La ciberseguridad se encuentra entre los problemas más complejos y de más rápida evolución que enfrentan las compañías.
Los reportes de violaciones importantes de información confidencial y el daño a la infraestructura organizacional de tecnologías de información (TI) son cada vez más comunes.
El estudio “Cost of Cyber Crime Study 2012”, realizado por el Ponemon Institute, encontró que entre las compañías encuestadas entre el 2010 y el 2012, el número de ataques exitosos a las organizaciones por mes se duplicó y que el impacto financiero de los ataques se incrementó en cerca del 40%.
Tales ataques pueden afectar de manera negativa el posicionamiento en el mercado si se sacude la confianza del público en la seguridad de la información y el acceso a los servicios.
Hay numerosas categorías de ataques cibernéticos: fraude financiero, robo o uso indebido de información, causas de activistas, intentos para hacer que los sistemas de computación sean inoperables interrupción de la infraestructura crítica del gobierno y sus servicios vitales.
Los modos comunes de ataque incluyen la introducción de software malicioso, tales como troyanos, gusanos, virus, y spyware ; phishing de contraseñas; y ataques de negación de servicio que tienen la intención de bloquear los sitios web.
La ciberestrategia
Es medular que las organizaciones cuenten con un plan efectivo de administración de la amenaza de ciberseguridad, el cual debe considerar las cuatro fases principales de la ciberseguridad: defensa y mitigación de la amenaza cibernética; detección, inteligencia y análisis de la amenaza; respuesta al incidente cibernético; y remediación de incidentes y recuperación
En la coordinación de las iniciativas y políticas relacionadas con el riesgo de la ciberseguridad y en la confirmación de su eficacia, el comité de auditoría juega un rol estratégico importante.
También se puede pensar en un auditor externo como una fuente valiosa de información sobre los problemas cibernéticos.
Adicionalmente, las juntas de directores están dedicando creciente atención y recursos para responder a los problemas de ciberseguridad.
En el estudio Governance of Enterprise Security: CyLab 2012 Report, realizado por el Carnegie Mellon University CyLab, el 48% de las corporaciones encuestadas reportó tener un comité de riesgo, a nivel de la junta, responsable por los riesgos de privacidad y seguridad.
Es un incremento dramático desde el 8% que reportó tener tal comité en el 1 2008.
El 40% de los norteamericanos que respondieron señaló que la junta de su compañía maneja los problemas de seguridad del computador y de la información.
En el tema de la valoración de la ciberseguridad también puede ser útil buscar el input de especialistas externos.
Las compañías pueden realizar revisiones externas anuales de los programas de seguridad y privacidad, incluyendo respuesta a incidentes, notificación de infracciones, recuperación de desastres, y planes de comunicación de la crisis.
Tales esfuerzos pueden ser comisionados y revisados por el comité de riesgos de la junta o por cualquier otro comité diseñado para estos pocesos, para confirmar que se abordan tanto las brechas como las debilidades identificadas.