Una brecha de ciberseguridad puede ser costosa y causar daños a largo plazo en la reputación y la marca de su grupo de capital riesgo/inversión. También puede hacer fracasar operaciones de fusiones y adquisiciones que son fundamentales para la supervivencia de su fondo. Inicie aquí su programa de gestión de riesgos.
PLos grupos de capital riesgo (PEG) son conscientes de que los incidentes cibernéticos pueden tener graves repercusiones financieras y efectos perjudiciales en sus fondos o empresas en cartera o en la reputación y la marca de una organización, pero los problemas de ciberseguridad menos visibles pueden tener consecuencias igualmente nefastas. Tomemos, por ejemplo, una operación de compraventa: ¿Le gustaría comprar una empresa con responsabilidad potencial por una violación cibernética grande y no revelada? ¿Vendería una empresa sólo para darse cuenta de que datos personales no relacionados con la entidad vendida se transfirieron inadvertidamente a la organización adquirente? ¿O qué pasaría si un ataque de ransomware se produjera durante una transacción y arruinara el trato?
Puede mitigar estos escenarios mediante una gestión proactiva y eficaz de los riesgos de ciberseguridad que aborde siete áreas clave.
Gobernanza y gestión de riesgos
La supervisión de la ciberseguridad debe comenzar con la dirección, utilizando el enfoque "tono en la cima". Debe proporcionar financiación para un marco cibernético de alto nivel, y los gestores de las empresas de cartera deben seguir la metodología para garantizar que se aplican los controles adecuados en todas sus organizaciones. La gestión de riesgos debe comenzar con una evaluación estructurada de los riesgos cibernéticos, seguida de una inversión adecuada en personal, procesos y tecnología. Su plan de gestión de riesgos debe asignar recursos a los elementos de alto riesgo en lugar de a las tecnologías promovidas por los proveedores. Por ejemplo, podría ser más eficaz gestionar los riesgos de phishing con formación de concienciación del personal que desplegando software de filtrado de correo electrónico.
La gestión de riesgos debe comenzar con una evaluación estructurada de los ciberriesgos, seguida de una inversión adecuada en personal, procesos y tecnología.
Privilegios de acceso de los usuarios
A menudo se dice que los usuarios son el eslabón más débil, y las estadísticas muestran que la mitad de los incidentes cibernéticos son causados por los usuarios. Muchas veces, sus acciones no son intencionadas ni fraudulentas, pero podrían haberse evitado con controles de usuario más estrictos. Tomemos, por ejemplo, la situación de un controlador que inocentemente transfiere 500.000 dólares a una entidad extraterritorial basándose en un correo electrónico fraudulento. Si él o ella no hubieran tenido permisos para aprobar por sí solos un pago de esta magnitud, se podría haber evitado el desastre. Del mismo modo, antes y después de una operación de fusión y adquisición, debe revisarse el acceso de los usuarios para asegurarse de que los usuarios de la entidad anterior ya no tienen acceso. Incluso si no se está preparando una transacción, es prudente revisar los privilegios de acceso periódicamente (recomendamos al menos una vez al año) para garantizar que el acceso está actualizado y es relevante para las funciones desempeñadas. También es vital retirar a tiempo el acceso a los empleados salientes. Recuerde que, del mismo modo que vigila el acceso físico con cámaras y guardias de seguridad, debe vigilar todos los accesos y actividades de los usuarios en su red.
Prevención de la pérdida de datos
La prevención de la pérdida de datos está diseñada para minimizar la transmisión no autorizada de datos o la "fuga" de información personal o de la propiedad intelectual de su organización. Los datos sensibles pueden protegerse siguiendo estas importantes actividades de prevención:
- Protección del perímetro: Al igual que la seguridad de sus activos físicos, la red necesita un sólido perímetro exterior para gestionar el tráfico entrante y saliente. Tecnología como cortafuegos, sistemas de detección y prevención de intrusiones y filtrado de contenidos de correo electrónico son imprescindibles.
- Análisis de la red: Las exploraciones periódicas de vulnerabilidad de la red son necesarias para identificar puntos débiles como la falta de parches de seguridad críticos, malware, etc.
- Gestión de parches: Debe implantarse un programa de gestión de parches y antivirus en todo el hardware y software, incluida la tecnología alojada por proveedores. Los sistemas que funcionan con software obsoleto o sin parches son el blanco favorito de los hackers.
- Dispositivos no autorizados y uso personal: Reduce los vectores de pérdida de datos limitando el uso de dispositivos USB y la funcionalidad de impresión en dispositivos conectados a la red. Del mismo modo, limitar el acceso al correo electrónico personal y a los portales de intercambio de archivos en línea evitará que el personal traslade datos/archivos fuera de la red corporativa.
- Cifrado: El cifrado de datos en reposo y en movimiento restringirá el acceso no autorizado en caso de violación.
Seguridad móvil
A medida que se generaliza el acceso móvil a los datos de la empresa, los dispositivos propiedad del personal, como teléfonos y tabletas, necesitan controles similares a los de los portátiles gestionados por la empresa. ¿Dispone de la funcionalidad necesaria para proteger y borrar los datos de la empresa en un dispositivo robado? ¿Puede evitar que el personal utilice un dispositivo móvil para filtrar datos guardando archivos de una carpeta restringida en una carpeta abierta del teléfono, hacer capturas de pantalla o pegar datos de un archivo restringido en el dispositivo móvil? El software de gestión de dispositivos móviles puede ofrecerle mayores garantías en este ámbito.
Respuesta a incidentes
En caso de que se produzca una brecha, ¿entrará en pánico su organización y dependerá de las acciones heroicas de los individuos? ¿O tiene un equipo de respuesta designado y un plan de acción bien pensado y probado? ¿Incorpora su plan los procedimientos exigidos por su aseguradora y la legislación pertinente? Éste es un aspecto que la mayoría de las organizaciones pasan por alto. Hemos visto numerosos procedimientos documentados que fallan en los primeros 15 minutos de una violación. No deje que esto le ocurra a usted. Ponga a prueba su plan e identifique las carencias antes de que ocurra lo impensable.
Gestión de proveedores
Los recientes incidentes de ciberviolación demuestran que cada vez son más las violaciones de datos privados que se producen en un proveedor. ¿Ha evaluado las capacidades de ciberseguridad de sus proveedores? Asegúrese de que los proveedores protegen sus datos conforme a sus normas y de que existen normas de notificación adecuadas que se cumplirán en caso de que se produzca una violación. Recuerde también comprobar si su póliza de seguros cubre los costes relacionados con una violación por parte del proveedor.
Formación y sensibilización
Por último, pero no por ello menos importante, la formación continua es esencial para recordar al personal los últimos riesgos cibernéticos y las responsabilidades que conlleva su función. Recomendamos una formación anual obligatoria de concienciación sobre seguridad que incluya consejos sobre contraseñas, concienciación sobre phishing, prevención de acciones que pongan en peligro a la organización (como conectar dispositivos no autorizados a la red), consejos para prevenir la pérdida de datos y a quién llamar para informar de actividades sospechosas.
La formación continua es esencial para recordar al personal los últimos riesgos cibernéticos y las responsabilidades que conlleva su función.
Ha trabajado duro para aumentar el valor de sus inversiones y hacer crecer su cartera. No permita que un incidente cibernético destruya su reputación y ponga en riesgo sus activos de datos. Siga leyendo para saber cómo puede utilizar una estrategia de ciberresiliencia para proteger su propia organización y las empresas de su cartera frente a las amenazas de ciberseguridad.