Por Alejandro Javier Rosa

 

Ninguna empresa está totalmente a salvo de los ataques informáticos. Tener un buen programa para manejar este riesgo de nogocios puede ayudar a prevenir algunos eventos. Pero más importante aún, cuando se produce un evento de este tipo, tener el programa adecuado puede ayudar a las empresas para volver rápidamente sobre sus pasos y mitigar los daños financieros y reputacionales.

Las amenazas a la seguridad informática están en todos lados y los ataques informáticos producen titulares cada vez más a menudo. También son muy costosos para las empresas, tanto en dinero como en pérdida de reputación. Se espera que el costo global de los ataques informáticos alcance 6 trillones de dólares en 2021.(1)

La amenaza si hace cada vez más compleja y los hackers usan nuevas tácticas, todavía más sofisticadas. Los eventos de 2017 (WannaCry y Not Petya, entre otros), que paralizaron las operaciones de empresas alrededor del mundo causando daños enormes, marcaron una nueva generación de ataques que se esparcen por sí mismos, sin la intervención humana.

Defenderse del riesgo de Cyberataques es complejo para las empresas, al igual que lo es para los Directorios supervisar el manejo de ese riesgo. Por ello es importante tener en claro cuáles son los desafíos y los cursos de acción posibles, y qué pueden hacer los directores para dar soporte a la gerencia en el proceso de establecer un programa robusto de manejo de riesgo de ataques informáticos.

Los Directorios y los ejecutivos tienen que reconocer que la responsabilidad sobre el manejo del riesgo de ataques informáticos no recae solamente en el departamento de Sistemas. El director de Seguridad Informática (CISO) y su equipo no pueden hacer este trabajo solos. Para que la administración y monitoreo de este riesgo sean afectivos se necesita que todos (directores, ejecutivos, áreas de negocios, IT) se involucren y trabajen en forma coordinada.

Por supuesto que la parte más pesada del trabajo debe ser realizada por los especialistas de seguridad informática y por la alta gerencia. Pero tampoco debe pensarse ni descansar en el hecho de que establecer un programa de prevención de ataques informáticos robusto y efectivo se hará de un día para el otro. Será más bien, un camino que la organización deberá recorrer en forma continuada y metódica. Y por sobre todas las cosas, de un modo consciente de que el “viaje” nunca termina, dado que el ambiente amenazante evoluciona continua y rápidamente.

Y hay otro grupo muy importante en cuestión, que muchas veces se descuida y se deja de lado, los empleados de la empresa. Ellos dan soporte a la seguridad de sistemas cuando cumplen las políticas, normas y procedimientos, participan de las capacitaciones y reportan las actividades sospechosas.

Algunos desafíos que plantea la seguridad informática:

  • No suele haber un inventario de los activos digitales de la empresa: De acuerdo con la 2018 Annual Corporate Director Survey de PwC, solo el 37% de los Directores considera que la empresa ha identificado correctamente sus activos digitales más valiosos y sensibles.
  • Las empresas no mapean correctamente cuáles son los terceros con los que están conectadas digitalmente, ni quienes podrían estar interesados en robar sus datos: De acuerdo con la misma encuesta, solo el 17% de los Directores consideran que su empresa ha identificado correctamente quien podría atacar sus activos digitales.
  • Las empresas tienen políticas de “higiene” informática pobres: de acuerdo con un estudio, el 93% de los ataques informáticos podrían ser prevenidos con mejores políticas de ese tipo (actualizaciones de software, bloqueo de mails sospechosos, capacitación digital sobre phishing, etc..) (2)

El Directorio debe estar activamente involucrado en las discusiones sobre el programa de prevención de ataques informáticos, verificando que la gerencia identifica, prioriza y monitorea este riesgo, de modo de asegurarse de que los activos digitales más valiosos del negocio están siendo protegidos adecuadamente. Algunas áreas de foco que los directores no deberían dejar de de incorporar en su agenda:

  • Considerar el riesgo de Cybersecurity como un riesgo de negocio, no solo como un tema de Sistemas
  • Tener un enfoque de supervisión que incluya la asistencia directa de expertos en seguridad informática y digitalización
  • Entender los requerimientos legales y regulatorios
  • Discutir si la estrategia y los plantes para defenderse de este riesgo son adecuados, incluyendo la definición del “apetito” de la organización al riesgo de ataques informáticos.
  • Establecer cuál es la información periódica o por excepción que necesitarán para monitorear la gestión de este riesgo
  • Monitorear la “resilencia” de la organización ante los ataques informáticos, es decir, las capacidades para resistir y recuperarse de los ataques.

En resumen, las empresas y sus directorios deben ser conscientes de que las amenazas a la seguridad informática no solo se mantienen, sino que van en aumento. Debido a eso, la necesidad de una estructura de administración y supervisión efectivas de este riesgo se hace cada vez más crítica. Una estructura de ese tipo incluye al Directorio, la gerencia y el área de sistemas, con un enfoque integrador. Esto no se logra de un día para el otro. Al contrario, establecer un programa efectivo y eficiente de manejo de este riesgo es un camino que debe ser recorrido por la empresa, con el objetivo de mitigar los riesgos clave y lograr una organización resiliente a los ataques informáticos.