La rápida transformación del entorno empresarial actual sigue trayendo nuevos riesgos y oportunidades. Durante la pandemia, surgieron nuevas vulnerabilidades de seguridad cibernética que continúan amenazando a las empresas en la actualidad. Al mismo tiempo, la ciberseguridad se ha vuelto esencial para permitir el crecimiento y generar la confianza de los stakeholders.
La Encuesta Global de Seguridad de la Información de EY 2021, encontró que las empresas están mejorando sus divulgaciones sobre ciberseguridad y proporcionando claridad en torno a temas como la experiencia de los directores, los informes de gestión al directorio y la supervisión del comité. En ella también vemos tendencias emergentes relacionadas con el uso de marcos o estándares externos e incluyendo la ciberseguridad en las consideraciones de compensación ejecutiva.
Aún así, siguen existiendo oportunidades para que las empresas fortalezcan sus divulgaciones sobre ciberseguridad, para demostrar responsabilidad y compromiso en este tema, y generar confianza entre los stakeholders sobre cómo se prioriza, gestiona y supervisa la ciberseguridad como un riesgo empresarial crítico y una oportunidad estratégica.
Supervisión de riesgos de ciberseguridad
Los profesionales de EY se involucran regularmente con directorios y organizan reuniones de directores y expertos en ciberseguridad para discutir desafíos y prácticas líderes para supervisar el riesgo de ciberseguridad. Esto incluye una serie de diálogos que involucran a más de 500 directores.
En base a los conocimientos compartidos a través de estos compromisos con los directores, así como en lo que están haciendo los profesionales de ciberseguridad de EY en todo el mundo y en industrias y empresas de diferentes tamaños, se han identificado las siguientes prácticas líderes en el Directorio:
- Configurar el tono. Establecer la ciberseguridad como una consideración clave en todos los asuntos del Directorio.
- Ser diligente. Abordar los nuevos problemas y amenazas derivados del trabajo remoto y la expansión de la transformación digital.
- Determinar el valor en riesgo. Conciliar el valor en riesgo en términos de dólares con la tolerancia al riesgo del Directorio, incluida la eficacia de la cobertura del seguro cibernético.
- Incorporar la seguridad desde el principio. Adoptar una filosofía de «confianza por diseño» al diseñar nuevas tecnologías, productos y acuerdos comerciales.
- Evaluar de forma independiente el programa de gestión de riesgos de ciberseguridad. Obtener una evaluación de terceros reciente y rigurosa del programa de gestión de riesgos de ciberseguridad con sus comentarios directos presentados al Directorio.
- Comprender los protocolos de escalada. Incluir un plan de comunicación definido que detalle cuándo se debe notificar al Directorio, incluidos los incidentes de ransomware.
- Gestionar el riesgo de terceros. Comprender los procesos de gestión para identificar, evaluar y gestionar el riesgo asociado con los proveedores de servicios y la cadena de suministro.
- Prueba de respuesta y recuperación. Mejorar la resiliencia empresarial mediante la realización de simulaciones rigurosas, incluida la restauración de copias de seguridad fuera del sitio y la prueba del tiempo de recuperación y la organización de protocolos con especialistas externos antes de una crisis.
- Monitorear las prácticas en evolución y el panorama normativo y de políticas públicas. Mantenerse al tanto de la evolución de las prácticas de supervisión, divulgaciones, estructuras de informes, métricas y desarrollos de políticas públicas y regulatorias.
Preguntas sobre ciberseguridad para el Directorio
- ¿Monitorea el panorama en evolución de las amenazas? ¿Ha sido la empresa el objetivo de un ciberataque importante?
- ¿Qué información ha proporcionado la administración para ayudar al Directorio a evaluar qué activos comerciales críticos y socios críticos, incluidos terceros y proveedores, son más vulnerables a los ataques cibernéticos?
- ¿Cómo evalúa y categoriza la gerencia los incidentes de privacidad de datos y cibernéticos identificados y determina cuál escalar al Directorio?
- ¿Qué tipo de políticas ha establecido la empresa sobre ransomware? ¿Cómo han abordado la empresa y el directorio el tema del pago?
- ¿Ha participado el Directorio con la gerencia en una de sus simulaciones de violación cibernética en el último año? ¿Qué tan rigurosas fueron las pruebas?
- ¿El Directorio está asignando suficiente tiempo en su agenda y la estructura del comité es apropiada para proporcionar una supervisión eficaz de la ciberseguridad?
- ¿Se han identificado y proporcionado al Directorio a métricas cibernéticas apropiadas y significativas de manera regular y se les ha dado un valor en dólares?
- ¿Las regulaciones y marcos de privacidad nuevos o pendientes afectarán la estrategia, la posición competitiva y los modelos y prácticas comerciales de la organización?
- ¿Ha aprovechado el Directorio una evaluación de terceros, como se describe en el manual de supervisión de riesgos cibernéticos de la NACD , para validar que el programa de gestión de riesgos de seguridad cibernética está cumpliendo sus objetivos? Si es así, ¿el Directorio está teniendo un diálogo directo con el tercero sobre el alcance del trabajo y los hallazgos?
- ¿Las divulgaciones de la compañía comunican efectivamente el rigor de su programa de gestión de riesgos de seguridad cibernética y la supervisión del Directorio relacionada?
- ¿Ha considerado el Directorio el valor de obtener una opinión de atestación de ciberseguridad para generar confianza entre las partes interesadas clave?
- Fuente: EY Center for Board Matters