Directorios deben tratar la ciberseguridad como un problema de gestión de riesgos
-
Compromiso con el éxito del negocio
-
La Encuesta Global de Seguridad de la Información de EY revela que 72% de las organizaciones aceptan que los directorios perciben los riesgos cibernéticos como algo "significativo".
-
Un estudio de la OEA reveló que la mayoría de las juntas corporativas en América Latina tiene una comprensión "inicial" o "formativa" de la ciberseguridad.
La seguridad cibernética está penetrando en todas las áreas de las compañías. Como la definición de los riesgos la tienen que hacer los miembros del directorio, son ellos los responsables de analizar aquellas amenazas que podrían afectar el negocio.
Hace un par de años, si bien eran problemáticos, los ataques cibernéticos eran tildados de eventos esporádicos y que implicaban un costo para las empresas. Actualmente, los atacantes son muy sofisticados y prácticamente cualquier organización está en riesgo de perder todo su negocio.
Esto no significa que la ciberseguridad sea un problema sin solución, sino que la responsabilidad debe pasar de las áreas de tecnologías de la información a la plana mayor de las compañías. Si bien no es responsabilidad de los directores convertirse en expertos en ciberseguridad, la junta debe saber qué preguntas hacerles a los expertos, ejercer liderazgo y estar comprometida para lograr que la protección contra cualquier ciberataque sea una prioridad.
Un estudio de la OEA reveló que la mayoría de las juntas corporativas en América Latina tienen una comprensión "inicial" o "formativa" de la ciberseguridad, lo que significa que tienen un conocimiento mínimo o nulo de la materia y los deberes fiduciarios relacionados, o tienen cierta conciencia de los problemas cibernéticos, pero no de cómo los riesgos podrían afectar a sus organizaciones. Incluso entre las juntas corporativas en América Latina, donde existe un conocimiento más avanzado sobre ciberseguridad, la gestión de los problemas cibernéticos ha tendido a ser más orientada al perímetro, y reactiva en lugar de proactiva.
El enfoque de los directorios en Chile se orienta más en el resultado del negocio y no es prioridad revisar la seguridad de sus procesos. "La ciberseguridad, hasta hace poco, solo era un riesgo técnico. No obstante, hoy ya cambió esa percepción, pues se está tomando conciencia de su importancia y que se trata de uno de los mayores riesgos a los que una organización puede enfrentarse, con consecuencias e impactos muy profundos que, incluso, pueden llevar al cierre de las compañías", dice lván Toro, gerente general de ITQ Latam.
"La ciberseguridad se está metiendo cada vez más en la agenda de los directorios", agrega *Marcelo Zanotti, socio líder de Consultoría en Riesgo de EY. En algunos casos, "como una exigencia normativa, como es la reciente publicación de la RAN20-10 para instituciones financieras que le exige al directorio una explícita supervisión de la estrategia y modelo de seguridad de la organización que esté dirigiendo. Por otro lado, la pandemia ha acelerado la transformación digital de las organizaciones y eso obliga a pensar en los riesgos de ciberseguridad".
Un riesgo en constante evolución
El problema no está en que los directorios no reconozcan la importancia de comprometerse con la ciberseguridad. De hecho, la Encuesta Global de Seguridad de la Información de EY revela que 72% de las organizaciones aceptan que los directorios perciben los riesgos cibernéticos como algo "significativo". Desde la perspectiva de los directorios, estos esperan que estos riesgos tengan un impacto significativo en sus empresas en los siguientes 12 meses
La pregunta, en realidad, es si el directorio logra tener una cabal comprensión del riesgo de ciberseguridad. Solo 48% de los encuestados respondió que el directorio y los altos ejecutivos comprenden que deben evaluar completamente los riesgos cibernéticos y las medidas que están implementando para defenderse de ellos. De manera similar, 42% indica que el directorio no comprende bien el valor del equipo de ciberseguridad y sus necesidades.
No es posible querer ser exitoso en el camino de transformar digitalmente una organización si no se consideran los riesgos de seguridad cibernética. "Entonces, si hablamos de estrategia de negocio, el directorio tiene que saber que es inevitable considerar los aspectos de ciberseguridad", sentencia Zanotti.
Estamos lidiando con un nuevo peligro y todavía la mayoría de las personas no logra dimensionar los impactos o consecuencias que puede tener un ciberataque en una organización, o incluso en la infraestructura crítica de un país.
A diferencia de lo que ocurre con los riesgos de desastres naturales o cualquier otra categoría de peligros, donde hay soluciones y protocolos ya probados, cuando hablamos de ciberseguridad tenemos que reconocer que es un riesgo en constante evolución y que no se pueden bajar los brazos.
FUENTE: El Mercurio
Fecha: 28-10-2020