Informar al consejo sobre los problemas y riesgos de seguridad

Ha llegado el momento. Tienes que presentar al consejo un informe sobre el estado de la seguridad de la empresa. Se trata de una presentación muy importante ya que la seguridad, la reputación y el estado financiero de ella dependen en gran medida de ti. Los miembros del consejo deben comprender a qué riesgos se enfrenta la empresa y tu plan para mitigarlos. Pero su tiempo y atención son limitados. Sé conciso y convincente.

Sigue estos seis pasos para lograr tus objetivos.

1. Las ciberamenazas son reales. Atente a los hechos

Han oído las cifras. Anualmente la ciberdelincuencia causa pérdidas de hasta 575 000 millones de dólares.  Las filtraciones de datos pueden superar los 400 millones de dólares. Muchas veces no se presta la debida atención a estos datos o los miembros del consejo no reaccionan como cabría esperar. Sin embargo es necesario advertirles sobre el riesgo que conlleva hacer negocios online y las amenazas a las que se enfrenta la empresa y todo el sector. Si el mayor riesgo de tu empresa está relacionado con la falta de controles o en procesos inadecuados, el consejo debe saberlo. Y, en especial, debes comunicar a sus miembros qué estás haciendo al respecto. No acudas a la reunión del consejo con problemas para los que aún no has previsto una solución.

Si no obtienes el respaldo necesario para hacer frente a las amenazas de la empresa, piensa en cómo podría afectar a tu propia reputación y carrera.

Comparte con ellos el caso de alguna empresa de vuestro sector que haya sufrido un ataque a la seguridad de sus datos. Pon ejemplos sobre lo que podría llegar a pasar en vuestra empresa. Identifica los datos personales más relevantes (propiedad intelectual, datos confidenciales de clientes) y traza un escenario de lo que podría pasar y del coste que supondría que se vieran comprometidos.

2. Presenta métricas convincentes

Si hay brechas en las defensas de la empresa y luchas para obtener recursos para enmendarlas, apórtales pruebas que demuestren que estáis continuamente bajo ataque y que vuestra red está siendo rastreada constantemente. Deja claro que tarde o temprano los malos se salen con la suya. Edúcales. Sorpréndelos.

  • El 73 % de las empresas ha sido víctima de al menos un fallo de seguridad en el último año
  • Alrededor de un tercio de los empleados atacados mediante phishing abrirán correos fraudulentos
  • Más de uno de cada diez morderá el anzuelo, y con uno será suficiente
  • En menos de dos minutos, el hacker pondrá en peligro tus sistemas
  • Los hackers ya están dentro de tu empresa, de media, más de cuatro meses antes de ser descubiertos
  • Su principal puerta de entrada está en las aplicaciones web

3. Consigue su apoyo para adoptar una cultura de seguridad

Los errores humanos son la causa del 58 % de los ciberataques. Una empresa segura es aquella en la que todos conocen las amenazas y hacen lo posible para reducir los riesgos. Empezando por una formación rigurosa y continua, incluso comprometiéndose con un estándar para la seguridad como el ISO 27001.

4. Convéncelos de la necesidad de responder a los ataques

Anima al consejo a afrontar los hechos: todas las organizaciones están expuestas hoy a sufrir una violación en la seguridad de sus datos. El alcance del daño depende de una respuesta rápida y efectiva, de modo que, ¿por qué no prepararse? La mayoría de las empresas carece de una respuesta ante incidentes (IR) efectiva. Se necesita ayuda técnica, forense, legal y de relaciones públicas para superar el trauma. La mejor opción es acudir a un especialista externo. Una buena empresa especializada en respuesta ante incidentes que os respalde.

5. Sugiere un seguro cibernético

Los seguros cibernéticos son cruciales para tu estrategia de seguridad. Sin embargo, solo el 19 % de las empresas los contratan.Y en la mayoría de casos la cobertura es insuficiente ya que apenas cubren el 12 % de los costes totales de un típico caso de fallo en la seguridad. Los seguros cibernéticos están experimentando una gran expansión todo el mundo, con un aumento previsto para 2020 del 300 % de los actuales 2500 millones de dólares en primas anuales. Muestra un presupuesto a tu empresa. Calcula qué pérdida puede asumir tu empresa por una brecha sin causar una catástrofe financiera. Toma un nivel de riesgo cómodo y asegura el resto.

73%

El 73 % de las empresas sufrió al menos un ataque en el último año.

6. Consigue que apoyen proyectos que antes rechazaron

Has cumplido con tu deber y asegurado fondos para algunos de los proyectos que propusiste. Si hay áreas de riesgo que precisan un presupuesto que no tienes, los miembros del consejo deben saberlo y, bien aceptar el riesgo, bien abogar por una solución. No hay manera mejor de conseguir que se hagan las cosas que diciendo que lo ha pedido el consejo.

Conclusión

Permítete ser un poco egoísta. Piensa en cómo podría afectar a tu propia reputación y carrera si no obtienes el apoyo necesario para defender a la empresa de amenazas reales. Si el consejo no es receptivo a tus planteamientos, tal vez deberías reconsiderar tus opciones.

Se trata de un tema de vital importancia.