pixel_dreams - Fotolia

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Cinco pasos para las empresas después del ataque de WannaCry

WannaCry revela algunos hechos importantes sobre nuestra dependencia de internet y TI.

El ataque global del ransomware WannaCry ha destacado que los ataques cibernéticos no son responsabilidad del jefe de seguridad de la información (Ciso), sino de la organización y sus líderes, quienes deben evaluar activamente su dependencia de TI e invertir en las opciones de tratamiento de riesgos que mejor se adapten a sus negocios.

Los accionistas deben ahora evaluar los efectos a corto plazo sobre los beneficios o los márgenes a pagar por el tratamiento del riesgo y la resiliencia, que son inversiones vitales para la longevidad y la salud general de la organización.

Existe una visión equivocada de que el riesgo de información es un problema tecnológico que debe ser gestionado por las funciones de seguridad de la información y de TI.

Hay muchas personas de gran talento y profesionales que trabajan en las líneas de frente de la cibernética y la seguridad de la información que constantemente dan su mejor esfuerzo, no sólo día a día, sino también en tiempos de crisis. Sus esfuerzos deben ser aplaudidos y reconocidos.

El reto de asegurar organizaciones y sociedades va más allá de los recursos de estos profesionales, de sus gobiernos y de los pequeños bolsillos de los expertos profundamente técnicos que analizan las amenazas. Todo el mundo debe responder a esta creciente amenaza.

La naturaleza indiscriminada del ataque de WannaCry demuestra que cada individuo puede ser un blanco, cualquiera sea su sector u organización. Las brechas bien publicitadas de proveedores de compras, correo electrónico y otros han facilitado a los criminales acceso a las actuales direcciones de correo electrónico, a menudo la puerta de entrada para los ataques, incluido WannaCry.

Además, el gran número y la variedad de sistemas utilizados en cualquier industria significa que un ataque siempre será probable que tenga éxito en algún nivel. La presencia de aplicaciones, sistemas operativos y otros programas informáticos no soportados –a menudo necesarios por razones operativas válidas– solo aumenta la probabilidad de éxito de un atacante.

La educación en seguridad es esencial para los negocios

La sabiduría digital, la conciencia cibernética –llámela como desee– es un requisito social y educativo, y debe ser enseñado a tantas personas como sea posible, tan a menudo como sea posible.

Los líderes empresariales y las juntas directivas, que actualmente luchan por evaluar y gestionar la seguridad de la información y el riesgo cibernético, deben reconocer que sus organizaciones necesitan ser más resistentes. Esto significa invertir tanto en detener los ataques como en la necesaria redundancia para seguir adelante.

Todas las empresas, sus clientes y sus empleados dependen de la información, los sistemas y el software que sustentan los productos, servicios y procesos que impulsan nuestra economía.

El riesgo de información debe ser reconocido como algo que contribuye a socavar, interrumpir o detener las operaciones.

En el panorama actual, los negocios deben anticiparse a la interrupción por un ataque cibernético y desarrollar la capacidad de mantener las luces encendidas, los clientes atendidos y las actividades esenciales funcionando en caso de un incidente, ya sea causado por intención maliciosa, actividad accidental o fuerza de la naturaleza.

Cinco áreas para desarrollar seguridad

No es suficiente defenderse contra ataques: las empresas deben adoptar un enfoque proactivo para la seguridad cibernética. Esto significa que es necesario que los riesgos cibernéticos sean mejor comprendidos y gestionados.

Las siguientes cinco áreas de desarrollo se pueden seguir para iniciar el proceso:

1. Trabaje con profesionales de la seguridad de la información para examinar el riesgo de la información en el contexto del negocio y las implicaciones más amplias para el servicio al cliente, las relaciones públicas (PR) y la reputación, y no solo como un problema técnico.

2. Comunique los riesgos de información identificados desde una perspectiva empresarial –no necesariamente financiera– que exprese claramente el daño a una empresa en caso de que ocurra un incidente malicioso o accidental. Los tratamientos de riesgo que se pueden implementar teniendo en cuenta los recursos y el riesgo residual para el negocio, deben ser claramente establecidos y actualizados a medida que el negocio cambia.

3. Establezca un diálogo, basado en la terminología del riesgo, entre los líderes empresariales, TI y la seguridad de la información. Los líderes empresariales deben desafiar regularmente y activamente a los líderes de TI y de seguridad de la información sobre el riesgo de la información y sus impactos en los negocios, y no solo aceptar que la tecnología puede resolver el problema. Esta es una vía de doble sentido: tanto como los líderes de seguridad de la información pueden impulsar este diálogo, los líderes empresariales deben dar el tiempo para escuchar, comprender y discutir estos riesgos.

4. Profundice la comprensión de los líderes empresariales sobre el riesgo –y el riesgo de la información– en lo que se refiere a cómo la tecnología está cambiando la forma en que opera la empresa, la dependencia del negocio de esa tecnología y dónde estos cambios están dejando vulnerable al negocio. Esta es una responsabilidad de la gobernanza de ser consciente y administrado, como es el caso con todos los riesgos.

5. Incluya seguridad cibernética y de la información en los procesos de diseño y desarrollo de su organización. Los requisitos de seguridad deben ser una consideración desde la idea, a través del diseño, desarrollo, ingeniería, pruebas y producción de cualquier producto o servicio construido, producido o comprado por la empresa. Diseñar o especificar la seguridad en los productos y servicios es más barato que añadirla más adelante, al tiempo que aborda la proliferación de nuevas vulnerabilidades que llegan con el ritmo actual de la innovación técnica. .

Próximos pasos

Cómo presentar un plan de gestión de riesgos a la junta directiva

Nueva herramienta de SWIFT ayuda a bancos a gestionar riesgo de delitos financieros

La ciberseguridad y la evaluación global del riesgo entran en la sala de juntas

Este artículo se actualizó por última vez en mayo 2017

Profundice más

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close