La ciberseguridad está en los titulares tras las importantes brechas detectadas durante la pandemia de Covid-19. Pero los riesgos cibernéticos son anteriores a la pandemia, y ya habían llenado los debates de los consejos de administración a medida que las nuevas tecnologías transformaban radicalmente el mundo empresarial. Las nuevas preocupaciones empujan a los directores a ponerse al día con los riesgos cibernéticos en constante evolución y a abordar los desafíos de la gobernanza de la ciberseguridad.
Los retos de la ciberseguridad, en constante evolución
¿Qué son el ciberriesgo y la ciberseguridad?
Al surgir el riesgo cibernético con el auge de Internet y las nuevas tecnologías, se desarrolló la ciberseguridad para proteger los datos de las empresas. Según el Instituto Nacional de Normas y Tecnología, el riesgo de ciberseguridad «se refiere a la pérdida de confidencialidad, integridad o disponibilidad de la información, los datos o los sistemas de información (o control)». Esto puede afectar a las operaciones y a la organización en su conjunto.
Por lo tanto, el tratamiento de los datos y la información de las empresas se hizo más y más sensible a medida que se extendía la conectividad global, lo que dio lugar a un aumento de los riesgos para las empresas. La ciberseguridad es el sistema puesto en marcha para mitigar los ciberriesgos.
Los riesgos cibernéticos no se limitan a los competidores identificados, que podrían utilizar la información filtrada en su propio beneficio, por ejemplo. También están relacionados con las leyes locales e internacionales, los problemas de privacidad de los clientes y los empleados, e incluso con terceros ilegales que buscan un rescate. Por ello, la ciberseguridad se ha convertido en algo absolutamente crítico para la seguridad de las empresas a todos los niveles.
Los retos actuales de la ciberseguridad
La ciberseguridad suele entenderse erróneamente como una competencia tecnológica. A medida que se desarrollaba el riesgo cibernético, los empleados de la tecnología empezaron a informar de los problemas y a tomar medidas que no entendían del todo los no especialistas en tecnología. Al principio, los asuntos de ciberseguridad ni siquiera se llevaban a los consejos de administración. Algunos miembros del Consejo de Administración se preocuparon cada vez más por los riesgos cibernéticos, pero siguieron confiando al responsable de tecnología toda la responsabilidad de la ciberseguridad.
Este es uno de los retos actuales de la ciberseguridad para la Junta Directiva. ¿Cómo construir una gran política de ciberseguridad y cómo estar al tanto del asunto sin ser un especialista en tecnología?
Otros retos están relacionados con la propia naturaleza del ciberriesgo. La tecnología evoluciona constante y rápidamente, al igual que los ciberriesgos. Con la digitalización masiva de los datos, las herramientas de IA, la automatización, el auge de los dispositivos conectados y el aprendizaje profundo de las máquinas, los riesgos de violación de datos nunca han sido mayores. Las normativas locales e internacionales están fragmentadas, por no decir otra cosa, lo que supone costes adicionales y mayores riesgos para las empresas.
La pandemia de Covid-19 puso de manifiesto algunos de estos riesgos, ya que algunas empresas se dieron cuenta de repente de que el trabajo a distancia y los empleados poco formados podían convertirse en puntos de entrada para los ciberataques, incluido el ransomware. Además, las empresas a menudo tienen que confiar en terceros para almacenar y procesar sus datos e incluso para garantizar la ciberseguridad.
Gestión del ciberriesgo para una mejor gobernanza de la ciberseguridad
¿Quién es responsable de la gestión de los riesgos cibernéticos?
Si tradicionalmente los consejos de administración se mantenían al margen de la ciberseguridad y confiaban en sus empleados de TI o incluso en profesionales de TI externos, los riesgos cibernéticos ya no pueden ser ignorados al más alto nivel de la empresa. Al igual que cualquier otro asunto corporativo, la ciberseguridad debe integrarse en una cadena de responsabilidad y gestión. Esto significa que los miembros del Consejo de Administración deben estar tan involucrados en la ciberseguridad como los responsables técnicos. Sólo que no actuarán sobre los mismos temas.
