Nadie puede ser experto en todo, por eso las empresas no están dirigidas por una sola persona. Pero hay un área crítica en la que el liderazgo de cada organización debe estar bien informado en todo momento: el riesgo.
Hemos visto lo que sucede cuando una organización no es consciente de los riesgos o no está preparada para hacerlo. Por lo general, los incidentes relacionados con el riesgo ocurren con violaciones de seguridad cibernética que resultan en la pérdida de datos confidenciales y de clientes, lo que en última instancia puede dañar la reputación de una marca.
Recientemente, vimos un escenario relacionado con el riesgo en las finanzas en lugar de la ciberseguridad para variar: la crisis del Silicon Valley Bank. Si bien se ha discutido mucho sobre ¿Qué salió mal en Silicon Valley Bank?, está claro que la situación podría haber sido mucho peor. La industria bancaria tiene salvaguardas diseñadas para mitigar el riesgo financiero, algo de lo que la industria de la ciberseguridad puede aprender.
Medición e informes coherentes y transparentes
Después de la Gran Recesión, las nuevas regulaciones gubernamentales comenzaron a requerir que los bancos midieran y probaran sus posiciones financieras diariamente, semanalmente y trimestralmente. Este nivel de visibilidad es lo que llevó a que la crisis de SVB se convirtiera en conocimiento público y se abordara rápidamente. cuando se trata de la riesgos de seguridad y privacidad para el software de una empresa, no hay requisitos para la visibilidad en tiempo real del riesgo. Muchas empresas confían en informes puntuales, que se vuelven obsoletos tan pronto como se publican.
¿Qué necesitarán las empresas de software para medir y compartir continuamente su postura de seguridad y privacidad? Si queremos que nuestra industria sea más responsable, debemos desarrollar nuestras expectativas sobre lo que debemos informar y cuándo. Al requerir más transparencia y tolerar una visión más honesta, aunque imperfecta, de la postura de seguridad, podemos obtener una comprensión más precisa de cómo prevenir y abordar los problemas de seguridad.
Evaluación del impacto empresarial de un riesgo de seguridad y privacidad
Los bancos tienen una forma de medir el impacto financiero de sus inversiones y equilibrarlo con sus requisitos de liquidez. SVB intentó hacer esto y recaudar el capital que necesitaba, pero no pudo, lo que provocó que la crisis se desarrollara como lo hizo. Las empresas de software, sin embargo, no han podido o no han querido medir y comunicar el impacto comercial potencial de violar los compromisos de seguridad y privacidad. Esto crea un par de problemas: los líderes no reconocen el importante papel que juegan los equipos de gobierno, riesgo y cumplimiento (GRC) en la protección de los ingresos, y puede ser difícil priorizar los proyectos de seguridad y privacidad. Conectar los programas de GRC con los ingresos y los pasivos es fundamental para obtener el reconocimiento que merecen, así como para determinar cómo aprovecharlos.
Cómo proteger e informar a los clientes
Cuando SVB cerró, todos sus clientes corrían el riesgo de no poder mantener el flujo de operaciones como de costumbre porque no tenían acceso a sus activos monetarios. De manera similar, las organizaciones aprovechan las soluciones SaaS como parte de las operaciones críticas del día a día. Cuando ocurre una violación o un incidente de seguridad cibernética, hay algunos mejores prácticas a tener en cuenta para evitar que se convierta en una crisis de noticias nacional y cierre las operaciones.
- Proteja sus operaciones y abra un segundo entorno: Antes de comunicarse con los clientes, tome medidas para asegurar sus operaciones. En un escenario ideal, restaurará su producto desde un entorno de copia de seguridad. Recuerde, lo que es peor que una sola violación de datos son múltiples violaciones de datos. Asegurar sus operaciones y ejecutar un segundo entorno protege su negocio rápidamente.
- Comunicación consistente y completa: Cuando ocurre una infracción, su cliente quiere saber cuatro cosas. Quieren saber a qué hora ocurrió el incidente; si sus datos fueron robados; a qué otros tipos de riesgo estaban expuestos sus datos; y qué obligación o acciones deben tomar con respecto a los reguladores, clientes, directores de empresas y otros. Su estrategia de comunicación con sus clientes debe proporcionar actualizaciones frecuentes, oportunas y completas a través de múltiples canales de comunicación para garantizar que todas las partes afectadas reciban actualizaciones de manera regular.
Transparencia y Confianza
La crisis de SVB fue desafortunada, pero podría haber sido mucho peor si no fuera por las salvaguardias y los requisitos de información de nuestro sistema financiero. Esto es algo de lo que la industria del software puede aprender cuando se trata de mejorar la forma en que se manejan nuestras propias crisis (ataques cibernéticos e infracciones). Requerir informes más consistentes y detallados sobre seguridad y riesgo crea más responsabilidad y transparencia y, a su vez, genera confianza. La comunicación honesta y clara y el mantenimiento de la confianza son pilares fundamentales que permiten a las organizaciones realizar negocios saludables sin preocuparse de que las operaciones se paralicen en cualquier momento.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoAiStream. Inteligencia de datos Web3. Conocimiento amplificado. Accede Aquí.
- Acuñando el futuro con Adryenn Ashley. Accede Aquí.
- Fuente: https://www.darkreading.com/risk/what-the-cybersecurity-industry-can-learn-from-the-svb-crisis
