Debido a la incertidumbre con la que se pueden presentar los ataques cibernéticos, las Juntas Directivas tienen la tarea de elaborar y presentar tres condiciones que les permitirá tener fiabilidad, el debido cuidado frente a estas situaciones y la justificación en caso de que el hecho sea inevitable. Estas son la confiabilidad, la vigilancia y la resiliencia. Para la Junta cada una de estas implica cierto conocimiento, en confiabilidad, es necesario que los miembros y los ejecutivos empresariales estén informados de los posibles riesgos y los impactos que generarían dentro de la organización, también, deben contar con un asesor o personal especializado en las tecnologías de la información y los ciber riesgos. La vigilancia implica que la junta debe evaluar y monitorear la calidad del servicio de ciber seguridad que ha contratado, para asegurarse de que se aplican las mejores prácticas y por consiguiente disminuir los riesgos. Por último la resiliencia, que se entiende como la capacidad para enfrentar y superar los retos en caso de un ciberataque. 

Redacción INCP a partir del artículo publicado por Auditool 

Para mayor información, puede referirse al artículo titulado “Tres condiciones claves de las juntas directivas frente a los ciber ataques” de la fuente Auditool. 

Tres condiciones claves de las juntas directivas frente a los ciber ataques 

Las juntas directivas cada vez más están expuestas a juicios de responsabilidad frente a eventos informáticos inesperados o dirigidos que comprometan las operaciones de las organizaciones donde ellas operan. En este sentido, estos cuerpos colegiados deben desarrollar al menos tres condiciones claves como son la confiabilidad, la vigilancia y la resiliencia, como fundamento de su “debido cuidado” y demostración de su actuación deliberada y consciente frente a la inevitabilidad de la falla.

La confiabilidad la podemos leer como el establecer y mantener las capacidades fundamentales de la gestión de la seguridad y control en la organización. Esto es, adelantar la gestión de riesgos, mantener una revisión y prueba de controles, así como motivar el cumplimiento de los estándares y regulaciones asociados con el tratamiento del ciber riesgo.

Esta confiabilidad en términos concretos, en la junta directiva, significa:

• La junta directiva y los ejecutivos empresariales (el nivel presidencia y vicepresidencia) se mantienen informados de los riesgos potenciales identificados en su sector de negocio y los potenciales impactos para la organización.

• La junta directiva cuenta con asesores o personal especializado, que conoce, entiende y comunica los retos de las tecnologías de información y los ciber riesgos.

• La junta directiva es responsable directa de la gestión de ciber amenazas, así como del seguimiento al desarrollo e implementación del programa de ciber riesgos de la empresa.

La vigilancia implica reconocerse como parte de un ecosistema digital empresarial, con el fin de detectar violaciones y anomalías, a través de una mayor consciencia de sus relaciones con su entorno, esto es, como la empresa afecta su ambiente y viceversa.

La vigilancia revisada en términos prácticos en el contexto de las juntas directivas implica:

• La junta directiva evalúa y monitoriza el valor del ciber seguro contratado, con el fin de asegurar las mejores prácticas que disminuyan su exposición.

• La junta directiva y su equipo ejecutivo, asistido de personal especializado identifica posibles “cisnes negros” o situaciones inciertas de riesgo, que permitan anticipar y evitar momentos no deseados, con potencial catastrófico.

• La junta directiva desarrolla de forma periódica una referenciación externa respecto del programa gestión del ciber riesgo.

La resiliencia es la habilidad para retornar rápidamente la normalidad de las operaciones y reparar los daños ocasionados, luego de un inevitable ciberataque. Esto es, hacer de la inevitabilidad de la falla una oportunidad para asumir los efectos de un ciberataque y construir una vista mejorada de la defensa activa de la empresa desde el negocio hacia las tecnologías de información.

La resiliencia practicada de forma específica por la junta directiva exige:

• Compartir información con el sector de su industria, centros de análisis independientes, agencias del gobierno, instituciones académicas y firmas de investigación, para mantener una vista global de cooperación y resistencia conjunta con los actores del ecosistema digital empresarial.

• La junta directiva motiva la participación activa de la empresa en las simulaciones y entrenamientos frente a ciber ataques, promovidos por su sector de negocio y agencias del gobierno.

• Asegurar que las terceras partes, que hacen parte de su cadena de operaciones, han sido entrenadas en los ciber riesgos de la empresa y han incorporado estas prácticas en su operación diaria.

Si bien pueden existir muchas más declaraciones específicas para cada una de las condiciones claves enunciadas, al menos las detalladas para cada una de ellas, establecen el punto base de reflexión, que le permita ahondar a cada cuerpo colegiado la realidad de ciber riesgo y la amenaza real de un inevitable ciberataque.

En la medida que estas condiciones se desarrollen armónicamente en la junta directiva y su práctica se vuelva parte de la agenda de estos ejecutivos, la madurez y preparación de la empresa frente a un eventual ciber ataque será mayor, particularmente porque desde la vista directiva comparten un lenguaje común frente a esta realidad, que les permite hablar honesta y abiertamente generando un entendimiento común que se integra al ejercicio estratégico de la empresa.

Los ciberataques son momentos de verdad para las organizaciones y el crisol de fuego para los equipos de respuesta.

En este sentido, las juntas directivas deben mantener una vista sistémica de los impactos de estos eventos, pues sólo así es posible creer, aprender y practicar desde la inevitabilidad de la falla, una vocación hacia los ciber riesgos como fundamento de la práctica directiva moderna. 

Fuente: Auditool