Como miembro de Junta Directiva, serás el objetivo (I entrega)

Los altos ejecutivos en las organizaciones suelen ser el objetivo de los ciberataques o de los ciberdelincuentes, debido a su acceso a activos valiosos (normalmente dinero e información) y también a su influencia dentro de la organización.

Los ciberdelincuentes pueden intentar atacar directamente sus cuentas de IT, o pueden intentar hacerse pasar por un miembro del Board utilizando una dirección de correo electrónico falsa de aspecto convincente, etc. Una vez que consiguen hacerse pasar por uno de los miembros del Consejo, el siguiente paso es enviar solicitudes de transferencia de dinero que pueden no seguir los procesos establecidos, generalmente suelen decir que son temas «urgentes». Estos ataques son de bajo coste y a menudo tienen éxito, ya que se aprovechan que el personal no suele cuestionar una solicitud de alguien de mayor cargo en la organización.

Una buena concienciación en materia de ciberseguridad, unas políticas de seguridad adecuadas y unos procesos de información sencillos ayudarán a mitigar este riesgo. También es fundamental que los miembros de la Junta Directiva entiendan y sigan las políticas de seguridad de su organización, de modo que cuando un suplantador intente burlarlas, el personal pueda identificar que hay algo inusual. También los altos miembros de las organizaciones deben considerar toda la información que aparece de ellos en internet (disponible públicamente), ya que esta usualmente es utilizada por los delincuentes que intentan hacerse pasar por un miembro del Consejo.

¿Qué debe hacer la Junta Directiva?

Integrar la ciberseguridad en su estructura y objetivos. El papel de la ciberseguridad es permitir los objetivos de la organización y, cada vez más, permitir la ventaja competitiva. Debe añadir valor a su organización en lugar de obstaculizar el progreso. Esto requiere una cultura de ciberseguridad positiva y una inversión y gestión adecuadas de la ciberseguridad.
Integrar la ciberseguridad en los riesgos de su organización. Hay dos razones por las que esto es muy importante:
La primera de ellas, la ciberseguridad afecta a todos los aspectos de su organización. Por lo tanto, para gestionarla adecuadamente debe integrarse en la gestión de riesgos de la organización y en la toma de decisiones. Por ejemplo:

  • El riesgo operativo estará probablemente respaldado por la ciberseguridad debido a la dependencia de la seguridad de los servicios digitales que se utilizan (servicios de correo electrónico, software a medida, etc.).
  • Algunos riesgos legales estarán ligados al riesgo de la ciberseguridad (como los requisitos contractuales o las obligaciones para proteger los datos de carácter personal, sin perjuicio de otros requisitos contractuales para manejar los datos de manera particular).
  • El riesgo financiero se ve afectado por la ciberseguridad (por ejemplo, la pérdida de dinero a causa del fraude, la pérdida de ingresos cuando los servicios se desconectan por un ciberataque).
  • Una buena ciberseguridad también le permitirá asumir cierto riesgo en el uso de nuevas tecnologías para innovar. Un enfoque demasiado cauteloso del riesgo puede hacer que se pierdan oportunidades de negocio o que se generen costes adicionales (e innecesarios).

La segunda razón, es que la ciberseguridad debe estar integrada para que tenga éxito. Una buena ciberseguridad no consiste sólo en disponer de una buena tecnología, sino en que las personas tengan una buena relación con la seguridad y en que se establezcan los procesos adecuados en toda la organización para gestionarla. Por ejemplo, para protegerse contra el acceso de un atacante a los datos sensibles (garantizando al mismo tiempo que sólo puedan verlos los empleados autorizados para ello), con lo cual en la compañía se necesitará:

  • Una buena solución técnica para almacenar los datos,
  • Una formación adecuada para el personal que maneja los datos sobre todo de carácter personal
  • Un proceso de gestión de los movimientos del personal (alta, baja y modificaciones), alineado con la gestión de accesos.

Para finalizar, como profesional de riesgos debo recordarles que un incidente de ciberseguridad afectará a toda la organización, no sólo al departamento de IT. Es decir, puede repercutir en las ventas en línea, afectar a las relaciones contractuales o dar lugar a acciones legales y hasta penales. No se debe dejar en manos de una sola persona; la ciberseguridad es responsabilidad del Consejo y de todos los empleados. Adicionalmente, recomiendo que el Consejo de Administración tenga experiencia para orientar la estrategia de ciberseguridad y exigir responsabilidades por las decisiones tomadas; además de entender como afecta la ciberseguridad en las distintas áreas de interés, y así poder comprender las implicaciones que un incidente de seguridad y un ciberataque pueden tener para la organización en su conjunto.

Si te ha gustado este contenido, comenta y usa los botones abajo para compartir en tus redes sociales!!! 😊

Computer code on a screen with a skull representing a computer virus / malware attack.

Si quieres dejar tu opinión, recuerda que siempre sea de firma positiva y con respeto. Por el contrario, cualquier opinión agresiva, conductas o expresiones que vayan en contra del respeto, la dignidad, o constituyan injurias o calumnias será bloqueado, y denunciado a las Autoridades conforme a lo previsto artículo 208 del Código Penal Español. El delito de injurias se prevé una pena de multa que oscila entre 3 y 14 meses y para las calumnias la pena será de prisión de 6 meses a 2 años o multa de 6 a 24 meses.

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Subir ↑

A %d blogueros les gusta esto: