base este tema tan fundamental en el actual mercado de competitividad y permitiendo los mejores resultados en las metas principales de toda organización.