Latinoamérica. La responsabilidad de la seguridad cibernética y la resiliencia de datos ya no recae exclusivamente en los directores de Seguridad de la Información (CISO), según explica Dmitri Zaroubine, Director de Systems Engineering de Veeam para Latinoamérica.
Nuevas regulaciones de la Unión Europea, como la Directiva sobre Seguridad de Redes y Sistemas de Información (NIS2) y la Ley de Resiliencia Operativa Digital (DORA), están modificando las prácticas de las empresas latinoamericanas con relaciones comerciales en Europa. “Leyes como NIS2 y DORA priorizan la responsabilidad corporativa, incluyendo a todo el equipo directivo”, señala Zaroubine.
De acuerdo con el especialista, “es importante que los Consejos de Administración estén debidamente capacitados colectivamente sobre las ciberamenazas, pues se enfrentan a la responsabilidad de cualquier incidente de seguridad cibernética que ocurra bajo su supervisión”. Estas regulaciones contemplan la posibilidad de multas tanto para las organizaciones como para los ejecutivos, de manera individual, en caso de incumplimiento.
Zaroubine advierte que, aunque existe conciencia sobre la responsabilidad corporativa, “los altos ejecutivos no están actuando con la suficiente rapidez para ponerse al día”. Resalta que la ciberseguridad “se ha convertido en un resultado empresarial vital, tan importante como cualquier aspecto comercial, por lo que, naturalmente, debería ser competencia de la alta dirección”.
Para adaptarse, recomienda que “cada ejecutivo comprenda plenamente sus responsabilidades en esta nueva era de responsabilidad corporativa, y demostrar que los planes de respuesta a incidentes de su organización funcionan en el mundo real, mediante pruebas de escenarios consistentes y rigurosas”.
NIS2 y DORA no exigen que los ejecutivos se conviertan en expertos en ciberseguridad, pero sí que dominen sus planes de respuesta a incidentes. Según Zaroubine, esto permitirá “identificar y abordar los puntos débiles de la organización, ya sea con nuevos procesos o incorporando nuevas habilidades externas a su plantilla”.
El directivo recuerda que el panorama de amenazas cambia constantemente, por lo que “aprovechar las exigencias de estas normativas como una oportunidad no sólo para cumplir con los requisitos, sino para desarrollar una cultura verdaderamente consciente de la seguridad y resiliente a los datos” es clave. Y concluye: “Se puede cumplir con las normativas al máximo, pero es imposible lograr una seguridad del 100% si no se cuenta con resiliencia de datos y otras medidas de seguridad, como los respaldos”.
