Junta directiva: este es el programa para asegurar la ciberseguridad en su empresa

Las amenazas cibernéticas son desalentadoras. Tienen el potencial de infligir un daño financiero y de reputación significativo a una organización. Te damos un plan que debes aplicar hoy si eres el dueño o perteneces a la Junta Directiva de una compañía.

No hay forma de estar 100% protegido. Es por eso que la seguridad cibernética ya no es solo responsabilidad de los departamentos de T.I. (Tecnologías de la Información). Las Juntas Directivas son, en última instancia, responsables de la supervivencia de sus organizaciones, y en el mundo interconectado de hoy, la resistencia cibernética es una parte importante de esa responsabilidad. Eso significa que las Juntas deben tener un papel activo en la ciberseguridad.

Tienes que leer: Así son los 4 tipos de riesgos que conviertes en oportunidades.

A medida que las Juntas Directivas asumen el papel de líderes de seguridad cibernética dentro de sus organizaciones, aquí hay algunas responsabilidades que deben tener en cuenta:

 

Responsabilidades de la Junta Directiva

La Asociación Nacional de Directores Corporativos (NACD, por sus siglas en inglés), cuenta con un Manual del Director sobre Supervisión del Riesgo Cibernético, en él, describe cinco principios que todas las juntas corporativas deben considerar "a medida que buscan mejorar su supervisión de los riesgos cibernéticos".

  • Los directores deben entender y abordar la ciberseguridad como un problema de gestión de riesgos en toda la empresa, no solo como un problema de T.I. Por mucho que se repita  es sorprendente la cantidad de organizaciones que aún asocian la seguridad de la información o la ciberseguridad con la T.I.
  • Los directores deben comprender las implicaciones legales y normativas de los riesgos cibernéticos en lo que se relacionan con las circunstancias específicas de su empresa. La administración ejecutiva y los miembros de la junta directiva son responsables de muchas infracciones de alto perfil y, en muchos casos, pierden sus puestos.
  • Las juntas deben tener acceso adecuado a la experiencia en seguridad cibernética, y las discusiones sobre la gestión de riesgos cibernéticos deben recibir un tiempo regular y adecuado en la agenda de la reunión de la Junta. Es cada vez más común ver a miembros de la Junta que tienen antecedentes tecnológicos o de seguridad. Esta experiencia realmente puede elevar la conciencia de un Consejo y de cómo ganarle a los cibercriminales en especial con el advenimiento de la Circular Externa 007 expedida por la Superfinanciera, en la que las entidades financieras deben informar incidentes cibernéticos.

Actualízate: Novedades en seguridad electrónica para empresas en Colombia
La discusión de la junta directiva sobre el riesgo cibernético debe incluir la identificación de los riesgos que se deben evitar, aceptar, mitigar o transferir a través del seguro, así como los planes específicos asociados con cada enfoque.

La gestión eficaz del riesgo de ciberseguridad requiere una comprensión de la importancia relativa de los activos de la organización para determinar la frecuencia con la que se analizarán las exposiciones al riesgo.

Esto no es tarea fácil. Se requiere una gran cantidad de pensamiento y esfuerzo, junto con una gran cantidad de expertos en ciberseguridad.

Te acompañamos en una evaluación para realizar una Gestión del Riesgo Adecuado. Lee nuestra guía: Así acompañamos a tu empresa en la Gestión del riesgo.

¡Quiero descargarlo!cyber

Responsabilidades de la Junta: el programa

La Junta Directiva establece el tono y la dirección para el uso de TI de una institución. La Junta debe aprobar el plan estratégico de T.I., el programa de seguridad de la información y otras políticas relacionadas con la TI. La Junta o un comité de la Junta debe realizar lo siguiente:

  • Revise y apruebe un plan estratégico de T.I. que se alinee con la estrategia comercial general.
  • Promover la gobernabilidad efectiva de T.I.
  • Supervisar los procesos de aprobación de los proveedores externos de la institución.
  • Supervisar y recibir actualizaciones sobre los principales proyectos de T.I., los presupuestos de T.I., las prioridades de T.I. y el rendimiento general de T.I.
  • Supervisar la adecuación y asignación de recursos de T.I. para financiamiento y personal.
  • Aprobar políticas para escalar e informar incidentes de seguridad significativos al Consejo de Administración.
  • Responsabilizar a la administración por identificar, medir y mitigar los riesgos de T.I.
  • Proporcionar una cobertura de auditoría independiente, completa y efectiva de los controles de T.I.
  • Responsabilidades de la Junta - Auditoría.
  • El Consejo de Administración y la alta gerencia son responsables de garantizar que el sistema de controles internos de la institución funcione de manera efectiva.
  • El Consejo de Administración debe asegurarse de que se hayan adoptado pautas escritas para realizar auditorías de T.I.
  • La Junta o su comité de auditoría es responsable de revisar y aprobar las estrategias de auditoría (incluidas las políticas y los programas) y de supervisar la efectividad de la función de auditoría.
  • Definir: Responsabilidades de la Junta - Proveedores de servicios externos.
  • El Directorio y la alta gerencia de la institución financiera deben establecer y aprobar políticas basadas en el riesgo para regular el proceso de subcontratación. Las políticas deben reconocer el riesgo para la institución de las relaciones de subcontratación y deben ser apropiadas para el tamaño y la complejidad de la institución.

 

Factores que las instituciones deberían considerar incluyen:

  • Asegurar que cada relación de outsourcing respalde los requisitos generales y los planes estratégicos de la institución.
  • Asegurar que la institución tenga la experiencia suficiente para supervisar y administrar la relación.
  • Evaluación de posibles proveedores según el alcance y la criticidad de los servicios subcontratados.
  • Adaptar el programa de monitoreo de proveedores de servicios en toda la empresa basado en evaluaciones de riesgo iniciales y continuas de servicios subcontratados.
  • Notificar a su regulador primario con respecto a las relaciones subcontratadas, cuando así lo requiera ese regulador.

¿Necesitas ayuda para planear tu estrategia de protección de información? Queremos ayudarte.

Asesoría personalizada Atlas

Laboratorío informática forense

Artículos recientes

Nuevo llamado a la acción