Con
la cantidad de ataques informáticos reportados diariamente, incluyendo el
ataque a la base de datos de Yahoo que impactó a cientos de millones de
clientes, la pregunta sobre el nivel de riesgo informático que corremos todos
diariamente es más importante que nunca.
A la
fecha, observo una tendencia preocupante en ver los ataques informáticos
como fundamentalmente diferentes y separados de otros riesgos organizacionales.
O simplemente verlos como un problema de TI más en manos de expertos.
Sólo porque algo sea complejo y altamente técnico, no
absuelve a la alta dirección de su responsabilidad. Eso incluye a la CEO de
Yahoo Marissa Meyer, así como miembros de una junta en cualquier otra
industria, con la
responsabilidad de proteger a sus organizaciones de complicados riesgos
asociados con la calidad, seguridad de los usuarios y evolución de las
innovaciones propuestas.
La
ciberseguridad no puede ser ignorada o tratada de manera separada de los
liderazgos senior dentro de las organizaciones. Porque, si ocurre,
¿quién realmente tiene la responsabilidad de la administración de los riesgos?
El
rol y responsabilidad de los consejos de administración
Muchos consejos delegan la ciberseguridad a un comité de auditoría de riesgos. Otro acercamiento como una prioridad estratégica separada o como parte de una estructura de gobierno corporativo de administración de riesgos. Algunos ni siquiera lo tienen considerado.
El
tamaño, la industria y la complejidad empresarial de una organización a menudo
dictan el enfoque. Por ejemplo, la junta directiva de un banco
probablemente adoptaría un
enfoque diferente al gobierno, en materia de seguridad cibernética a la
que tal vez, una compañía minera con maquinaria y sistemas de control extensos
pondría en marcha.
Independientemente del enfoque, al igual que las juntas son responsables en
última instancia y legalmente responsables de supervisar la salud, los
sistemas y los controles financieros de una organización, también son responsables de
proporcionar dirección estratégica de gestión de riesgos al liderazgo senior,
así como supervisión de sistemas, Procesos y controles relacionados con la
ciberseguridad.
Aunque es posible que los miembros de la junta directiva
no tengan que ser capaces de escribir reglas para el firewall, ciertamente necesitan alcanzar y
mantener un nivel aceptable de "alfabetización en seguridad
cibernética". Y necesitan asegurar el cumplimiento de sus
responsabilidades de gobierno, supervisión y fiduciario haciendo de la ciberseguridad una prioridad
estratégica y responsabilizar a la gestión de la gestión y la presentación de
los resultados.
La Asociación Nacional de Directores Corporativos ha
destilado muy bien estas
responsabilidades hasta cinco principios:
PRINCIPIO
1: Los directores deben entender y abordar la ciberseguridad como un problema
de gestión de riesgos en toda la empresa, no sólo un problema de TI.
PRINCIPIO
2: Los directores deben comprender las implicaciones legales de los riesgos
cibernéticos en relación con las circunstancias específicas de su
empresa.
PRINCIPIO
3: Las juntas deben tener un acceso adecuado a la experiencia en ciberseguridad,
y las discusiones sobre la gestión del riesgo cibernético deben recibir un
tiempo regular y adecuado en la agenda de la junta directiva.
PRINCIPIO
4: Los directores deben establecer la expectativa de que la administración
establecerá un marco de gestión del riesgo cibernético para toda la
empresa con personal y presupuesto adecuados.
PRINCIPIO
5: El debate de la Junta sobre la gestión del riesgo cibernético debe incluir
la identificación de los riesgos a evitar, aceptar, mitigar o transferir
a través de seguros, así como los planes específicos asociados a cada enfoque.
El
Rol y la Responsabilidad del CEO
Si bien el consejo es responsable de proporcionar dirección estratégica y supervisión, el CEO es en última instancia responsable ante el consejo de administración operacional del riesgo de seguridad cibernética y la implementación de políticas, procedimientos y controles para asegurar que estos objetivos se están cumpliendo. Esta responsabilidad incluye reportar al consejo de manera oportuna, transparente y detallada.
A menudo, el CEO se apoya con el director de información
(CIO) o, si la organización es más grande y más compleja, posiblemente con el
director de seguridad de la información (CISO) para reportar trimestralmente o anualmente a la junta.
Estas presentaciones a veces pueden tomar la forma de garantías de que "todo está siendo
hecho" y también pueden incluir métricas e indicadores clave de
rendimiento como puntos de datos para su revisión.
Muchos consejos delegan la ciberseguridad a un comité de auditoría de riesgos. Otro acercamiento como una prioridad estratégica separada o como parte de una estructura de gobierno corporativo de administración de riesgos. Algunos ni siquiera lo tienen considerado.
Si bien el consejo es responsable de proporcionar dirección estratégica y supervisión, el CEO es en última instancia responsable ante el consejo de administración operacional del riesgo de seguridad cibernética y la implementación de políticas, procedimientos y controles para asegurar que estos objetivos se están cumpliendo. Esta responsabilidad incluye reportar al consejo de manera oportuna, transparente y detallada.
No hay comentarios:
Publicar un comentario
Escriba sus comentarios aqui: