Con la misma habilidad y capacidad de lectura que tienen para identificar los peligros que corren al hacer una inversión debe ser el nivel de implicación de las juntas directivas frente a la ciberseguridad.

La junta directiva en las organizaciones constituye el máximo órgano societario de dirección, al cual los accionistas le encargan la labor de dirigir y controlar la compañía, en función de los intereses de los propietarios para así asegurar el crecimiento del patrimonio y su sostenibilidad.

Nadie está más interesado en tomar decisiones correctas que ellos. Su mayor reto radica en que de manera simultánea deben aplicar estas dos funciones, mediante el análisis, la deliberación, la toma de decisiones y el seguimiento.

Lea también: El Covid-19 influenciará los presupuestos económicos de las organizaciones en ciberseguridad

Este organismo es el encargado de proveer el direccionamiento estratégico, aprueban las principales políticas, determinan el nivel de riesgo aceptable para el crecimiento saludable del negocio y están llamados a garantizar el trato equitativo a todos los accionistas.

Deben velar por la calidad de la información financiera y no financiera, así como verificar los requerimientos que sean exigidos por la ley. Son los directores de la junta directiva quienes establecen las principales políticas de control interno y además son el gestor del gobierno corporativo en la entidad.

La ciberseguridad es un problema de negocio

En su libro “A Leader’s Guide to Cybersecurity – Why Boards Need to Lead and How to Do It”, Thomas J Parently y Jack J. Doment describen como la razón principal del porqué los miles de millones de dólares invertidos en ciberseguridad no han hecho una diferencia a la fecha y es debido a que el foco central de ciberseguridad sigue estando en tecnología: computadores, infraestructura y sus vulnerabilidades en lugar del riesgo de negocio en la dirección estratégica y operacional de la compañía.

Todas las discusiones y acciones relacionadas con ciberseguridad y riesgo cibernético empiezan y terminan con el negocio y la vulnerabilidad de su operación y dirección estratégica; no con computadores y vulnerabilidades. Nunca esta relación directa entre riesgo cibernético y riesgo del negocio ha sido tan evidente como en los últimos meses. Solo basta revisar alguna de las noticias más recientes:

  • Banco Estado: El pasado Lunes 7 de septiembre, la institución financiera grande de Chile se vio obligada a cerrar más de 400 sucursales producto de un ataque de Ransomware. El evento  afectó a 13 millones de ciudadanos que tienen cuenta en la organización. 
  • Dirección Nacional de Migraciones (DNM) de Argentina: Por cuenta de un ataque de Ransomware, el pasado 27 de agosto y durante más de 3 horas el país estuvo aislado del mundo, nadie puede entrar o salir. Los delincuentes secuestraron información y solicitaron inicialmente un rescate de 2 millones de dólares, que posteriormente incrementaron a 4 millones al cumplirse el primer plazo. El último plazo se cumplió el pasado 10 de septiembre y al negarse a pagar, la información fue publicada en la dark web.

Lea también: Visibilizar compromisos en tiempos de coronavirus

  • Pemex: La empresa Petróleos Mexicanos, confirmó que en noviembre de 2019 sufrió ataques cibernéticos que afectaron el 5 % de las computadoras. El ataque se trató de un ransomware, que al contagiar los ordenadores encripta información con la finalidad de pedir una recompensa de cinco millones de dólares por su liberación.  
  • Garmin: En Julio del presente año los servicios del fabricante estadounidense de productos electrónicos como relojes inteligentes y sistemas de navegación por GPS, dejaron de funcionar debido a un ataque de ransomware. Los ciberdelincuentes exigieron un rescate de 10 millones de dólares.

Siendo la junta directiva el órgano de gobierno corporativo al que los accionistas han confiado la responsabilidad del desarrollo sostenible del negocio, dentro de niveles de riesgos aceptables es indudable que la ciberseguridad es un riesgo más que debe ser gestionado a este nivel.

