Por Andrés Cargill M., Fundador & CEO Soluciones Orión.
Una estrategia de ciberseguridad efectiva y proactiva debe ser supervisada por el directorio de las compañías, como parte de la gestión de su matriz de riesgo. Al igual que con otros factores que componen esta matriz, el directorio debe establecer sus expectativas, demarcar la responsabilidad de administración y garantizar que haya presupuesto, además de los RR.HH. y un enfoque adecuado para la gestión de ciberriesgos.
En Chile y el mundo, hoy son pocos los directorios donde este tema se aborda de manera específica y con el nivel de atención que requiere la protección del activo más importante de una empresa: su información.
En Europa, el Reglamento General de Protección de Datos (GDPR,
en inglés) impulsó varios cambios respecto a cómo gestionar los ciberriesgos,
considerando que las multas pueden alcanzar los 20 millones de euros o el 4% de
la facturación anual. En nuestro país aún estamos a tiempo de hacerlo de manera
proactiva.
Por eso es fundamental que la Alta Dirección y la plana ejecutiva tenga total
claridad respecto a qué datos trata la empresa, cómo los obtiene, procesa y
almacena; quién tiene acceso a ellos; qué legislación están obligados a cumplir
y qué medidas de seguridad de la información tienen implementadas para todo el
ciclo de vida de los datos. Junto con ello es prioritario que dentro de los
gobiernos corporativos se informe cuál es la responsabilidad legal que puede
alcanzar a los directores en el caso que sufran un ciberataque que comprometa
sus datos, donde los hackers pueden ser agentes externos o incluso insiders.
En países con legislaciones más maduras que la nuestra -que en los próximos dos años sufrirá importantes avances en materia de protección de datos, infraestructura crítica e incluso a causa de una ley Marco de Ciberseguridad- los directorios que han avanzando con éxito en la gestión de sus ciberriesgos tienen un factor en común: los han sumado a su matriz de riesgo con el mismo nivel de importancia que los procesos financieros. Es más, muchos de ellos han visto esta nueva forma de gobernanza como una ventaja competitiva.
Considerando todas las áreas de la compañía que pueden impactar una cibercrisis, los directorios que ya han vivido esta experiencia y algunos más proactivos están replicando los mismos procedimientos de gobernanza que les han resultado eficaces para evaluar y validar con exactitud y confiabilidad sus riesgos financieros para supervisar la ciberseguridad, asignando responsabilidades claras para la gestión de ciberriesgos a nivel de gobierno corporativo.
Son directorios que han validado que los riesgos cibernéticos son más que un simple problema de TI y que tienen importantes ramificaciones legales, por lo que su supervisión debe ser un tema de discusión regular en las juntas. Para ello es recomendable crear un comité de ciberriesgos en aquellas empresas donde el componente digital es muy relevante o al menos incorporarlo en el comité de riesgos, reportando directamente a la Alta Dirección.
Asimismo, se han asegurado que los CEO y otros altos ejecutivos implementen un marco efectivo de riesgo cibernético para la empresa, garantizando que se haga una determinación específica de qué aspectos de los ciberriesgos se deben aceptar, evitar, mitigar o incluso asegurar. Ése es el camino.
SIGUE LEYENDO:
https://digital.elmercurio.com/2019/06/19/EMXX-Y/EMXX-Y-20190619-007#zoom=page-width