Junta directiva: el riesgo cibernético es el costo de hacer negocios
En los últimos 20 años, el control del riesgo cibernético evolucionó significativamente tras el cambio de la responsabilidad por la mitigación del riesgo del ámbito exclusivo del equipo de seguridad de la información a prácticamente cada área funcional dentro de una organización de clase empresarial hoy en día. Desde los departamentos de RR. HH. y Legal hasta los de desarrollo de software y de gestión de productos, todos exigen a sus proveedores y socios que satisfagan los requisitos de seguridad y que endurezcan los estándares cibernéticos. Ahora, una revisión cibernética de cualquier fusión o adquisición potencial es algo habitual. Y con muchos ejemplos recientes, como Kaseya y SolarWinds, la diligencia cibernética de la cadena de suministro es absolutamente indispensable para cualquier negocio que opera en la actualidad.
Esto indudablemente aumenta el desafío para la junta directiva y el rol crítico que esta desempeña en la estrategia de resiliencia cibernética de una organización. Dado que los datos son vitales para cualquier organización, la preparación empresarial y la continuidad comercial no pueden ser simplemente un ejercicio anual. No cuando los atacantes siguen demostrando contar con trucos cada vez más sofisticados que incluyen todo desde ultrafalsos (deep fakes) basados en IA a técnicas de piratería informática (hacking) automatizadas. Considerando el panorama actual, todos debemos mantener un estado de evaluación continuo y esto incluye ubicar a las prioridades cibernéticas en lo más alto de la agenda para las actualizaciones de la junta directiva, en lugar de esperar un resumen de fin de año. Como sabemos, a pesar de todas las inversiones realizadas en ciberseguridad, no se trata de una cuestión que pueda plantearse y, luego, dejarse al azar. Las fugas de datos ocurrirán y los líderes comerciales y profesionales de seguridad necesitan encontrar la manera de actuar de ahora en más para adelantarse a las amenazas. En la actualidad, eso implica emplear enfoques nuevos y distintos para mitigar las fugas y la vulnerabilidad de datos, y la junta directiva desempeña un rol vital para impulsar esta evolución.
La participación de la junta directiva en el control del riesgo cibernético es central para el trabajo de la iniciativa de gobernanza corporativa y riesgo cibernético del Foro Económico Mundial que Forcepoint ha apoyado este último año. Un enfoque clave de la misión de esta iniciativa es ayudar a asesorar a los directores sobre cómo lidiar con la tecnología y el riesgo cibernético en colaboración con la Asociación Nacional de Directores Corporativos (National Association of Corporate Directors, NACD), la Alianza por la Seguridad en Internet (Internet Security Alliance, ISA) y los socios corporativos del Foro Económico Mundial. Juntos, los miembros de este consorcio elaboraron un informe reciente que estableció seis principios para ayudar a las juntas directivas a guiar a sus organizaciones para volverse cibernéticamente más resilientes. Incluía lo siguiente:
- La ciberseguridad es un posibilitador de negocios estratégico
- La economía impulsa el riesgo cibernético
- El control del riesgo cibernético debe alinearse con las necesidades comerciales
- El diseño de las organizaciones debe respaldar la ciberseguridad
- La experiencia en ciberseguridad debe integrarse a la gobernanza de la junta directiva
- Se debe alentar la colaboración y la resiliencia sistemática
Recientemente, me uní a otros colegas colaboradores, Dan Dobrygowski, líder de gobernanza y confianza del Centro para la Ciberseguridad del Foro Económico Mundial, y Maya Bundt, líder de soluciones digitales y cibernéticas de Swiss Reinsurance, como parte de esta iniciativa en una conversación sobre algunos de los hallazgos clave del informe para ayudar a los líderes comerciales a comprender mejor el impacto comercial del riesgo cibernético y poder adelantarse a las amenazas actuales. Nuestra discusión profundizó en cuatro de los principios antes mencionados: cómo la ciberseguridad posibilita los negocios, los impulsores económicos del riesgo cibernético, la alineación con las necesidades comerciales y las maneras de incorporar la experiencia cibernética a la gobernanza de la junta directiva. Creemos que adaptarse al riesgo cibernético es el costo de hacer negocios hoy en día. En respuesta, las juntas directivas deben ver el control del riesgo cibernético como una prioridad de toda la empresa y una pieza central de su deber fiduciario.
Después de todo, cuando más del 70 % de las fugas de datos responden a motivos financieros, la pujante industria de los ataques puede convertirse en su mayor competidor. Modernizar la seguridad ahora para proteger las joyas de la corona digital y la integridad comercial de su organización puede impulsar su misión, ya sea que se trate de aumentar las ganancias o ayudar a sus comunidades a recuperarse de la pandemia, y, en última instancia, convertirse en un diferenciador competitivo con vistas al futuro.
Únanse a esta conversación registrándose para el webcast del 21 de julio.
También pueden comenzar a leer sobre el tema descargando el informe completo del Foro Económico Mundial: "Principles for Board Governance of Cyber Risk.”
