En la vertiginosa era digital que nos toca vivir, la ciberseguridad se ha convertido en una de las principales amenazas para las organizaciones de todo el mundo. La creciente frecuencia y sofisticación de los ciberataques, así como el carácter cada vez más catastrófico de sus impactos, tanto para la empresa como para todos sus stakeholders, exige que los consejos directivos de las empresas asuman un rol de liderazgo proactivo. Es un asunto no sólo de ciberseguridad sino de ciber-responsabilidad corporativa.
Para ello sus miembros necesitan comprender el entorno cibernético de los negocios y sus desafíos inherentes. Deben saber identificar la variedad de amenazas cibernéticas, desde el malware y el phishing más básicos hasta los ataques más sofisticados, como el ransomware y los ataques dirigidos a la infraestructura crítica[1].
Hoy por hoy la ciberseguridad rebasa largamente la esfera tecnológica; es un fenómeno estratégico multidimensional, que involucra aspectos tecnológicos, legales, regulatorios y de reputación, cuyo descuido puede dañar la sostenibilidad misma de la empresa y su competitividad a mediano y largo plazo.
Por tanto, la estrategia de ciberseguridad debe tener un fuerte cordón umbilical con la estrategia corporativa global, lo que supone un cambio de mentalidad en el consejo directivo. Los directores deben ir más allá del cumplimiento normativo y ver la ciberseguridad como una palanca estratégica facilitadora de la innovación y el crecimiento sostenible, como un manojo de soluciones (enablers) generadoras de blindaje y fortaleza estratégica.
Según un estudio del National Association of Corporate Directors (NACD)[2], menos del 20% de los directorios están satisfechos con los niveles de información recibida respecto a los riesgos cibernéticos, lo que revela la necesidad de una mejor comunicación y formación en esta área.
El NACD reconoce que sólo los miembros del directorio tienen el poder para impulsar una potente cultura de ciber-responsabilidad corporativa, así como para dar prioridad efectiva a una ciberseguridad, no subordinada al costo, el rendimiento y la velocidad de comercialización.
Es a nivel del Directorio que se debe definir el marco de gestión de los riesgos cibernéticos de la empresa, fijando estándares para determinar y medir su exposición al riesgo de ciberseguridad. Un Directorio que exige más y mejor información sobre sucesos de ciber actividades maliciosas es crucial para impulsar el aprendizaje de toda la organización. Debe asegurarse de que existan planes de respuesta ante incidentes ensayados regularmente, para que la organización esté preparada para responder ante cualquier contingencia.
[1] El ‘ransomware’ es un tipo específico de ‘malware’ que impide a los usuarios acceder a sus sistemas o archivos personales y demanda el pago de un rescate (típicamente en una moneda digital como el bitcoin) para restaurar el acceso. Este software malicioso puede bloquear el sistema informático de manera completa o cifrar archivos específicos con una clave que solo conoce el atacante. La amenaza continúa con una demanda de pago, típicamente en una moneda digital como Bitcoin, para desbloquear el acceso o descifrar los archivos. Los ataques de ransomware son una amenaza cada que se viene dando con creciente frecuencia y sofisticación, siendo una de las formas más lucrativas y destructivas de ciberataque.
[2] National Association of Corporate Directors / Internet Security Alliance (ISA), “2023 Director’s Handbook on Cyber-Risk Oversight».
Para llegar a ello, es crucial que los miembros del directorio reciban formación continua sobre las últimas tendencias y prácticas en ciberseguridad, para que puedan entender cómo evaluar los riesgos y las medidas de mitigación presentadas por el equipo de gestión, y puedan liderar la creación y mantenimiento de una cultura de ciberseguridad que permeabilice todos los niveles de la organización. Ello implica establecer políticas y procedimientos claros y un sistema de monitoreo y supervisión que asegure su efectiva implementación.
Una sólida cultura de ciberseguridad comienza desde arriba; si los líderes muestran compromiso, es más probable que los empleados sigan su ejemplo. La supervisión de la ciberseguridad por parte del directorio debe ser continua, lo que supone la fijación de métricas claras para medir la efectividad de las políticas de ciberseguridad y los controles implementados.
En última instancia, un liderazgo directriz efectivo en ciberseguridad impactará favorablemente en la reputación y confianza de los consumidores y proveedores, por ende, en la viabilidad y competitividad de la empresa.
