Ciberseguridad, compliance y gobierno corporativo

Cómo CONSTRUIR la seguridad informática de la empresa con medidas integradas en la estrategia empresarial

Según los analistas de IDC, el 95% de las empresas considera que su principal activo económico es la información. Y la necesidad de proteger ese activo explica por qué la ciberseguridad se está convirtiendo en una de las principales preocupaciones de las compañías. Según un reciente informe, durante el año pasado, 4 de cada 10 empresas españolas ha sufrido un ciberataque. Datos escalofriantes que revelan la necesidad de abordar la ciberseguridad desde el gobierno corporativo.

Las empresas están experimentando un cambio en su relación con la tecnología que afecta profundamente a su funcionamiento, su gestión e incluso su estructura.

El Cloud ha aportado a las empresas una gran flexibilidad y escalabilidad de sus sistemas, pero también ha amplificado los retos de seguridad.

La movilidad y otros fenómenos asociados como el BYOD (Bring Your Own Device), expone a grandes riesgos a las compañías cada vez que un empleado pierde su smartphone; a menudo no existe siquiera un control real del acceso a las aplicaciones y a los datos de la empresa.

Independientemente del partido que las empresas estén sacando al Big Data, el volumen de información que gestionan ha crecido hasta el punto de introducir un factor de  complejidad en su gestión.

Y por si fuera poco, el ataque masivo llevado a cabo por la botnet Mirai que aprovechó las debilidades de dispositivos de IoT nos ha mostrado un anticipo de las amenazas que nos esperan con el Internet de las cosas.

Estas son las principales fuentes potenciales de amenazas a las que tendremos que hacer frente en la era de la transformación digital, y tomar las medidas oportunas no es una opción.

Cambios en la responsabilidad frente a la seguridad informática de la empresa

Hace algunos años, la seguridad de los sistemas informáticos de la empresa era una cuestión que solo debía preocupar al CIO y al Departamento de IT. Sin embargo, ahora la tecnología ha escapado a los dominios de IT.

Cada vez es más frecuente el uso de software de gestión empresarial, de inteligencia de negocio, etc., con funciones de autoservicio, en los que los propios empleados acceden a la información sin pasar por la intermediación del IT. Además, ahora los jefes de departamento y otros directivos también pueden tomar la iniciativa en materia de tecnología y en muchas compañías el papel del CIO ha pasado de ser el proveedor a ofrecer consultoría en materia digital.

No solo el CIO ha ascendido de los dominios de IT a la sala de juntas; también lo ha hecho la seguridad informática. Ahora es una cuestión en la que deben implicarse la Junta Directiva, el Consejo de Administración o el comité de dirección.

Medidas para afrontar la ciberseguridad desde el compliance y el gobierno corporativo

Algunas de las pautas o medidas que se pueden tomar desde el gobierno corporativo y el compliance para potenciar la ciberseguridad y minimizar las amenazas son:

  • Definir una estrategia de ciberseguridad: incluir la seguridad como una parte más de la estrategia corporativa es fundamental. Es necesario elaborar un detallado plan de ciberseguridad y evaluar su cumplimiento de forma periódica. El cumplimiento normativo (compliance) debe ocupar una parte importante en el enfoque de la política de ciberseguridad.

  • Asignar roles y responsabilidades: como sugeríamos antes, que toda esa responsabilidad recaiga sobre el CIO es inviable. El Chief Information Officer o algún otro de los perfiles equivalentes que han surgido en los últimos tiempos, puede ser el responsable, pero necesita implicar a otros perfiles directivos y ejecutivos para llevar a buen puerto la estrategia de Ciberseguridad. Implicar a los CXO es uno de los factores determinantes para su éxito.

  • Realizar auditorías internas: revisar de forma periódica la estrategia de ciberseguridad, actualizar procesos y controles atendiendo a amenazas emergentes y testar el cumplimiento de la normativa son algunas de las funciones a las que puede contribuir una auditoría interna.

  • Realizar auditorías externas: el mejor complemento para una auditoría interna. Evaluar los controles de seguridad, fortalecerlos e implementar programas para la gestión de riesgos empresariales son algunas de las posibles aportaciones de la auditoría externa.

  • Implementar programas programas de formación para los empleados: la estrategia de ciberseguridad no puede obviar el hecho de que, a menudo, las personas son el punto débil de los sistemas. Proporcionar a los empleados la formación necesaria para identificar amenazas, aplicar protocolos de seguridad y actuar en caso de desastre es de vital importancia. El cumplimiento de la normativa también debe tener su papel en los programas para evitar posibles sanciones u otras consecuencias legales derivadas del tratamiento de la información corporativa.


Si quieres saber más sobre cómo reforzar la ciberseguridad de la empresa con un enfoque basado en el compliance y el gobierno corporativo,contacta con nosotros. Estaremos encantados de resolver todas tus dudas.