AltoDirectivo

Según afirma AIG en su análisis sobre cómo concienciar a la alta dirección en materia de ciberseguridad, a colación del ataque cibernético sucedido recientemente, que "tumbó" Internet en grandes zonas del mundo y que fue llevado a cabo, en parte, por dispositivos incautos conectados a la red, la preocupación por la ciberseguridad en una empresa debería asemejarse a la que una persona tiene por su salud.

El citado ciberataque afectó a servicios como Twitter, Spotify y Reddit y alerta sobre la necesidad de asumir con resignación que esta modalidad de ataques se van a volver más y más frecuentes.

Los expertos afirman que las empresas se pueden clasificar en dos grupos: las que ya han sido atacadas y las que lo van a ser. Por lo tanto, más allá de prever si una empresa va a ser atacada, hay que poner el foco en 'cuándo y cómo' lo será, además de las consecuencias que tendrá.

Las Pymes cobran especial relevancia en este contexto y son claras candidatas a recibir los efectos del cibercrimen, considerado hoy como el primer delito mundial; además, la gama de esta tipología de ataques empieza a no conocer límites.

Varios son los ejemplos que hasta hoy nos alertan de la necesidad de protegerse ante los ciberataques. Tal es el caso de Microsoft, que no pudo evitar el ataque de un virus que afectó a miles de usuarios; y de Sony, con su PlayStation, a la que ocasionaron un bloqueo de más de 77 millones de cuentas y supuso unas pérdidas de 171 millones de dólares; por no dejar de mencionar a Ashley Madison, víctima de un ataque de hackers que habían recopilado direcciones y nombres reales, y que sufrió demandas de sus usuarios por valor de 151 millones de dólares.

Puede afirmarse que no hay empresa alguna que pueda garantizar que no será atacada y que, en el caso de serlo, saldrá indemne.

La más alta dirección y el consejo de administración de las empresas deben estar comprometidos

La aseguradora AIG afirma que, dada la magnitud del peligro y el riesgo de los ciberataques, se hace necesario que la más alta dirección y el consejo de administración de las empresas estén altamente involucrados y comprometidos con esta causa. Sin duda, las empresas que no quieran asumir esto lo van a arriesgar todo, continúa.

Por lo tanto, los gestores de las compañías deben asumir este reto y concienciar de la necesidad de invertir lo necesario para la prevención de estos ataques y sus consecuencias, a la par que animar hacia un cambio de mentalidad que implique estar preparadas para estas inevitables situaciones.

Varias son las formas que AIG propone para interactuar de forma efectiva con la alta dirección y el consejo de la empresa en esta materia:

1. Concienciarles de que la ciberseguridad es materia de riesgo corporativo (no solo tecnológico).

2. Entender que hay tres tipos de riesgos que debe gestionar un consejo: reputacional, de seguridad y legal.

3. Diseñar e implementar un plan de comunicación interna de ciberseguridad, que informe del 'qué' y del 'cómo' de los posibles ataques, y que resuelva las dudas de los trabajadores.

4. Inventariar los datos sensibles y compartimentar los que más perjuicio puedan causar a la empresa.

Hay que anticipar los contextos y niveles de amenaza y riesgo

El análisis de la aseguradora AIG continúa afirmando que, cuando se plantean estas cuestiones a la dirección ejecutiva o al consejo de administración de la empresa, hay que ser capaces de anticipar los contextos y niveles de amenaza y riesgo. Además, hay que considerar a la ciberseguridad como un nuevo, inevitable y muy relevante riesgo. Es conveniente también especificar métricas y cifras detrás de tales amenazas para plantear argumentos de coste/ beneficio. Y es que, como afirma AIG, la preocupación por la ciberseguridad en una compañía debería ser similar a la que una persona tiene por su salud.

En este contexto, AIG identifica como primordiales las siguientes necesidades para las que tanto la alta dirección como el consejo necesitan estar preparados:

1. Disponer de una visión general de la ciberseguridad, su necesidad y riesgos.

2. Conocer el riesgo reputacional que puede significar un ataque de este tipo.

3. Saber cómo reducir y transferir el riesgo.

4. Conocer los planteamientos preventivos y de mitigación de daños.

5. Conocer la responsabilidad civil individual y empresarial en la que se puede incurrir.

6. Conocer cómo puede influir en el valor de la acción y en el accionista.

En opinión de Lucas Scortecci, director de Líneas Financieras de AIG: "Para concienciar a la alta dirección de forma inmediata, hay que conocer bien el qué y el cómo de los posibles ataques: además, hay que hablar el mismo lenguaje que la dirección, en lo que se refiere a riesgo, inversión, responsabilidad, etc., obviando, en la medida de lo posible, los tecnicismos. También es clave informar periódicamente de la situación del mercado, de los ataques y de lo que se está gestionando internamente. Por último, es necesario conocer dónde están las debilidades y posibles brechas de seguridad para remediarlas en lo posible".

*Si te ha resultado interesante este artículo, te animamos a seguirnos en TWITTER y a suscribirte a nuestra NEWSLETTER DIARIA.

Alto Directivo