Noticias Actualidad en procesos industriales

Dele visibilidad a su trayectoria académica

Participe en la convocatoria de trabajos inéditos de Virtual Pro.

Publicar Ahora

2022-12-073 preguntas: ¿Por qué la ciberseguridad está en la agenda de los directorios corporativos?

MIT |En la lucha contra la escalada del ciberdelito, las juntas deben profundizar sus competencias en ciberseguridad, explica Keri Pearlson, directora ejecutiva de ciberseguridad en MIT Sloan.

Las organizaciones de todos los tamaños y en todas las industrias son vulnerables a los riesgos de seguridad cibernética: un panorama dinámico de amenazas y vulnerabilidades y una sobrecarga correspondiente de posibles controles de mitigación. Keri Pearlson, profesora principal del MIT, quien también es directora ejecutiva del consorcio de investigación Cybersecurity en MIT Sloan (CAMS) e instructora del nuevo curso Cybersecurity Governance de MIT Sloan Executive Education para la junta directiva, sabe cómo las empresas pueden salir adelante de este riesgo. Aquí, describe la amenaza actual y explora cómo las juntas pueden mitigar su riesgo contra el ciberdelito.

P: ¿Qué significa el estado actual de los ciberataques para las empresas en 2023?

R: El año pasado discutíamos cómo la pandemia aumentó el miedo, la incertidumbre, la duda y el caos, abriendo nuevas puertas para que los actores maliciosos hagan sus travesuras cibernéticas en nuestras organizaciones y nuestras familias. Vimos un aumento en el ransomware y otros ataques cibernéticos, y vimos un aumento en la preocupación de los ejecutivos operativos y la junta directiva que se preguntaban cómo mantener segura la organización. Desde entonces, hemos visto una escalada continua de incidentes cibernéticos, muchos de los cuales ya no aparecen en los titulares a menos que sean extremadamente únicos, dañinos o diferentes a los incidentes anteriores. Por cada nueva tecnología que inventan los profesionales de la ciberseguridad, es solo cuestión de tiempo hasta que los actores malintencionados encuentren una forma de evitarla. Se necesitan nuevos enfoques de liderazgo para 2023 a medida que avanzamos en la siguiente fase de seguridad de nuestras organizaciones.

En gran parte, esto significa garantizar competencias profundas en ciberseguridad en nuestras juntas directivas. El riesgo cibernético es tan importante que una junta responsable ya no puede ignorarlo o simplemente delegarlo en expertos en gestión de riesgos. De hecho, la junta directiva de una organización tiene un papel vital único en la protección de datos y sistemas para el futuro debido a su responsabilidad fiduciaria con los accionistas y su responsabilidad de supervisar y mitigar el riesgo empresarial.

A medida que aumentan estas amenazas cibernéticas y que las empresas refuerzan sus presupuestos de seguridad cibernética en consecuencia, la comunidad reguladora también presenta nuevos requisitos para las empresas. En marzo de este año, la SEC emitió una regla propuesta titulada Gestión de riesgos de ciberseguridad, estrategia, gobernanza y divulgación de incidentes. En él, la SEC describe su intención de exigir a las empresas públicas que revelen si sus directorios tienen miembros con experiencia en ciberseguridad. Específicamente, se requerirá que las entidades registradas divulguen si toda la junta, un miembro específico de la junta o un comité de la junta es responsable de la supervisión de los riesgos cibernéticos; los procesos mediante los cuales se informa al directorio sobre los riesgos cibernéticos y la frecuencia de sus discusiones sobre este tema.

P: ¿Cómo pueden las juntas ayudar a sus organizaciones a mitigar el riesgo cibernético?

R: Según los estudios que realicé con mis colegas de CAMS, la mayoría de las organizaciones se enfocan en la protección cibernética en lugar de la resiliencia cibernética, y creemos que eso es un error. Una empresa que invierte solo en protección no está gestionando el riesgo asociado con volver a funcionar en caso de un incidente cibernético, y tampoco podrá responder adecuadamente a las nuevas regulaciones. Resiliencia significa tener un plan práctico para la recuperación y la continuación del negocio.

Ciertamente, la protección es parte de la ecuación de resiliencia, pero si la pandemia nos enseñó algo, nos enseñó que la resiliencia es la capacidad de capear un ataque y recuperarse rápidamente con un impacto mínimo en nuestras operaciones. El objetivo final de una organización con resiliencia cibernética sería cero interrupciones por una infracción cibernética: ningún impacto en las operaciones, las finanzas, las tecnologías, la cadena de suministro o la reputación. Los miembros de la junta deben preguntarse: ¿Qué se necesita para que esto sea así? Y deben asegurarse de que los ejecutivos y gerentes hayan realizado los preparativos adecuados y apropiados para responder y recuperarse.

Ser un miembro de la junta informado no significa convertirse en un experto en seguridad cibernética, pero sí significa comprender los conceptos básicos, los riesgos, los marcos y los enfoques. Y significa tener la capacidad de evaluar si la gerencia comprende adecuadamente las amenazas relacionadas, tiene una estrategia cibernética adecuada y puede medir su efectividad. Los miembros de la junta hoy en día requieren capacitación enfocada en estas áreas críticas para llevar a cabo su misión. Desafortunadamente, muchas empresas no logran aprovechar sus juntas directivas en esta capacidad o preparar a los miembros de la junta para contribuir activamente a la estrategia, los protocolos y los planes de acción de emergencia.

