¿Cómo debe actuar la alta dirección en los ciberataques?

ciberataques

Los ataques cibernéticos son una de las nuevas amenazas que acechan en la era de las nuevas tecnologías. Unos ciberataques cuyas magnitudes pueden ser devastadoras, como, por ejemplo, el que sucedió recientemente que “tumbó” internet en grandes zonas del mundo, afectando a servicios como Twitter, Spotify y Reddit.

Es por ello que AIG ha realizado un análisis sobre cómo concienciar a la alta dirección en esta materia, ya que el reciente ciberataque alerta sobre la necesidad de asumir que esta modalidad de ataques se van a volver más y más frecuentes, tal y como afirma el análisis de la aseguradora.

HAY DOS GRUPOS: EMPRESAS ATACADAS Y LAS QUE LO VAN A SER

Tal y como afirman los expertos, las empresas se pueden clasificar en dos grupos: las que ya han sido atacadas y las que lo van a ser. Por lo tanto, más allá de prever “si” una empresa va a ser atacada, hay que poner el foco en “cuándo y cómo” lo será, además de sus consecuencias.

Las Pymes cobran especial relevancia en este contexto y son claras candidatas a recibir los efectos del cibercrimen, considerado hoy como el primer delito mundial; además, la gama de esta tipología de ataques empieza a no conocer límites.

Varios son los ejemplos que hasta hoy nos alertan de la necesidad de protegerse ante los ciberataques. Tal es el caso de Microsoft, que no pudo evitar el ataque de un virus que afectó a miles de usuarios; y de Sony, con su PlayStationSon, a la que ocasionaron un bloqueo de más de 77 millones de cuentas y supuso unas pérdidas de 171 millones de dólares; por no dejar de mencionar a Ashley Madison, víctima de un ataque de hackers que habían recopilado direcciones y nombres reales, y que sufrió demandas de sus usuarios por valor de 151 millones de dólares.

Puede afirmarse que no hay empresa alguna que pueda garantizar que no será atacada y que, en el caso de serlo, saldrá indemne.

LA MÁS ALTA DIRECCIÓN Y EL CONSEJO DE ADMINISTRACIÓN DEBEN ESTAR COMPROMETIDOS

La aseguradora AIG afirma que, dada la magnitud del peligro y el riesgo de los ciberataques, se hace necesario que la más alta dirección y el consejo de administración de las empresas estén altamente involucrados y comprometidos con esta causa. Sin duda, las empresas que no quieran asumir esto lo van a arriesgar todo, continúa.

Por lo tanto, los gestores de las compañías deben asumir este reto y concienciar de la necesidad de invertir lo necesario para la prevención de estos ataques y sus consecuencias, a la par que animar hacia un cambio de mentalidad que implique estar preparadas para estas inevitables situaciones.

Varias son las formas que AIG propone para interactuar de forma efectiva con la alta dirección y el consejo de la empresa en esta materia:

1. Concienciarles de que la ciberseguridad es materia de riesgo corporativo (no solo tecnológico).

2. Entender que hay tres tipos de riesgos que debe gestionar un consejo: reputacional, de seguridad y legal.

3. Diseñar e implementar un plan de comunicación interna de ciberseguridad, que informe del “qué” y del “cómo” de los posibles ataques, y que resuelva las dudas de los trabajadores.

4. Inventariar los datos sensibles y compartimentar los que más perjuicio puedan causar a la empresa.

HAY QUE ANTICIPAR LOS CONTEXTOS Y NIVELES DE AMENAZA Y RIESGO

El análisis de la aseguradora AIG continúa afirmando que, cuando se plantean estas cuestiones a la dirección ejecutiva o al consejo de administración de la empresa, hay que ser capaces de anticipar los contextos y niveles de amenaza y riesgo. Además, hay que considerar a la ciberseguridad como un nuevo, inevitable y muy relevante riesgo. Es conveniente también especificar métricas y cifras detrás de tales amenazas para plantear argumentos de coste/ beneficio. Y es que, como afirma AIG, la preocupación por la ciberseguridad en una compañía debería ser similar a la que una persona tiene por su salud.

En este contexto, AIG identifica como primordiales las siguientes necesidades para las que tanto la alta dirección como el consejo necesitan estar preparados:

1. Disponer de una visión general de la ciberseguridad, su necesidad y riesgos.

2. Conocer el riesgo reputacional que puede significar un ataque de este tipo.

3. Saber cómo reducir y transferir el riesgo.

4. Conocer los planteamientos preventivos y de mitigación de daños.

5. Conocer la responsabilidad civil individual y empresarial en la que se puede incurrir.

6. Conocer cómo puede influir en el valor de la acción y en el accionista.

En opinión de Lucas Scortecci, director de Líneas Financieras de AIG: “Para concienciar a la alta dirección de forma inmediata, hay que conocer bien el qué y el cómo de los posibles ataques: además, hay que hablar el mismo lenguaje que la dirección, en lo que se refiere a riesgo, inversión, responsabilidad, etc., obviando, en la medida de lo posible, los tecnicismos. También es clave informar periódicamente de la situación del mercado, de los ataques y de lo que se está gestionando internamente. Por último, es necesario conocer dónde están las debilidades y posibles brechas de seguridad para remediarlas en lo posible”.

Deja un comentario

El email no será publicado. Campos marcados con *, campos requeridos


Observatorio de Recursos Humanos

Desde 2006 trabajamos para ofrecer contenidos e información de valor para el profesional de la gestión de RRHH, con el convencimiento de que el conocimiento, en sus vertientes de creatividad, innovación y aprendizaje continuo, es el principal valor de una dirección eficaz.



Contacta con nosotros

Puede contactar con nosotros a través de:


Empleo en RRHH

Esta web pertenece a ORH Grupo Editorial de Conocimiento y Gestión, S.L.



Suscríbete al boletín

* campos obligatorios
Acepto las condiciones de uso y la política de privacidad


Síguenos en Redes Sociales