Ciberseguridad
Directorios deben tratar la ciberseguridad como un problema de gestión de riesgos
Hace un par de años, si bien eran problemáticos, los ataques cibernéticos eran tildados de eventos esporádicos y que implicaban un costo para las empresas. Actualmente, los atacantes son muy sofisticados y prácticamente cualquier organización está en riesgo de perder todo su negocio.
Esto no significa que la ciberseguridad sea un problema sin solución, sino que la responsabilidad debe pasar de las áreas de tecnologías de la información a la plana mayor de las compañías. Si bien no es responsabilidad de los directores convertirse en expertos en ciberseguridad, la junta debe saber qué preguntas hacerles a los expertos, ejercer liderazgo y estar comprometida para lograr que la protección contra cualquier ciberataque sea una prioridad.
Un estudio de la OEA reveló que la mayoría de las juntas corporativas en América Latina tienen una comprensión “inicial” o “formativa” de la ciberseguridad, lo que significa que tienen un conocimiento mínimo o nulo de la materia y los deberes fiduciarios relacionados, o tienen cierta conciencia de los problemas cibernéticos, pero no de cómo los riesgos podrían afectar a sus organizaciones. Incluso entre las juntas corporativas en América Latina, donde existe un conocimiento más avanzado sobre ciberseguridad, la gestión de los problemas cibernéticos ha tendido a ser más orientada al perímetro, y reactiva en lugar de proactiva.
El enfoque de los directorios en Chile se orienta más en el resultado del negocio y no es prioridad revisar la seguridad de sus procesos. “La ciberseguridad, hasta hace poco, solo era un riesgo técnico. No obstante, hoy ya cambió esa percepción, pues se está tomando conciencia de su importancia y que se trata de uno de los mayores riesgos a los que una organización puede enfrentarse, con consecuencias e impactos muy profundos que, incluso, pueden llevar al cierre de las compañías”, dice Iván Toro, gerente general de ITQ Latam.
“La ciberseguridad se está metiendo cada vez más en la agenda de los directorios”, agrega Marcelo Zanotti, socio líder de Consultoría en Riesgo de EY. En algunos casos, “como una exigencia normativa, como es la reciente publicación de la RAN20-10 para instituciones financieras que le exige al directorio una explícita supervisión de la estrategia y modelo de seguridad de la organización que esté dirigiendo. Por otro lado, la pandemia ha acelerado la transformación digital de las organizaciones y eso obliga a pensar en los riesgos de ciberseguridad”.
Un riesgo en constante evolución
El problema no está en que los directorios no reconozcan la importancia de comprometerse con la ciberseguridad. De hecho, la Encuesta Global de Seguridad de la Información de EY revela que 72% de las organizaciones aceptan que los directorios perciben los riesgos cibernéticos como algo “significativo”. Desde la perspectiva de los directorios, estos esperan que estos riesgos tengan un impacto significativo en sus empresas en los siguientes 12 meses.
SIGA LEYENDO: https://digital.elmercurio.com/2020/10/28/B/MN3SFNMA#zoom=page-width