Por Alejandro Rosa – PwC Argentina
Los cambios en el ambiente de negocios traen también como consecuencia la aparición de nuevos riesgos o, al menos, hacen que riesgos ya existentes suban escalones en las agendas de los ejecutivos y directorios. Éste es el caso de los riesgos de seguridad informática y los derivados de tercerización de funciones sensitivas.
Delitos informáticos
Los delitos informáticos hace tiempo que han dejado de ser situaciones de excepción, que incluso nos causaban sorpresa cuando llegaban a nuestros oídos, para ser hoy parte de la cotidianeidad de nuestras empresas y de nuestra propia vida. Según un estudio de PwC de 2013 (“The Global state of Information Security”), la tasa de incremento anual de delitos informáticos a nivel mundial alcanza el 25%. Quienes llevan a cabo estos delitos se han vuelto más sofisticados, inclusive atacando a altos ejecutivos de empresas a través de complicados intentos de “phishing”. Es más, muchas veces, empleados o colaboradores de la empresa se transforman en “cómplices” involuntarios o intencionales de estas maniobras.
No es un secreto que las empresas están trabajando fuertemente para defenderse de estos ataques y preservar sus activos, incluyendo su información más sensitiva. Si bien existen opiniones en el sentido de que todos los esfuerzos que puedan llevarse adelante son, en el fondo, infructuosos ya que es imposible prevenir el 100% de los delitos informáticos, otros estudios parecerían indicar que la mayoría de los riesgos derivados de los delitos informáticos pueden ser mitigados fuertemente mediante el refuerzo de la capacitación del personal en esos temas, el mantenimiento adecuado de la infraestructura de IT y el monitoreo de los riesgos externos.
Quizás, uno de los mayores desafíos que plantea el delito informático deriva del hecho que el objetivo puede ser muy amplio: información personal, información financiera, propiedad intelectual, activos financieros de la compañía, secretos industriales, etc.
Lo cierto es que la cantidad de información que manejan hoy nuestras compañías a través de sus sistemas es tan amplia que es imposible protegerla en su totalidad, por lo tanto, las compañías necesitan focalizarse en proteger la información más relevante, lo que los expertos en el tema llaman “las joyas de la corona”. La definición de cuáles son esas “joyas” y las medidas de seguridad informática que se tomarán para defenderlas debe ser la base de la estrategia corporativa para mitigar los riesgos de delito informático y la principal preocupación de la persona que tenga a cargo la implementación de esa estrategia.
Tercerización
La tendencia que se viene observando en los últimos años de compañías que tercerizan cada vez más funciones importantes de negocio está lejos de revertirse. Del mismo modo, las cadenas de suministros y los canales de distribución de los productos continúan expandiéndose, complejizándose y en constante cambio. Los ejemplos no son sólo globales, también se observan en nuestro mercado. Si bien no se trata de un caso reciente, un ejemplo de estas tendencias puede verse en la industria farmacéutica local, donde prácticamente todos los principales laboratorios de nuestro país han tercerizado sus funciones de almacenaje, logística y distribución en organizaciones de servicios especializadas en estas funciones que prestan estos servicios a varios laboratorios cada una de ellas.
Estas tendencias, además de significar un esfuerzo importante para lograr eficiencias y permitir que las empresas se focalicen en la parte del negocio donde realmente tienen ventajas competitivas, significan un aumento del denominado “riesgo de terceros” (third-party risks).
El “riesgo de terceros” es el riesgo de que nuestra compañía pueda ser responsable por las acciones u omisiones de agentes, distribuidores y socios estratégicos. Aún cuando no es un concepto nuevo, un estudio desarrollado por Navex Global en Estados Unidos, en 2013, concluyó que menos del 30% de las empresas monitorea adecuadamente a sus distribuidores, proveedores y agentes para prevenir actos de corrupción, fraude y otros incumplimientos que pudieran extenderles acciones de responsabilidad.
Es crítico que las compañías lleven a cabo procedimientos de revisión (“due dilligence”) a aquellos terceros con los que realizan negocios, a través, por ejemplo, de auditorías independientes o procesos de verificación, y al menos incluyendo cláusulas especiales sobre estos temas en los acuerdos que se firmen con ellos.
Como muchas veces indicamos, una de las funciones más importantes de los directores es hacer las preguntas correctas. Es por ello que, en relación a los temas antes descriptos, los directores deberían tener un diálogo abierto con la gerencia de la sociedad para indagar, por ejemplo, de qué manera la gerencia monitorea los riesgos de delitos informáticos para salvaguardar las “joyas de la corona” de la compañía, o de qué modo la empresa selecciona, administra y monitorea sus relaciones con terceras partes y qué procedimientos se realizan para asegurar que las protecciones contractuales están vigentes.