Las mejores opciones serán diferentes de una empresa a otra. Normalmente, un responsable de TI o un director de seguridad de la información (CISO) se encargará de la ciberseguridad desde el punto de vista tecnológico y operativo. Lo más probable es que un CISO trabaje con el equipo de TI en todos los asuntos relacionados con la ciberseguridad. A menudo se espera que el CISO aporte una actitud proactiva a la ciberseguridad y no se limite a ocuparse de las consecuencias de los fallos de seguridad. Pero el CISO no puede ser el único responsable de crear políticas de ciberseguridad o de tomar medidas preventivas extremas.
Los directores tienen que intervenir. Dependiendo de la empresa y de cómo se haya diseñado el Consejo de Administración, algunas empresas podrían necesitar crear un comité especial que se ocupe de los riesgos y las responsabilidades en materia de ciberseguridad. Otros Consejos sólo necesitarán la coordinación entre el CISO y el director especialista en ciberseguridad. En cualquier caso, los consejos de administración van a participar cada vez más en las estrategias de ciberseguridad.
Aparte de las estrategias de alto nivel y las grandes decisiones, es crucial entender que todas las personas que interactúan con la empresa están implicadas de facto en la ciberseguridad. Empleados de todos los departamentos, contratistas independientes, clientes, usuarios, etc., cada parte representa una debilidad potencial para la empresa. Un modelo de seguridad debe incluir a todos, planificar la formación en ciberseguridad y tener información básica sobre ciberseguridad lista para compartir.
Gobernanza de la ciberseguridad: Un nuevo reto para la Junta Directiva
Los directores comienzan a compartir sus preocupaciones sobre la ciberseguridad y el hecho de que este campo probablemente esté fuera de sus conocimientos. Además, con la constante evolución que rodea a las nuevas tecnologías, puede ser muy difícil llegar rápida y permanentemente a un buen nivel de comprensión de la ciberseguridad.
La solución está en el CISO o en un consultor de ciberseguridad. Antes de decidir cuál es la mejor estrategia para la empresa en materia de ciberseguridad, los miembros del Consejo de Administración deben establecer una relación más sólida con su CISO. El director de seguridad de la información es la persona que sabe y está idealmente al día de los problemas de ciberseguridad. Las aportaciones y los comentarios regulares, las sesiones de formación para el Consejo y, en general, una mejor comunicación informarán mejor las decisiones del Consejo. A veces, no hay un CISO o la comunicación con éste es difícil de establecer. Una consultoría con la ayuda de una empresa externa podría ser la solución para identificar qué hacer primero.
A continuación, la decisión principal se referirá a la forma en que el Consejo debe supervisar la gobernanza del riesgo cibernético. ¿Es realmente necesario implicar a todo el Consejo en los debates sobre ciberseguridad? Por el contrario, ¿basta con un solo miembro para hacer frente a estos retos? ¿Hay algún especialista en ciberseguridad entre los miembros del Consejo? Las respuestas dependen exclusivamente de la empresa.
En cualquier caso, la formación, la información y la presentación de informes al Consejo son las claves para afrontar los retos de la ciberseguridad.
Supervisión de la ciberseguridad con los comités
En algunos casos, la opción correcta podría ser abordar los retos de la ciberseguridad a través de los comités. Esto puede hacerse delegando la gobernanza del ciberriesgo en el comité de auditoría. Las ventajas son, por un lado, que el comité suele estar ya constituido, los miembros están acostumbrados a trabajar juntos en el ámbito de la auditoría y las reuniones pueden estar ya integradas en el calendario de trabajo de los directores. Por otro lado, los miembros del comité de auditoría no son necesariamente expertos en gobernanza de la ciberseguridad. Además, la carga de trabajo del comité de auditoría puede ser considerable y existe el riesgo de que se pase por alto la ciberseguridad.
Algunas empresas optan por otros comités existentes: comités de gobierno, comités de riesgo e incluso subcomités de tecnología. Los pros y los contras del uso de estos comités son probablemente similares a los del comité de auditoría. Sin embargo, dependiendo de los miembros que participen en estos comités, podría ser la mejor opción.
Otra solución es crear un comité especial que se encargue del gobierno de la ciberseguridad: el comité de ciberseguridad. Esta solución suele ser para las empresas más grandes, especialmente las que están directamente involucradas en la tecnología y la IA. Puede ser necesario incorporar nuevos miembros y reorganizar los nombramientos para poner en marcha el comité de ciberseguridad. Sin embargo, si el tamaño y el producto de la empresa lo requieren, un comité especial significa elegir un enfoque proactivo y a largo plazo.