Las empresas Fortune 1000, por ejemplo, tienen un 25% de probabilidad de sufrir una vulneración, y el 10% de ellas enfrentarán pérdidas multimillonarias. En las empresas más pequeñas a>, el 60% quedará fuera del negocio dentro de los seis meses posteriores a un ciberataque grave.

Esto significa que regular y evaluar los riesgos cibernéticos se convierte en un requisito previo para un desempeño empresarial exitoso, y que los inversores necesitan saber cuán vulnerables son realmente las empresas. Esta necesidad de transparencia ha sido reconocida por los reguladores y facilitada por nuevas normas de ciberseguridad.

Temas relacionados
Internacionales
 Estudiante se suicida tras recibir estafa cibernética por foto íntima
Nacionales
 Hondureño víctima de estafa cibernética, hasta los papeles de la casa entregó como garantía
Nacionales
 Junta Directiva del CN: Redondo presenta cinco argumentos, expertos dicen que es ilegal

Actualmente, la Comisión de Seguridad e Intercambio de los Estados Unidos (SEC, por sus siglas en inglés), ha aumentado su aplicación para garantizar que las empresas mantengan controles de ciberseguridad adecuados y revelen adecuadamente los riesgos e incidentes cibernéticos.

Las nuevas reglas de ciberseguridad de la SEC "exigen que las empresas que cotizan en bolsa divulguen sus capacidades de gobernanza en materia de ciberseguridad, incluida la supervisión del riesgo cibernético por parte de la junta directiva, una descripción del papel de la administración en la evaluación y gestión de los riesgos cibernéticos, la experiencia relevante de dicha administración y el papel de la dirección en la implementación de las políticas, procedimientos y estrategias de ciberseguridad de la empresa".

Se espera que el costo del delito cibernético, incluido el costo de recuperación y remediación, aumente a 10.5 billones de dólares al año hasta 2025.

Vea también ¿Por qué el trabajo híbrido puede volverse tóxico? Conozca los motivos

Para reforzar su ciberseguridad y mantenerse a la vanguardia, las empresas deben anticipar conscientemente el cambiante entorno interno y externo, y priorizar sus esfuerzos de riesgo cibernético en consecuencia. He aquí cuatro áreas en las que centrarse:

Alinear la gestión de riesgo cibernético con las necesidades de la empresa

Ser capaz de presentar argumentos comerciales para esta inversión es esencial para las juntas directivas. Una visión clara de las exposiciones comerciales, operativas y financieras debe:

  • a) Generar lenguaje para discutir los riesgos cibernéticos.
  • b) Conectar con miembros de la junta directiva que no tengan experiencia técnica.
  • c) Poner en la agenda el riesgo cibernético, y comparar este riesgo con otros desafíos corporativos. También ayuda a la junta directiva a explicar la exposición al riesgo cibernético de la empresa a los inversores.

Monitorear continuamente el rendimiento de la capacidad de riesgo cibernético

El monitoreo continuo es esencial para establecer si la estrategia de gestión del riesgo cibernético funciona según lo previsto. A menudo, para este fin se utilizan paneles de informes de gestión, combinados con información obtenida de ejercicios de eventos cibernéticos.

Actualmente, en su forma más avanzada, estas actividades pueden capturar la situación casi en tiempo real.

Anticipar proactivamente el cambiante panorama de amenazas

La gestión proactiva del riesgo cibernético permite a las organizaciones defensoras aprender del intercambio de información y de los ejercicios previos a los ciberataques. Esto contribuye a mejorar la capacidad de seguridad antes de los ataques y, por lo tanto, reduce el número de incidentes de seguridad significativos.

El aprendizaje reactivo es significativamente más costoso, porque la mejora organizacional se produce en función de las lecciones aprendidas de los incidentes de ciberseguridad que han sufrido.

Actualmente, el 56% de los tomadores de decisiones informados toman decisiones costosas y poco óptimas cuando se trata de la gestión de riesgos cibernéticos.

Posicionar la seguridad como un facilitador estratégico de la empresa

El aumento de superficies que requieren protección y el aumento del comportamiento adversario requieren más esfuerzos por parte de los equipos de ciberseguridad para mejorar las posturas defensivas de sus empresas.

Sin embargo, estos equipos se enfrentan a la falta de recursos de seguridad cualificados.

La reducción efectiva y continua de la carga de trabajo se ha vuelto esencial. Por lo tanto, la seguridad por diseño, la colaboración con otras partes, la automatización y la realización de economías de escala son fundamentales para lograr un estado futuro de seguridad.

Las organizaciones que no puedan hacer estos ajustes adecuadamente quedan cada vez más expuestas a fallos de control no deseados y a mecanismos de aprendizaje reactivo.

Copyright:
c.2023 Harvard Business School Publishing Corp.

Siga leyendo ¿Cómo ser directo siendo amable y sin ser grosero? Conozca cómo lograrlo