Los profesionales de la seguridad de la información deben aprender sobre el derecho informático para entender mejor los riesgos legales que enfrentan las organizaciones que operan en el espacio digital. El derecho informático proporciona un marco para la forma en que los datos, los dispositivos electrónicos, la informática y los programas se usan, se almacenan y se protegen. Esto abarca desde la protección de la propiedad intelectual hasta la regulación de la recopilación de datos, la seguridad de la información y la privacidad. Los profesionales de la seguridad de la información necesitan entender cómo se aplica el derecho informático a sus prácticas de seguridad para garantizar que estén cumpliendo con las regulaciones aplicables.

Los reglamentos a menudo son redactados por personas con formación jurídica. Muchas veces, el trazo de un bolígrafo regulatorio puede crear una regla que es beneficiosa para la privacidad individual, pero no necesariamente fácil de lograr desde el punto de vista técnico o fácil de mantener desde el punto de vista administrativo. Por ejemplo, un examen superficial de algunas de las normas de privacidad en todo el mundo revela algunos sentimientos muy comunes. Los reglamentos de China, Sudáfrica, el Reglamento General de Protección de Datos ( RGPD ) de la Unión Europea y la India comparten los siguientes principios:

• Consentimiento para recopilar información


• Requisitos de ofuscación de datos


• Límites de retención de datos


• Portabilidad de datos


• Derecho a saber si los datos de una persona han sido tratados


• Derecho a retirar el consentimiento

Cuando se ven desde la perspectiva del abogado, estos temas comunes tienen mucho sentido. Sin embargo, ninguna de estas reglas se puede lograr sin una consulta técnica. Algunos ejemplos incluyen:

• Un abogado comprenderá el significado legal de “consentimiento” cuando se relaciona con la recopilación de información, pero ¿cómo se traduce eso en el método de ejecución? Eso requiere consultar con un profesional de seguridad de la información. Los temas de discusión incluirían el tiempo para presentar la solicitud de consentimiento, así como el seguimiento de la respuesta. Esto también es cierto si una persona retira el consentimiento en un momento posterior.


• Un abogado entenderá que la ofuscación de datos enmascarará datos, pero es posible que no conozca los diferentes métodos para hacerlo, o las mejores implementaciones para cualquier conjunto de datos dado, como datos estructurados versus no estructurados. El profesional de seguridad de la información podrá aclarar los medios apropiados para cumplir con este requisito.


• Un abogado comprenderá la necesidad de límites en la retención de datos, pero es posible que no se dé cuenta del flujo de datos, así como de dónde se almacenan todos los datos en una organización. La asistencia de un profesional de seguridad de la información sería vital para este esfuerzo.


• Un abogado comprenderá la necesidad de la portabilidad de datos, sin embargo, un profesional de seguridad de la información puede brindar orientación sobre cómo cumplir con los estándares técnicos para diferentes sistemas.

Los buenos programas de seguridad de la información consideran e incorporan requisitos legales. La documentación interna de una organización debe alinearse con las leyes y reglamentos y su acción (práctica).

Partiendo de lo anterior, imagínense si no conocemos la ley ni sus principios generales. Estaríamos en desventaja.

Muchos abogados son maravillosos y explican bien la ley, pero no podemos consultarlos para todo. Imagínate preguntarle a un abogado sobre conceptos básicos como renovar el seguro de tu coche, cómo cumplir con el límite de velocidad o la forma más diligente de evitar un accidente en una carretera resbaladiza. Por supuesto, no hacemos esto porque entendemos las leyes de tránsito lo suficientemente bien como para manejar nuestro cumplimiento, y solo después de un incidente grave necesitaríamos consultar a un abogado.

Las leyes sobre ciberseguridad, privacidad, respuesta a incidentes y descubrimiento electrónico pueden ser complicadas, pero aun así podemos entenderlas.

