Semana tras semana, mes tras mes, las ciber demandas de accionistas aparecen en las noticias. Capital One llegó a un acuerdo por 190 millones de dólares. Se presentó una demanda colectiva contra Ultimate Kronos Group por la supuesta negligencia en relación con un ataque de ransomware, identificando un sistema de ciberseguridad deficiente como la raíz del problema.

Estas dos noticias, ponen de manifiesto los riesgos a los que se enfrentan las empresas en su continua guerra contra las ciberamenazas. Las compañías que sufren estos ataques continúan teniendo dificultades con sus impactos inmediatos y obvios: tiempo de inactividad, pérdida de datos, pérdida de ingresos, golpes a su reputación y multas reglamentarias. Pero ahora lo que está en juego aumenta. Cada vez más incidentes cibernéticos desencadenan demandas colectivas de consumidores, inversores y otras partes afectadas que argumentan que las empresas -y los propios consejos de administración- deberían haber actuado con más diligencia para proteger su información sensible.

Por supuesto, prácticamente todas las organizaciones han tomado algunas medidas para mejorar sus prácticas de ciberseguridad en los últimos años. Las infracciones, que tuvieron gran repercusión en Target, Equifax, Marriott y otras empresas conocidas aumentaron la concienciación y obligaron a los responsables IT a reforzar las redes corporativas y políticas de sus compañías.

Pero las violaciones de seguridad siguen apareciendo, al igual que las demandas. El problema es que muchas empresas todavía no han convertido la ciberseguridad en una verdadera prioridad para toda la organización. Aunque esto se aplica más a las PyMEs, sigue siendo un problema también para algunas empresas más grandes. La mayoría sigue confiando en los gestores IT que trabajan tras bambalinas para determinar y llevar adelante las estrategias de seguridad. Muchas empresas no han involucrado lo suficiente a los líderes empresariales en la estrategia de ciberseguridad ni han hecho de las ciberamenazas un punto permanente en la agenda de la junta directiva. Ya es hora de que lo hagan. A continuación, cuatro pasos básicos que las empresas pueden dar para dar prioridad a la ciberseguridad a nivel de liderazgo.

Reforzar los conocimientos cibernéticos de la junta

La junta directiva tiene que asumir un papel activo en la preparación de la ciberseguridad. Pero primero los directores tienen que asegurarse de que están a la altura de la tarea.

Esto va más allá de que los miembros mantengan discusiones sobre medidas correctivas con sus líderes IT y de negocios. Los miembros de las juntas deben formarse a sí mismos para hacer frente al continuo desafío de la ciberseguridad. Pueden empezar por evaluar el nivel de conocimientos cibernéticos de sus miembros y contratar a uno o más colaboradores con experiencia en el tema. Estos especialistas en ciberseguridad pueden dirigir subcomités y colaborar directamente con los líderes empresariales y de IT en las estrategias.

En segundo lugar, toda la junta directiva debería recibir formación anual o semestral para comprender el panorama de la ciberseguridad, que está en constante evolución. Un consejo que esté correctamente preparado en estas temáticas puede abordar mejor los riesgos, las responsabilidades y las cuestiones técnicas que determinarán las decisiones estratégicas que tendrán que tomar.

Crear un intercambio de información fluido

Una vez que el consejo esté al día, corresponde a la dirección desarrollar un mecanismo que promueva una comunicación coherente sobre los riesgos y las estrategias cibernéticas. Quienes ocupen lugares de dirección deben reservar tiempo para una interacción intensa sobre los planes, procedimientos y cuestiones en curso relacionadas con los riesgos de ciberseguridad. Es importante que el mecanismo incluya a las partes interesadas de una amplia variedad de departamentos: todos, desde las áreas de negocio hasta la de IT, pasando por legales, RRHH y Marketing. Si bien las tecnologías de ciberseguridad seguirán siendo controladas por IT, la estrategia y la aplicación son transversales a todos los departamentos, y escalan hasta la junta directiva.

Estas interacciones deben convertirse en una parte cotidiana de las responsabilidades de la junta directiva, y los directivos deben desempeñar el papel de educadores y facilitadores.

Designar un padrino ejecutivo

Aunque la participación se extiende a todos los departamentos, es importante poner la creación de un plan de respuesta en manos de una persona. Esa persona no tiene que desarrollar todo el plan. Pero debe ser un líder que tenga la autoridad para impulsar el cambio y obtener la alineación de toda la organización. En teoría, el CIO, el CISO o el CSO deberían estar bien posicionados para esta tarea.

Tiene más sentido que una organización designe a un líder del área de negocio en esta función, alguien cuyo trabajo esté relacionado con las actividades generadoras de ingresos o con las operaciones más que con la tecnología. Esta persona debe colaborar con los líderes tecnológicos, pero abordar la tarea centrándose en la estrategia empresarial. La tecnología es fundamental, pero los mejores planes de respuesta se enmarcan en la forma en que las operaciones pueden prepararse mejor para una brecha y mantenerse en caso de que se produzca.

Asignar funciones en toda la organización

Aunque el CSO y el CISO seguirán fijando las agendas de seguridad de las empresas, otros líderes tienen que asumir papeles activos. Los directores financieros tienen que garantizar que se incorpore un nivel de seguridad en todos los procesos financieros de la empresa. Los directores de RRHH deben investigar las nuevas contrataciones con más diligencia y servir de conducto para que los empleados se sientan cómodos con las prácticas de seguridad. Los jefes de ventas deben promover la higiene de la seguridad, especialmente con los agentes que viajan, cuyo acceso remoto los convierte en vectores principales para los hackers.

Conclusión

Dada la sociedad litigiosa de hoy en día, las empresas no pueden esperar erradicar por completo las ciberdemandas. Pero pueden desempeñar un papel activo para evitarlas. Hacer de la ciberseguridad una cuestión de liderazgo, extendiéndola a toda la organización, hasta la junta directiva, es un paso en la dirección correcta.

(*) Dave Russell: Vicepresidente de estrategia de productos en Veeam