El reto de las juntas directivas y la ciberseguridad

Era el año de 1999 y recuerdo que después de 20 minutos de una presentación de ciberseguridad a la junta directiva de una de las grandes superficies del momento en Colombia, el presidente me interrumpe para decirme que la presentación estaba interesante, pero le preocupaba mucho más que se siguieran robando las botellas de whisky en los almacenes.

En ese mismo momento comprendí que la forma correcta de conectar ciberseguridad con la junta directiva es expresando los riesgos cibernéticos asociados a riesgos de negocio.

Más de veinte años han pasado y muchos directores de juntas directivas siguen expresando que el tema de ciberseguridad les resulta abrumador, generalmente se sienten tomando decisiones de inversión sin la suficiente información y generalmente no entienden totalmente las capacidades de defensa en sus tecnologías de ciberseguridad.

Esto último me indica que los que practicamos ciberseguridad, seguimos generalmente haciendo un trabajo pobre en conectar ciberseguridad con la forma en que la junta directiva entiende el negocio ó que la junta directiva se siente más cómoda delegando el riesgo de algo que no entiende en los especialistas.

Lea también: ¿Por qué el software conquistó al mundo?

Sin embargo, los miembros de la junta directiva logran mejoras en sus organizaciones simplemente mediante el cumplimiento de sus deberes de gobierno y supervisión. La supervisión de ciberseguridad al nivel de la junta directiva, se asemeja a la teoría del “observer effect” en física en donde la simple  observación de un fenómeno inevitablemente cambia el fenómeno.

Esto es: el interés genuino de la junta directiva por información sobre el estado de ciberseguridad o nivel de compromiso motiva a la compañía en general a poner especial atención a los procesos y análisis de ciberseguridad que de otra forma no serían realizados.

Cuatro principios para miembros de juntas directivas que quieren liderar en ciberseguridad

En su libro “Boards That Delivers”, Ram Charan describe la evolución de las juntas directivas desde las juntas ceremoniales generalmente más enfocadas al cumplimiento, hasta las juntas directivas progresistas en donde se trabaja en equipo sus directores y el CEO para contribuir al mandato de los accionistas. Para los directores de este tipo de estructuras, quiero resaltar cuatro principios que sin duda ayudarán a mejorar el abordaje de temas de ciberseguridad de forma continua.

  • Fácil de entender: El CISO y en general el equipo de gerencia de ciberseguridad son los responsables de proporcionar a la junta directiva con el material que permita a no especialistas en el tema entenderlo.
  • Conexión con el negocio: Todas las conversaciones asociadas a ciberseguridad deben estar expresadas en términos del impacto a la operación y estrategia del negocio.
  • La ciberseguridad es responsabilidad de todos: Los responsables de la ciberseguridad en la organización no son solamente los equipos de IT y ciberseguridad. Los directores de la junta directiva, en conjunto con la administración de la compañía deben promover la generalización de los temas de ciberseguridad hacia todos los equipos y colaboradores.
  • Fomentar la motivación hacia la ciberseguridad: Los directores de la junta directiva en conjunto con la administración de la compañía deben entender y alinear los intereses y motivaciones de los departamentos y colaboradores de forma tal que su conducta evite poner en riesgo la organización.

Conclusiones

Con la misma habilidad y capacidad de lectura que tienen para identificar los peligros que corren al hacer una inversión, el manejo del presupuesto o hasta la definición del margen de ganancia de un determinado producto, debe ser el nivel de implicación de las juntas directivas frente a la ciberseguridad.

Generalmente resulta más fácil medir el riesgo cuando tenemos contingencias tangibles y físicas. Sin embargo, el lenguaje de la ciberseguridad es hipotético, probabilístico, se trata de hechos que eventualmente pueden suceder; pero no por eso se puede tomar a ligera. El nivel de afectación de un solo ataque puede llegar a suspender la totalidad de la operación o representar un costo muy alto para la empresa, algo prácticamente impensado para las primeras contingencias.

Contacto
LinkedIn: Ricardo Villadiego*
Twitter: @rvilladiego

*El autor es CEO y cofundador de Lumu, una empresa de ciberseguridad enfocada en ayudar a organizaciones empresariales a identificar amenazas y aislar instancias confirmadas de compromiso.

Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes Colombia.