La ciberseguridad compete a directorios

Las capacidades de prevención y respuesta frente a un ciberataque dependen de que exista un mapa detallado de los riesgos asociados a este fenómeno y de la habilidad para mitigar daños.

Ginni Rometty, la CEO de IBM, señaló recientemente que “el cibercrimen es la principal amenaza para todas las compañías del mundo”, una advertencia implacable que se refleja también en diversas encuestas: Fortune reveló que 66% de los CEO de las principales firmas estadounidenses considera que el mayor riesgo que enfrentan es la ciberseguridad. En la misma línea, el World Economic Forum detectó que el ciberataque es considerado el peligro más importante para hacer negocios en ocho países, incluidos Estados Unidos, Japón y Alemania.

Poco después del incidente que afectó en febrero pasado al Banco Central de Bangladesh, cuya cuenta administrada por la Reserva Federal de Nueva York fue hackeada y desfalcada por US$80 millones, la mandamás de la SEC le advirtió al sistema financiero que la ciberseguridad representa un riesgo sistémico. Ya en 2014, el regulador había publicado una guía-alerta para que las empresas adoptaran medidas frente a este creciente problema con foco en manejo de riesgos y adopción de herramientas para mitigarlos.

El sabotaje digital, robo de datos y apropiación indebida de secretos industriales, entre otros ciberataques, continúan ocurriendo con frecuencia y sofisticación alarmantes. Según PwC, el número de incidentes aumentó 38% entre 2014 y 2015 y la aseguradora Lloyd estima que el costo global de estas arremetidas supera los US$400 mil millones al año. Ni siquiera JP Morgan Chase, que tiene un sistema de seguridad digital conformado por mil técnicos y un presupuesto anual de US$250 millones, logró evitar que un grupo de criminales digitales accediera a las cuentas de 83 millones de sus clientes.

Varios conglomerados del retail han sido objeto de embestidas: en 2013, a Target le sustrajeron información sobre más de 40 millones de tarjetas de crédito; poco después, el sistema informático de Home Depot fue ultrajado y les permitió a los hackers acceder a información de 56 millones de personas. En el sector telecomunicaciones, la británica TalkTalk sufrió un ciberataque que puso en riesgo los datos de decenas de miles de suscriptores. La noticia afectó negativamente el nombre de la empresa y, a raíz de eso, más de 100 mil usuarios cancelaron el servicio.

Los ciberataques tienen serias consecuencias económicas, legales y reputacionales. Cumplir con los requisitos de la SEC y con las recomendaciones ISO 27001, que describen cómo gestionar la seguridad de la información en una empresa, así como con lineamientos voluntarios sobre ciberseguridad emitidos por la agencia gubernamental NIST en EEUU, requieren una estrategia integral, procesos bien definidos y un presupuesto especial. Lo primero es evaluar las vulnerabilidades y, a partir de eso, definir una política que contemple, entre otras medidas, modernizar servidores, softwares y otros sistemas tecnológicos. Además, contratar personal calificado (muchas empresas han designado chief security officers o CSO), entrenar a empleados y trabajadores, exigir estándares de seguridad a proveedores e, incluso, considerar la posibilidad de tomar seguros.

En este proceso, el directorio juega un papel clave. Las capacidades de prevención y respuesta frente a un ciberataque dependen de que exista un mapa detallado de los riesgos asociados a este fenómeno y de la habilidad para mitigar el eventual daño de una intrusión. En ese contexto, los directores deben conocer las vulnerabilidades, encargarle a la gerencia que elabore estrategias y procesos para enfrentarlas y supervisar la implementación de medidas adecuadas para precaver y, de no ser posible evitar que ocurran, amortiguar el impacto de este tipo de ataques.

*La autora es directora del Centro Global de la Universidad de Columbia.

http://www.pulso.cl/noticia/opinion/2016/07/4-88145-9-la-ciberseguridad-compete-a-directorios.shtml