Prepare a su organización para ir un paso por delante en la batalla continua contra la gestión de riesgos cibernéticos y de TI.
A medida que las organizaciones utilizan cada vez más servicios de terceros y tecnologías en la nube, los ciberdelincuentes son cada vez más expertos en explotar vulnerabilidades, lo que provoca un aumento de los ciberataques. De hecho, un estudio realizado por la Universidad de Maryland reveló que , de media, cada 39 segundos una amenaza ataca la infraestructura de ciberseguridad de una empresa.
En respuesta, los organismos reguladores están estrechando el cerco y exigen un enfoque proactivo y transparente de la gestión de riesgos informáticos. Pero, ¿qué aspecto tiene ese enfoque y cómo pueden las empresas cumplir la normativa (y estar preparadas para responder a las preguntas de las partes interesadas)?
La normativa sobre ciberseguridad y gestión de riesgos informáticos sigue desarrollándose en todo el mundo
La mayoría de las regiones cuentan con leyes de privacidad y seguridad (como el GDPR de la UE, o la DPA del Reino Unido, por nombrar algunas) con el fin de dar forma a las regulaciones de ciberseguridad. Y con el aumento del nomadismo digital en la mano de obra y la dependencia de terceros a medida que surgen nuevos requisitos normativos, mantenerse al tanto de estos cambios -en cada región en la que opere con un cierto número de empleados- requerirá una estrategia de gestión de riesgos de TI eficaz y completa.
Tomemos como ejemplo la Comisión del Mercado de Valores de Estados Unidos (SEC). Reconociendo la creciente amenaza de los incidentes cibernéticos, la SEC introdujo una innovadora norma de divulgación cibernética en 2023. Según esta norma, las empresas que cotizan en bolsa y operan en Estados Unidos están obligadas a informar de los incidentes importantes en un plazo de cuatro días laborables desde su descubrimiento. Además, las divulgaciones anuales deben arrojar luz sobre la gestión de riesgos de ciberseguridad, la estrategia y la gobernanza.
Las normas propuestas por la SEC profundizan en aspectos específicos, haciendo hincapié en la importancia de la divulgación en torno a incidentes materiales, actualizaciones periódicas sobre eventos previamente reportados, y las complejidades de las políticas y procedimientos de un registrante para identificar y gestionar los riesgos de ciberseguridad. Además, las normas propuestas arrojan luz sobre la supervisión del consejo de administración, el papel de la dirección en la evaluación y gestión de los riesgos de ciberseguridad y la presentación de informes anuales sobre los conocimientos de ciberseguridad del consejo.
Y no lo olvide: las empresas de hoy pueden haber pasado de las salas de servidores in situ a terceros, proveedores en la nube, etc., pero la externalización de servicios no externaliza el riesgo. A medida que su red crece, usted es responsable de garantizar que sus proveedores, socios y otros terceros cumplen sus políticas y procedimientos internos, una tarea cada vez más difícil en el entorno cibernético actual.
Creación de un marco sólido de gestión de riesgos informáticos
En este entorno normativo dinámico, las organizaciones deben abordar de forma proactiva los retos de la ciberseguridad mediante la creación de un marco sólido de gestión de riesgos informáticos. Esto implica no solo cumplir con normativas específicas (como la norma de divulgación cibernética de la SEC), sino también disponer de los recursos necesarios para demostrar ese cumplimiento y responder a cualquier pregunta de las partes interesadas que se le plantee sobre su programa de gestión de riesgos informáticos.
Una estrategia eficaz de gestión de riesgos informáticos implica una supervisión continua, políticas y procedimientos actualizados y una visibilidad holística. Adoptando una postura proactiva, las organizaciones pueden navegar por un panorama normativo en constante cambio, salvaguardar sus activos y reforzar su resistencia frente a las tácticas cambiantes de los ciberdelincuentes.
Su junta directiva está a punto de involucrarse más que nunca en la comprensión y supervisión de su tecnología de riesgos de TI, y van a empezar a hacer más preguntas. Equípese con el conocimiento y las herramientas necesarias para responder con confianza a las preguntas de las partes interesadas y mantenerse un paso por delante en el cambiante ámbito de la supervisión de riesgos de TI con nuestro último libro electrónico.
