Los Consejos de Administración de las organizaciones deben comprender la magnitud de las amenazas cibernéticas y la importancia de salvaguardar la información para proteger la reputación de la empresa, la confianza de los clientes y el cumplimiento de las regulaciones.
Ante millones de amenazas que surgen a diario, las empresas deben ser conscientes que, por mucho se intenten proteger de un ciberataque, este puede suceder. Es más, es muy probable que suceda. Los riesgos cibernéticos ya no pueden ser ignorados al más alto nivel de una organización. Los Consejos de Administración deben ponerse al día con los riesgos cibernéticos en constante evolución y abordar los desafíos de la gobernanza de la ciberseguridad.
La ciberseguridad debe ser entendida como un riesgo que puede afectar a la continuidad y éxito de una compañía. Si tradicionalmente los Consejos de Administración se mantenían al margen de la ciberseguridad y confiaban en sus empleados de TI o incluso en profesionales de TI externos, los riesgos cibernéticos ya no pueden ser ignorados al más alto nivel.
“Así como en el pasado la alta dirección estaba al tanto de los riesgos financieros, hoy en día tendrían que saber cómo se debe gestionar la Seguridad de la Información, cuáles son los riesgos actuales, cuál es el nivel de riesgo de la compañía, cuáles son las amenazas presentes y futuras, y por consiguiente, definir cuál es el apetito de riesgo de la organización”, expresó Rodrigo Ramírez, CEO de one IT, compañía especializada en Seguridad de la Información y Ciberseguridad, y primer partner de servicios preferidos (Engage Preferred Services Partner (EPSP) dentro del programa de Fortinet para partners Engage en Latinoamérica.
Los directores generales encuestados en México identificaron a la Inflación (65%), Volatilidad macroeconómica (67%) y Riesgos Cibernéticos (53%), como las principales amenazas que podrían inhibir la generación de ingresos durante 2024, de acuerdo con los resultados de la 27ª edición de la Global CEO Survey realizado por pwc.
En los últimos años muchas organizaciones han invertido en la transformación digital para ofrecer servicios diferenciados a sus clientes, por lo que necesitan proteger esas nuevas tecnologías con los recursos necesarios, dijo Jorge Miranda, Sr. Country Manager en México de Fortinet. “En esa transformación rápida y aceleración que están llevando las organizaciones a veces pierden el sentido de la ciberseguridad, y es donde pueden tener algunas brechas que ponen en riesgo su negocio”, destacó el directivo.
Firmas de consultoría coinciden en indicar que se requiere de una mayor participación del consejo y del CEO tanto en la supervisión de riesgos cibernéticos como en temas de cumplimiento más amplios.
El costo del cibercrimen se estima en 10.5 billones de dólares anualmente para 2025. Cybersecurity Ventures predijo que para 2025, el 35% de las empresas Fortune 500 tendrán miembros de la junta directiva con experiencia en ciberseguridad, aumentando 50% para 2031.
El CISO, pieza clave en la continuidad del negocio
La alta dirección en sinergia con el tomador de decisión de Seguridad de la Información y/o el de Ciberseguridad, desempeñan un papel fundamental en garantizar la integridad, confidencialidad y disponibilidad de los datos de una organización.
Hoy en día es fundamental otorgar un mayor peso al CISO en las decisiones estratégicas y en el Consejo de Administración. A decir de Jorge Miranda, el CISO accede a la alta dirección porque la ciberseguridad se ha vuelto un tema muy importante para asegurar la continuidad de la operación, de lo contrario sería difícil obtener los recursos necesarios para la inversión en ciberseguridad.
“Si uno de los sistemas críticos de la compañía, por ejemplo el CRM o el ERP, dejará de operar a causa de un Ransomware, ¿cuál sería el daño económico, operativo, reputacional, etcétera? Este escenario de riesgo sobre los sistemas críticos de la compañía muchas veces ayuda a abrir los ojos del C-Level para que se den cuenta de que se carecen de los controles adecuados para enfrentar dicha situación. Es, en ese momento, cuando se puede aprovechar para generar un programa de Seguridad de la Información Integral que considere Personas, Procesos y Tecnologías”, destacó Rodrigo Ramírez.
Los ataques cibernéticos pueden provocar la pérdida de datos sensibles, interrumpir las operaciones, afectar las finanzas, provocar riesgos reputacionales en el mercado y crear una sensación de desconfianza entre clientes y proveedores.