De vez en cuando, una organización tiene una política o procedimiento cuyo propósito o lenguaje no se conoce bien, con términos inciertos que aparentemente no tienen sentido, pero alguien dice: “Vino de los abogados”, y la discusión se detiene allí. (Por otro lado, los abogados pueden estar teniendo conversaciones similares sobre algo técnico que no entienden bien).

Este es el punto de las conversaciones reflexivas para que los profesionales legales y de seguridad de la información puedan escuchar las preocupaciones de los demás, justificar sus posiciones y escribir de una manera que todas las partes puedan entender. Para tener esas conversaciones, cada lado necesita saber algo sobre el área de especialización del otro. Al aprender más sobre la ley, está haciendo precisamente eso.

Es incuestionable que vivimos en una era de amenazas cibernéticas persistentes.

El informe de estadísticas trimestrales de violaciones de datos notificables revela que los ataques criminales en Australia casi se han duplicado al 64%, lo que los convierte en la mayor fuente de violaciones de datos. Agregue a esto las vulnerabilidades dentro de un lugar de trabajo y no es de extrañar por qué la implementación de la ciberseguridad en el lugar de trabajo es de extrema importancia.

Aunque la noción de amenazas cibernéticas invoca pensamientos de partes externas, como piratas informáticos, que atacan los sistemas de una organización o ejecutan el robo de datos, la debilidad más significativa en los lugares de trabajo es generalmente la gente en la nómina; los empleados. Con tres cuartas partes de las infracciones que ocurren debido a errores humanos o negligencia, la amenaza interna a menudo supera el peligro periférico.

La negligencia permite que los piratas informáticos utilicen incluso las técnicas más básicas para obtener acceso a información confidencial; por lo tanto, ilustrar un lugar de trabajo tiene amenazas tanto en el interior como en el exterior.

Muchas organizaciones olvidan que los perpetradores externos generalmente no atacan la tecnología de una organización. Se dirigen a los empleados a través de sofisticados correos electrónicos de phishing que parecen comunicaciones habituales. El volumen de estos ataques es abrumador. ¡ El Centro de Comando Antifraude de RSA reveló que hay un nuevo ataque de phishing cada 30 segundos !

El liderazgo y la gestión organizacionales se están dando cuenta del hecho de que su entorno solo puede protegerse si se tiene en mente la seguridad cibernética. En consecuencia, la ciberseguridad se ha convertido en un decreto de la junta. Los directores ejecutivos lo tienen como parte de su mandato. Los CIO tienen objetivos de seguridad claramente definidos. El título de CISO es cada vez más prominente. La función de seguridad se toma más en serio con el aumento de los presupuestos y el personal que protege el fuerte digital.

Sin embargo, el C-Suite y superior no es donde se libra la batalla y por la seguridad. Para combatir verdaderamente las amenazas cibernéticas, las organizaciones necesitarán la participación y colaboración de todas y cada una de las funciones y de todos y cada uno de los recursos humanos, independientemente de su vocación o arreglo laboral.

El Informe de investigaciones de violación de datos de Verizon de 2018 revela que el 4 por ciento de los empleados hace clic en enlaces de phishing que introducen un lugar de trabajo en un riesgo grave. Con demasiada frecuencia, las organizaciones confían en personal de seguridad designado para realizar funciones de seguridad especializadas, lo que limita la contribución de otro personal a esta tarea. Si bien es vital que los equipos de seguridad estén atentos a los sistemas de seguridad, cada miembro del lugar de trabajo, desde el C-Suite hasta el liderazgo senior, los mandos intermedios y la primera línea, puede debilitar o fortalecer la postura de seguridad de la organización. Por lo tanto, la ciberseguridad en el lugar de trabajo es tarea de todos, y el énfasis en la cultura de seguridad es fundamental.

