Personas y tecnologíaInformar al consejo sobre los problemas y riesgos de seguridad

Executive Summary

¿Se le da tan bien realizar presentaciones como la seguridad? Cómo utilizar eficientemente el poco tiempo que tiene con la junta directiva para explicarles los riesgos y las necesidades, además de qué hacer en relación con ambos temas.

Executive Summary

¿Se le da tan bien realizar presentaciones como la seguridad? Cómo utilizar eficientemente el poco tiempo que tiene con la junta directiva para explicarles los riesgos y las necesidades, además de qué hacer en relación con ambos temas.

Related

9 motivos por los que un cliente abandona una app

Ha llegado el momento. Tienes que presentar al consejo un informe sobre el estado de la seguridad de la empresa. Se trata de una presentación muy importante ya que la seguridad, la reputación y el estado financiero de ella dependen en gran medida de ti. Los miembros del consejo deben comprender a qué riesgos se enfrenta la empresa y tu plan para mitigarlos. Pero su tiempo y atención son limitados. Sé conciso y convincente.

Sigue estos seis pasos para lograr tus objetivos.

1. Las ciberamenazas son reales. Atente a los hechos

Han oído las cifras. Anualmente la ciberdelincuencia causa pérdidas de hasta 575 000 millones de dólares.  Las filtraciones de datos pueden superar los 400 millones de dólares. Muchas veces no se presta la debida atención a estos datos o los miembros del consejo no reaccionan como cabría esperar. Sin embargo es necesario advertirles sobre el riesgo que conlleva hacer negocios online y las amenazas a las que se enfrenta la empresa y todo el sector. Si el mayor riesgo de tu empresa está relacionado con la falta de controles o en procesos inadecuados, el consejo debe saberlo. Y, en especial, debes comunicar a sus miembros qué estás haciendo al respecto. No acudas a la reunión del consejo con problemas para los que aún no has previsto una solución.

Si no obtienes el respaldo necesario para hacer frente a las amenazas de la empresa, piensa en cómo podría afectar a tu propia reputación y carrera.

Comparte con ellos el caso de alguna empresa de vuestro sector que haya sufrido un ataque a la seguridad de sus datos. Pon ejemplos sobre lo que podría llegar a pasar en vuestra empresa. Identifica los datos personales más relevantes (propiedad intelectual, datos confidenciales de clientes) y traza un escenario de lo que podría pasar y del coste que supondría que se vieran comprometidos.

2. Presenta métricas convincentes

Si hay brechas en las defensas de la empresa y luchas para obtener recursos para enmendarlas, apórtales pruebas que demuestren que estáis continuamente bajo ataque y que vuestra red está siendo rastreada constantemente. Deja claro que tarde o temprano los malos se salen con la suya. Edúcales. Sorpréndelos.

  • El 73 % de las empresas ha sido víctima de al menos un fallo de seguridad en el último año
  • Alrededor de un tercio de los empleados atacados mediante phishing abrirán correos fraudulentos
  • Más de uno de cada diez morderá el anzuelo, y con uno será suficiente
  • En menos de dos minutos, el hacker pondrá en peligro tus sistemas
  • Los hackers ya están dentro de tu empresa, de media, más de cuatro meses antes de ser descubiertos
  • Su principal puerta de entrada está en las aplicaciones web

3. Consigue su apoyo para adoptar una cultura de seguridad

Los errores humanos son la causa del 58 % de los ciberataques. Una empresa segura es aquella en la que todos conocen las amenazas y hacen lo posible para reducir los riesgos. Empezando por una formación rigurosa y continua, incluso comprometiéndose con un estándar para la seguridad como el ISO 27001.

4. Convéncelos de la necesidad de responder a los ataques

Anima al consejo a afrontar los hechos: todas las organizaciones están expuestas hoy a sufrir una violación en la seguridad de sus datos. El alcance del daño depende de una respuesta rápida y efectiva, de modo que, ¿por qué no prepararse? La mayoría de las empresas carece de una respuesta ante incidentes (IR) efectiva. Se necesita ayuda técnica, forense, legal y de relaciones públicas para superar el trauma. La mejor opción es acudir a un especialista externo. Una buena empresa especializada en respuesta ante incidentes que os respalde.

5. Sugiere un seguro cibernético

Los seguros cibernéticos son cruciales para tu estrategia de seguridad. Sin embargo, solo el 19 % de las empresas los contratan.Y en la mayoría de casos la cobertura es insuficiente ya que apenas cubren el 12 % de los costes totales de un típico caso de fallo en la seguridad. Los seguros cibernéticos están experimentando una gran expansión todo el mundo, con un aumento previsto para 2020 del 300 % de los actuales 2500 millones de dólares en primas anuales. Muestra un presupuesto a tu empresa. Calcula qué pérdida puede asumir tu empresa por una brecha sin causar una catástrofe financiera. Toma un nivel de riesgo cómodo y asegura el resto.

73%

El 73 % de las empresas sufrió al menos un ataque en el último año.

6. Consigue que apoyen proyectos que antes rechazaron

Has cumplido con tu deber y asegurado fondos para algunos de los proyectos que propusiste. Si hay áreas de riesgo que precisan un presupuesto que no tienes, los miembros del consejo deben saberlo y, bien aceptar el riesgo, bien abogar por una solución. No hay manera mejor de conseguir que se hagan las cosas que diciendo que lo ha pedido el consejo.

Conclusión

Permítete ser un poco egoísta. Piensa en cómo podría afectar a tu propia reputación y carrera si no obtienes el apoyo necesario para defender a la empresa de amenazas reales. Si el consejo no es receptivo a tus planteamientos, tal vez deberías reconsiderar tus opciones.

Se trata de un tema de vital importancia.

Puede que también le guste

Cómo administrar bien (o mal) tu presupuesto en seguridad

Todos tenemos un pasado. ¿Recuerdes las cintas de vídeo VHS, las botas Dr. Martens o la música grunge? Mientras los 90 son para muchos un vago recuerdo, siguen muy presentes en los centros de datos de muchas grandes empresas. No deja de sorprender el gran número de empresas de TI que siguen funcionando como si estuvieran ancladas en los 90.

¿Y si tu presupuesto de seguridad no se centra en las amenazas adecuadas?

¿Inviertes bien tu dinero en seguridad de TI? Si centras la mayoría de los gastos en el perímetro de tu red, a expensas de la seguridad de la aplicación y la gestión de identidades, puede que no estés distribuyendo bien el gasto.

4 cosas a tener en cuenta sobre ángulos muertos en la nube

Lo mismo que un buen conductor evita en lo posible el ángulo muerto mientras circula, tú también debes asegurarte de tener esos eventuales puntos ciegos cubiertos en la nube. Deslumbrados por la agilidad, reducción de gastos, eficiencia y aumento de productividad que ofrece la nube, muchos directores de TI olvidan cuatro peligros que no siempre están visibles.