Calendario de EventosBiblioteca de RevistasBiblioteca de NewsletterBiblioteca de InfografíasGalería FotográficaVideoentrevistasColaboradoresEstadísticas

Inscríbase a la RevistaPolíticas de PrivacidadLa guía del ColaboradorContactoAnúnciate aquí






OK
ARTÍCULO DESTACADO
Imagen Supervisión del  RIESGO CIBERNÉTICO  por la junta del Consejo

Supervisión del RIESGO CIBERNÉTICO por la junta del Consejo

Lunes 24 de Junio del 2019
Carlos Ramírez Acosta

Las tareas de inteligencia para proteger, defender y anticipar amenazas contra una organización se han convertido en un imperativo dentro de las propias organizaciones

En los pasados 20 años, el valor de los activos corporativos ha cambiado de manera significativa, de lo físico hacia lo virtual. La National Association of Corporate Directors (NACD), junto con la Internet Security Alliance (ISA) —ambas organizaciones de gran influencia en el sector empresarial norteamericano— emitieron cinco principios para la supervisión y tratamiento del riesgo cibernético, que son un importante referente para la concientización de los miembros del Consejo de Directores en esta materia y que están siendo adoptados y adaptados en las corporaciones de distintos giros y sectores en la región latinoamericana.

Estos cinco principios sintetizados en este artículo destacan lo esencial de manera sucinta líneas abajo. Pero antes, hagamos una revisión analítica de los conceptos “ciberinteligencia” y “ciberseguridad” relacionados con estos cinco postulados que igualmente están incidiendo en la toma de decisiones de los altos niveles directivos de diversas organizaciones.

La ciberinteligencia y la ciberseguridad se están posicionando en las agendas de los altos ejecutivos del negocio como temas relevantes que ocupan un lugar importante dentro de la dinámica de la organización. Si bien, los temas de seguridad corporativa y seguridad de la información alcanzan los dominios de las juntas directivas, es necesario mantenerlas al tanto sobre la evolución de los riesgos y amenazas que ahora llevan implícito el prefijo “ciber” y que puedan impactar negativamente en el logro de las estrategias organizacionales. La naturaleza de los peligros a través de las tecnologías de la información y las comunicaciones al alcance de cualquier criminal solitario, o de un grupo criminal organizado, o incluso de Estados-nación con intereses específicos de robo de información, es potencialmente mayor dadas las asimetrías entre las potenciales víctimas, sean estas empresas o individuos y las capacidades sofisticadas que han mostrado los ciberdelincuentes.

Las tareas de inteligencia para proteger, defender y anticipar amenazas contra una organización se han convertido en un imperativo dentro de las propias organizaciones, algunas de las cuales, están desarrollando capacidades y competencias de ciberinteligencia para fortalecer sus estrategias de prevención, detección y respuesta, pues la posibilidad de una falla o de un ataque siempre está presente, además de que el enemigo puede ya estar dentro de la propia organización o formar parte de ella.

La tormenta perfecta, donde repentinamente puede navegar un analista de ciberinteligencia, responde a una lógica disruptiva de intervenciones en el ciberespacio: ciberataques y ciberexplotaciones, que repercuten también en el mundo físico. Los primeros son actos deliberados contra los datos, las redes y la infraestructura digital, y las segundas están asociadas con la obtención de información a través de inteligencia o actividades de espionaje, pero a final de cuentas, también los daños impactan elementos materiales.

Instaurar o modernizar Centros de Operaciones de Seguridad en las organizaciones, que asuman o integren acciones análogas de Centros de Fusión, es una alternativa eficaz que puede alinearse al negocio y a sus procesos estratégicos que de manera transversal y vertical monitoreé riesgos y amenazas a fin de identificarlos con mayor oportunidad, y así evitar o mitigar el impacto en caso de que éstos se materialicen. 

Por lo tanto, la ciberinteligencia se inscribe en este escenario de la prevención y la protección de los activos del negocio como una estrategia complementaria para una mejor toma de decisiones contra los peligros en el ciberespacio y fortalezca la ciberseguridad… igualmente denominada “seguridad cibernética”.

La seguridad cibernética es un grave problema de riesgo a nivel de empresa, que afecta a todas las actividades de una organización. 

 

• Es, sin duda, un asunto del Factor Humano. 

• Se requiere comprender las implicaciones legales.

• Asegurar que el Consejo se dé tiempo para discutir el tema.

• Es un elemento crucial de la tolerancia al riesgo.

