Por qué es fundamental gestionar la seguridad de la información como un riesgo empresarial, parte 2: Daño a la reputación

Parte 2: Daño a la reputación

En Parte I En esta serie, abordamos el impacto financiero directo —como el robo flagrante y la costosa inactividad del sitio web de comercio electrónico— que una crisis de ciberseguridad puede tener en una empresa. Si bien la pérdida inmediata de ingresos es la consecuencia más obvia para una organización que sufre un ataque, no es la única. Una brecha de seguridad puede dañar gravemente la reputación de una organización ante el público y también la reputación de un CISO o CIO dentro de su propia empresa.

Examinemos primero cómo un incidente de seguridad de la información puede erosionar la confianza de los consumidores en una marca. Por ejemplo, la filtración de datos de Target, descubierta durante la temporada navideña de 2013, expuso la información personal de 110 millones de clientes y, en las semanas posteriores a la noticia, el gigante minorista experimentó una desaceleración en las ventas. A principios de 2014, cuando Target publicó su informe de resultados del cuarto trimestre de 2013, el efecto de la filtración se hizo evidente: las ganancias de la organización habían disminuido. 46 por ciento Año tras año. Unos meses después, el director ejecutivo de la empresa dimitió. Target no está solo en su lucha por recuperar la confianza tras una vulneración de seguridad.; 36 por ciento Según una investigación reciente, los clientes afirman que acudirán a un negocio con menos frecuencia después de una infracción.

Desafortunadamente para los CIO y CISO, cuando surge un problema de seguridad de la información, asumirán la mayor parte de la culpa, sea justo o no. Probablemente sea en parte razonable., más de la mitad de los CIO citan las amenazas a la seguridad como su principal preocupación hoy en día. Además, estos líderes de TI no son paranoicos; un libro blanco reciente El grupo consultor Silverton Consulting Group identificó las violaciones de seguridad como la principal razón por la que los CIO pierden sus trabajos.

Incluso cuando los CISO o CIO no son despedidos tras una filtración, probablemente les costará recuperar la confianza que sus colegas depositaron en ellos. A su vez, esto puede dificultar que los profesionales de seguridad informática:

• Mantener diálogos significativos y productivos con otros miembros de la alta dirección sobre ciberseguridad.
• Tener influencia en las decisiones presupuestarias y de contratación
• Prevenir futuros ataques

Una de las claves para evitar dañar la reputación de un profesional o una empresa de seguridad es que los CIO y los CISO empezar a tener conversaciones sobre cómo mitigar el riesgo antes Se produce una vulneración significativa. De la misma manera que las partes interesadas elaboran estrategias antes de tomar decisiones importantes de contratación o asignar recursos significativos a un proyecto, los profesionales de gestión de operaciones de seguridad y otros líderes empresariales fuera del área de TI deben realizar evaluaciones de riesgos relacionadas con la seguridad de la información. Estas conversaciones permitirán a las empresas identificar la información y las funciones más críticas para ellas y crear un plan multicapa, que incluye soluciones de seguridad avanzadas, educación del usuario final y protocolos de respuesta a incidentes para proteger estos activos.

Lo cierto es que los altos ejecutivos suelen estar extremadamente ocupados, por lo que es responsabilidad del CIO o CISO adoptar un enfoque proactivo para enfatizar la seguridad de la información en una organización. Esta táctica puede ser contagiosa, impulsando a otras partes interesadas de la empresa a centrarse también más en la seguridad y creando un ambiente donde se prioriza y el personal de seguridad de TI es visto como líderes dentro de la empresa. Una vez que esto sucede, es mucho más fácil asegurar la aceptación en toda la empresa. En realidad, un enfoque proactivo en seguridad de la información es crucial, ya que la velocidad y la complejidad de los ataques actuales significan que su empresa está en una situación muy difícil si no implementa herramientas o protocolos de seguridad actualizados antes de que se produzca una brecha.

Vuelva pronto para ver la tercera y última entrega de esta serie en la que abordaremos cómo tratar la seguridad de la información como un riesgo comercial ayuda a protegerse contra la pérdida de propiedad intelectual.