Board impulsar gestion efectiva ciberseguridad empresas2

¿Cómo el Board puede impulsar una gestión efectiva de la ciberseguridad en las compañías?

EY México

Organización multidisciplinaria de servicios profesionales

7 minute read 15 may. 2023

Es importante que el Directorio comprenda que la gestión de ciberseguridad debe realizarse a nivel estratégico y no solo como asunto de IT.

En resumen:

  • El informe de EY Prioridades para los Consejos de Administración de América 2023, prioriza la ciberseguridad y privacidad de datos como la quinta prioridad en su agenda.
  • Es importante que el Directorio comprenda que la gestión de ciberseguridad debe realizarse a nivel estratégico y no solo como asunto de IT.
  • El Directorio debe integrar los lineamientos de ciberseguridad desde el diseño de nuevas tecnologías, productos y acuerdos comerciales.

El nivel de riesgos cibernéticos que enfrentan las empresas, desencadenados principalmente por la expansión de la transformación digital, el teletrabajo, acontecimientos geopolíticos, así como el despliegue de tecnología disruptiva, está aumentando cada vez más. Por ello, no es de extrañarse que la gestión de la ciberseguridad se encuentre entre el top 5 de prioridades del Board para este 2023. 

Solo en el 2022 se registraron en el mundo alrededor de 5 500 millones de ataques malware (software creado con el objetivo de dañar dispositivos, servicios o redes), 493,3 millones de ataques ransomware (secuestro de datos que restringe el acceso del propietario y sobre el cual se pide un rescate), entre otros, según Sonicwall. Este es uno de los tipos de ciberataques más comunes, y que más desembolsos ha logrado. Se proyecta que para el 2031, de acuerdo con Cybersecurity Ventures, se llevará a cabo un ataque ransomware cada 2 segundos, generando daños cercanos a los US$265 000 millones (para hacernos una idea, esto es mayor que el PBI de varios países de Latinoamérica).

El informe de EY Americas board priorities 2023, resalta que el 64% de Boards está priorizando la gestión de ciberseguridad y privacidad de datos, ubicándola en el quinto puesto de su lista de prioridades. Lideran la tabla las preocupaciones relacionadas con las condiciones económicas (80%), la estrategia de capital, la innovación y tecnologías en evolución y el talento (todas ellas con el 70%).

Los Boards desempeñan un papel fundamental para ayudar a las empresas a salir adelante; por ello, las decisiones que tomen y prioridades que definan pueden ser cruciales para el desarrollo óptimo de la organización. En ese sentido, es importante que el Consejo de Administración o Junta Directiva comprenda que la gestión de la ciberseguridad debe realizarse a nivel estratégico y no solo como un asunto de IT. El informe de EY Prioridades para los Consejos de Administración de América 2023[1], resalta que el 64% de Boards está priorizando la gestión de ciberseguridad y privacidad de datos, ubicándola en el quinto puesto de su lista de prioridades. Lideran la tabla las preocupaciones relacionadas con las condiciones económicas (80%), la estrategia de capital, la innovación y tecnologías en evolución y el talento (todas ellas con el 70%).

Los Boards desempeñan un papel fundamental para ayudar a las empresas a salir adelante; por ello, las decisiones que tomen y prioridades que definan pueden ser cruciales para el desarrollo óptimo de la organización. En ese sentido, es importante que el Consejo de Administración o Junta Directiva comprenda que la gestión de la ciberseguridad debe realizarse a nivel estratégico y no solo como un asunto de IT. 

Perspectivas del comité de seguridad cibernética

Actualmente menos del 10% de los Boards tiene un comité de seguridad cibernética, pero se proyecta que el 40% establecerá uno para 2025, según Gartner. Para lograrlo el Board debe empezar a plantear y discutir sobre los riesgos cibernéticos en las reuniones con los miembros de la administración dando mayor cabida al CIO o CISO, de ser el caso, así como integrar lineamientos de ciberseguridad desde el diseño de nuevas tecnologías, productos y acuerdos comerciales.

Cómo EY puede ayudar

En el contexto actual, para gestionar adecuadamente los riesgos de ciberseguridad es importante estar preparados para responder ante las amenazas a través de cinco puntos fundamentales:

  • Priorizar la detección temprana de riesgos.
  • Aislar los activos críticos.
  • Contar con planes de continuidad para operar en modo crisis.
  • Informar adecuadamente y trabajar con las autoridades mientras se gestionan los litigios.
  • Mantener una comunicación fluida con empleados, clientes e inversores.

Además, las simulaciones de incidentes cibernéticos y los ejercicios con la gerencia y el Board también son herramientas indispensables para que la empresa esté preparada para enfrentar posibles riesgos. A través de estas dinámicas se pone a prueba a la compañía, se identifican fallos para subsanar, se aclaran los roles del personal y se establecen protocolos y procesos de escalamiento.

Frecuencia de actualización del Board

¿Con qué frecuencia se actualiza a su junta directiva sobre el estado de la seguridad de la información en su empresa?

Finalmente, las Juntas Directivas también deben estar al tanto de lo que significa un posible riesgo en términos monetarios y mantenerse al día con las principales prácticas de gestión de riesgos de ciberseguridad para hacer mejores preguntas a los encargados de esta área. Es fundamental tener en cuenta que los asuntos relacionados con la tecnología tienen constantes actualizaciones, por lo que no es factible implementar prácticas como realizar informes semestrales.

La idea es que, además de prepararse y/o enfrentar posibles riesgos de manera óptima, se identifique la gestión de la ciberseguridad como una oportunidad para posicionar a la empresa como un socio comercial de confianza. 

La ciberseguridad es un tema que cada vez se encuentra bajo mayor escrutinio, por lo que es fundamental que las divulgaciones de las empresas en esta materia evidencien el rigor e importancia que se le brinda a la preparación y gestión de incidentes o riesgos cibernéticos para generar confianza en las diferentes partes interesadas.


Artículos relacionados

Ciberseguridad: los riesgos pasaron la frontera de IT hasta las tecnologías de operación

Los dispositivos IoT están creciendo rápido y tienen el mayor riesgo de pérdida de datos. Conoce los problemas potenciales alrededor de ellos.

    Resumen

    Los Boards desempeñan un papel fundamental para ayudar a las empresas a salir adelante; por ello, las decisiones que tomen y prioridades que definan pueden ser cruciales para el desarrollo óptimo de la organización. En ese sentido, es importante que el Directorio o Junta Directiva comprenda que la gestión de la ciberseguridad debe realizarse a nivel estratégico y no solo como un asunto de TI.

    Acerca de este artículo

    EY México
    Organización multidisciplinaria de servicios profesionales
    Temas relacionados
    Consultoría
    Ciberseguridad
    Tecnología

    EY se refiere a la organización global, y puede referirse a una o más, de las firmas miembro de Ernst & Young Global Limited, cada una de las cuales es una entidad legal independiente. Ernst & Young Global Limited, una compañía británica limitada por garantía, no brinda servicios a los clientes.