Hace apenas un año, las principales preguntas en torno a la seguridad cibernética tenían que ver con la seguridad de la información de la tarjeta de crédito. Hoy en día, la conversación también incluye la protección de la información de identificación personal, la propiedad intelectual y similares.
La sesión de la mañana del lunes en el Retail’s BIG Show, trajo consigo un tema muy controversial: “Las amenazas cibernéticas: Desarrollo de Componentes de un programa de gestión de riesgos efectivo o también llamado ciberseguridad”. Este punto consideró la posibilidad de pasar a la ofensiva con la seguridad, en lugar de estar constantemente jugando a la defensiva.
Eso significa la apertura de un diálogo permanente con el directorio de la compañía, especialmente sobre qué nivel de riesgo es aceptable; la devaluación de datos y activos a través de tácticas como tokenización y cifrado, que recuerden que los riesgos son dinámicas y no estáticas; y además pensar constantemente en la contratación de personal calificado, inteligente y bien entrenado.
Cy Fenton, vicepresidente senior y CIO de Books-A-Million, moderó el panel, que incluyó a Marcos Weatherford, director del Grupo Chertoff; Paul Kleinschnitz, vicepresidente senior y gerente general de soluciones de seguridad cibernética First Data Corporation; y Erin Nealy Cox, director general ejecutivo de Stroz Friedberg.
Ahora más que nunca, Paul Kleinschnitz señaló: “La realidad es usted y su empresa, y que siempre este a la defensiva no va a prevenir una infracción. La palabra violación es demasiado grande, solo significa que alguien se metió en su entorno”, apuntó.
“El impacto es cuando alguien toma algo de ese ambiente, por eso ahora se aboga por la devaluación de los datos, de modo que ya no será de uso, incluso si se toma”.
El desafío es que al menos dos tercios de todas las empresas, sean conscientes que sólo cuando se les notifique por otra persona que los delincuentes se encuentran dentro de su sistema, tienen un promedio de 229 días para que estos sean detectados.
“Sólo se necesita de un día para hacer daño”, dijo Marcos Weatherford, cuya compañía proporciona una gestión de riesgos, como respuesta al incumplimiento de ciberseguridad de muchos servicios, por lo que para él un promedio de aproximadamente ocho meses para encontrar al delincuente, es bastante largo.
Cox, cuya empresa trabaja a nivel mundial en las investigaciones, inteligencia y gestión de riesgos, dijo que sus juntas y ejecutivos pueden querer oír que su organización está protegida, y que todo está claro, pero eso pone a los agentes de seguridad de la información en una posición incómoda.
La mejor opción es trabajar con la junta, para entender que siempre hay riesgo y así discutir qué parte puede ser mitigada, poniendose de acuerdo sobre qué nivel de riesgo es aceptable.
“Las juntas son bastante buenas al hablar de riesgo financiero”, dijo Erin Nealy. “Tenemos que avanzar juntas y tener ejecutivos de nivel C, al mismo nivel de cuando hablamos de riesgo de seguridad. Tenemos que hablar constantemente. Al menos yo quiero que la seguridad sea un elemento en cada agenda de la empresa”.
Por su parte Paul Kleinschnitz estuvo de acuerdo y comentó: “los agentes de seguridad más empoderados serán transparentes sobre lo que son y no sobre lo están haciendo”.
Marcos Weatherford también señaló la importancia de hacer una jugada antes de tiempo: “Algo me dice que si usted tiene un evento, va saber a quién llamar y qué hacer. Y yo digo a la gente todo el tiempo: Si usted no tiene un almuerzo cada 6 meses con la FBI, se está perdiendo una gran oportunidad, ya que en medio de una violación, no es el momento para comenzar a planificar o realizar las conexiones”.
Por su parte Sony, que meses antes fue víctima de un robo informático, destacó el hecho de que las infracciones pueden ahora venir de cualquier parte, y que los ciberdelincuentes son expertos, inteligentes y organizados. “Los minoristas deben ser los mismos”, destacó.
Esta noticia es auspiciada por: