La seguridad de TI es un tema complejo que va más allá del área de especialización de los directores de las empresas. Por ello es esencial que las juntas directivas se involucren en el tema y formulen preguntas para conocer hasta qué punto la organización está preparada para hacer frente a las fugas de datos de alto riesgo.
Además, deben saber que respecto a la inversión en seguridad, es mucho más caro no tener protección, que tenerla. “Algunos estudios reportan que la pérdida de información cuesta aproximadamente 182 dólares por cada registro perdido. Si la cantidad de registros en información que tienen las empresas es de miles de millones, entones hay riesgo de perder mucho dinero. Si por ejemplo, una empresa perdió 1,000 registros por un robo, esto significa casi 200,000 dólares de pérdida”, comenta Ramón Salas, Director Regional para México y Centroamérica de Forcepoint.
“Nuestras soluciones protegen no solo la infraestructura de las compañías sino que protegen el negocio completo”, agrega Ramón Salas. Forcepoint escucha las necesidades de las empresas para diseñar productos que resuelvan eficientemente los problemas. Esto influye de forma directa en la asignación de presupuesto para la seguridad, ya que si se invierte en algo que no se requiere, nunca habrá recurso que alcance.
Actualmente se están multando a las empresas que no cumplan con La Ley Federal de Protección de Datos Personales. Estas multas son generalmente más caras de lo que cuesta una solución de seguridad. Por eso resulta más caro tratar de reparar algo, que prevenir las fallas.
Forcepoint ha publicado el documento “Lo que toda junta directiva debe saber sobre la gestión de riesgos en su organización”, el cual identifica cinco principios que brindan a los directores los fundamentos para poder emprender la formidable, pero necesaria, tarea de supervisar la seguridad cibernética a nivel de junta directiva:
Principio 1: La seguridad cibernética es un problema de gestión de riesgos, no un problema tecnológico. La junta directiva debe exigir una revisión y evaluación de riesgos regular de la postura de seguridad de la organización.
Principio 2: Proporcionar significado detrás de los indicadores; hacer real la seguridad cibernética para la junta directiva. La junta directiva debe recibir un informe del Director General de Seguridad de la Información o el Director General de Riesgo en cada reunión.
Principio 3: Los miembros de la junta directiva deben comprender los aspectos legales de las regulaciones sobre seguridad cibernética. Una fuga de datos deja expuesta a una organización al riesgo de medidas disciplinarias civiles, penales y de multas de organismos reguladores, demandas colectivas de clientes y accionistas, así como también acciones legales presentadas por los socios afectados.
Principio 4: Los miembros de la junta directiva deben identificar niveles de riesgo cibernético aceptables en las operaciones de negocios. Las juntas directivas deben cuantificar y gestionar el riesgo de la seguridad cibernética tal como lo hacen en otras categorías de negocios.
Principio 5: La junta directiva debe adoptar un marco bien definido de gestión del riesgo cibernético. El “Marco” es una compilación basada en riesgos de pautas diseñadas para ayudar a evaluar las capacidades actuales y la creación de un plan con prioridades para mejorar las prácticas de seguridad cibernética.
El equipo de TI se ubica al frente de la defensa cibernética y el monitoreo del riesgo que corren los datos. Sin embargo, el impacto del robo de datos es demasiado importante como para que la junta directiva no se involucre a nivel estratégico. Es posible lograrlo con un enfoque holístico y el socio correcto de seguridad cibernética.
Forcepoint es ese socio ideal cuya solución de Prevención del Robo de Datos identifica los datos críticos que están en el centro de la organización, brinda una evaluación de riesgo profunda y un análisis de su postura de seguridad. Todo ello impidiendo que los datos críticos salgan cuando no deben. Además, permite a la organización innovar y crecer con confianza.