SEGURIDAD CIBERNTICA

Y PREVENCIN DEL
ROBO DE DATOS:
LO QUE TODA JUNTA
DIRECTIVA DEBE SABER
SOBRE LA GESTIN
DE RIESGOS EN
SU ORGANIZACIN

Alcance de este documento

La responsabilidad principal de cualquier junta directiva es asegurar el futuro de la organizacin que supervisa. Para ello,
es necesario que sus miembros tengan constante acceso a la informacin referente a las circunstancias y los riesgos que
podran afectar el futuro de la organizacin. La seguridad ciberntica es un excelente ejemplo de informacin que afecta de
manera directa las futuras perspectivas y la riqueza de una organizacin, la que hasta ahora no estuvo sujeta a la revisin
y supervisin a nivel de junta directiva.
Sin embargo, como consecuencia de la devastadora cantidad de incidentes cibernticos de alto perfil y sus importantes
ramificaciones financieras y legales, la seguridad ciberntica ya no es un tema que pueda dejarse solamente en manos
del departamento de TI. Ahora es esencial que la junta directiva formule preguntas estratgicas y razonadas para conocer
hasta qu punto la organizacin que supervisa est preparada para hacer frente al nuevo mundo de fugas de datos de
alto riesgo y alcance el xito en estos tiempos turbulentos.
Este documento ofrece una descripcin general no tcnica sobre la seguridad ciberntica y brinda recomendaciones sobre
los temas que todos los miembros de la junta directiva deben tener en cuenta.

Aviso legal
Tenga en cuenta que este documento representa las opiniones e interpretaciones de los autores y editores que actan
en nombre de Raytheon|Websense, a menos que se indique de otro modo. Esta publicacin no debe considerarse un
asesoramiento legal de Raytheon|Websense. Se citan fuentes externas, segn corresponda. Raytheon|Websense no es
responsable del contenido de las fuentes externas, que incluyen sitios web externos a los que se hace referencia en este
documento. Este documento tiene como nico fin brindar informacin. Se autoriza la reproduccin siempre que se cite
la fuente.

MANUAL BSICO DE ALTO NIVEL PARA TODOS LOS MIEMBROS DE LA JUNTA DIRECTIVA

ndice
Resumen ejecutivo

La seguridad ciberntica se ha convertido en un problema de primer orden

Cinco principios de la supervisin de la seguridad ciberntica para la Junta Directiva
reas de consulta clave para la Junta Directiva

Principios clave para la Junta Directiva

Principio 1: La seguridad ciberntica es un problema de gestin de riesgos, no un problema tecnolgico.

Principio 2: Proporcionar significado detrs de los indicadores; hacer real la seguridad ciberntica
para la Junta Directiva.
Principio 3: Los miembros de la Junta Directiva deben comprender los aspectos legales de las regulaciones
sobre seguridad ciberntica.
Principio 4: Los miembros de la Junta Directiva deben identificar niveles aceptables de riesgo ciberntico
en las operaciones de negocios.
Principio 5: La Junta Directiva debe adoptar un marco bien definido de gestin del riesgo ciberntico.

reas de consulta clave para la Junta Directiva

1.

11

Los datos crticos de la organizacin.

2. Riesgos actuales de esos datos.

3. Indicadores clave del rendimiento de la de seguridad.
4. Protocolo de fugas de datos para mitigacin, reparacin y relaciones pblicas.
5. Procedimientos para actualizar la postura de seguridad y capacitar al personal.

Conclusin 12
Lectura recomendada y referencias 13

MANUAL BSICO DE ALTO NIVEL PARA TODOS LOS MIEMBROS DE LA JUNTA DIRECTIVA

Resumen Ejecutivo
La seguridad ciberntica se ha convertido en un problema
de primer orden
En el 2014 presenciamos cmo algunas de las organizaciones ms grandes del mundo se convertan en vctimas de costosos
ataques cibernticos e incidentes de robo de datos. Estos eventos de alto perfil marcaron el comienzo de una nueva era para
todas las organizaciones en la que los ataques cibernticos ahora forman parte de los negocios. Como resultado de esto, la
seguridad ciberntica se ha convertido en un problema de primer orden para todas las juntas directivas. Sin embargo, se trata
de una disciplina compleja y fluida que va ms all del rea de especializacin de la mayora de los directores. Este documento
guiar a los directores en la manera de abordar y evaluar la postura y los procesos relacionados con la seguridad ciberntica
de las organizaciones que supervisan.

Cinco principios de la supervisin de la seguridad ciberntica

para la Junta Directiva
Raytheon|Websense identifica cinco principios que brindan a los directores los fundamentos para poder emprender
la formidable, pero necesaria, tarea de supervisar la seguridad ciberntica a nivel de junta directiva:
Principio 1: La seguridad ciberntica es un problema de gestin de riesgos, no un problema tecnolgico.
La junta directiva debe exigir una revisin y evaluacin de riesgos regular de la postura de seguridad de la organizacin.
Principio 2: Proporcionar significado detrs de los indicadores; hacer real la seguridad ciberntica para la Junta Directiva.
La junta directiva debe recibir un informe del Director General de Seguridad de la Informacin o el Director General
de Riesgo en cada reunin. Estos funcionarios deben reportar directamente a la Junta Directiva.
Principio 3: Los miembros de la Junta Directiva deben comprender los aspectos legales de las regulaciones sobre seguridad
ciberntica.
Una fuga de datos deja expuesta a una organizacin al riesgo de medidas disciplinarias civiles, penales y de multas de
organismos reguladores, demandas colectivas de clientes y accionistas, as como tambin acciones legales presentadas
por los socios afectados.
Principio 4: Los miembros de la Junta Directiva deben identificar niveles de riesgo ciberntico aceptables en las operaciones
de negocios.
El buen criterio empresarial se aplica a la seguridad ciberntica como una parte de las operaciones de negocios. Las Juntas
Directivas deben cuantificar y gestionar el riesgo de la seguridad ciberntica tal como lo hacen en otras categoras de negocios.
Principio 5: La Junta Directiva debe adoptar un marco bien definido de gestin del riesgo ciberntico.
El Marco es una compilacin basada en riesgos de pautas diseadas para ayudar a evaluar las capacidades actuales
y la creacin de un plan con prioridades para mejorar las prcticas de seguridad ciberntica.

MANUAL BSICO DE ALTO NIVEL PARA TODOS LOS MIEMBROS DE LA JUNTA DIRECTIVA

// 04

reas de consulta clave para la Junta Directiva

Para una supervisin eficaz, los directores debern identificar:
1.

Los datos crticos de la organizacin.

2. Riesgos actuales de esos datos.

3. Indicadores clave de rendimiento de la postura de seguridad.
4. Protocolo de fugas de datos para mitigacin, reparacin y relaciones pblicas.
5. Procedimientos para actualizar la postura de seguridad y capacitar al personal.

MANUAL BSICO DE ALTO NIVEL PARA TODOS LOS MIEMBROS DE LA JUNTA DIRECTIVA

// 05

Seguridad ciberntica
y prevencin del robo de datos:
Lo que toda Junta Directiva
debe saber sobre la gestin
de riesgos en su organizacin
Principios clave para la Junta Directiva
Con 22,000 clientes en todo el mundo, Raytheon|Websense posee una trayectoria establecida, desarrollada durante ms de
veinte aos de experiencia como proveedor lder de seguridad ciberntica. Durante este perodo de tiempo considerable,
Raytheon|Websense ha desarrollado una serie de principios de seguridad ciberntica que pueden servir como fundamentos
estratgicos del enfoque de una junta directiva para comprender las herramientas y los procesos de una postura eficaz en
materia de seguridad ciberntica.
Principio 1: La seguridad ciberntica es un problema de gestin de riesgos, no un problema tecnolgico.
Las organizaciones sofisticadas observan la seguridad ciberntica a travs del prisma de la gestin de riesgos. A nivel
de la junta directiva, los riesgos de negocios se clasifican en una o ms de las siguientes categoras:

Riesgo de alteracin de los negocios.

Riesgo para la reputacin.

Riesgo legal.

Riesgo para las regulaciones y el cumplimiento.

El riesgo para la seguridad ciberntica ocupar una o ms de estas categoras, segn el modelo de negocios
de la organizacin y la sensibilidad a diversos tipos de riesgo.
La Junta Directiva debe recibir y revisar una actualizacin y una evaluacin de riesgos de negocios de la postura de seguridad
de la organizacin en todas sus reuniones. La Junta Directiva deber dar prioridad a los elementos decada evaluacin
de riesgos a la seguridad ciberntica segn se aplique a su respectivo riesgo de negocios. Al formular las siguientes
preguntas, las juntas directivas se asegurarn de comprender correctamente y tener un contexto apropiado de los riesgos
cibernticos de la organizacin:
1.

Hemos identificado el valor de la informacin ms crtica de la organizacin?

Qu informacin hace que la organizacin sea competitiva?

Qu porcentaje de la informacin general representa esto, dnde se guarda, utiliza y comparte?

2. Hemos recibido un resumen detallado de los incidentes de seguridad que han ocurrido, incluidos los ataques
que fueron frustrados con xito?

Qu inteligencia se puede obtener de estas amenazas y estos ataques?

Cmo puede aplicarse esa inteligencia de la manera ms eficaz para la reparacin de incidencias
y la prevencin de futuros ataques?

MANUAL BSICO DE ALTO NIVEL PARA TODOS LOS MIEMBROS DE LA JUNTA DIRECTIVA

// 06

3. Qu garantas tiene el confiar en la informacin ms crtica de la organizacin a los empleados, proveedores,

socios, filiales en el extranjero, proveedores en la nube, etc.?

Qu controles se estn implementando para evitar riesgos anticipados y qu tan bien documentados estn?

4. Cul es el anhelo de riesgo en la organizacin?

Qu tan bien documentado est?

Cmo se refleja esta postura ante el riesgo en las operaciones y la toma de decisiones?

5. Hasta qu punto los representantes en toda la empresa, tales como: Fabricacin, Operaciones, Investigacin
y Desarrollo, Legal, Recursos Humanos, etc., participan de forma regular en debates basados en riesgos donde
se aborda el tema de la seguridad ciberntica?
6. La empresa ha cuantificado los efectos potenciales de los ataques cibernticos para los negocios; esto es, prdida
de datos, alteracin de las operaciones y costos derivados de la falta de proteccin de la organizacin contra un
incidente significativo?
7. La organizacin ha comparado su postura ante el riesgo y su integridad con organizaciones comparables que pueden
estar abiertas a esta forma de intercambio de informacin?
8. La organizacin ha evaluado su resistencia ciberntica y la repuesta ante un incidente significativo? Esta evaluacin
se ha incorporado en el Proceso de recuperacin ante desastres y planificacin de la continuidad de los negocios
de la organizacin?
9. La persona responsable de la seguridad ciberntica tiene un mentor entre los miembros de la Junta Directiva que
lo ayude a preparar la informacin de la manera ms apropiada posible?

Principio 2: Proporcionar significado detrs de los indicadores; hacer real la seguridad ciberntica para la junta directiva.
En todas las reuniones de la Junta Directiva, se debe tratar el tema de la seguridad ciberntica en cierta medida.
Losmiembros de la Junta Directiva en general estn cansados de or hablar de amenazas. En lugar de esto, quieren escuchar
opiniones sobre riesgos y comprender el impacto de lo que ha presenciado la organizacin. Se debe evitar repetir estadsticas
sin significado sobre los indicadores clave de desempeo (KPI, por su sigla en ingls) que ocultan la verdadera naturaleza
de lo que est sucediendo en la infraestructura de la organizacin. Bsicamente, la Junta Directiva quiere saber qu tan
seguros estamos?.
El Director General de Seguridad de la Informacin o el Director General de Riesgos deben reportar directamente a la
Junta Directiva. No deben estar ocultos en los departamentos de TI o de Operaciones. La Junta Directiva debe pedirle
al funcionario a cargo de la seguridad ciberntica que haga lo siguiente:
1.

Se concentre en los indicadores que explican el impacto que tienen o podran haber tenido los ataques en la
organizacin. Cmo han cambiado estos indicadores desde el ltimo perodo de revisin y qu podra inferirse
de estos cambios?

2. Comunicar por departamento quin ha sido afectado y la naturaleza del ataque. Indicar cmo respondieron
los mecanismos de seguridad de la organizacin y cuantificar, si es posible, el impacto de un ataque exitoso.
3. Identificar la estrategia general de seguridad ciberntica y la respuesta a riesgos conocidos e intentos de ataques.
4. Explique los problemas clave que ocupan el primer lugar en la mente del funcionario.

MANUAL BSICO DE ALTO NIVEL PARA TODOS LOS MIEMBROS DE LA JUNTA DIRECTIVA

// 07

5. Proporcionar un resumen de los incidentes clave que han ocurrido en la industria a la que pertenece la organizacin
y cmo se relacionan con la postura de la empresa en materia de riesgos, y analizar los obstculos que impiden
la implementacin de un enfoque holstico de prevencin del robo de datos. Este es un indicador clave, ya que es
relevante para la Junta Directiva en trminos de riesgo legal. La Junta Directiva debe comprender con claridad cmo
la organizacin est protegida, organizada y preparada en su postura de seguridad en relacin con sus competidores
de la industria. Si una compaa que pertenece a la misma industria sufre una fuga de datos y la organizacin
que supervisa la Junta Directiva est protegida de modo similar, sta sabr que se necesita un nivel ms alto de
seguridad. Cumplir con los estndares de seguridad de la industria o superarlos tambin puede ayudar a la organizacin
a evitar daos contundentes si resulta vctima del robo de datos. Por otra parte, si el presupuesto de seguridad de la
organizacin es significativamente ms alto que el de competencia, esto puede indicarle a la Junta Directiva que estn
destinando demasiado dinero a la seguridad ciberntica, que los recursos de seguridad estn asignados de manera
ineficiente, o ambas cosas.
De tanto en tanto, la junta directiva tambin debe solicitar una revisin externa de la seguridad ciberntica para obtener
una perspectiva sobre la postura de la organizacin en materia de riesgos.
Principio 3: Los miembros de la Junta Directiva deben comprender los aspectos legales de las regulaciones sobre
seguridad ciberntica.
La prdida o el robo de informacin crtica dejan a las organizaciones expuestas al riesgo de recibir una sancin de parte
de los organismos reguladores. Adems, cuando los ataques cibernticos alteran las operaciones de negocios, es posible
que las organizaciones no cumplan con sus obligaciones con los clientes, lo que puede originar demandas colectivas de
los clientes e incluso de los accionistas.
Adems, la Comisin de Valores e Intercambio de EE. UU. (U.S. Securities and Exchange Commission, SEC) ha indicado
que las empresas pblicas que son vctimas de ataques cibernticos deben analizar la divulgacin de informacin adicional
ms all de lo que se requiere para ayudar a proteger a los clientes cuyos datos privados podran estar en riesgo. Adems,
el conocimiento de un ataque ciberntico puede considerarse informacin que probablemente comunique decisiones de
inversin y sea tratada como informacin interna que cumple con la prueba de inversor razonable.
Referente a los marcos legales, hay tres reas generales de preocupacin:
1.

Cumplimiento de regulaciones nacionales y especficas de la industria: La informacin de identificacin personal

(PII, por su sigla en ingls) y otros datos constituyen enormes riesgos para la privacidad y el cumplimiento de
las organizaciones. El cumplimiento es complejo y se da en varios niveles, las leyes sobre seguridad y privacidad
nacionales, especficas de la industria, a menudo varan enormemente. Los directores deben asegurar que la gerencia
est en conocimiento de las responsabilidades civiles y penales que pueden aplicarse al incumplimiento de esquemas
de acatamiento de la seguridad y privacidad. Muchas organizaciones implementan al menos un programa para
gestionar el riesgo ciberntico. Estos programas de riesgo deben incorporarse en las estrategias generales de gestin
de riesgo corporativo con el control y la autoridad ejecutivos apropiados.

2. Riesgos y responsabilidades asociadas con proveedores de servicios: Los directores deben indagar sobre las
relaciones y responsabilidades contractuales en subcontrataciones de TI, subcontrataciones de procesos comerciales
y proveedores de servicios en la nube. Muchos acuerdos con los proveedores son imprecisos en lo referente a las
definiciones de quin es responsable de proteger la informacin crtica de la organizacin. Adems, con frecuencia
se pasa por alto la notificacin de incidentes y los procedimientos de reparacin. Los empleados frecuentemente han
creado cadenas de confianza entre las partes interesadas de la organizacin, y es responsabilidad de los directores
garantizar que dichos acuerdos se definan y auditen de manera apropiada. Adems, los directores deben estar
enterados de cules son las obligaciones de su propia organizacin en materia de seguridad, privacidad y notificacin
para con sus clientes y socios. No dar cuenta de este riesgo podra generar extensas batallas legales y la prdida
de reputacin.

MANUAL BSICO DE ALTO NIVEL PARA TODOS LOS MIEMBROS DE LA JUNTA DIRECTIVA

// 08

3. Poltica de conocimiento de fugas de datos y procesos de notificacin: La Junta Directiva debe estar enterada
delas fugas importantes de datos y tiene el deber de mantenerse informada sobre dichas cuestiones. Esto tambin
se aplica a intentos de fuga de datos, aunque no hay una flexibilidad razonable permitida en relacin con la escala,
la gravedad y el impacto potencial de la fuga o el intento de fuga de datos. En lo referente a los procesos de notificacin,
los mismos constituyen un rea compleja de preocupacin. En caso de una fuga de datos, incluso sin la posterior
transmisin de los datos a otra parte, la prioridad de la Junta Directiva debe ser buscar asesoramiento legal externo
y sobre la notificacin de fugas de datos para establecer los procesos de aviso correctos de manera oportuna.
Desde la perspectiva de la Junta Directiva, debe registrarse la siguiente informacin ante una posible declaracin
de fuga de datos:

El mbito geogrfico de operaciones donde la informacin fue utilizada y afectada. En la notificacin de fuga
de datos, tambin es muy importante la ubicacin de los ciudadanos cuyos datos fueron afectados. Las leyes
de divulgacin generalmente siguen el domicilio del ciudadano, no la ubicacin fsica de la fuga misma.

Los requisitos de notificacin en relacin con las leyes de la ubicacin especfica; por ejemplo, los requisitos de
aviso legal en Europa difieren ampliamente de los de los Estados Unidos, e incluso dentro de los Estados Unidos
varan de un Estado a otro.

Determinar si un ha ocurrido o no una fuga de datos y cundo ha sucedido es una pregunta compleja. Es posible
que entren en vigencia las clusulas de puerto seguro.

Principio 4: Los miembros de la Junta Directiva deben identificar niveles aceptables de riesgo ciberntico
en las operaciones de negocios.
Es importante mencionar que la Junta Directiva siempre establece las pautas de la organizacin y, como tal, comunica
a sus miembros cmo deben considerar la seguridad ciberntica. Esto tendr un marcado efecto en la cultura de seguridad
dentro de la organizacin. Ciertamente, los miembros de la Junta Directiva enfrentan enormes desafos, sin mencionar
el hecho de que muchos pueden haber pasado la mayor parte de sus carreras en la era pre digital. No deben sentirse
desconcertados por la jerga altamente tcnica utilizada por los expertos en la materia ni por la complejidad y fluidez
dela tecnologa moderna. En lugar de esto, deben elevar la discusin a un nivel de riesgo versus recompensa. El exjefe
dela Oficina de Aplicacin de Internet de la SEC recientemente expres:
No creo que sea realista esperar que los miembros de la Junta Directiva tengan un alto nivel de entendimiento de la
naturaleza de las amenazas cibernticas y el modo en que afectan los negocios de la corporacin. Del mismo modo que
se necesita una buena empresa de contabilidad para que proporcione experiencia financiera, desde la perspectiva de la
Junta Directiva este mbito exige acceder a la experiencia necesaria y asegurarse de que la compaa est haciendo
todo lo que puede para estar protegida.
Sin embargo, es beneficioso que todos los miembros de la Junta Directiva se instruyan ampliamente sobre los tipos de
riesgos cibernticos a los que pueden ser vulnerables su organizacin y el sector. As pues, los directores deben solicitar
y esperar que la organizacin presente actualizaciones regulares sobre tendencias recientes de fuga de datos especficas
de la industria, as como informes de inteligencia de seguridad de centros de intercambio de informacin.
En trminos generales, se debe aplicar sentido comn y buen criterio en materia de negocios en el mbito de la seguridad
ciberntica, de la misma manera que en cualquier otro mbito de las operaciones de negocios. Muchos de los tipos de
preguntas y enfoques que utilizan las Juntas Directivas para cuantificar y gestionar otras categoras de riesgo, como seguros
yplanes de recuperacin, se aplican aqu de igual manera.

MANUAL BSICO DE ALTO NIVEL PARA TODOS LOS MIEMBROS DE LA JUNTA DIRECTIVA

// 09

Principio 5: La Junta Directiva debe adoptar un marco bien definido de gestin del riesgo ciberntico.
La organizacin debe estructurar sus defensas de seguridad ciberntica para poder evaluar de manera independiente
la eficacia y aplicacin de defensas. El marco debe tener el propsito de:
1.

Definir un conjunto de actividades para anticipar los ataques cibernticos y defenderse de ellos.

2. Definir un conjunto de medidas que evalen hasta qu punto una organizacin ha implementado sus estrategias
de defensa, y comparar qu tan preparados estn para proteger a los sistemas contra un ataque.
3. Definir un perfil de comparacin que se pueda utilizar para identificar oportunidades que mejoren la postura
deseguridad ciberntica de una organizacin a travs de la comparacin de un perfil actual con un perfil objetivo.
El Instituto Nacional de Estndares y Tecnologa (National Institute of Standards and Technology, NIST) cre un marco de
este tipo. El Marco para mejorar la seguridad ciberntica de infraestructuras crticas el cual fue resultado de un decreto
ejecutivo emitido por el presidente de EEUU en 2013, que establece un conjunto de estndares voluntarios de seguridad
ciberntica para empresas de infraestructura crtica. El Marco es una compilacin basada en riesgos de pautas diseadas
para ayudar a las organizaciones a evaluar las capacidades actuales y elaborar un plan con prioridades para mejorar las
prcticas de seguridad ciberntica. El marco del NIST tambin crea un lenguaje comn para el anlisis de problemas de
seguridad ciberntica que puede facilitar la colaboracin interna y externa.
La adopcin de un marco de esta ndole tiene muchos otros beneficios. En primer lugar, el marco del NIST puede definir
estndares de seguridad ciberntica para futuros fallos legales. En segundo lugar, las organizaciones que adoptan el marco
del NIST en el nivel ms alto posible de tolerancia al riego, pueden estar mejor posicionadas para cumplir con las regulaciones
futuras sobre seguridad ciberntica y privacidad.
Sin embargo, es importante mencionar que no existe una solucin de seguridad ciberntica que se pueda aplicar a todas
las organizaciones. El gobierno de EEUU no puede proporcionar pautas preceptivas integrales en todos los sectores de la
industria. Por lo tanto, es responsabilidad de los directores garantizar que cualquier marco que se adopte sea apropiado
alas circunstancias en las que se aplica. Dicho esto, hay varias preguntas que los directores deben plantear a sus equipos
de gestin para comenzar el proceso de comprensin y gestin de riesgos.

MANUAL BSICO DE ALTO NIVEL PARA TODOS LOS MIEMBROS DE LA JUNTA DIRECTIVA

// 10

reas de consulta clave para la Junta Directiva

Habiendo establecido los principios generales de una estrategia integral de seguridad ciberntica, a continuacin se
presenta una lista de reas a las que los directores posiblemente deseen hacer referencia en su prxima junta directiva:
1.

Identificar los datos crticos de la organizacin.

Cules son nuestros datos ms crticos que impulsan el xito de los negocios?

Dnde se guardan, utilizan y comparten?

Cules son las consecuencias de una fuga de esta informacin?

2. Riesgos actuales de esos datos.

Cules son los riesgos principales que enfrenta la organizacin en relacin con la integridad de la seguridad
ciberntica cuando se adoptan nuevas tecnologas; por ejemplo, servicios en la nube y dispositivos BYOD
(Trae tu propio dispositivo)?

Cules son los riesgos de terceros, como la subcontratacin y SaaS y el riesgo de robo de datos de atacantes
externos y amenazas internas?

3. Indicadores clave de rendimiento de la postura de seguridad.

Cmo educamos a los empleados para que eleven su coeficiente de seguridad y tengan conciencia
de lasamenazas y las conductas riesgosas?

Utilizamos terceros independientes para evaluar nuestras defensas en forma peridica?

Qu otros mtodos de evaluacin de riesgos se han implementado, y qu indicaron los resultados?

4. Protocolo de fugas de datos para mitigacin, reparacin y relaciones pblicas.

Qu medidas se han tomado para gestionar la conduccin de la seguridad ciberntica y los marcos legales
para los territorios donde la organizacin hace negocios y los domicilios de las personas de las que se
obtienen datos?

En caso de una fuga de datos grave, qu protocolos y procedimientos hemos desarrollado? Han sido
stos probados?

Cul es el plan de comunicacin en caso de una fuga de informacin grave?

Cul es el plan de gestin de crisis y alguna vez se ha probado?

5. Procedimientos para actualizar la postura de seguridad y capacitar al personal.

Hasta qu punto hemos medido el riesgo de prdida de datos o de ataque en nuestra cadena de valor
extendido de socios, proveedores y clientes?

Cundo fue la ltima fuga de datos importante? Qu sucedi como resultado de ello y qu lecciones
seaprendieron?

