Lupa
Button toggle Button toggle
Inicio Flecha a la derecha Categorías ... Flecha a la derecha ... Flecha a la derecha Ciberdefensa y ciberataque: el papel de los Directi... Comunicar los...
Botón de scroll

Ciberdefensa y ciberataque: el papel de los Directivos

Rectangules
10 de julio de 2021

NUESTROS EXPERTOS:

Tiempo de lectura
4 minutos

Edición editorial:

Juan F.Samaniego

Queda camino por recorrer, pero las empresas españolas han dado pasos de gigante hacia su digitalización durante los últimos años. Para completar esta esperada transición digital, el uso de dispositivos informáticos conectados a Internet es clave. Pero esta nueva tecnología atrae nuevas amenazas, como los ciber riesgos. El conocimiento de los mismos y la capacidad de reacción son esenciales en la estrategia de defensa ante los ciberataques, la ciberdefensa.

¿Qué es la ciberdefensa? ¿En qué se diferencia de la ciberseguridad?

Se conoce como ciberdefensa al conjunto de acciones de tipo activo, pasivo, proactivo, preventivo y reactivo que se aplican para asegurar el uso propio del ciberespacio y negarlo al enemigo o a otras inteligencias en oposición.

Este concepto, aunque pueda confundirse, es más amplio que el de ciberseguridad, que se limita a prevenir los ataques.

Hablaremos, por tanto, de ciberseguridad como el conjunto de acciones de carácter preventivo que tienen por objeto asegurar el uso propio de las redes y negarlo a terceros.

La ciberseguridad y la ciberdefensa son dos herramientas fundamentales para luchar contra los ciber riesgos actuales.

En el escenario actual, plagado de ciber riesgos, tanto la ciberseguridad como la ciberdefensa se convierten en herramientas fundamentales para luchar contra estas amenazas. En el primer caso se trata de prevenir los ataques cibernéticos, mientras en el segundo caso se da respuesta a los mismos con la finalidad de salvaguardar la seguridad, que en casos extremos puede implicar un peligro para la integridad de un país y de sus ciudadanos.

El Ministerio de Defensa español recuerda que el ciberespacio es un entorno global que está en constante evolución y en el que las amenazas son cada vez más complejas, lo que puede poner en peligro cuestiones fundamentales de la seguridad del país.

Por ello, se ha desarrollado el concepto de ciberdefensa, que engloba iniciativas tanto de ámbito nacional como internacional, y que contempla la coordinación de diferentes actores, así como el marco legal de actuación para luchar contra las amenazas presentes y futuras en el ciberespacio.

La ciberdefensa engloba iniciativas tanto de ámbito nacional como internacional para dar respuesta a las amenazas cibernéticas.

En España, es el Mando Conjunto de Ciberdefensa (MCCD) -un organismo creado en 2012- el que se encarga de garantizar el acceso libre al ciberespacio y de responder a las amenazas o agresiones cibernéticas que puedan afectar a la defensa nacional. Y es que, igual que una empresa necesita hoy en día un experto en ciberseguridad, también las naciones avanzadas cuentan ya con unidades especializadas para operar en el ciberespacio.

La ignorancia y la inacción no son una opción

Los casos más recientes de ciberataques, como el WannaCry, han puesto de relevancia un factor que, muchas veces, se menosprecia: el fallo humano es esencial para el éxito de los hackers. Es más, según los datos del último informe al respecto de Willis Towers Watson, el factor humano es la primera causa de los siniestros relacionados con los ciber riesgos.

Así, la ignorancia y la falta de formación de los empleados sobre seguridad no son una buena estrategia de ciberdefensa. “Esta situación se agrava cuando le sumamos que los administradores o directivos son siempre los responsables  finales de los fallos que ocurren bajo su supervisión”, explica Sergio Muñoz –Rojas, Director de D&O en Willis Towers Watson Iberia.

Los directivos necesitan contar la información más precisa posible para entender los ciber riesgos

El papel de los directivos en la ciberdefensa

Sin embargo, la mayoría de los directivos no cuenta con los conocimientos específicos para actuar ante un ciberataque. ¿Cómo establecer entonces la estrategia de defensa? Para Francis Kean, Directo de FINEX Global en Willis Towers Watson, existen tres puntos clave.

1. La información correcta es clave

Nadie presupone que los directivos de una compañía tengan que saber de todo. Sin embargo, a la hora de asumir responsabilidades tras un ciberataque, están en primera línea. Así, necesitan contar con la información más precisa posible para entender los ciber riesgos a los que se enfrenta la empresa.

El desconocimiento no exime de responsabilidad, por lo tanto, para los directivos de una compañía es fundamental hacer las preguntas correctas antes de que ocurra el incidente. Entonces, “¿cuáles son las preguntas correctas?”, se pregunta Francis Kean. La respuesta es sencilla: “todas”. “Los ciberataques pueden tener un impacto en el valor de las acciones, las fusiones y adquisiciones, los precios, la reputación, la cultura, el personal, la información, el control de procesos, la marca, la tecnología y las finanzas”, concluye el directivo de Willis Towers Watson.

“No existen respuestas fáciles o perfectas a ninguno de estos puntos. Salvo que la ignorancia y la inacción no son una buena defensa”

2. La gestión de la empresa en el centro de todo

El campo de acción de los directivos es el gobierno corporativo de la compañía, también a la hora de hacer frente a los ciberataques. Para Francis Kean, la estrategia de ciberdefensa de los ejecutivos de una empresa pasa por:

  • Asegurarse de que se ha identificado la información sensible de la compañía y el impacto en el negocio si dichos datos se viesen comprometidos.
  • Confirmar que se hayan identificado las principales amenazas y los ciber riesgos derivados.
  • Considerar las posibilidades de verificar externamente que se están gestionando bien los riesgos por ciberataque y la estrategia de defensa.
  • Asegurarse de que existen procesos internos en la compañía para mejorar de forma continuada la ciberdefensa de la empresa.

3. La importancia de la documentación

“Un apunte final: los directivos harían bien en no solo plantearse las cuestiones correctas (y darles seguimiento) sino también en asegurarse de que estas hayan sido documentadas correctamente”, puntualiza Francis Kean.

Está claro que no existen respuestas fáciles o perfectas a ninguno de estos puntos. Salvo que la ignorancia y la inacción no son una buena defensa”, concluye el Executive Director de Willis Towers Watson.

Así, a la hora de definir las responsabilidades de un ejecutivo en materia de ciberdefensa y ciberataques, el registro de las decisiones que haya tomado son clave. Incluso llegado el caso de que se haga necesaria la intervención de las autoridades, demostrar con evidencias que se habían tomado las medidas adecuadas reducirá la exposición de los directivos y el impacto sobre la propia compañía.

Descarga nuestro informe Ransomware: extorsión, filtraciones y el papel de los seguros.

Deja un comentario

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tranquil@, tu dirección de email no se publicará

Edición editorial: Juan F.Samaniego

Todo lo que WTW puede ofrecer a tu empresa

Gestión de ciberriesgos

Pide información

Riesgos financieros, ejecutivos y profesionales (Finex)

Pide información

El seguro D&O: protección para directivos y administradores

Pide información

Quizás te interese

Previous Next