Junto con mis colegas de CAMS, Stuart Madnick y Kevin Powers, estoy impartiendo un nuevo curso de Educación Ejecutiva Sloan del MIT, Gobernanza de ciberseguridad para la junta directiva, diseñado para ayudar a las organizaciones y sus juntas directivas a ponerse al día. Los participantes explorarán el papel de la junta en la seguridad cibernética, así como la planificación, respuesta y mitigación de infracciones. Y discutiremos el impacto y los requisitos de las muchas regulaciones nuevas que se avecinan, no solo de la SEC, sino también de la Casa Blanca, el Congreso y la mayoría de los estados y países del mundo, que imponen responsabilidades de más alto nivel a las empresas.

P: ¿Cuáles son algunos ejemplos de cómo las empresas, y específicamente las juntas directivas, han mejorado con éxito su juego de ciberseguridad?

R: Para garantizar que las habilidades de la sala de juntas reflejen los patrones del mercado, compañías como FedEx, Hasbro, PNC y UPS han transformado su enfoque para controlar el riesgo cibernético, comenzando con la experiencia cibernética de la junta. En empresas como estas, la creación de resiliencia comenzó con un plan claro, desde la sala de juntas, basado en el análisis comercial y económico.

En una empresa que analizamos, el director ejecutivo se dio cuenta de que su directorio no estaba bien versado en el contexto comercial o el riesgo de exposición financiera de un ataque cibernético, por lo que contrató a una firma consultora externa para realizar una evaluación de madurez de seguridad cibernética. El CISO de la empresa presentó los resultados del informe al subcomité de gestión de riesgos empresariales, creando un diálogo productivo en torno al impacto empresarial y financiero de las diferentes inversiones en ciberseguridad.  

Otra organización centró su junta en la alineación de su programa de ciberseguridad y el riesgo operativo. El CISO, el director de riesgos y la junta colaboraron para comprender la exposición de la organización desde una perspectiva de riesgo, lo que resultó en la optimización de su póliza de seguro cibernético para mitigar el riesgo recién comprendido.

Una conclusión importante de estos ejemplos es la importancia de utilizar el lenguaje del riesgo, la resiliencia y la reputación para cerrar las brechas entre las necesidades técnicas de ciberseguridad y las responsabilidades de supervisión ejecutadas por las juntas. Las juntas deben comprender la exposición financiera resultante del riesgo cibernético, no solo los componentes técnicos que generalmente se encuentran en las presentaciones cibernéticas.

El riesgo cibernético no va a desaparecer. Está escalando y volviéndose más sofisticado cada día. Conseguir que su directorio esté "a bordo" es clave para cumplir con las nuevas pautas, brindar suficiente supervisión a los planes de seguridad cibernética y hacer que las organizaciones sean más resistentes.

MIT
Autor
MIT

Promover la investigación, las innovaciones, la enseñanza y los eventos y las personas de interés periodístico del MIT a la comunidad del campus, los medios de comunicación y el público en general, Comunicar anuncios del Instituto, Publicar noticias de la comunidad para profesores, estudiantes, personal y ex alumnos del MIT. Proporcionar servicios de medios a los miembros de la comunidad, incluido el asesoramiento sobre cómo trabajar con periodistas, Responder a consultas de los medios y solicitudes de entrevistas...


2024-03-27
Oportunidades y riesgos de la Inteligencia Artificial General y la Superinteligencia

La Inteligencia Artificial (IA) se ha vuelto una tecnología de uso cotidiano. Día a día aparecen nuevas aplicaciones para crear música, hacer vídeos, generar imágenes, producir textos, calificar tareas y automatizar procesos. Las empresas están implementando modelos de aprendizaje automático y aprendizaje profundo para el mejoramiento en la toma de decisiones en sus diferentes áreas. También se están adaptando diversas aplicaciones en la optimización de la mayoría de operaciones logísticas de las cadenas de suministros. En este sentido, es necesario entender ¿qué es la IA General?, y ¿qué es la Superinteligencia?

2024-03-27
La NASA lanzará cohetes sonda a la sombra de la Luna durante el eclipse solar

La NASA lanzará tres cohetes sondeo durante el eclipse solar total del 8 de abril de 2024, para estudiar cómo se ve afectada la atmósfera superior de la Tierra cuando la luz solar se atenúa momentáneamente sobre una parte del planeta.

2024-03-27
Un pequeño dispositivo puede medir cambios sutiles en el campo gravitacional de la Tierra

El instrumento se encuentra entre los gravímetros más pequeños y más baratos jamás construidos.

2024-03-26
Corte y confección del genoma para tratar enfermedades

Recientemente se aprobó en el Reino Unido y en Estados Unidos la primera terapía génica basada en el método CRISPR/Cas9, que combatirá la anemia de células falciformes y la beta talasemia.

2024-03-26
El campo científico y la representatividad de las mujeres en Colombia

Marzo destaca el papel de las mujeres en la ciencia, promoviendo la equidad y la representatividad. Adriana Ocampo, Ángela Camacho, Susana Fiorentino, Nubia Muñoz y Alexandra Olaya-Castro son ejemplos de mujeres que han contribuido significativamente en diversos campos científicos.

2024-03-21
La IA genera imágenes de alta calidad 30 veces más rápido en un solo paso

Un método novedoso hace que herramientas como Stable Diffusion y DALL-E-3 sean más rápidas al simplificar el proceso de generación de imágenes en un solo paso mientras se mantiene o mejora la calidad de la imagen.