BLOG

Presentar seguridad y riesgos a los miembros de la junta directiva.

RESUMEN EJECUTIVO

El tiempo y la atención de su junta directiva son limitados. Pero la seguridad de su empresa, su reputación y su salud financiera pueden depender de qué tan bien los miembros de su junta directiva comprendan los riesgos comerciales que enfrenta y cómo planea mitigarlos. Sea breve y haga que importe. Este artículo analiza los presupuestos de TI y seguridad y explica cómo equilibrarlos en función de un perfil de seguridad de riesgo.

Miniatura F5
F5
Publicado el 20 de enero de 2017

5 minutos. LEER

Es ese momento. Debes informar a tu junta directiva sobre el estado de la seguridad de la empresa. La presentación es fundamental: la seguridad de su empresa, su reputación y su salud financiera dependen de usted. Los miembros de su junta directiva deben comprender los riesgos comerciales que enfrenta y cómo planea mitigarlos. Pero su tiempo y su atención son limitados. Sea breve y haga que importe.

Sigue estos seis pasos para alcanzar tus objetivos.

1.Las amenazas cibernéticas son reales: apéguese a los hechos

Han escuchado los números. Hasta 575 mil millones de dólares se pierde anualmente debido a los delitos cibernéticos. Las violaciones de datos pueden costar más de 400 millones de dólares. Información como ésta cae en oídos sordos. Los miembros de la junta directiva están entumecidos. Pero necesitan comprender los riesgos generales de hacer negocios en línea (que son endémicos) frente a las amenazas que enfrenta su industria y su negocio específicamente. Si el mayor riesgo de su organización está relacionado con la falta de controles o procesos inadecuados, necesitan saberlo. Lo más importante es que necesitan saber qué estás haciendo al respecto. No vayas al foro con problemas para los cuales no has encontrado soluciones.

Si no recibe el apoyo que necesita, piense en su propia reputación y carrera.

Cuente una historia convincente sobre una violación de seguridad, preferiblemente en su industria. Proporcione ejemplos de su propia empresa. Identifique activos de información críticos (propiedad intelectual, datos confidenciales de clientes) y describa un panorama de lo que sucedería y lo que costaría si se vieran comprometidos.

2.Proporcionar métricas que convenzan

Si tiene brechas en el control de seguridad y le resulta difícil conseguir recursos para solucionarlas, proporcióneles evidencia que demuestre que está bajo ataque continuamente y que sus redes son constantemente investigadas. Dejemos claro que, tarde o temprano, los malos triunfarán. Educarlos. Sorpréndelos.

  • El 73 por ciento de las empresas sufrieron al menos una vulneración de seguridad en el último año
  • Aproximadamente un tercio de los empleados que son objeto de phishing abrirán correos electrónicos fraudulentos
  • Más de uno de cada diez muerde el anzuelo, y solo se necesita uno
  • Transcurren menos de dos minutos desde que el hacker presiona enviar hasta que sus sistemas se ven comprometidos.
  • Los piratas informáticos están dentro de su organización, en promedio, durante al menos cuatro meses antes de ser descubiertos.
  • Las aplicaciones web son el principal punto de entrada para las infracciones

3.Obtenga su apoyo para adoptar una cultura de seguridad

Los errores humanos son responsables del 58 por ciento de las infracciones cibernéticas. Un negocio seguro es un negocio en el que todos están informados sobre las amenazas y hacen su parte para reducir el riesgo. Esto comienza con una capacitación rigurosa y repetida, y quizás incluso con el compromiso con una norma como la ISO 27001 .

4.Convencerlos de que necesitan ayuda para responder a incidentes

Incentive a la junta directiva a afrontar los hechos: hoy en día todas las organizaciones enfrentan la posibilidad muy real de ser atacadas. La magnitud del daño que sufras dependerá de la rapidez y eficacia con la que respondas, así que ¿por qué no prepararte? La mayoría de las empresas no cuentan con las habilidades necesarias para una respuesta ante incidentes (IR) efectiva. Necesita apoyo técnico, forense, legal y de relaciones públicas para superar el trauma. Su mejor opción: un tercero con experiencia especializada. Una buena empresa de IR te respaldará.

5.Hablemos del seguro cibernético

El seguro cibernético es parte integral de su estrategia de seguridad. Sin embargo, sólo el 19 por ciento de las empresas tienen seguro cibernético . Y la mayoría de ellos están enormemente subasegurados: sólo el 12 por ciento de los costes totales de una infracción típica está cubierto. El seguro cibernético es el seguro de más rápido crecimiento en el mundo: se proyecta que aumentará un 300 por ciento desde los 2.500 millones de dólares actuales en primas anuales para 2020. Haz los cálculos para tu tablero. Calcule cuánto puede absorber su empresa en caso de una infracción sin que se produzca una catástrofe financiera. Elija un nivel de riesgo con el que se sienta cómodo y asegure el resto.

6.Consiga que defiendan aquellos esfuerzos para los que no obtuvo aprobación presupuestaria

Has hecho tu tarea y ya has conseguido fondos para algunos de tus esfuerzos. Si tiene áreas de riesgo que necesitan abordarse y no tiene presupuesto para hacerlo, los miembros de la junta deben saberlo y aceptar el riesgo o defender una solución. No hay mejor manera de lograr algo que decir que “la junta” solicitó que se hiciera.

EN CONCLUSIÓN

A medida que realice este ejercicio, sea un poco egoísta. Si no recibe el apoyo que necesita para defenderse de las amenazas existenciales, piense en su propia reputación y carrera. Si tu junta directiva no lo entiende, tal vez sea momento de considerar tus opciones.

Es muy importante.

73 %

El setenta y tres por ciento de las empresas sufrieron al menos una vulneración de seguridad en el último año.

Ryan Kearny fue nombrado Vicepresidente Ejecutivo de Desarrollo de Productos y Director de Tecnología de F5 Networks en octubre de 2016. Es responsable de supervisar la hoja de ruta tecnológica de la empresa y liderar el equipo de ingeniería de F5. Kearny se unió a la empresa en 1998 y fue nombrado Vicepresidente de Desarrollo de Productos en mayo de 2004 y Vicepresidente Sénior de Desarrollo de Productos en enero de 2012. Tiene una licenciatura en Ingeniería Eléctrica de la Universidad de Washington.