¿Quién es responsable de la gestión del riesgo de seguridad cibernética?

-A A +A
Autor:
De acuerdo con Carlos Perea, vicepresidente de ventas para Latinoamérica de Gigamon la ciberseguridad no puede ser ignorada o tratada de manera separada de los liderazgos senior dentro de las organizaciones
Carlos Perea, vicepresidente de ventas para Latinoamérica de Gigamon
Ciberseguridad que atender

Muchos consejos delegan la ciberseguridad a un comité de auditoría de riesgos. Otro acercamiento como una prioridad estratégica separada o como parte de una estructura de gobierno corporativo de administración de riesgos. Algunos ni siquiera lo tienen considerado.

Aunque es posible que los miembros de la junta directiva no tengan que ser capaces de escribir reglas para el firewall, ciertamente necesitan alcanzar y mantener un nivel aceptable de "alfabetización en seguridad cibernética". Y necesitan asegurar el cumplimiento de sus responsabilidades de gobierno, supervisión y fiduciario haciendo de la ciberseguridad una prioridad estratégica y responsabilizar a la gestión de la gestión y la presentación de los resultados.

La Asociación Nacional de Directores Corporativos ha destilado muy bien estas responsabilidades hasta cinco principios:

Te interesa leer: Gigamon busca fortalecer y expandir ecosistema de socios

PRINCIPIO 1: Los directores deben entender y abordar la ciberseguridad como un problema de gestión de riesgos en toda la empresa, no sólo un problema de TI.

PRINCIPIO 2: Los directores deben comprender las implicaciones legales de los riesgos cibernéticos en relación con las circunstancias específicas de su empresa.

PRINCIPIO 3: Las juntas deben tener un acceso adecuado a la experiencia en ciberseguridad, y las discusiones sobre la gestión del riesgo cibernético deben recibir un tiempo regular y adecuado en la agenda de la junta directiva.

PRINCIPIO 4: Los directores deben establecer la expectativa de que la administración establecerá un marco de gestión del riesgo cibernético para toda la empresa con personal y presupuesto adecuados.

PRINCIPIO 5: El debate de la Junta sobre la gestión del riesgo cibernético debe incluir la identificación de los riesgos a evitar, aceptar, mitigar o transferir a través de seguros, así como los planes específicos asociados a cada enfoque.

¿Cuál es la responsabilidad del CEO?

A menudo, el CEO se apoya con el director de información (CIO) o, si la organización es más grande y más compleja, posiblemente con el director de seguridad de la información (CISO) para reportar trimestralmente o anualmente a la junta. Estas presentaciones a veces pueden tomar la forma de garantías de que "todo está siendo hecho" y también pueden incluir métricas e indicadores clave de rendimiento como puntos de datos para su revisión.

La incapacidad de un CISO para cumplir con los indicadores clave de desempeño podría deberse a una prioridad presupuestaria insuficiente dada a la ciberseguridad en general o, alternativamente, una drástica disminución en los ingresos podría haber resultado de la pérdida de confianza del consumidor debido a una violación de seguridad o privacidad.

Junto con establecer el "tono apropiado desde arriba", el CEO debe proporcionar dirección y resolver conflictos relacionados con prioridades departamentales conflictivas. Por ejemplo, el marketing y las ventas pueden querer asegurarse de que un producto es fácil de usar e insistir en eliminar la fricción a la adopción del usuario, como la autenticación de segundo factor u otras mejoras de seguridad exigidas por la ingeniería del producto que pueden impedir que un consumidor potencial elija y compre el producto o servicio.

En consecuencia, el departamento de TI o el CISO son responsables de las actividades cotidianas necesarias para implementar, administrar e informar sobre el riesgo de ciberseguridad y deben reportar directamente a un miembro del equipo de liderazgo o directamente al director ejecutivo que puede supervisar el programa de seguridad cibernética de la empresa, la toma de decisiones, y a quien el consejo puede mirar como responsable de la ciberseguridad.

Contenido relacionado:

Palabras clave

Añadir nuevo comentario

CAPTCHA
Esta pregunta es para validar si es o no una persona la que intenta enviar este formulario. Nos ayuda a prevenir que se publiquen mensajes por spammers. Gracias por su comentario.
Al enviar este formulario acepta nuestro Aviso de privacidad Infochannel.