Cultura del lugar de trabajo de ciberseguridad

Una cultura de seguridad cibernética en el lugar de trabajo es una cultura en la que la seguridad está arraigada e infundida en todos los aspectos del lugar de trabajo. Está integrado en el pensamiento y la planificación. Se incluye en la aplicación, los sistemas y los procesos. Es una parte integral de cómo se hace el trabajo. De este modo, se minimizan las posibilidades de un ciberataque. Una postura sólida de ciberseguridad depende en gran medida de la cultura de una organización. La creación de una cultura de seguridad cibernética en el lugar de trabajo no solo enfatiza y refuerza los comportamientos de seguridad entre el personal, sino que también ayuda a proteger su organización contra un ataque cibernético.

Diseñar y construir una cultura de ciberseguridad en el lugar de trabajo

Establecer una cultura de seguridad cibernética en el lugar de trabajo, si bien se considera ampliamente como una misión difícil de lograr, no es tan desalentador como podría pensar.

Considere algunos elementos, el primero de los cuales es la actitud. La actitud hacia la ciberseguridad, incluida la forma en que la gerencia implementa la ciberseguridad al tiempo que garantiza la implementación de planes educativos y de comunicación; todos contribuyen a construir con éxito una cultura de seguridad cibernética en el lugar de trabajo:

Verifique las actitudes de nivel C hacia la seguridad cibernética

La actitud de una organización hacia la ciberseguridad, como colectivo, juega un papel importante en la forma en que los empleados la incorporan en su comportamiento laboral diario. No es justo ni realista esperar que la primera línea esté motivada por la ciberseguridad si el C-Suite, el liderazgo senior y la gerencia no están comprometidos con la misión.

Por lo tanto, es obligatorio que el liderazgo y la gestión de la organización en todos los niveles desarrollen una actitud positiva en torno a la concienciación sobre ciberseguridad y alienten a la fuerza laboral a entusiasmarse con la construcción de una cultura de ciberseguridad. Lograrlo mejora la conciencia del empleado y, en consecuencia, la capacidad para minimizar los riesgos cibernéticos.

Todos los lugares de trabajo se enfrentan a ciberriesgos y ciberamenazas. La actitud correcta ayuda a impulsar comportamientos apropiados en toda la organización y en todos los niveles.

La gerencia debe liderar

El liderazgo organizacional y la alta dirección marcan la pauta en las organizaciones. Influyen en la mentalidad de los demás. Pueden ayudar a generar conciencia sobre los factores y problemas que importan. Si el liderazgo y la gerencia adoptan la seguridad cibernética como una prioridad y la propagan como un mensaje, se tomará más en serio. La capacitación en liderazgo y gestión sobre los componentes relevantes de la ciberseguridad y la capacitación para la gerencia media y de primera línea en ciberseguridad mejora la conciencia y mitiga el riesgo. La transferencia de conocimientos y mejores prácticas en ciberseguridad dentro del lugar de trabajo también ayuda a mejorar la conciencia y reducir los riesgos cibernéticos.

El liderazgo y la gerencia deben respaldar las inversiones relacionadas con las iniciativas de seguridad cibernética y deben modelar buenos hábitos de seguridad personal basados en pautas distribuidas en todo el lugar de trabajo. Los líderes juegan un papel clave en la construcción de una cultura de ciberseguridad en el lugar de trabajo. También juegan un papel clave para ayudar a impulsar la implementación de prácticas de ciberseguridad en el lugar de trabajo.

La educación es clave

Una vez que la gerencia implementa una cultura consciente de la seguridad cibernética, el siguiente paso es lograr la concientización y capacitación de los empleados a través de varios programas. TI está haciendo un gran trabajo protegiendo a las organizaciones, y todos los demás están defraudando al equipo, por lo que la concienciación y la formación de los empleados son esenciales. La capacitación ayudará a comprender los riesgos y cómo evitar los ataques cibernéticos. Con demasiada frecuencia, los empleados son tomados por sorpresa e inconscientes, lo que les da a los ciberdelincuentes una ventaja injusta.

