Actúe, no reaccione: una guía de ciberseguridad para líderes

Actúe, no reaccione: una guía de ciberseguridad para líderes Actúe, no reaccione: una guía de ciberseguridad para líderes
Business Review (Núm. 296) · Tecnología
Management & Innovation (Núm. 50) · Tecnología

Es solo cuestión de tiempo que su organización tenga un "ciberincidente". ¿Está preparado?

Si no ha sucedido todavía, es solo cuestión de tiempo que su organización sufra un “ciberincidente”. En 2019, el “cuándo” reemplazó al “quizá” como principio rector. El FBI estima que se producirá un incidente cibernético cada catorce segundos este año, por lo que, a medida que lea esto, es probable que ocurran casi cien incidentes, que van desde revelaciones accidentales menores de información confidencial hasta un robo importante de datos y otros activos valiosos por parte de delincuentes, actores patrocinados por un estado o terroristas.

Lo que hace que los efectos de los incidentes cibernéticos sean tan insidiosos son su velocidad y su visibilidad. Las crisis cibernéticas estallan en cuestión de minutos –horas, en el mejor de los casos– y evolucionan no solo a la velocidad del rayo, sino, además, a la vista del público. Las consecuencias, generalmente, abarcan toda una organización y mucho más allá, involucrando a proveedores, clientes y comunidades. Mitigar el impacto puede llevar semanas o meses. Históricamente, muchos incidentes han tenido un impacto enormemente negativo en las marcas y la reputación, reduciendo el valor de una empresa.

Dado que los incidentes cibernéticos pueden destruir el valor de una compañía, en la mayoría de los casos, el Consejo de Administración se verá directa y significativamente implicado. Sin embargo, aunque todos los Consejos reciben informes periódicos sobre el estado de preparación y resistencia cibernética de su organización, muy pocos están listos para responder y actuar de manera adecuada cuando ocurre un incidente. En este artículo describiremos la naturaleza variada de las amenazas cibernéticas y ofreceremos recomendaciones acerca de cómo la Dirección y los Consejos de Administración pueden abordarlas.

 

La naturaleza y el alcance de las amenazas cibernéticas Las amenazas cibernéticas son el resultado de tres características interrelacionadas: quienes participan en ataques cibernéticos, o actores maliciosos, el valor que esperan extraer de los objetivos que atacan y los “vectores de ataque” que usarán para atacar su organización (ver el cuadro 1).

 

1. Actores maliciosos Si bien la naturaleza y el alcance de los actores maliciosos son vastos y crecie...


Michael Parent

·

Profesor en la Segal Graduate School of Business de la Simon Fraser University y Director académico de la cohorte de Vancouver del programa de formación de directores del Institute of Corporate Directors (ICD). Imparte a nivel nacional la formación del ICD sobre ciberseguridad y riesgo informático

Greg Murray

·

Vicepresidente de Seguridad Informática y Chief Information Security Officer de Rogers. Director residente de Informática y Ciberseguridad en la Rotman School of Management

David R. Beatty

·

Director académico del David and Sharon Johnston Centre for Corporate Governance Innovation y profesor de Gestión Estratégica en la Rotman School of Management. Ha sido miembro de 35 Juntas Directivas y presidente de 8 empresas que cotizan en bolsa. Director de FirstService Corporation, Walter Energy y Canada Steamships Lines