MANUAL BSICO DE ALTO NIVEL PARA TODOS LOS MIEMBROS DE LA JUNTA DIRECTIVA

// 11

Conclusin
Destacando que la defensa nacional es demasiado importante para dejarla en manos del ejrcito tambin se aplica
ala seguridad ciberntica de su organizacin. Por supuesto, el equipo de TI se ubica al frente de la defensa ciberntica
y el monitoreo del riesgo que corren sus datos. Pero el impacto del robo de datos es demasiado importante para que la
Junta Directiva no se involucre a nivel estratgico. Sin embargo, para la mayora de las juntas directivas, la perspectiva
desupervisar la seguridad ciberntica es una tarea formidable. De esta manera, es posible lograrlo con un enfoque
holstico yel socio correcto de seguridad ciberntica.
La solucin de Prevencin del Robo de Datos de Raytheon|Websense es un enfoque avanzado y holstico de seguridad de
datos y gestin de riesgos cibernticos. Identifica los datos crticos que estn en el centro de su organizacin, brinda una
evaluacin de riesgo profunda y un anlisis de su postura de seguridad impidiendo que sus datos crticos salgan cuando
no deben. Tambin le permite a su organizacin innovar y crecer con confianza.
Estos factores y atributos de seguridad son las ventajas clave para realizar tareas de supervisin exitosas a nivel de Junta
Directiva y tambin para la toma de decisiones en cuanto al tema de seguridad de los equipos de TI, ubicados en la primera
lnea de defensa. La identificacin de las debilidades en su postura de seguridad y las amenazas potenciales para sus datos
crticos es el primer paso para la revisin y evaluacin de sus niveles actuales de riesgo. Los resultados de una evaluacin
deriesgos completa permitirn que los procesos y las estrategias de seguridad avancen.
Comunquese con Raytheon|Websense para recibir una evaluacin complementaria de los riesgos de su postura actual de
seguridad con nuestra tecnologa RiskVision. Esta solucin identificar las amenazas que su sistema actual no detecta
ono puede reconocer, adems de proporcionarle un informe detallado sobre las debilidades y vulnerabilidades de su sistema
de seguridad ciberntica. Ninguna postura de seguridad, independientemente del nivel de inversin puede proteger sus
datos crticos de las amenazas que no puede ver.

Acerca de Raytheon|Websense
El 29 de mayo de 2015, Raytheon Company (NYSE: RTN) y Vista Equity Partners completaron una transaccin de sociedad
conjunta y crearon una nueva compaa que une a Websense, empresa de la cartera de inversiones de Vista Equity,
con Raytheon Cyber Products, una lnea de productos de negocios de Inteligencia, Informacin y Servicios de Raytheon.
La empresa de seguridad ciberntica comercial de reciente formacin se llamar temporalmente Raytheon|Websense.
Laempresa espera presentar una nueva identidad de marca al finalizar la actividad de integracin organizacional estndar.
Para tener acceso a la ltima informacin de seguridad de Raytheon|Websense y conectarse a travs de los medios sociales,
visite www.websense.com/smc.
Para obtener ms informacin, visite http://www.websense.com o http://www.websense.com/triton.

MANUAL BSICO DE ALTO NIVEL PARA TODOS LOS MIEMBROS DE LA JUNTA DIRECTIVA

// 12

Lectura recomendada
y referencias
1.

Marco para mejorar la seguridad ciberntica de infraestructuras crticas:

http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214.pdf

2. Estrategia de Seguridad Ciberntica del Reino Unido:

https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/60961/uk-cyber-securitystrategy-final.pdf
3. Informe sobre Amenazas 2015 de Raytheon|Websense:
http://www.websense.com/content/websense-2015-threat-report.aspx
4. Informe sobre Seguridad Ciberntica 2014 de Ponemon Institute:
http://www.websense.com/content/2014-ponemon-report-part-2-thank-you.aspx
5. Trabajo de ENISA sobre Estrategias Nacionales de Seguridad Ciberntica:
http://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss
6. Publicaciones relacionadas de Raytheon|Websense sobre Prevencin del Robo de Datos:
http://www.websense.com/content/data-theft-prevention.aspx

MANUAL BSICO DE ALTO NIVEL PARA TODOS LOS MIEMBROS DE LA JUNTA DIRECTIVA

// 13

INGRESE A UNA NUEVA ERA DE SEGURIDAD CIBERNTICA

Ms informacin: www.websense.com
Copyright 2015 Raytheon Company.

[WP-DTPBOARDOFDIRECTORS-ESLAA4-11AUG15]