Planifique con anticipación: manténgase a la vanguardia de los atacantes

El personal senior y los gerentes deben desarrollar un plan de comunicaciones para un incidente de ciberataque inevitable. Si los empleados reciben información regular sobre el plan de respuesta a incidentes cibernéticos, esto les ayudará a incorporarlo en la cultura general de su lugar de trabajo. Se debe poner a disposición de todos los empleados un plan de comunicación consistente con los requisitos reglamentarios, las consideraciones legales, las mejores prácticas de la industria y los compromisos adquiridos con las partes interesadas externas.

Este plan debe crearse teniendo en cuenta al personal menos experto en tecnología. Debe incluir información simple y vital, como por ejemplo, cómo proteger las carpetas compartidas con encriptaciones y contraseñas. Dicho plan debe tener en cuenta las aplicaciones de uso común que contienen grandes cantidades de datos confidenciales, como las plataformas de gestión de relaciones con los clientes (CRM). Se debe exigir a todo el personal que utilice las mejores prácticas para acceder a las plataformas en la nube, como la creación de frases de contraseña seguras, el uso de la autenticación de múltiples factores y la restricción del acceso a quienes lo necesiten. Cuanta más información tenga su personal sobre cómo mantener los datos seguros, mayores serán sus posibilidades de sobrevivir a un ataque sin una fuga grave de datos.

Ningún plan garantizará una tasa de éxito del 100 % frente a las actividades humanas, pero reducir sustancialmente el riesgo puede ayudar a gestionar los incidentes. Las campañas de concientización internas también se pueden utilizar para ayudar a construir una cultura de seguridad cibernética. Material como carteles, boletines y recordatorios son formas efectivas de generar “alboroto” en torno a temas de seguridad importantes.

El phishing es derrotado por todos, no por TI

Las protecciones de seguridad de varias capas son necesarias y esenciales para cualquier lugar de trabajo. Sin embargo, el lugar de trabajo todavía depende de que los empleados sepan cómo mitigar un ataque. Los piratas informáticos tienen éxito porque sus objetivos, usted, no conocen las reglas de seguridad cibernética del juego o no saben que están jugando en absoluto. El phishing se aprovecha del elemento humano al alentar a las víctimas desconocidas y confiadas a hacer clic en enlaces maliciosos o abrir archivos adjuntos maliciosos. Dado que el phishing causa más pérdida de datos en Australia que la piratería o el malware, es algo que debe estar en primer plano en el lugar de trabajo. La mayoría de las veces , los empleados no se dan cuenta de que están teniendo un comportamiento arriesgado que pone en riesgo su lugar de trabajo.

Las personas dañan la marca y la reputación de su lugar de trabajo e incluso pierden sus trabajos cuando ocurren ataques cibernéticos, y han sido el Paciente Cero. El término Paciente Cero se usa para identificar a la persona que fue el punto de entrada para la explotación maliciosa en su entorno de tecnología de la información. ¡Algo que no quieres ser! Para evitar convertirse en el Paciente Cero, debe tener más conciencia cibernética y se deben implementar buenas prácticas de ciberseguridad para mitigar los riesgos críticos de ciberseguridad. Lo más importante es que todos deben contribuir a la ciberseguridad en el lugar de trabajo.

Cada organización debe tener un programa de concientización sobre seguridad y, como mínimo, ese programa debe contener lo siguiente:

• Clases formales sobre cómo mantener su entorno seguro, incluidas las pautas de contraseña, correo electrónico y uso de la Web
• Información sobre políticas corporativas, procedimientos y dónde encontrarlos
• Educación sobre el reconocimiento de enlaces, correos electrónicos y actividades sospechosas
• Información sobre la gran amenaza que representan las descargas pirateadas o legales
• Qué hacer si recibe un correo electrónico sospechoso
• Qué hacer si pierde su dispositivo corporativo o personal que contiene información corporativa
• Contactos en caso de que ocurra un incidente o si se necesita una aclaración

Como mínimo, cubrir estos aspectos de la seguridad en un entorno formal ayudará a proteger su negocio y garantizará que cada persona dentro de la organización esté haciendo su parte en lo que respecta a la seguridad cibernética.