¿Cómo responder ante un ataque? y ¿En cuánto tiempo llevará reponerse del mismo? Son dos incógnitas que deben considerarse en la actualidad, destacó Jorge Miranda, quien agregó que existe una preocupación por tener la mejor seguridad, pero se carece de un proceso documentado para actuar en caso de un ciberataque. “Si una compañía tiene una brecha de seguridad que afecta a sususuarios, lo ideal es comunicarlo de forma transparente y activar inmediatamente un esquema de remedición de forma interna o con la ayuda de la consultoría de expertos externos”.
La evaluación de riesgos es esencial para identificar amenazas que puedan afectar el negocio. Es así como la cuantificación ofrece la posibilidad de expresar cuantitativamente el riesgo de ciberseguridad, presentar casos de inversión y determinar la inversión óptima.
“Existen diferentes metodologías como Cyber VaR, un análisis cuantitativo que puede estimar estadísticamente cuáles son las pérdidas financieras que se pudieran generar por no invertir en un control o en ciertos controles adecuados de ciberseguridad. Estos ayudan a definir el tamaño del riesgo vs. el tamaño del control requerido; es muy importante que sea utilizado por el CISO para que transmita los riesgos técnicos al lenguaje del negocio”, recomendó el CEO de one IT.
Dicha metodología ayuda a mejorar las prácticas de seguridad existentes, pudiendo obtener información muy valiosa para la priorización de los planes estratégicos de ciberseguridad.
“Una estrategia de comunicación adecuada no solo asegura la atención de la alta dirección, sino que facilita la obtención de los recursos necesarios para fortalecer la postura de seguridad de la empresa”, opinó el directivo de Fortinet.
Inversiones en ciberseguridad efectivas con one IT
Capacidad, experiencia, y excelencia en la calidad del servicio, son aspectos fundamentales en la selección de un partner tecnológico que asegure la continuidad operativa de las organizaciones y sustente las inversiones en ciberseguridad.
one IT es el primer partner de Servicios Preferidos (Engage Preferred Services Partner o EPSP, por sus siglas en inglés) dentro del programa de Fortinet para partners Engage en Latinoamérica. Esta designación demuestra que esta firma tiene la habilidad para implementar, operar y mantener de extremo a extremo soluciones de seguridad ayudando a las organizaciones a obtener la aceleración digital.
“one IT obtuvo esta certificación en México desde el año pasado y fue el primero en Latam en lograrla. Ellos pueden ofrecer Servicios Profesionales de Fortinet con la garantía de que se van a ejecutar correctamente. El hecho de que integremos un socio tecnológico como one IT que tiene las credenciales, las capacidades y el respaldo de Fortinet, permite ofrecer soluciones avanzadas con costos de implementación menores y eso, sin duda alguna, tiene un impacto en la inversión de las organizaciones”, resaltó Jorge Miranda.
Como partner de servicios Engage, one IT recibe acceso a capacitación especializada y asistencia directa de expertos de Fortinet para desarrollar nuevas habilidades en la prestación de soporte o servicios de seguridad avanzados para sus clientes, incluidos aquellos con infraestructuras de red híbridas que evolucionan y se expanden rápidamente. También puede colaborar directamente con los expertos de soporte profesional de Fortinet en implementaciones para aprovechar las mejores prácticas de Fortinet, lo que resulta en una mayor experiencia y visibilidad mientras se desarrolla una cartera de servicios más sólida.
“Esta alianza del Programa Servicios Profesionales nos da la tranquilidad de que contamos con las capacidades, las certificaciones y metodologías adecuadas para garantizarle a los clientes de que las soluciones son implementadas y soportadas de manera correcta”, dijo Rodrigo Ramírez.
Por su parte, Fortinet se compromete a ayudar a los partners a enfrentar los desafíos nuevos como modelos de trabajo remoto, entornos de TI híbridos y en el panorama de amenazas en evolución a través de Fortinet’s Engage Partner Program así como habilitando herramientas para partners. El programa se centra en habilitar oportunidades de crecimiento que son únicas con el portafolio expansivo de Fortinet construida alrededor de la Fortinet Security Fabric, diseñado para proteger toda la infraestructura de los clientes, desde el centro de datos hasta la nube.