4 áreas de riesgo cibernético que las juntas directivas deben abordar

Atención editores: Agradecimientos: Este trabajo está cofinanciado por el "Fondo Europeo di Sviluppo Regionale Puglia POR Puglia 2014 – 2020 – Asse I – Obiettivo specifico 1a – Azione 1.1 (RS) – Titolo Progetto: Suite prodotti Cybersecurity e SOC" y BV TECH S.p.A. Este trabajo está cofinanciado por Cybersecurity at MIT Sloan (CAMS).

Sander Zeijlemaker es investigador afiliado de ciberseguridad en MIT CAMS, colaborador de la agenda del Foro Económico Mundial, presidente del grupo de interés especial Security, Stability and Resilience de la System Dynamics Society y director general del Disem Institute. Chris Hetner se desempeñó como asesor senior de ciberseguridad de los presidentes de la SEC White y Clayton, y actualmente es asesor senior de The Chertoff Group, asesor especial para riesgos cibernéticos en NACD y copresidente de ciberseguridad y privacidad del NASDAQ Center for Board Excellence Insights Council. Michael Siegel es científico investigador principal y director de ciberseguridad en MIT Sloan (CAMS).; (Nota de arte: una fotografía y una ilustración acompañan a este artículo).

De: HBR.org

A medida que innovaciones tecnológicas como la computación en la nube, el Internet de las cosas, la automatización de procesos robóticos y el análisis predictivo se integran en las organizaciones, estas se hacen cada vez más susceptibles a las amenazas cibernéticas. Las empresas Fortune 1000, por ejemplo, tienen un 25% de probabilidad de sufrir una vulneración, y el 10% de ellas enfrentarán pérdidas multimillonarias. En las empresas más pequeñas a>, el 60% quedará fuera del negocio dentro de los seis meses posteriores a un ciberataque grave. Esto significa que regular y evaluar los riesgos cibernéticos se convierte en un requisito previo para un desempeño empresarial exitoso, y que los inversores necesitan saber cuán vulnerables son realmente las empresas. Esta necesidad de transparencia ha sido reconocida por los reguladores y facilitada por nuevas normas de ciberseguridad. Actualmente, la Comisión de Seguridad e Intercambio de los Estados Unidos (SEC, por sus siglas en inglés), ha aumentado su aplicación para garantizar que las empresas mantengan controles de ciberseguridad adecuados y revelen adecuadamente los riesgos e incidentes cibernéticos. Las nuevas reglas de ciberseguridad de la SEC “exigen que las empresas que cotizan en bolsa divulguen sus capacidades de gobernanza en materia de ciberseguridad, incluida la supervisión del riesgo cibernético por parte de la junta directiva, una descripción del papel de la administración en la evaluación y gestión de los riesgos cibernéticos, la experiencia relevante de dicha administración y el papel de la dirección en la implementación de las políticas, procedimientos y estrategias de ciberseguridad de la empresa". Se espera que el costo del delito cibernético, incluido el costo de recuperación y remediación, aumente a 10.5 billones de dólares al año hasta 2025. Para reforzar su ciberseguridad y mantenerse a la vanguardia, las empresas deben anticipar conscientemente el cambiante entorno interno y externo, y priorizar sus esfuerzos de riesgo cibernético en consecuencia. He aquí cuatro áreas en las que centrarse: 1. ALINEAR LA GESTIÓN DE RIESGO CIBERNÉTICO CON LAS NECESIDADES DE LA EMPRESA. Ser capaz de presentar argumentos comerciales para esta inversión es esencial para las juntas directivas. Una visión clara de las exposiciones comerciales, operativas y financieras debe: a) Generar lenguaje para discutir los riesgos cibernéticos. b) Conectar con miembros de la junta directiva que no tengan experiencia técnica. c) Poner en la agenda el riesgo cibernético, y comparar este riesgo con otros desafíos corporativos. También ayuda a la junta directiva a explicar la exposición al riesgo cibernético de la empresa a los inversores. 2. MONITOREAR CONTINUAMENTE EL RENDIMIENTO DE LA CAPACIDAD DE RIESGO CIBERNÉTICO. El monitoreo continuo es esencial para establecer si la estrategia de gestión del riesgo cibernético funciona según lo previsto. A menudo, para este fin se utilizan paneles de informes de gestión, combinados con información obtenida de ejercicios de eventos cibernéticos. Actualmente, en su forma más avanzada, estas actividades pueden capturar la situación casi en tiempo real. 3. ANTICIPAR PROACTIVAMENTE EL CAMBIANTE PANORAMA DE AMENAZAS. La gestión proactiva del riesgo cibernético permite a las organizaciones defensoras aprender del intercambio de información y de los ejercicios previos a los ciberataques. Esto contribuye a mejorar la capacidad de seguridad antes de los ataques y, por lo tanto, reduce el número de incidentes de seguridad significativos. El aprendizaje reactivo es significativamente más costoso, porque la mejora organizacional se produce en función de las lecciones aprendidas de los incidentes de ciberseguridad que han sufrido. Actualmente, el 56% de los tomadores de decisiones informados toman decisiones costosas y poco óptimas cuando se trata de la gestión de riesgos cibernéticos. 4. POSICIONAR LA SEGURIDAD COMO UN FACILITADOR ESTRATÉGICO DE LA EMPRESA. El aumento de superficies que requieren protección y el aumento del comportamiento adversario requieren más esfuerzos por parte de los equipos de ciberseguridad para mejorar las posturas defensivas de sus empresas. Sin embargo, estos equipos se enfrentan a la falta de recursos de seguridad cualificados. La reducción efectiva y continua de la carga de trabajo se ha vuelto esencial. Por lo tanto, la seguridad por diseño, la colaboración con otras partes, la automatización y la realización de economías de escala son fundamentales para lograr un estado futuro de seguridad. Las organizaciones que no puedan hacer estos ajustes adecuadamente quedan cada vez más expuestas a fallos de control no deseados y a mecanismos de aprendizaje reactivo. BC-WAKEUPCALL-CYBER-RISK-ART-NYTSF — No caption. (Tony Cenicola/The New York Times) — BC-WAKEUPCALL-CYBER-RISK-ART-NYTSF — OTHER USE PROHIBITED.