Sin embargo, recuerde que hacer su debida diligencia va más allá del lugar de trabajo. Practicar esta mentalidad en su hogar, personal o incluso en entornos públicos contribuye en gran medida a mantener su información segura. Muchas personas creen que no son objetivos en casa, cuando están de vacaciones o de viaje. Si bien es posible que usted no sea el objetivo previsto de un atacante normal, muchos de ellos están capacitados para explotar cualquier objetivo de oportunidad, ya sea personal o de otro tipo. Después de todo, un poco de información personal ayuda mucho con los delitos cibernéticos.

A medida que avanza hacia el nuevo año, se prevé que 2023 sea significativo para la ciberseguridad debido a la creciente inestabilidad económica y geopolítica. Los expertos anticipan un panorama de amenazas ampliado y ataques cibernéticos más sofisticados.

Durante la Reunión Anual 2023 del Foro Económico Mundial en Davos, Suiza, la profesora de seguridad cibernética Sadie Creese de la Universidad de Oxford advirtió sobre una inminente "tormenta cibernética" y expresó la dificultad de predecir su magnitud.

Los ataques cibernéticos, como el phishing, el ransomware y los ataques de denegación de servicio distribuido (DDoS), ya están en aumento. Cloudflare, una importante empresa de ciberseguridad de EE. UU., informó un aumento interanual del 79 % en los ataques DDoS durante el año pasado. Esto implica la interrupción de redes o sitios web al abrumar servidores con un gran volumen de tráfico.

El director ejecutivo de Cloudflare, Matthew Prince, señaló la creciente inseguridad a nivel mundial y predijo que 2023 será un año agitado en términos de ataques cibernéticos.

Es posible que en el futuro debamos enfrentar las consecuencias de la inteligencia artificial (IA), como la desinformación generalizada o el desempleo debido a la automatización. Sin embargo, en la actualidad, hay una preocupación más inmediata pero menos llamativa que acecha a las empresas.

Un ejemplo de esto es el caso de Samsung Semiconductor, que permitió a sus ingenieros utilizar ChatGPT para sus actividades comerciales. A medida que los ingenieros consideraron que ChatGPT era útil y preciso, comenzaron a confiarle información interna a la cual no debería haber tenido acceso.

Entre esta información, entregaron: (1) el código de otra IA que estaba siendo desarrollada por un socio comercial de Samsung, (2) secuencias de prueba destinadas a identificar chips defectuosos y (3) la grabación de una reunión interna.

Es comprensible por qué los ingenieros podrían haber pensado que ChatGPT podría ser útil en estos tres casos. Sin embargo, ChatGPT no es propiedad ni está controlado por Samsung, y esa información no debería haber sido compartida con él.

La funcionalidad de la IA fue tan convincente que los ingenieros de Samsung olvidaron que estaba alojada externamente y violaron la política de la empresa al proporcionar información confidencial. La combinación de inteligencia artificial y error humano resultó en una grave brecha de seguridad informática, independientemente de la calidad de las respuestas proporcionadas por ChatGPT.

Es preocupante pensar cuánta información confidencial o patentada se ha compartido de manera similar con el creador de ChatGPT, OpenAI, en los meses posteriores a su lanzamiento. También es importante reflexionar sobre cómo este problema puede crecer a medida que la IA se vuelva más omnipresente, poderosa, familiar y ampliamente utilizada tanto a nivel personal como empresarial.

Los contadores enfrentan el desafío de mantener la seguridad de la información y los datos de sus clientes y de su propia organización. Los contadores deben estar atentos a los últimos avances en ciberseguridad y a las amenazas emergentes que pueden afectar a sus clientes y a su propia organización.

