Nueva York, Estados Unidos
Yo hablo de seguridad cibernética con cientos de ejecutivos cada año. El mayor error que veo es que las compañías tratan la seguridad cibernética únicamente como un asunto que deben resolver los departamentos de tecnología de la información. La realidad es que la seguridad cibernética es una oportunidad para toda la empresa, y es esencialmente importante.
Las empresas típicamente desperdician dinero y tiempo en intentos inútiles de construir un muro impenetrable de sistemas. Aun cuando fuera 100 por ciento seguro, ese muro no protegería a la rápidamente creciente cantidad de datos sensibles que salen de él a través de dispositivos y sistemas más allá del control directo de la compañía.
Es mucho más importante enfocarse en identificar y proteger los activos cibernéticos estratégicamente importantes de la compañía y determinar con anticipación cómo mitigar el daño cuando ocurren los ataques.
Elija qué áreas proteger
La seguridad cibernética y la protección de datos son riesgos empresariales estratégicos del más elevado orden. Reputaciones, marcas e ingresos están en juego. Un marco de gestión de riesgos cibernéticos debería empezar enfocándose en los factores empresariales que impulsan el crecimiento y la rentabilidad, y terminar con la infraestructura tecnológica de la organización. Esto es lo contrario al enfoque tradicional, pero es mucho más eficaz.
Los ejecutivos deben evaluar los activos de seguridad cibernética de la compañía, incluidas las inversiones en sistemas tecnológicos y los profesionales altamente capacitados que los operan. Asegúrese de que estas inversiones están alineadas con la forma en que el modelo de negocios de la empresa podría evolucionar en los próximos tres o cinco años.
Prepárese para ser víctima de una intrusión. Una vez que se identifican los riesgos para las joyas de la corona y los procesos de negocios de la organización, es importante tomar decisiones informadas y fiscalmente responsables sobre qué riesgos pueden eliminarse y cuáles pueden ser monitoreados de cerca de manera continua. Lo más probable es que sus defensas sean superadas en algún momento, y es mejor tener un plan para cuando se descubran esas intrusiones.
Es absolutamente esencial una capacitación en seguridad cibernética que evolucione continuamente con base en las circunstancias cambiantes. Todos los empleados deberían estar informados sobre las mejores prácticas y cómo identificar el software malicioso y los intentos de phishing.
Realice evaluaciones de riesgos cibernéticos habitualmente, enfocándose en los datos corporativos más importantes y las prioridades de la empresa, y lleve a cabo escenarios de intrusión controlada para ver cómo responden su compañía y sus empleados. ¿Cuál es la cadena de mando corporativa en caso de un ataque de seguridad cibernética? ¿Cómo se comunicará con los medios y sus clientes?
Los consumidores ven valor en las compañías que ofrecen más transparencia sobre sus esfuerzos de seguridad cibernética. Las organizaciones que lo hacen exitosamente tienen más probabilidad de ganar en el mercado y soportar una intrusión de seguridad cuando ocurra.
(Greg Bell es líder en Estados Unidos de la práctica de seguridad cibernética de KPMG.)
