Confiables, vigilantes y resilientes. Tres condiciones claves de las juntas directivas frente a los ciber ataques.

• 21/06/2016
• Internacional

Tweet

Por Jeimy Cano, Ph.D, CFE. Director Revista SISTEMAS at Asociación Colombiana de Ingenieros de Sistemas - ACIS. Colaborador de ElNotariado.com 

Las juntas directivas cada vez más están expuestas a juicios de responsabilidad frente a eventos informáticos inesperados o dirigidos que comprometan las operaciones de las organizaciones donde ellas operan.

En este sentido, estos cuerpos colegiados deben desarrollar al menos tres condiciones claves como son la confiabilidad, la vigilancia y la resiliencia, como fundamento de su “debido cuidado” y demostración de su actuación deliberada y consciente frente a la inevitabilidad de la falla.

La confiabilidad, la podemos leer como el establecer y mantener las capacidades fundamentales de la gestión de la seguridad y control en la organización. Esto es, adelantar la gestión de riesgos, mantener una revisión y prueba de controles, así como motivar el cumplimiento de los estándares y regulaciones asociados con el tratamiento del ciber riesgo.

Esta confiabilidad en términos concretos en la junta directiva significa:

- La junta directiva y los ejecutivos empresariales (el nivel presidencias y vicepresidencia) se mantienen informados de los riesgos potenciales identificados en su sector de negocio y los potenciales impactos para la organización.
- La junta directiva cuenta con asesores o personal especializado, que conoce, entiende y comunica los retos de las tecnologías de información y los ciber riesgos.
- La junta directiva es responsable directa de la gestión de ciber amenazas, así como del seguimiento al desarrollo e implementación del programa de ciber riesgos de la empresa.

La vigilancia, implica reconocerse como parte de un ecosistema digital empresarial, con el fin de detectar violaciones y anomalías, a través de una mayor consciencia de sus relaciones con su entorno, esto es, como la empresa afecta su ambiente y viceversa.

La vigilancia revisada en términos prácticos en el contexto de las juntas directivas implica:

- La junta directiva evalúa y monitoriza el valor del ciber seguro contratado, con el fin de asegurar las mejores prácticas que disminuyan su exposición.
- La junta directiva y su equipo ejecutivo, asistido de personal especializado identifica posibles “cisnes negros” o situaciones inciertas de riesgo, que permitan anticipar y evitar momentos no deseados, con potencial catastrófico.
- La junta directiva desarrolla de forma periódica una referenciación externa respecto del programa gestión del ciber riesgo.

La resiliencia, es la habilidad para retornar rápidamente a la normalidad de las operaciones y reparar los daños ocasionados, luego de un inevitable ciber ataque. Esto es, hacer de la inevitabilidad de la falla, una oportunidad para asumir los efectos de un ciber ataque y construir una vista mejorada de la defensa activa de la empresa desde el negocio hacia las tecnologías de información.

La resiliencia practicada de forma específica por la junta directiva exige:

- Compartir información con el sector de su industria, centros de análisis independientes, agencias del gobierno, instituciones académicas y firmas de investigación, para mantener una vista global de cooperación y resistencia conjunta con los actores del ecosistema digital empresarial.
- La junta directiva motiva la participación activa de la empresa en las simulaciones y entrenamientos frente a ciber ataques, promovidos por su sector de negocio y agencias del gobierno.
- Asegurar que las terceras partes que hacen parte de su cadena de operaciones, han sido entrenadas en los ciber riesgos de la empresa y han incorporado estas prácticas en su operación diaria.

Si bien pueden existir muchas más declaraciones específicas para cada una de las condiciones claves enunciadas, al menos las detalladas para cada una de ellas, establecen el punto base de reflexión, que le permita ahondar a cada cuerpo colegiado la realidad de ciber riesgo y la amenaza real de un inevitable ciber ataque.

En la medida que estas condiciones se desarrollen armónicamente en la junta directiva y su práctica se vuelva parte de la agenda de estos ejecutivos, la madurez y preparación de la empresa frente a un eventual ciber ataque será mayor, particularmente porque desde la vista directiva comparten un lenguaje común frente a esta realidad, que les permite hablar honesta y abiertamente generando un entendimiento común que se integra al ejercicio estratégico de la empresa.

Los ciber ataques son momentos de verdad para las organizaciones y el crisol de fuego para los equipos de respuesta.

En este sentido, las juntas directivas deben mantener una vista sistémica de los impactos de estos eventos, pues sólo así es posible creer, aprender y practicar desde la inevitabilidad de la falla, una vocación hacia los ciber riesgos como fundamento de la práctica directiva moderna.

Referencias

Deloitte (2016) Assessing cyber risk: Critical questions for the board and the C-suite. Recuperado de: http://www2.deloitte.com/global/en/pages/risk/articles/assessing-cyber-risk.html

KPMG (2015) Global CEO Outlook – Energy perspective. Recuperado de: https://assets.kpmg.com/content/dam/kpmg/pdf/2016/03/global-CEO-outlook-energy-perspective.pdf

Ernst & Young (2013) Technology risk management in a cyber world. A C-suite responsibility. Recuperado de: http://www.ey.com/Publication/vwLUAssets/Technology_risk_management_in_a_cyber_world-a_C-suite_responsibility_-_5_Insights_for_executives/$FILE/Technology_risk_management_in_a_cyber_world-a_C-suite_responsibility-5_Insights_for_executives.pdf