Para los contadores, los riesgos son considerables cuando se trata de ciberseguridad. Estas son algunas de las razones por las que las empresas deben ser un fuerte entre el contador y la ciberseguridad.

Vulnerabilidad

Ningún negocio puede volverse completamente ciberseguro, pero para las empresas, la ciberseguridad es un poderoso elemento disuasorio. Los hackers son cada vez más sofisticados y el crecimiento de los ciberincidentes es significativo. Colombia registró en 2022 más de 54.000 denuncias por delitos cibernéticos, superando ampliamente la cifra de 2021, cuando se documentaron 11.223. Los casos más comunes son a través de computadoras, tablets y teléfonos celulares.

Riesgo del cliente

Los contadores deben garantizar la seguridad de la información que los clientes les confían. Desde números de cuentas financieras hasta datos de contacto, los contadores tienen parte de la información más importante para individuos y empresas. Si no pueden mantener protegida esta información, las consecuencias son significativas. Están en el deber de proteger esta información a toda costa.

Riesgo financiero

Las consecuencias financieras de un ciberataque son considerables. Los costos por filtraciones de datos se incrementaron en un 9.35 por ciento año con año hasta un promedio de 2.8 millones de dólares en América Latina, su mayor nivel registrado desde que se comenzó a realizar la encuesta, según revela la más reciente edición del informe Cost of a Data Breach elaborado por IBM. Y lleva un tiempo detectar la mayoría de las infracciones: un promedio de 280 días.

Facilidad de pirateo

Si bien los estados-nación y las empresas delictivas organizadas están en el centro de muchos ataques cibernéticos, la piratería informática que interrumpe por completo su empresa puede ser obra de un aficionado. Con muy poca capacitación y sofisticación, un pirata informático puede interrumpir su negocio y resultar muy costoso.

Pérdida de reputación

Si la empresa está expuesta a un ataque, las pérdidas son mucho más que financieras. Hay un gran riesgo reputacional. Es probable que los clientes afectados hablen. Algunos casos llegarán a los medios de comunicación. Recuperar algunas pérdidas de reputación puede ser difícil y tan costoso como las pérdidas financieras sufridas debido a un ciberataque.

El papel de la ciberseguridad en la contabilidad es proteger la información financiera de empresas, organizaciones e individuos contra robos, fraudes y otros ataques cibernéticos. La ciberseguridad protege la integridad de los datos financieros y garantiza que estén seguros frente a accesos no autorizados o actividades maliciosas. También ayuda a prevenir transacciones no autorizadas y protege contra la pérdida de información confidencial. Además, ayuda a garantizar la precisión de los registros financieros y proporciona una plataforma segura para las transacciones comerciales.

Como se puede apreciar, utilizar la ciberseguridad en el ámbito contable tiene numerosos beneficios. La ciberseguridad sigue siendo una preocupación importante para los contadores y las empresas. Los contadores deben estar atentos a las últimas tendencias y amenazas en ciberseguridad. Esta es en lo que cualquier empresa debe invertir para asegurar la seguridad de la información y los datos de sus clientes y de su propia organización. Los contadores también deben asesorar a sus clientes sobre temas relacionados con la ciberseguridad para garantizar la seguridad de sus datos y su reputación.

Si bien muchos contadores tienen el deber de asesorar a los clientes sobre los aspectos tácticos y estratégicos de sus negocios, este deber ahora también puede extenderse a asuntos relacionados con la ciberseguridad. Cuanto más conocimiento tengan sobre ciberseguridad, mejores asesoramientos podrán brindar.

Feliz Dia Del Contador Público

El día 1 de marzo de 1975 se realizó la Reunión Nacional de Juntas Directivas de Agremiaciones de Contadores de Colombia, se tomó la decisión de aprobar la celebración de El Día del Contador Público colombiano, como muestra de independencia de la injerencia extranjera en esta área que tuvo por muchos años el país.