 

El Consejo de Dirección debe tener identificadas claramente las “Joyas de la Corona” de la organización. Esto es, los activos críticos de información, así como determinar la cantidad de peligro que está dispuesto a aceptar para lograr sus objetivos estratégicos, lo que se conoce como “apetito de riesgo”.

 

PRINCIPIOS PARA LA SUPERVISIÓN DEL RIESGO CIBERNÉTICO (NACD/ISA)

 

1.Los directores deben comprender y abordar la ciberseguridad como un problema de gestión de riesgos de toda la organización, no sólo como un problema de las Tecnologías de Información y las Comunicaciones (TIC).

 

2.Los directores deben entender las implicaciones legales de los riesgos cibernéticos relacionados con las circunstancias específicas de su organización.

 

3.Las juntas de Consejo deben tener acceso adecuado a la experiencia en seguridad cibernética de su organización, discutir sobre la gestión del riesgo cibernético y dar tiempo regular y suficiente en las reuniones de Alta Gerencia para revisar el tema de la ciberseguridad.

 

4.Los directores deben establecer la expectativa de que la administración requiere de un marco de gestión del riesgo cibernético para toda la empresa, con personal y presupuesto adecuados.

 

5.Las discusiones de la junta directiva sobre el riesgo cibernético deben incluir:

 

• Qué riesgos evitar.

• Cuáles aceptar.

• Cuáles mitigar.

• Cuáles transferir.

• Planes asociados a cada enfoque.

 

En el caso de México, a finales del mes de noviembre de 2018, se emitió por la Comisión Nacional Bancaria y de Valores (CNBV) una singular regulación en materia de seguridad de la información con siete principales disposiciones de carácter general aplicables a las instituciones de crédito, motivadas por los “ciberataques” y el riesgo cibernético materializado en algunos bancos durante el primer semestre del año. 

Estas disposiciones, enfatizan, por ejemplo, los siguientes aspectos medulares, que van en consonancia con los cinco principios referidos líneas arriba que debe tener presente la Junta de Consejo:

 

SEGURIDAD DE LA INFORMACIÓN

 

Artículos 168 Bis 11 a 168 Bis 17 SEGOB (Secretaría de Gobernación) / CNBV / DOF (Diario Oficial de la Federación) 27 de noviembre de 2018:

 

• Art. 168 Bis 11. El director general de la institución será responsable de la implementación del Sistema de Control Interno en materia de Seguridad de la Información.

• Art. 168 Bis 12. El director general será responsable del cumplimiento de las siguientes obligaciones, por ejemplo:

 

o Aprobar el Plan Director de Seguridad.

o Contratar un tercero independiente para realizar pruebas de penetración a la red.

o Implementar programas anuales de capacitación y concientización.

 

• Art. 168 Bis 13. Las instituciones de crédito contarán con un jefe de Seguridad de la Información (CISO).

• Art. 168 Bis 14. El CISO deberá, por ejemplo:

o Elaborar el Plan Director de Seguridad.

o Verificar anualmente los perfiles de acceso a la infraestructura tecnológica de la institución.

o Presentar un informe mensual al director general de la gestión de seguridad de la información.

 

• Art. 168 Bis 15. El oficial en jefe de Seguridad de la Información podrá apoyarse de oficiales operativos de Seguridad de la Información que se nombrarán en la unidades de negocio de la institución.

• Art. 168 Bis 16. Los incidentes de seguridad de la información deberán reportarse de manera inmediata a la CNBV y llevar a cabo una pronta investigación de las causas que generaron el incidente.

• Art. 168 Bis 17. Las instituciones deberán llevar a cabo un registro en bases de datos de los incidentes. La información de estos incidentes deberá quedar respaldada y conservarse por 10 años.

 

CONCLUSIÓN

 

No hay marcha atrás, desde ya y en adelante, los miembros de las Juntas de Consejo y sus directores integrantes deberán participar activamente en la supervisión, atención y tratamiento del riesgo cibernético, bien sea en la etapa temprana del peligro y la amenaza, o bien cuando éste se haya materializado.  

 

Las infografías ofrecen una rápida información del contenido de este artículo, preparado en exclusiva para la revista Seguridad en América (SEA). 

Imagen
Imagen multiproseg


Logotipo Seguridad en america
VideovigilanciaControl De
acceso
Transporte
seguro
Contra
incendios
Ciberseguridad
y Ti
Seguridad
privada
Administración
de La Seguridad
Protección
ejecutiva
Seguridad
pública
El Profesional
opina
Especial
del Bimestre
Novedades
de La Industria





Cerrar