Los 3 errores más grandes que puede cometer la Dirección en torno a la ciberseguridad
Por: MBA. Rómulo Lomparte
Docente de la Maestría en Ingeniería de Sistemas y Computación USAT
Docente de la Maestría en Ingeniería de Sistemas y Computación USAT
La protección de la empresa contra las amenazas cibernéticas es algo que necesita para crecer, no algo que pueda comprar. El papel de la Dirección en relación con la ciberseguridad es un tema visitado varias veces, en 2015 a raíz de la violación de datos de TalkTalk en el Reino Unido, luego en 2019 después de los brotes y violaciones de datos de WannaCry y NotPeyta en BA, Marriott y Equifax entre otros.Es también un tema investigado con techUK, y dio como resultado el inicio de su serie Cyber People y la producción del informe “CISO at the C-Suite” a fines de 2020.
En general, aunque el tema de la ciberseguridad está ahora definitivamente en la agenda de la alta dirección en la mayoría de las organizaciones, rara vez es un tema. La mayoría de las veces aparece a pedido del Comité de Auditoría y Riesgos o después de una pregunta de un director no ejecutivo o, peor aún, en respuesta a un incidente de seguridad o un cuasi accidente.
Esto esconde un patrón de actitudes culturales y de gobierno recurrentes que podrían estar
obstaculizando la ciberseguridad más que habilitándola.
Hay 3 grandes errores que la Dirección debe evitar para promover la seguridad cibernética y
prevenir infracciones.
1- Degradándolo
«Tenemos peces más grandes para freír …»
Por supuesto, cada organización es diferente y la crisis COVID afecta a cada una de manera diferente, desde las que se acercan al colapso hasta las que están en auge.
Pero pretender que la protección contra las amenazas cibernéticas no es tema relevante de la Dirección raya en la negligencia y, sin duda, es una cuestión de mala gobernanza que los
directores no ejecutivos deben de abordar.
Los ciberataques están en las noticias todas las semanas y fueron la causa de millones en
pérdidas directas y cientos de millones en pérdidas de ingresos en organizaciones grandes en casi todos los sectores.
Los reguladores de privacidad de datos sufrieron reveses en 2020: se vieron obligados a ajustar algunas de sus multas (BA, Marriott), y también vimos un primer desafío exitoso en Austria que llevó a la anulación de una multa multimillonaria (18 millones de euros para Correos de Austria). Sin embargo, las multas ahora llegan a millones o decenas de millones con regularidad; todavía está lejos del 4% de la facturación global permitida por el GDPR, pero la tendencia al alza es clara, como destacó DLA Piper en su encuesta GDPR de 2021, y ese número debería registrarse en el radar de los directorios.
Por último, la crisis COVID hizo que la mayoría de las empresas dependan en gran medida de los servicios digitales, cuya estabilidad se basa en prácticas sólidas de ciberseguridad, tanto internas como en la cadena de suministro.
La ciberseguridad se ha convertido en un pilar de la “nueva normalidad” e incluso más que antes, debería ser agenda regular del consejo, claramente visible en la cartera de un miembro que debería tener parte de su retribución vinculada. Como se indicó anteriormente, esto se está convirtiendo rápidamente en una simple cuestión de buen gobierno.
2- Verlo como un problema de TI
“Está lidiando con esto…”
Esta es una postura peligrosa en varios niveles.
Primero, la ciberseguridad nunca ha sido un asunto puramente tecnológico. La protección contra las amenazas cibernéticas siempre ha requerido una acción concertada a nivel de personas, procesos y tecnología en toda la organización.
Reducirlo a la tecnología degrada el tema y el calibre de talento que atrae. En grandes organizaciones, que son intrínsecamente territoriales y políticas, ha llevado a una falla endémica para abordar los problemas entre silos, por ejemplo, en torno a la gestión de riesgos de identidad o proveedores, a pesar de los millones gastados en proveedores de tecnología y consultores.
Por lo tanto, no debe dejarse en manos del CIO, a menos que su perfil sea lo suficientemente elevado dentro de la organización.
En el pasado, hemos abogado por modelos organizativos alternativos para abordar la
transformación digital y el necesario refuerzo de prácticas en torno a la privacidad de los datos a raíz del GDPR. Siguen siendo actuales y no están destinados a reemplazar el tipo de modelos de «tres líneas de defensa».
Pero aquí, nuevamente, debe prevalecer la precaución. Es fácil, en las grandes empresas, sobrediseñar las tres líneas de defensa y construir modelos de control monstruosos e ineficientes. Las tres líneas de defensa solo funcionan sobre la base de la confianza, y deben aportar valor a cada parte de la organización de control para evitar una cultura de sospecha y fachada regulatoria.
3- Tirar el dinero
“¿Cuánto tenemos que gastar para arreglar esto?”
La protección de la empresa contra amenazas cibernéticas es algo que necesita para crecer, no algo que pueda comprar, a pesar de lo que innumerables proveedores de tecnología y consultores quisieran.
De hecho, la mayoría de las organizaciones afectadas en los últimos años (BA, Marriott, Equifax, Travelex, etc. la lista es larga …) habrían gastado decenas o cientos de millones en productos de seguridad cibernética durante las últimas décadas …
Cuando la madurez de la ciberseguridad es baja y se requiere una transformación profunda, la solución rara vez es arrojar dinero al problema.
Por supuesto, se requerirán inversiones, pero las verdaderas balas de plata se encuentran en la cultura y el gobierno corporativos, y en la integración de los valores de protección empresarial en el propósito corporativo: algo que debe comenzar en la cima a través de elementos visibles y la propiedad creíble de la junta de esos temas, y descienden en cascada a través de la gerencia media, transmitidos por incentivos y esquemas de remuneración.
Esto es más desafiante que realizar pruebas de lápiz ad-hoc, pero es la única forma de lograr un éxito a largo plazo.