En la era digital actual, los desafíos de ciberseguridad ya no se limitan solo a empresas y organizaciones gubernamentales; ahora se han extendido también a instituciones religiosas, incluidas las iglesias parroquiales. A medida que las iglesias dependen cada vez más de la tecnología para la comunicación, las donaciones y la gestión de datos, se vuelven vulnerables a las ciberamenazas. En esta publicación, nuestra intención es iluminar los crecientes desafíos de seguridad cibernética que enfrentan las parroquias de la iglesia y la importancia de abordarlos para proteger a su congregación, datos y recursos. Profundizaremos en los avisos y recomendaciones proporcionados por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y discutiremos los costos inesperados que una violación de seguridad cibernética puede acarrear a una pequeña parroquia.

Estos son algunos ejemplos de ciberataques contra organizaciones religiosas:

A fines de 2022, la Iglesia de Jesucristo de los Santos de los Últimos Días fue violada y se publicó información sobre empleados y miembros de la iglesia ( https://informationsecuritybuzz.com/mormon-church-hit-by-cyberattack-personal-data-exposed/). Sin embargo, se han producido otras infracciones. En 2019, los ciberdelincuentes involucrados en un ataque robaron 1,75 millones de una iglesia del área de Cleveland ( https://www.forbes.com/sites/leemathews/2019/04/30/cybercriminals-steal-1-75-million-from-una-iglesia-de-ohio/). Recientemente, la Escuela Bishop Luffa, dirigida por la Iglesia de Inglaterra, publicó todos los nombres de los estudiantes por un delincuente cibernético ( https://cybernews.com/news/bishop-luffa-school-attack-leak-student-names/ ).

Plan de gestión de riesgos de 4 pasos

Organice su equipo de gestión de riesgos con gran atención a la creación de un grupo fuerte. Un equipo que está armado con conocimiento y un plan de acción claro. Recomendamos estos cuatro pasos:

1. Educar

Todos los miembros del equipo deben tener recursos y capacitación. Esto es para informarles sobre los elementos cruciales y las respuestas de la gestión de riesgos. El equipo es entonces responsable de educar a la junta y a los miembros del personal.

2. Planificar y responder

Su plan de seguridad debe incluir educación, políticas, inspecciones y protocolos de actividad para los miembros.

3. Capacitar e informar

Establecer un programa educativo para todos los miembros sobre cuestiones de seguridad, protección y riesgos. Los miembros del equipo a menudo deben hablar a grupos pequeños, comités clave, así como a otros miembros. Esto los mantiene informados y ayuda a comprender mejor las preocupaciones de seguridad actuales. Solo entonces se puede poner en marcha un plan de acción eficaz.

4. Seguimiento

Cree una estrategia para emplear su programa de gestión de riesgos y promulgar el monitoreo de seguridad. Pero, agregue sus medidas de seguridad y protección en curso con consideración... Póngalas en su lugar sin comprometer su organización. Trate de hacerlo de tal manera que poco a poco se convierta en parte de las actividades de los miembros.

Finalmente, el costo de la respuesta y recuperación de incidentes a menudo eclipsa el precio del rescate si se paga. En muchos casos, los abogados de incumplimiento, los profesionales de respuesta a incidentes y los consultores de reputación o de medios deben contratarse a un alto costo para la parroquia.

Muchas organizaciones sienten que el seguro cubrirá estos costos, solo para descubrir que no tienen seguro o tienen un seguro insuficiente cuando ocurre un incidente. Incluso en los casos en que la entidad está asegurada, la cobertura a menudo no cubrirá el costo total de un incidente y no puede ayudar con el daño a la reputación.

Estos costos son imposibles de presupuestar y hacen que los ataques de seguridad cibernética sean una preocupación grave para todos los lugares de culto, pero particularmente desafiantes para las parroquias pequeñas.