Los consejeros y directivos se enfrentan a un mundo cada vez más tecnológico, lo que ha obligado a las empresas a adoptar una defensa activa para hacer frente a los ataques de ciberseguridad. En este contexto, Assiteca España organizó el webinar ‘Ciberseguro: La mayor preocupación de los directivos’. Silvia Sepúlveda, moderadora del evento y Head of Financial Lines en Assiteca España, ha explicado que la ciberseguridad es un aspecto cada vez más crítico que puede impactar directamente en el negocio y reputación de las empresas. “Por ello, es fundamental involucrar al comité de dirección en las políticas de seguridad de la información”, ha señalado.
Durante el evento virtual, Alejandro Padín, socio en Garrigues, ha destacado que “las normativas específicas como el reglamento de protección de datos tienen menciones expresas a la necesidad de que las más altas jerarquías de las compañías estén involucradas y tomen decisiones sobre la estrategia de seguridad de la información”. Por su parte, Juan Cobo, Global CISO en Ferrovial, ha asegurado que en la gran empresa ya hace tiempo que la ciberseguridad es un asunto del comité de dirección y del consejo de administración.
Asimismo, Xabier Mitxelena, Managing Director y Iberian Security Lead en Accenture, ha afirmado que, dentro de los riesgos de las compañías, la ciberseguridad es clave, pero no es un elemento tecnológico, sino reputacional. Por ello, concluye que tiene una responsabilidad de la alta dirección. También ha añadido que en “el mapa de riesgos de grandes compañías se empieza a tener claro que la ciberseguridad es una inversión, pero también un elemento de competitividad”.
Alinear las estrategias de negocio y riesgos
Por otro lado, Toni García, CISO y CIO en LETI Pharma, ha reflexionado sobre la importancia de alinear las estrategias de negocio y de riesgos en las compañías. Así, ha destacado que alinear las estrategias de negocio, riesgos y ciberseguridad “es el último paso que todavía aún no hemos acabado de dar. En el momento que esa consciencia transversal exista, las estrategias se alinearan de manera natural”, puesto que los tres elementos -negocio, riesgos y ciberseguridad- están interrelacionados.
En este sentido, Padín también ha recalcado que es esencial estar involucrado en la planificación de ciberseguridad, ya que esta tiene que estar incluida dentro de la estrategia de la compañía como parte del negocio. Asimismo, desde una perspectiva legal, ha afirmado que “hay una serie de obligaciones en materia de custodia de la información que si no se contemplan están suponiendo un incumplimiento de las obligaciones de los propios administradores y de los directores”.
Por su parte, García ha expresado que la regulación es, en cierta parte, un regalo. “Que exista una parte regulatoria que diga que hay que cumplir es un primer paso que te permite establecer unas reglas del juego”, ha asegurado. Sin embargo, “es un desafío porque tener que cumplir una regulación implica sobreesfuerzos de auditoria, de establecimiento y controles, y de alineamiento de normas que no siempre están adecuadamente desarrolladas para que encajen entre ellas. Tienes que hacer un ejercicio de cruzar esas normas para ver que no estés implantando dos cosas distintas para el mismo objetivo”, ha explicado.
Medio: ADN del seguro 21/05/21