¿Quienes son los responsable de la ciberseguridad? Pista, no es TI

Pocos riesgos organizacionales tienen hoy en día la capacidad destructiva que tiene un ciberataque. Sin embargo, para muchas organizaciones, los riesgos cibernéticos siguen siendo oscuros, de baja prioridad y a menudo son vistos como el dominio de las áreas de TI.

La realidad es que la ciberdelincuencia ya no es sólo una cuestión de tecnología, ni una cuestión de mandos intermedios. Hoy en día, los inversores y los entes reguladores buscan cada vez más que la alta gerencia de las organizaciones se comprometan y demuestren su liderazgo.

Como cualquier miembro de la alta gerencia que haya experimentado un ataque cibernético sabrá, lidiar con un incidente informático puede parecer muy nuevo e incierto. El problema es que en la alta gerencia son pocos los que han tenido esa experiencia. Esto puede verse agravado por el desconocimiento de los problemas tecnológicos, tal vez debido a una brecha generacional.

No obstante, la reciente oleada de ataques cibernéticos en todo el mundo ha concienciado a la alta gerencia y a la junta directiva de la evidente amenaza de los ataques informáticos.

Aumentar la concienciación es muy importante, pero la alta gerencia debe darse cuenta de que los ataques informáticos pueden tener consecuencias duraderas. El daño inmediato es real, pero a menudo puede haber un impacto a largo plazo que cree desconfianza, cuestione la integridad y empañe la reputación.

Entonces, ¿qué tienen que hacer los jefes? ¿Cómo puede la alta gerencia mitigar y minimizar el daño y la interrupción de las operaciones comerciales normales? No hay dos organizaciones iguales, así que no hay un plan de ciberseguridad único para todos.

El primer paso es desarrollar una política de ciberseguridad que la alta gerencia pueda entender, tomar en serio y aplicar a través de una gestión responsable. Esto será mucho más efectivo que delegar la responsabilidad a un asediado director de informática. También puede considerarse la posibilidad de nombrar a un miembro de la alta gerencia con experiencia en TI para guiar y desafiar continuamente a la organización.

Otro paso, es comenzar a discutir las ciberamenazas en las reuniones del comité de dirección, lo que permitirá a la organización desarrollar un enfoque sólido para garantizar la seguridad digital de la organización. Es una oportunidad para que los equipos internos muestren, en términos comprensibles, lo que se está haciendo en toda la organización para mejorar la resiliencia informática y también para demostrar que se ha ejercitado en escenarios de ataque informáticos.

Una vez que el negocio está en una posición de preparación, es entonces el momento de conseguir algunas personas calificadas de afuera para «destruir» nuestros planes. Encuentra una firma que diga las verdades duras e incómodas que el personal técnico puede no mencionar. Acepta los desafíos y prepárate para liderar y trabajar como parte de una comunidad más amplia para enfrentar las amenazas.

Por último, el meollo del problema es la falta de cualificaciones. Realmente no podemos esperar a que esto se arregle solo. Los que ocupan puestos de responsabilidad necesitan educarse y superar su miedo a la tecnología.

En última instancia, la ciberseguridad es un asunto de negocios, no de tecnología.

Hay muchos aspectos en un plan de batalla organizativo efectivo para defenderse contra un ataque informático, pero el éxito depende de la dirección desde arriba. Los líderes organizacionales tienen la responsabilidad de dominar esta creciente oleada de riesgos y crear organizaciones ciberespaciales.

Este artículo fue basado en el artículo de cityam.com titulado «Cyber security is a matter for the boardroom, not the IT team. Executives must take a hands-on role«

Puedes seguirme en Twitter o en LinkedIn, donde comparto mis proyectos, experiencias y próximos eventos en los que estaré participando.

Gracias por leerme y hasta la próxima.