Todas las empresas conectadas a Internet son vulnerables a los ciberataques. Y las pérdidas potenciales son significativas. La responsabilidad por las filtraciones de datos que afectan a los clientes conduce directamente al consejo de dirección de la empresa.
Los ejecutivos deben conocer personalmente qué tan sólidas son las ciberdefensas de su empresa, así como las respuestas esperadas ante ataques o infracciones. Según la encuesta realizada por la firma BAE Systems en 2016, el 40% de los ejecutivos admitió que carecían de una comprensión clara de los protocolos de ciberseguridad dentro de sus organizaciones.
Según un estudio sobre el nivel de madurez de las estrategias nacionales de ciberseguridad publicado por el Banco Interamericano de Desarrollo (BID), la estrategia de ciberseguridad de República Dominicana obtuvo el puntaje más alto en el área de estrategia nacional de ciberseguridad, los sectores en los que la respuesta de este país recibió tres puntos de un máximo de cinco.
Según el modelo de madurez de capacidad (CMM), una calificación de uno significa que la estrategia de ciberseguridad del país se encuentra en una etapa inicial, mientras que cinco indica que dicha estrategia se encuentra en una etapa avanzada.
Sin embargo en 2020, la política y estrategia de ciberseguridad implementada en República Dominicana registró algunas de las puntuaciones más bajas en gestión de crisis, ciberdefensa y redundancia de comunicaciones, donde cada una alcanzó un nivel de madurez de uno.
Esta debería ser una llamada de atención urgente para los ejecutivos en el país de que la ciberseguridad debe tomarse en serio en toda la organización, por los niveles de vulnerabilidad existentes.
Los ejecutivos y dueños de negocio deben comenzar con una revisión breve de los siguientes aspectos:
- Comprender cuáles protocolos tienen actualmente
- Dónde están las vulnerabilidades actuales
- Realizar una evaluación de seguridad anual (se considera que es una de las mejores prácticas para prevenir violaciones de datos)
- Procure que la evaluación revele el riesgo residual: el número y la escala de ataques que es probable que pasen.
- Si el riesgo residual es preocupante, es posible que una revisión semestral o incluso trimestral no sea suficiente.
En muchos sentidos, esta evaluación de riesgos refleja la nueva realidad de la ciberseguridad del negocio. En un mundo hiperconectado y en rápido movimiento, el enfoque debe ser dinámico en lugar de estático: un enfoque dinámico es programar dos revisiones anuales con dos proveedores diferentes y escalonarlas cada seis meses. Al hacerlo, una empresa puede reducir a la mitad el tiempo promedio en que un ataque exitoso pasa desapercibido, en lugar de depender de revisiones anuales.
El mejor y más eficaz medio para que los altos ejecutivos garanticen el cambio es establecer una relación de trabajo sólida con el Director de Seguridad de la Información (CISO). Hoy en día, los CISO están llamados a ayudar a los ejecutivos de negocios a comprender el riesgo cibernético y a implementar los controles de seguridad adecuados al tiempo que promueven una cultura de defensa.
Según el informe de referencia de CISO (un estudio doble ciego de 2,800 participantes globales realizado a fines de 2019) reveló unas realidades que los CISO de las empresas enfrentan hoy en día:
- La consolidación de proveedores está aumentando, y el 86% de las organizaciones ahora utilizan 20 proveedores o menos, para reducir la complejidad operativa.
- La fatiga cibernética aumentó en un 12% este año, hasta el 42% de los encuestados, y los entornos de múltiples proveedores contribuyeron a la tendencia.
- La rentabilidad es la razón principal por la que el 55% de las organizaciones subcontratan servicios de ciberseguridad.
- La divulgación voluntaria de infracciones se encuentra en un máximo histórico del 61%.
Si bien el CISO identificará los riesgos y oportunidades antes mencionadas, priorizando los protocolos de seguridad, corresponde a los altos ejecutivos comprender y llevar a cabo los procedimientos en toda la empresa, hasta los puntos de entrada más vulnerables para los ciberdelincuentes.
Los ejecutivos deben ayudar a promover la importancia de la seguridad dentro de la organización, comenzando con una mejor educación y capacitación. Dicha formación debe incluir juegos de roles como los de Startups Academy® con guiones que imiten ataques de la vida real y pruebas para evaluar la efectividad.
Con este panorama entendemos que la defensa contra los ataques debe ser una parte permanente de las descripciones de los puestos de los altos ejecutivos. Ya no es suficiente dejar la ciberseguridad a las revisiones anuales o solo al CISO.
Las empresas en procesos de digitalización deben asegurarse de que todos en la organización comprendan el protocolo y asuman la responsabilidad.