“Dado que no existen soluciones que mitiguen completamente los riesgos de ciberseguridad, sugerimos que las empresas apliquen un enfoque basado en riesgo, centrándose primero en los elementos de alta prioridad para el negocio, apoyándose en un modelo de madurez no técnico que incluya una hoja de ruta para implementar buenas prácticas de seguridad enlazada con las prioridades del negocio”, precisó, Víctor Vera Tudela, director de Consultoría de BDO Perú.
Ante este panorama, los dos componentes que deben abordarse en paralelo para contar con mayor apoyo en las soluciones de ciberseguridad es la concientización a la organización (en primer lugar, a la dirección y en segundo lugar al personal) y la evaluación de riesgos orientada a alinear prioridades de negocio y riesgos de ciberseguridad.
En este contexto, BDO presenta pautas para mitigar los riesgos de ciberseguridad y su impacto sobre los resultados empresariales.
- Contratar una empresa independiente para realizar un diagnóstico de ciberseguridad basado en buenas prácticas y sobre todo considerando un enlace con el negocio.
- Desarrollar un programa sólido de gestión de riesgos de ciberseguridad y privacidad de datos, adaptado a las amenazas cibernéticas específicas que enfrenta una empresa según su industria.
- Proporcionar programas de educación y concientización efectivos sobre los riesgos de ciberseguridad para la toda la compañía, priorizando a la dirección y sobre ello abordando áreas críticas y el resto del personal.
- Cerciorarse de que la organización ha desarrollado e implementado un programa sólido de gobernanza de la información, a fin de contar con una clasificación de los datos y la implementación de mecanismos de control para aquellos requieren mayores medidas de seguridad.
- Establecer y ejecutar el plan de respuesta a incidentes de ciberseguridad de la empresa.
- Ejecutar y probar periódicamente el plan de continuidad del negocio y el plan de recuperación ante desastres de la organización.
- Verificar el cumplimiento de la organización y de los socios empresariales con todos los requisitos reglamentarios de ciberseguridad y privacidad de datos, mediante el uso de evaluaciones independientes de cumplimiento y riesgo realizadas por empresas calificadas.