Redacción ‘MS’- Los consejeros y directivos se enfrentan a un mundo cada vez más tecnológico, lo que ha obligado a las empresas a adoptar una defensa activa para hacer frente a los ataques de ciberseguridad.
En este contexto, Assiteca España ha organizado recientemente el webinar «Ciberseguridad: La mayor preocupación de los directivos”. Silvia Sepúlveda, moderadora del evento y Head of Financial Lines en Assiteca España, ha explicado que la ciberseguridad es un aspecto cada vez más crítico que puede impactar directamente en el negocio y reputación de las empresas. “Por ello, es fundamental involucrar al comité de dirección en las políticas de seguridad de la información”, ha señalado.
Durante el evento virtual, Alejandro Padín, Socio en Garrigues, ha destacado que “las normativas específicas como el reglamento de protección de datos tienen menciones expresas a la necesidad de que las más altas jerarquías de las compañías estén involucradas y tomen decisiones sobre la estrategia de seguridad de la información”. Por su parte, Juan Cobo, Global CISO en Ferrovial, ha asegurado que en la gran empresa ya hace tiempo que la ciberseguridad es un asunto del comité de dirección y del consejo de administración. “En Ferrovial, la ciberseguridad está dentro del top 10 de los riesgos de la compañía”, ha matizado.
Asimismo, Xabier Mitxelena, Managing Director y Iberian Security Lead en Accenture, ha afirmado que, dentro de los riesgos de las compañías, la ciberseguridad es clave, pero no es un elemento tecnológico, sino reputacional. Por ello, concluye que tiene una responsabilidad de la alta dirección. También ha añadido que en “el mapa de riesgos de grandes compañías se empieza a tener claro que la ciberseguridad es una inversión, pero también un elemento de competitividad”.
Alinear las estrategias de negocio y riesgos en las compañías
Por otro lado, Toni García, CISO y CIO en LETI Pharma, ha reflexionado sobre la importancia de alinear las estrategias de negocio y de riesgos en las compañías. Así, ha destacado que alinear las estrategias de negocio, riesgos y ciberseguridad “es el último paso que todavía aún no hemos acabado de dar. En el momento que esa consciencia transversal exista, las estrategias se alinearan de manera natural”, puesto que los tres elementos -negocio, riesgos y ciberseguridad- están interrelacionados.
En este sentido, Padín también ha recalcado que es esencial estar involucrado en la planificación de ciberseguridad, ya que esta tiene que estar incluida dentro de la estrategia de la compañía como parte del negocio. Asimismo, desde una perspectiva legal, ha afirmado que «hay una serie de obligaciones en materia de custodia de la información que si no se contemplan están suponiendo un incumplimiento de las obligaciones de los propios administradores y de los directores”.
Por su parte, García ha expresado que la regulación es, en cierta parte, un regalo. “Que exista una parte regulatoria que diga que hay que cumplir es un primer paso que te permite establecer unas reglas del juego”, ha asegurado. Sin embargo, “es un desafío porque tener que cumplir una regulación implica sobreesfuerzos de auditoria, de establecimiento y controles, y de alineamiento de normas que no siempre están adecuadamente desarrolladas para que encajen entre ellas. Tienes que hacer un ejercicio de cruzar esas normas para ver que no estés implantando dos cosas distintas para el mismo objetivo”, ha explicado.
Hacer frente a un ciberataque
Entre las recomendaciones para enfrentarse a un ciberataque, Cobo destaca, en primer lugar, que ninguna compañía está a salvo de los ciberincidentes. Por ello, asumiendo que es algo que va a pasar, recomienda preparase y contar con las capacidades para prevenir los ciberataques. “Debemos tener capacidad para poder detectarlos, saber cómo nos vamos a enfrentar a ellos y cómo nos vamos a recuperar”, destaca. Asimismo, añade que para estar preparados hay que incluir a todas las áreas de la organización, ya que hay muchos roles que hay que tener en cuenta de cara gestionar la crisis que la compañía tiene que abordar. Cobo concluye que, dentro de la estrategia de seguridad, el seguro es un tema importante y que las grandes compañías ya suelen contar con ciberseguros. “Cuando tienes un incidente y tienes un ciberseguro y tienes claro cómo utilizarlo, qué pasos a seguir y dónde te puede ayudar, te das cuenta que es absolutamente imprescindible”, ha aclarado.
Finalmente, Mitxelena ha puesto de relieve la importancia de colaborar entre empresas, compartiendo conocimiento e información y luchando contra un enemigo común. “El crecimiento exponencial que tiene el ámbito del cibercrimen nos tiene que preocupar de forma común”, ha señalado. Además, el ponente ha defendido la necesidad de contar con una cultura de la ciberseguridad. “Las empresas se tienen que educar. Si creamos una verdadera cultura eliminaremos el 80-90% de los incidentes. La seguridad es una inversión y tenemos que entender que en esa inversión hay que dar pasos hacia adelante”, ha asegurado.