La transformación digital en las organizaciones ha permitido la aceleración de muchos procesos, pero también la aparición de nuevas amenazas. Hoy en día, los consejeros necesitan estar más atentos que nunca a los temas relacionados con la seguridad cibernética. El último reporte PwC’s Global Economic Crime and Fraud Survey 2022 reveló que, a nivel mundial, 40% de las organizaciones afirmó haber vivido un aumento en el riesgo de sufrir un crimen cibernético a causa de la pandemia de COVID-19.
Prepararse para decidir y supervisar
Es primordial que los consejeros recuerden que la seguridad cibernética no es solo prevenir riesgos. Una estructura sólida en esta materia está diseñada para ayudar a las organizaciones a ser resilientes y mitigar los impactos financieros y reputacionales cuando ocurre un ataque.
En este sentido, los resultados de la encuesta 2022 Global Digital Trust Insights mostraron que los ejecutivos de todo el mundo observan la preparación y compromiso de los consejos de administración como la prioridad número uno para una sociedad digital más segura en 2030.
Entonces, ¿qué acciones hacen falta? Desde mi experiencia, aunque es complejo que los consejeros se mantengan actualizados en cada detalle de la seguridad cibernética, es necesario:
- Reforzar los conocimientos del consejo para una toma de decisiones que eleve la certidumbre y disminuya la vulnerabilidad de los sistemas
- Observar la seguridad dentro de las cadenas de suministro y el ecosistema digital que se genera entre los colaboradores
- Incorporar especialistas al consejo o buscar soporte entre los comités a través de funciones específicas
Antes de transformar, diagnosticar
Establecer el nivel de riesgo de cada organización es determinante para saber cómo abordar los asuntos pendientes de ciberseguridad. Suele pensarse que solo el sector tecnológico es propenso a un ataque cibernético; sin embargo, la PwC’s Global Economic Crime and Fraud Survey 2022 nos indicó que, entre los sectores de manufactura, financieros y de salud, los delitos cibernéticos fueron parte de los principales fraudes identificados.
Si bien la inteligencia artificial tomará mayor relevancia en las funciones de detección, defensa y acción ante una posible vulnerabilidad, la colaboración del consejo con el CISO y el CEO continuará siendo relevante. Por ello, vale la pena reflexionar sobre lo siguiente:
- ¿Los consejos y la C-Suite saben si los procesos de su organización son tan complejos que dificultan su protección?
- ¿De qué forma pueden medir los consejeros qué tan segura se encuentra su organización con respecto a los riesgos más importantes para su sector?
- ¿Qué lineamientos de seguridad existen ante terceros y cómo aseguran su cumplimiento?
Poner el foco en los puntos ciegos
Dentro de una organización pueden existir vulnerabilidades poco visibles o evidentes. Se necesita que los consejeros siempre estén conscientes de que existirán puntos ciegos y es primordial revisar y preguntar con regularidad qué nuevas vulnerabilidades se están omitiendo.
Algunos de los puntos ciegos que pongo a consideración de los consejos de administración son:
- Dispositivos que son parte del internet de las cosas (IoT). Es necesario hacer conciencia en todos los niveles sobre el uso de esta tecnología. La protección de datos personales a través del acceso y transmisión restringidos de datos es uno de los puntos más importantes. Esto incluye mejorar la autenticación de los usuarios para reducir los riesgos de sufrir un fraude.
- Redes de conexión públicas. Las redes públicas de internet no cuentan con las herramientas necesarias para garantizar una navegación segura. Si bien lo más recomendable es evitarlas, para habilitar el trabajo remoto de manera segura es crucial el uso de VPN (redes privadas virtuales) que proteja los datos y las comunicaciones en cualquier ubicación.
- Escasez de talento especializado. El número de especialistas en ciberseguridad es insuficiente para cubrir la creciente demanda de las organizaciones. Es fundamental que los consejos descifren cómo cubrirán estas vacantes y, a su vez, cómo desarrollaran nuevas habilidades en sus colaboradores.
ESG y transparencia
Proteger a la organización y establecer los lineamientos de respuesta ante un incidente cibernético es parte de una gobernanza corporativa, que responde a los criterios ESG. Dentro de este aspecto, la transparencia en materia de ciberseguridad también es un factor con el que los consejos pueden generar valor tanto para los stakeholders como para los inversionistas.
Al ser transparentes en los informes de ESG, todas estas partes interesadas ganarán confianza en aquellas organizaciones que verdaderamente están entendiendo el entorno actual de los riesgos en sus operaciones.
"Cierro esta reflexión reiterando la importancia que la ciberseguridad tiene tanto para los consejos como para las administraciones de las empresas. Ninguna medida precautoria será pequeña frente al tamaño de los desafíos y el incremento de los delitos cibernéticos que estamos observando. Será labor de cada consejo determinar cómo garantizarán su seguridad y su nivel de tolerancia en caso de presentarse un incidente".
¿Qué falta entender en los consejos de administración sobre ciberseguridad?
Ponte en contacto
